《Spring Security3》第七章第一部分翻译(访问控制列表ACL)

最新推荐文章于 2022-03-30 21:51:34 发布
最新推荐文章于 2022-03-30 21:51:34 发布
阅读量587 收藏
点赞数
分类专栏: Spring Security3

第七章   访问控制列表(ACL)

在本章中,我们将会介绍访问控制列表这个复杂话题,它能够提供域对象实例层次授权的丰富模型。Spring Security提供了强大的访问控制列表,但是复杂且缺少文档,它能够很好的满足小到中型规模的实现。

在本章的内容中,我们将会:

l  理解访问控制列表的概念模型;

l  了解Spring Security ACL模型中的关于访问控制列表的术语和应用;

l  构建和了解支持Spring ACL的数据库模式;

l  配置JBCP Pets通过注解和Spring bean来使用ACL保护业务方法;

l  进行高级配置,包括自定义许可、使用ACL的JSP标签检查和方法安全,易变的ACL以及缓存;

l  了解架构要考虑的因素以及规划ACL部署的场景。

 

译者注:在本章中术语permission翻译为许可权限;entry翻译为条目;access control entry即为访问控制条目。

使用访问控制列表保护业务对象

         最后一个非web层安全的问题是业务对象层次的安全,它在业务层或业务层以下。这个层次的安全实现使用了一项名为访问控制列表(access control list,或ACL)的技术。ACL中的对象可以进行权限判断——ACL允许基于唯一的组、业务对象以及逻辑操作进行特定的许可。

         例如,在JBCP Pets中的一个ACL声明可能会是这样的:用户只能对自己的简介进行写操作。可能像下面展现的这样:

        

用户名

对象

许可权限

amy

 

Profile123

read,write

 

ROLE_USER

Profile123

read

 

ANONYMOUS

Any Profile

none

         你会发现这个ACL对人工来说很易读——Amy对自己的简介(Profile123)能够进行读写;其它的注册用户能够读Amy的简介,而匿名用户不能。简单来说,这种类型的规则矩阵就是ACL所试图做的,即将代码、访问检查、安全系统和业务数据的元数据进行集成。大多数真正使用ACL的系统会有很复杂的ACL列表以及整个系统中百万级的条目。尽管这听起来有令人感到害怕的复杂性,但是预先适当的思考和使用良好的安全库能够使得ACL管理相当可行。

         如果你使用Microsoft Windows或者基于Unix/Linux的电脑,那你每天都在体验ACL。大多数现代电脑的操作系统都使用ACL指令作为文件存储系统的一部分,这允许基于用户或组、文件或目录以及许可权限的组合进行许可授权。在Microsoft Windows中,你能通过右键点击一个文件并查看其安全属性的方法(属性|安全标签)看到ACL功能:



 你可以看见各种的组或用户以及权限,从而能够以可视化和很直观的方式输入ACL。

Spring Security中的访问控制列表

         在安全系统中,Spring Security支持ACL驱动的授权检查用户访问某个域对象。与OS文件系统的例子很相似,可以使用Spring Security ACL组件构建业务对象以及组或安全实体的逻辑树结构。基于请求者和被请求对象得到的许可授权(继承或明确声明)被用来确定是否允许访问。

         对于接触Spring Security ACL功能的用户来说,很可能被它的复杂性和缺乏文档、例子所吓倒。再加上建立ACL的基础设施很复杂,需要很多的相互依赖以及与Spring Security其它地方不同的基于bean的配置机制(我们等会建立初始配置的时候,你会看到)。

         Spring Security的ACL模型比较基础,但是试图构建扩展功能的用户可能会发现一些令人沮丧的限制并且Spring Security早期引入的一些设计决策已经不合时宜。不要让这些限制把你弄得灰心。ACL模型是一个往你应用中嵌入丰富访问控制的强大方式,并且会进行仔细的审查以保护用户的行为和数据。

         在我们开始配置Spring Security ACL之前,我们需要了解一些关键的术语和概念。

         在Spring ACL系统中,主要的安全角色标识是security identity或SID。SID是一个逻辑组成,能够被用来抽象一个单独的安全实体或组(GrantedAuthority)。ACL数据模型定义的SID被用做确定安全实体访问级别的基础,而这个访问规则可以是明确指明的也可以是继承下来的。

