<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <!--当有请求道来的时候,Spring Security框架开始检查要访问的资源是否有权访问, 如果当前登录用户无权或者当前根本就没有用户登录,则Spring Securtiy 框架就自动产生一个 登录页面。--> <security:http security="none" pattern="/statics/**" /> <security:http security="none" pattern="/public/**"/> <security:http security="none" pattern="/login*"/> <security:http security="none" pattern="/maxSessionError*"/> <security:http security="none" pattern="/forbidden*"/> <!--这表示,我们要保护应用程序中的所有URL,只有拥有 ROLE_USER角色的用户才能访问。--> <security:http use-expressions="true"> <!--所有url都要被拦截然后进行判断--> <security:intercept-url pattern="/**" access="isAuthenticated()"/> <!-- 不过滤用户请求登陆url 、用户登陆失败跳转url 、用户登陆成功请求url--> <!-- 退出登录--> <!--对登录页面不进行拦截,加*的原因是此请求可以有参数--> <!--<security:intercept-url pattern="/test/" filters="none"></security:intercept-url>--> <!--<http>元素是 所有web相关的命名空间功能的上级元素。<intercept-url>元素定义了 pattern,用来匹配进入的请求URL,上面的表示拦截根,以及根子目录下的所有的路径。 access属性定义了请求匹配了指定模式时的需求。使用默认的配置, 这个一般是一个逗号分隔的角色队列,一个用户中的一个必须被允许访问请求。 前缀“ROLE_”表示的是一个用户应该拥有的权限比对。--> <!--拦截所有的请求但是这个角色可以随意访问--> <!--对登录页面不进行拦截--> <!--<security:intercept-url pattern="/login.jsp*" filters="none"/>--> <!--<!–管理员界面必须管理员才能登录–>--> <!--<security:intercept-url pattern="/admin.jsp*" access="ROLE_ADMIN"/>--> <!--<!–首页必须都能访问–>--> <!--<security:intercept-url pattern="/index.jsp*" access="ROLE_ADMIN,ROLE_USE"/>--> <!--<!–用户角色经过认证之后都可以访问–>--> <!--<security:intercept-url pattern="/**" access="ROLE_USER"/>--> <security:form-login login-page="/login" default-target-url="/home" authentication-failure-url="/login" authentication-success-handler-ref="loginSuccessHandler"/> <!--登出成功处理--> <security:logout invalidate-session="true" delete-cookies="true" success-handler-ref="logoutSuccessHandler"/> <!--访问受限制--> <security:access-denied-handler error-page="/forbidden"/> <!--会话管理配置,登录失效--> <security:session-management session-fixation-protection="newSession" invalid-session-url="/sessionTimeOut.htm"> <!--配置单点登录,注意web.xml也要相应的配置监听器--> <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="false" expired-url="/maxSessionError.htm"/> </security:session-management> <!--增加一个filter但是不能修改默认的filter--> <security:custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/> </security:http> <!--配置认证管理:定义role_user--> <!--验证配置,认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 --> <!--通过MyUserDetailService拿到用户信息后,authenticationManager对比用户的密码(即验证用户),然后这个AuthenticationProcessingFilter拦截器就过咯。--> <security:authentication-manager alias="authenticationManager"> <!--如果用户名为user,密码为user的用户成功登录了,它的角色是ROLE_USER ,那么他可以访问规定的资源。--> <security:authentication-provider user-service-ref="userInfoProvider"> <!--密码采用md5加密方法,admin加密之后21232f297a57a5a743894a0e4a801fc3--> <security:password-encoder hash="md5" base64="true"/> <!--<security:user-service>--> <!--<security:user name="user" password="21232f297a57a5a743894a0e4a801fc3" authorities="ROLE_USER" />--> <!--</security:user-service>--> </security:authentication-provider> </security:authentication-manager> <!--一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,我们的所有控制将在这三个类中实现--> <beans:bean id="myFilter" class="com.flx.base.filter.MyFilterSecurityInterceptor"> <beans:property name="authenticationManager" ref="authenticationManager"/> <beans:property name="accessDecisionManager" ref="accessDecisionManager"/> <beans:property name="securityMetadataSource" ref="securityMetadataSource"/> </beans:bean> <!--在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等 --> <beans:bean id="userInfoProvider" class="com.flx.base.security.secuser.service.impl.UserInfoServiceImpl"/> <!--资源源数据定义,将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色访问 --> <beans:bean id="securityMetadataSource" class="com.flx.base.filter.MySecurityMetadataSource"/> <!--访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 --> <beans:bean id="accessDecisionManager" class="com.flx.base.filter.MyAccessDesisionmanager"/> <!--登录成功--> <bean id="loginSuccessHandler" class="com.flx.base.handler.MyLoginSuccessHandler"/> <!--登出成功--> <bean id="logoutSuccessHandler" class="com.flx.base.handler.MyLogoutSuccessHandler"/> <!--登录失败--> <bean id="loginFailHandler" class="com.flx.base.handler.MyLoginFailHandler"/> </beans>
Spring Security权限管理相关配置加注解
最新推荐文章于 2024-08-13 03:34:05 发布