         如果SID被用作确定ACL系统的角色,那对应的另一半安全相关的就是安全对象本身了。单个的安全对象标识被称为(毫无意外的)对象标识(object identity)。默认的Spring ACL实现中,对象标识需要ACL规则定义在对象实例层级,这就意味着,如果需要系统中的每一个对象都能有单独的访问规则。

         单个的访问规则就是所谓的访问控制条目(access control entries或ACEs)。一个ACE包含以下的元素:

l 规则应用的角色SID;

l  规则应用的对象标识;

l  应用于给定SID和对象标识的许可权限;

l  给定的许可权限对于特定的SID和对象标识应该允许还是拒绝(译者注:个人理解,此处指的是给定一个权限能够判断出是否允许访问)。

 

Spring ACL系统作为一个整体,其目的是评估每一个方法调用并确定方法中的对象针对每一个ACE是否可用。适当的ACE在运行时进行评估,这要基于调用者和使用的对象。

【Spring Security ACL在实现上是灵活的。尽管本章的内容大多数都是Spring Security模块内置的功能,但是要记住的是很多的规则是默认实现,在很多情况下能够基于复杂的需求进行重写。】

Spring Security使用一些有用的值对象来描述相关联的每一个概念实体。它们列到了以下的表格中:

ACL概念对象

Java对象

SID

o.s.s.acls.model.Sid

对象标识(Object Identity)

o.s.s.acls.model.ObjectIdentity

ACL

o.s.s.acls.model.Acl

ACE

o.s.s.acls.model.AccessControlEntry

让我们通过JBCP Pets store应用的一个例子来了解使用Spring Security ACL组件的过程。

支持Spring Security ACL的基本配置

         尽管我们前面提到过在SpringSecurity中配置支持ACL需要基于bean的配置(它的确如此),但是你可以使用ACL却保持较为简单的security XML命名空间配置(译者注:即ACL需要基于bean的配置,但是原有的security命名空间配置可以保留)。如果你要运行示例代码,你需要切换web.xml到security命名空间配置,使用dogstore-base.xml和dogstore-security.xml。

定义一个简单的目标场景

         我们一个简单的目标场景是不允许没有ROLE_ADMIN GrantedAuthority权限的用户访问主页上的第一个分类。第一个分类被称为“Pet Apparel”——这就是我们要用ACL安全保护的分类。

         尽管有多种方式建立ACL检查,但是我们喜欢在第五章用到过的基于注解实现方法安全的方式。它很好的把使用ACL从实际接口声明中抽取出来,并允许你以后将角色声明替换为(如果愿意)除了ACL的其它方式。

         我们将要在IProductService.getItemsByCategory方法上添加一个注解,它需要触发这个方法的任何人有适当的角色来查看这个分类:

 

Java代码   收藏代码
  1. @Secured("VOTE_CATEGORY_READ")  
  2. public Collection<Item> getItemsByCategory(Category cat);  
 

         这个方法被JBCP Pets站点的分类查看页面调用,而这个页面可以通过点击主页上的分类进入:

 



 让我们看是进行配置的变化!

添加ACL表到HSQL数据库中

         我们需要做的第一个事情是添加支持持久化ACL条目的表到我们的内存HSQL数据库中。要做到这一点,我们添加一些新的SQL DDL文件到我们的嵌入式数据库声明中,在dogstore-security.xml里:

 

Xml代码   收藏代码
  1. <jdbc:embedded-database id="dataSource" type="HSQL">  
  2.   <jdbc:script location="classpath:security-schema.sql"/>  
  3.   <jdbc:script location="classpath:test-data.sql"/>  
  4.   <jdbc:script location="classpath:remember-me-schema.sql"/>  
  5.   <jdbc:script location="classpath:test-users-groups-data.sql"/>  
  6.   <jdbc:script location="classpath:acl-schema.sql"/>   
  7. </jdbc:embedded-database>  

 acl-schema.sql文件会放在WEB-INF/classes文件夹下(或在应用类路径下的其它位置),并包含以下内容:

 

Sql代码   收藏代码
  1. create table acl_sid (  
  2.   id bigint generated by default as identity(start with 100) not null   
  3. primary key,  
  4.   principal boolean not null,  
  5.   sid varchar_ignorecase(100) not null,  
  6.   constraint uk_acl_sid unique(sid,principal) );  
  7. create table acl_class (  
  8.   id bigint generated by default as identity(start with 100) not null   
  9. primary key,   
  10.   class varchar_ignorecase(500) not null,   
  11.   constraint uk_acl_class unique(class) );  
  12. create table acl_object_identity (  
  13.   id bigint generated by default as identity(start with 100) not null   
  14. primary key,   
  15.   object_id_class bigint not null,   
  16.   object_id_identity bigint not null,   
  17.   parent_object bigint,   
  18.   owner_sid bigint not null,   
  19.   entries_inheriting boolean not null,   
  20.   constraint uk_acl_objid unique(object_id_class,object_id_identity),   
  21.   constraint fk_acl_obj_parent foreign key(parent_object)references   
  22. acl_object_identity(id),   
  23.   constraint fk_acl_obj_class foreign key(object_id_class)references   
  24. acl_class(id),   
  25.   constraint fk_acl_obj_owner foreign key(owner_sid)references acl_  
  26. sid(id) );  
  27. create table acl_entry (   
  28.   id bigint generated by default as identity(start with 100) not null   
  29. primary key,   
  30.   acl_object_identity bigint not null,  
  31.   ace_order int not null,  
  32.   sid bigint not null,   
  33.   mask integer not null,  
  34.   granting boolean not null,  
  35.   audit_success boolean not null,   
  36.   audit_failure boolean not null,  
  37.   constraint uk_acl_entry unique(acl_object_identity,ace_order),   
  38.   constraint fk_acl_entry_obj_id foreign key(acl_object_identity)   
  39.       references acl_object_identity(id),   
  40.   constraint fk_acl_entry_sid foreign key(sid) references acl_sid(id)   
  41. );  

 这将会生成如下的数据库模式:

         


 你能够看到SID、对象标识以及ACE的概念如何匹配到数据库模式中。概念上讲,这很方便,因为我们能够匹配ACL系统的模型并直接将其关联到数据库中。

         如果你将这与Spring Security文档中提供的HSQL数据库模式进行对比,你会发现我们进行了一些改变,这可能会使用户走弯路。如下:

l  修改ACL_CLASS.CLASS列从100个字符到500个字符。一些满足要求的长类名可能超过100个字符;

l  外键的名字更有意义,这样失败能够更容易的进行诊断。

【如果你使用其它的数据库,如oracle,你需要将这个DDL转换成你特定数据库的数据类型。】

一旦我们配置完ACL系统的其它部分,我们将会回到数据库这边建立一些基本的ACE以证明ACL的基本功能。

配置访问决策管理器

我们需要配置<global-method-security>以启用注解(我们将在这里注明基于ACL的权限)并引用一个自定义的访问决策管理器(access decision manager)。

【用于ACL检查的访问决策管理器必须与用于检查web URL授权规则的进行区分。这个需求源于传递给决策管理器的所有认证检查必须被它所有配置的voter所支持。不幸的是,web请求认证与方法请求认证的处理方法不一样,所以需要一个单独配置的访问决策器。当我们在第五章:精确的访问控制第一次接触方法安全时,我们不需要明确进行这个配置变化,因为security命名空间解析所实例化的访问控制管理器足够满足我们的要求。】

配置访问决策管理器的引用被设置在dogstore-security.xml文件中,如下:

 

Xml代码   收藏代码
  1. <global-method-security secured-annotations="enabled"   
  2. access-decision-manager-ref="aclDecisionManager"/>  

 这是对访问控制管理器的一个bean引用,我们定义在dogstore-base.xml文件中:

 

Xml代码   收藏代码
  1. <bean class="org.springframework.security.access.vote.AffirmativeBased"  
  2.  id="aclDecisionManager">  
  3.   <property name="decisionVoters">  
  4.     <list>  
  5.       <ref bean="categoryReadVoter"/>  
  6.     </list>  
  7.   </property>  
  8. </bean>  

 我们将会在练习的下一步中从投票器开始处理这个引用链。要记住的是这个AccessDecisionManager像其它的一样,自然也像web认证决策管理器那样,依赖于投票器做授权决策。

配置ACL的支持bean

         即使是进行一个相对很简单的ACL配置,就像我们的场景那样,也有许多需要的依赖要建立。正如我们前面提到的,Spring Security ACL模块自带了很多的组件,你可以对它们进行组装以提供很好的ACL功能。注意的是,下图所引用的所有组件只是框架的一部分!



 ACL子系统与Spring Security框架其它大部分功能有一个明显的不同就是大多数的配置需要构造方法注入(constructor injection),而不是属性注入(property injection)。正如我们在第六章:高级配置和扩展中明确bean配置所讨论的那样,一部分Spring Security在这方面并不一致,强制要求使用构造器以确保需要的属性被设置——这在配置大多数ACL相关组件时是需要注意的。

         让我们从配置categoryReadVoter开始。这是AccessDecisionVoter的实现,它会访问ACL存储(在数据库中)并进行运行时的认证做出访问决策。

 

Xml代码   收藏代码
  1. <bean class="org.springframework.security.acls.AclEntryVoter"   
  2. id="categoryReadVoter">  
  3.   <constructor-arg ref="aclService"/>  
  4.   <constructor-arg value="VOTE_CATEGORY_READ"/>  
  5.   <constructor-arg>  
  6.     <array>  
  7.       <util:constant static-field="org.springframework.security.acls.  
  8. domain.BasePermission.READ"/>  
  9.     </array>  
  10.   </constructor-arg>  
  11.   <property name="processDomainObjectClass"  
  12.  value="com.packtpub.springsecurity.data.Category"/>  
  13. </bean>  

 不是明显bean引用的属性需要进行一些说明。第二个构造参数,我们给它一个值为VOTE_CATEGORY_READ,用来表明这个投票器能够投票的安全属性。你可能会记得这与我们要进行ACL保护的方法上的@Secured注解匹配。

         第三个构造参数以及属性联合起来声明了能够对请求做出一个成功投票的ACL属性。在本例中,声明的投票器用来对包含VOTE_CATEGORY_READ的方法访问进行授权,请求者必须有ACL条目来表明他允许对com.packtpub.springsecurity.data.Category域对象进行READ访问。

         我们可以看到,ACL投票器的声明是一个抽象层,并且位于代码资源声明的授权要求和域对象对ACL SID分配许可权限之间。这层抽象使得对安全资源分配有意义的属性方面有了很大的灵活性。

         引用aclService的bean处理的是o.s.s.acls.model.AclService的一个实现,它负责(通过代理)将ACL保护的对象转换成期望的ACE。

 

Xml代码   收藏代码
  1. <bean class="org.springframework.security.acls.jdbc.JdbcAclService"  id="aclService">  
  2.   <constructor-arg ref="dataSource"/>  
  3.   <constructor-arg ref="lookupStrategy"/>  
  4. </bean>  

 我们将会使用o.s.s.acls.jdbc.JdbcAclService,它是AclService的一个实现。这个实现是内置的并且使用我们这个练习上一步定义的数据库模式。JdbcAclService将会使用递归的SQL和事后处理机制来理解SID的等级关系,并确保等级关系的表述能够传递回AclEntryVoter。

         JdbcAclService使用与嵌入式数据库定义时相同的JDBC dataSource,并代理给一个o.s.s.acls.jdbc.LookupStrategy的实现,而这个实现将真正负责数据库查询以及处理对ACL的请求。Spring Security提供的唯一LookupStrategy是o.s.s.acls.jdbc.BasicLookupStrategy,定义如下:

 

Xml代码   收藏代码
  1. <bean class="org.springframework.security.acls.jdbc.BasicLookupStrategy" id="lookupStrategy">  
  2.   <constructor-arg ref="dataSource"/>  
  3.   <constructor-arg ref="aclCache"/>  
  4.   <constructor-arg ref="aclAuthzStrategy"/>  
  5.   <constructor-arg ref="aclAuditLogger"/>  
  6. </bean>  

 现在,BasicLookupStrategy是一个很复杂的家伙(beast)。记住,其目标是从数据库中将一系列的ObjectIdentity转换成实际可用的ACE列表。因为ObjectIdentity的声明可能是递归的,这会是一个很有挑战性的问题,并且对于高负荷使用的应用要考虑产生的SQL对数据库性能的影响。

【使用最小公分母进行查询。要注意的是BasicLookupStrategy要兼容所有的数据库,这通过严格坚持标准的ANSI SQL语法实现,要注意的是左[外]连接(left[outer]joins)。一些老的数据库(典型的如Oracle 8i)并不支持这种连接语法,所以要确保检查SQL的语法和结构是否兼容你特定的数据库。当然还有更高效依赖数据库的等级查询方法,这要使用非标准的SQL——如Oracle的CONNECT BY语句以及其它很多数据库(包括PostgreSQL和Microsoft SQL Server)的Common Table Expression(CTE)功能。正如我们在第四章使用JdbcDaoImpl UserDetailsService自定义模式的例子那样,在使用BasicLookupStrategy的时候也有属性暴露出来配置SQL。请查询Javadoc和源码本身来了解它们怎么使用,这样它们就能够在你自定义模式中正确使用。】

         我们可以看到LookupStrategy需要引用与AclService相同的JDBC dataSoure。而另外三个引用将会把我们带到这个依赖链的最后。

         o.s.s.acls.model.AclCache声明了一个接口依赖缓存ObjectIdentity到ACL的映射,这样就阻止大量(且代价高昂)的数据库查询。Spring Security只提供了一个AclCache的实现,即使用第三方库Ehcache。简单起见,在此时的配置中,我们忽略掉配置Ehcache的额外工作,替换为实现一个简单的,不进行任何操作的AclCache,在类com.packtpub.springsecurity.security.NullAclCache中:

 

Java代码   收藏代码
  1. package com.packtpub.springsecurity.security;  
  2. // imports omitted  
  3. public class NullAclCache implements AclCache {  
  4.   @Override  
  5.   public void clearCache() {  }  
  6.   @Override  
  7.   public void evictFromCache(Serializable arg0) { }  
  8.   @Override  
  9.   public void evictFromCache(ObjectIdentity arg0) {  }  
  10.   @Override  
  11.   public MutableAcl getFromCache(ObjectIdentity arg0) {  
  12.     return null;  
  13.   }  
  14.   @Override  
  15.   public MutableAcl getFromCache(Serializable arg0) {  
  16.     return null;  
  17.   }  
  18.   @Override  
  19.   public void putInCache(MutableAcl arg0) {  }  
  20. }  

 这通过一个简单的bean声明来配置:

 

Xml代码   收藏代码
  1. <bean class="com.packtpub.springsecurity.security.NullAclCache"   
  2. id="aclCache"/>  

 不要担心,我们将会在本章后面配置基于Ehcache的实现,但是现在我们首先想要关注配置ACL真正需要的组件。

         BasicLookupStrategy所要处理的下一个依赖是o.s.s.acls.domain.AuditLogger接口的一个现实,它被BasicLookupStrategy用来进行审计ACL和ACE的查找。类似于AclCache接口,Spring Security只提供了一个实现,它简单地在控制台上记录log。我们将用一行的bean声明来配置它:

 

Xml代码   收藏代码
  1. <bean class="org.springframework.security.acls.domain.ConsoleAuditLogger"  
  2.  id="aclAuditLogger"/>  

 最后一个要处理的依赖是o.s.s.acls.domain.AclAuthorizationStrategy接口的实现,它在从数据库加载ACL的时候并没有马上要提供的任何作用。相反,这个接口的实现负责确定运行时对ACL或ACE的修改是否允许,这要基于修改的类型。当我们涉及到易变的ACL时,会有更详细的介绍,因为这个逻辑过程有些复杂并且与我们初始化配置完成没有关系。最后的配置如下:

 

Xml代码   收藏代码
  1. <bean class="org.springframework.security.acls.domain.AclAuthorizationStrategyImpl"   
  2. id="aclAuthzStrategy">  
  3.   <constructor-arg>  
  4.     <array>  
  5.       <ref local="aclAdminAuthority"/>  
  6.       <ref local="aclAdminAuthority"/>  
  7.       <ref local="aclAdminAuthority"/>  
  8.     </array>  
  9.   </constructor-arg>  
  10. </bean>  
  11. <bean class="org.springframework.security.core.authority.GrantedAuthorityImpl"  
  12.  id="aclAdminAuthority">  
  13.   <constructor-arg value="ROLE_ADMIN"/>  
  14. </bean>  

 你可能想知道重复引用的aclAdminAuthority是干什么的——AclAuthorizationStrategyImpl提供了三个特殊的GrantedAuthority名称来允许对ACL进行运行时的特定操作。我们将会本章后面涉及到。

         我们最终完成了对Spring Security ACL内置实现的配置。接下来也是最后的一步就是需要我们插入简单的ACL和ACE到HSQL数据库中,并进行测试。

创建一个简单的ACL entry

         回忆一下,我们简单的场景就是锁定JBCP Pets store的第一个分类,使得只有ROLE_ADMIN授权的原来才能查看。你可能会发现翻到前几页参考一下模式图对于理解我们要插入什么数据以及为什么会有帮助。

         在WEB-INF下建立一个文件test-acl-data.sql,与其它我们在JBCP Pets中使用到的SQL文件放到一起。本节描述的所有SQL将会加到这个文件中——你可以基于我们提供的实例SQL随便体验并添加更多的测试用例——实际上,我们鼓励你使用实例数据进行体验。

         首先,我们需要在ACL_CLASS中添加任意或所有的拥有ACL规则的域对象类——在我们的例子中,这就是我们的Category类:

 

Sql代码   收藏代码
  1. insert into acl_class (class) values ('com.packtpub.springsecurity.  
  2. data.Category');  

 接下来,ACL_SID表插入SID,它将关联到ACE中。要记住的是,SID可以是角色或用户——在我们的应用中简单插入角色(注意principal列表明一个给定的行是否为单个用户):

 

Sql代码   收藏代码
  1. insert into acl_sid (principal, sid) values (false'ROLE_USER');  
  2. insert into acl_sid (principal, sid) values (false'ROLE_ADMIN');  

          开始变得复杂的表是ACL_OBJECT_IDENTITY,它用来声明单个的域对象实例和它们的父对象(如果存在)以及拥有者的SID。我们插入拥有以下属性的一行数据:

l  域对象类型为Category(通过OBJECT_ID_CLASS列外键关联到ACL_CLASS);

l  域对象的PK为1(OBJECT_ID_IDENTITY);

l  拥有者SID为ROLE_ADMIN(通过外键OWNER_SID column关联到ACL_SID)。

对于主键为1的Category,插入一行的SQL如下:

 

Sql代码   收藏代码
  1. insert into acl_object_identity (object_id_class,object_id_  
  2. identity,parent_object,owner_sid,entries_inheriting)  
  3. select cl.id, 1, null, sid.id, false  
  4. from acl_class cl, acl_sid sid  
  5. where cl.class='com.packtpub.springsecurity.data.Category' and sid.  
  6. sid='ROLE_ADMIN';  

 要记住的是,在典型的场景下,拥有者SID应该为一个安全实体而不是一个角色。但是,对于ACL系统来说,两种类型的规则功能是一样的。

         最后,我们要对这个只有ROLE_ADMIN角色才能访问的对象实例添加ACE:

 

Sql代码   收藏代码
  1. insert into acl_entry (acl_object_identity, ace_order, sid, mask, granting, audit_success, audit_failure) select oi.id, 1, si.id, 1, truetruetrue  
  2. from acl_object_identity oi, acl_sid si  
  3. where si.sid = 'ROLE_ADMIN';  

 这里的MASK列代表位掩码,它用来给指定对象在特定的SID上进行授权。我们将会在本章后面进行更详细的介绍——幸运的是,在这里它并不像听起来那么有用。

         在SQL文件准备好之后,我们需要扩展<embedded-database>声明并添加最终的ACL测试数据文件到数据库启动中:

 

Xml代码   收藏代码
  1. <jdbc:embedded-database id="dataSource" type="HSQL">  
  2. <!--additional SQL files omitted -->  
  3.    <jdbc:script location="classpath:acl-schema.sql"/>   
  4.    <jdbc:script location="classpath:test-acl-data.sql"/>   
  5. </jdbc:embedded-database>  

 现在,我们能够启动应用并运行实例场景。你会发现不是管理员的任何用户试图访问第一个分类“Pet Apparel”,他们被拒绝访问。如果没有经过认证的用户试图访问这个分类,他们将会按照标准的AccessDeniedException处理(第六章已描述)并要求登录。

         现在我们建立了基本的基于ACL的安全(尽管是一个很简单的场景)。接下来我们对这个过程中的概念进行更多的讲解,然后了解在使用Spring ACL之前两个要考虑的问题。

 

ggmmsoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurity3中文文档
08-19
第一章:一个不安全应用的剖析 第二章:springsecurity...第七章访问控制列表ACL) 第八章:对OpenID开放 第九章:LDAP目录服务 第十章:使用中心认证服务 第十一章:客户端证书认证 第十二章:spring Security扩展
Spring Security 资料合集
01-24
- Spring Security 使用一种强大的表达式语言(EL),如`hasRole('ROLE_ADMIN')`,用于在访问控制列表中指定授权规则。 7. **OAuth2集成**: - Spring Security 可以与OAuth2框架集成,提供第三方服务的认证和...
第 23 章 Spring Security中的ACL
weixin_34223655的博客
07-13 555
第23章Spring Security中的ACL ACL访问控制列表(Access Controller List),它是用来做细粒度权限控制所用的一种权限模型。对ACL最简单的描述就是两个业务员,每个人只能查看操作自己签的合同,而不能看到对方的合同信息。 下面我们会介绍Spring Security中是如何实现ACL的。 23....
SpringSecurity中应用 权限控制模型ACL(AccessControlList)
Qiao712的博客
03-30 1087
访问控制列表 Access Control List Spring Security ACL
Spring SecurityAcl的支持
weixin_30532759的博客
01-08 246
Acl的支持 目录 1.1准备工作 1.2表功能介绍 1.2.1表acl_sid 1.2.2表acl_class 1.2.3表acl_object_identity 1.2.4表acl_entry 1.3Acl主要接口 1.4配置AclServi...
Spring Security3》第七章第三部分翻译ACL的注意事项)
张卫滨的技术记录
01-17 135
  典型ACL部署所要考虑的事情          实际部署Spring ACL到业务应用是很复杂的。我们总结了Spring ACL要注意的事情,它们在大多数Spring ACL实现场景中都存在。 关于ACL的伸缩性和性能模型          对于小型和中型应用,添加ACL功能是很容易的,尽管它增加数据库存储和影响运行时性能,这个影响可能不会那么明显。但是,取决于ACL和ACE...
spring 3 security
05-29
Spring Security提供了一些工具类和插件,如Spring Security ACL访问控制列表)用于细粒度的权限控制,以及Spring Security Test库,方便进行安全相关的单元测试。 了解并掌握这些知识点,开发者可以有效地实现...
qt练习控件label控件-lineEdit控件样例代码
07-30
qt练习控件label控件-lineEdit控件样例代码
【JCR一区级】麻雀搜索算法SSA-CNN-LSTM-Attention故障诊断分类预测【含源码 5689期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
详解MATLAB Simulink通信系统建模与仿真
07-30
第1 章 MATLAB 基础与通信系统仿真 1.1 MATLAB 简介 1.2 MATLAB 程序设计 1.3 通信系统仿真 第2 章 Simulink 仿真基础 2.1 Simulink 简介 2.2 Simulink 工作环境 2.3 Simulink 仿真的基本方法 2.4 创建自己的模块库 2.5 S-函数的编写 第3 章 通信信号与系统分析 3.1 离散信号和系统 3.2 Fourier 分析 3.3 带通信号的低通等效 3.4 随机信号分析 第4 章 信道 4.1 加性高斯白噪声信道 4.2 多径衰落信道 第5 章 模拟调制 5.1 幅度调制 5.2 角度调制 第6 章 数字基带传输 6.1 概述 6.2 二进制基带信号传输 6.3 基带PAM 信号传输 6.4 带限信道的信号传输 第7 章 数字信号载波传输 7.1 概述 7.2 载波幅度调制(PAM) 7.3 载波相位调制(PSK) 7.4 正交幅度调制(QAM) 7.5 载波频率调制(FSK) 第8 章 信道编码和交织 8.1 概述 8.2 线性分组码
SCI一区】淘金算法GRO-CNN-BiLSTM-Mutilhead-Attention多变量时序预测含源码 5642.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-BiLSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-BiLSTM-Mutilhead-Attention回归预测
2020年首届“洪泽湖杯”中国人工智能掼蛋算法大赛第8名我就是掼蛋.zip
07-30
毕业设计是高等教育阶段学生完成学业的一个重要环节,通常在学士或硕士学业即将结束时进行。这是学生将在整个学业中所学知识和技能应用到实际问题上的机会,旨在检验学生是否能够独立思考、解决问题,并展示其专业能力的一项综合性任务。 毕业设计的主要特点包括: 独立性: 毕业设计要求学生具备独立思考和解决问题的能力。学生需要选择一个合适的课题,研究相关文献,进行实地调查或实验,并提出独立见解。 实践性: 毕业设计是将理论知识应用到实际问题中的一次实践。通过完成毕业设计,学生能够将所学的专业知识转化为实际的解决方案,加深对专业领域的理解。 综合性: 毕业设计往往要求学生运用多个学科的知识,综合各种技能。这有助于培养学生的综合素养,提高他们的综合能力。 导师指导: 学生在毕业设计过程中通常由一名指导老师或导师团队提供指导和支持。导师负责引导学生确定研究方向、制定计划、提供建议,并在整个过程中监督进展。 学术规范: 毕业设计要求学生按照学术规范完成研究,包括文献综述、研究设计、数据采集与分析、结论和讨论等环节。学生需要撰写一篇完整的毕业论文,并进行答辩。
网络音乐搜索引擎,音乐搜索器 - 多站合一音乐搜索,音乐在线试听
最新发布
07-30
网络音乐搜索引擎,音乐搜索器 - 多站合一音乐搜索,音乐在线试听 效果截图https://www.diyiyuanma.cn/3444.html 多站合一音乐搜索解决方案,数据调用的是各网站的API接口, 有的接口并不是开放的,随时可能失效,本项目相关代码仅供参考。 网络音乐搜索引擎,音乐搜索器 - 多站合一音乐搜索,音乐在线试听
这是一个旨在简化合约部署、验证、交互等操作用于生成区块链智能合约Foundry框架指令的 Web3.0开发者工具
07-30
这是一个旨在简化合约部署、验证、交互等操作用于生成区块链智能合约Foundry框架指令的 Web3.0开发者工具。
三种esprit算法实现doa估计 _rezip.zip
07-30
在信号处理领域,DOA(Direction of Arrival)估计是一项关键技术,主要用于确定多个信号源到达接收阵列的方向。本文将详细探讨三种ESPRIT(Estimation of Signal Parameters via Rotational Invariance Techniques)算法在DOA估计中的实现,以及它们在MATLAB环境中的具体应用。 ESPRIT算法是由Paul Kailath等人于1986年提出的,其核心思想是利用阵列数据的旋转不变性来估计信号源的角度。这种算法相比传统的 MUSIC(Multiple Signal Classification)算法具有较低的计算复杂度,且无需进行特征值分解,因此在实际应用中颇具优势。 1. 普通ESPRIT算法 普通ESPRIT算法分为两个主要步骤:构造等效旋转不变系统和估计角度。通过空间平移(如延时)构建两个子阵列,使得它们之间的关系具有旋转不变性。然后,通过对子阵列数据进行最小二乘拟合,可以得到信号源的角频率估计,进一步转换为DOA估计。 2. 常规ESPRIT算法实现 在描述中提到的`common_esprit_method1.m`和`common_esprit_method2.m`是两种不同的普通ESPRIT算法实现。它们可能在实现细节上略有差异,比如选择子阵列的方式、参数估计的策略等。MATLAB代码通常会包含预处理步骤(如数据归一化)、子阵列构造、旋转不变性矩阵的建立、最小二乘估计等部分。通过运行这两个文件,可以比较它们在估计精度和计算效率上的异同。 3. TLS_ESPRIT算法 TLS(Total Least Squares)ESPRIT是对普通ESPRIT的优化,它考虑了数据噪声的影响,提高了估计的稳健性。在TLS_ESPRIT算法中,不假设数据噪声是高斯白噪声,而是采用总最小二乘准则来拟合数据。这使得算法在噪声环境下表现更优。`TLS_esprit.m`文件应该包含了TLS_ESPRIT算法的完整实现,包括TLS估计的步骤和旋转不变性矩阵的改进处理。 在实际应用中,选择合适的ESPRIT变体取决于系统条件,例如噪声水平、信号质量以及计算资源。通过MATLAB实现,研究者和工程师可以方便地比较不同算法的效果,并根据需要进行调整和优化。同时,这些代码也为教学和学习DOA估计提供了一个直观的平台,有助于深入理解ESPRIT算法的工作原理。
细胞分割计数matlab程序 附GUI 1.zip
07-30
细胞分割计数matlab程序 附GUI 1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值