acegi+ssh动态实现基于角色的权限管理(二)

最新推荐文章于 2011-07-23 10:23:39 发布
最新推荐文章于 2011-07-23 10:23:39 发布
阅读量108 收藏
点赞数
分类专栏: acegi权限管理 文章标签: Acegi SSH 配置管理 Bean Hibernate
 现在设置认证管理器
<!-- * set authenticationManager , an important manager-->
 <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
  <property name="providers">
   <list>
    <ref bean="daoAuthenticationProvider"/>
    <bean class="org.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider">
     <property name="key" value="anonymousUser"/>
    </bean>
    <bean class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider">
     <property name="key" value="rememberMeUser"/>
    </bean>
   </list>
  </property>
  <!-- here you can set sessionController for user can't repeat (dulplicate)-->
  <property name="sessionController" ref="concurrentSessionController"/>
 </bean>

   三种认证提供者

daoAuthenticationProvider通过数据库方式来进行认证,也可以通过配置文件实现

AnonymousAuthenticationProvider,匿名用户认证,key值必须与     anonymouseProcessingFilter的key值一样,否则无法获取匿名用户的信息.

RememberMeAuthenticationProvider通过cookie认证,key值和rememberMeServices

的key值相同,否则无法取得相应的cookie信息.

sessionController,限制同一用户的登录次数,也就是同一用户在不同httpSession

中登录的次数

 

 <!-- set concurrentSessionControllter -->
 <bean id="concurrentSessionController" class="org.acegisecurity.concurrent.ConcurrentSessionControllerImpl">
  <property name="maximumSessions" value="1"/>
  <property name="exceptionIfMaximumExceeded" value="true"/>
  <property name="sessionRegistry" ref="sessionRegistryImpl"/>
 </bean>
 <!-- set sessionRegistryImpl -->
 <bean id="sessionRegistryImpl" class="org.acegisecurity.concurrent.SessionRegistryImpl"/>

 这样可以限制同一用户在不同session中的次数,sessionRegistry对用户与sessionId以map的结构进行记录,但出现的一个问题就是,在用户logout时,或者session已经invalidate或expired时,他不会移除在sessionRegistry中保存的信息,

虽然sessionRegistry也提供了removeSessionInformation(String sessionID)这个方法.

  结果就是,在下次登录的时候,认证管理器先在sessionRegistry判断有此用户没,

如果有,并超过maximumSessions,就抛出异常,并无法认证.而sessionRegistry以map

结构,并用static final形式存放信息,在不重启服务器的情况下,用户session注销后是没办法removeSessionInformation的.

 

我的解决办法是,通过acegi提供的listenter,在用户session destroy,执行removeSessionInformation.

public class HttpSessionEventListener extends HttpSessionEventPublisher {
 private static final Log logger = LogFactory.getLog(HttpSessionEventListener.class);
 
 @Override
 public void sessionDestroyed(HttpSessionEvent event) {
  // TODO 自动生成方法存根
  removeSessionRegistry(event);
  super.sessionDestroyed(event);
 }

 /**
  * romove session in sessionRegistry
  * @param event
  */
 private void removeSessionRegistry(HttpSessionEvent event) {
  // TODO 自动生成方法存根
  HttpSession session =event.getSession();
  ServletContext sc = session.getServletContext();
  
  WebApplicationContext wac = WebApplicationContextUtils.getRequiredWebApplicationContext(sc);
  if(wac == null) {
   logger.info("can't webApplication Context,maybe the key in servletContext is different");
   return ;
  }

  SessionRegistry sessionRegistry = null;
  try {
   sessionRegistry = (SessionRegistry) wac.getBean("sessionRegistryImpl");
  } catch (BeansException e) {
   // TODO 自动生成 catch 块
   logger.error("get SessionRegistry bean error,make sure bean name 'sessionRegistryImpl' exists",e);
  }
  
  sessionRegistry.removeSessionInformation(session.getId());
 }

 }

}

缺点是:wac.getBean("sessionRegistryImpl");bean name 写死了,缺乏灵活

web.xml添加如下:

<!-- httpSessionEvent ,listener session state -->
  <listener>
   <listener-class>com.runsa.components.acegi.support.HttpSessionEventListener</listener-class>
  </listener>

虽然解决了当前问题,但仍然避免不了有些用户,不通过安全退出,直接关闭浏览器,

在session没有destroy时,再次登录,也会出错.在javaeye也看到类似有人提出这样的问题,捕捉window.close()事件,利用ajax在关闭浏览器的时候,进行session.invalidate(),但是,window.close()不那么容易捕捉的吧,而且个浏览器差异也是有的。

 

通过db认证用户

<!-- set daoAuthenticationProvider -->
 <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
  <property name="userDetailsService" ref="hibernateDaoImpl"/>
  <property name="userCache" ref="userCache"/>
  <!-- here you can set passwordEncoder -->
 </bean>

userDetailsService,保存userContext的,也就是用户的信息和相应的权限.acegi默认提供jdbcDaoImpl的实现,这里我使用hibernate自己实现了

<!-- set hibernateDaoImpl,and you can implements daoImpl with Hibernate for yourself  -->
 <bean id="hibernateDaoImpl" class="com.runsa.components.acegi.support.HibernateDaoImpl">
  <property name="userService" ref="usersService"/>
  <property name="usernameBasedPrimaryKey" value="false"/>
 </bean>

下边是实现的code:

public static final String DEF_USERS_BY_USERNAME_QUERY = "SELECT new Users(u.userName,u.userPass,u.enabled) FROM Users u WHERE userName = ?";
    public static final String DEF_Role_BY_USERNAME_QUERY = "SELECT r.roleName FROM Role r inner join r.userRoles ur inner join ur.users u WHERE  u.userName = ?";


    private UsersService userService;
    private String roleByUsernameQuery;
    private String rolePrefix = "";
    private String usersByUsernameQuery;
    private boolean usernameBasedPrimaryKey = true;

 

    public HibernateDaoImpl() {
        usersByUsernameQuery = DEF_USERS_BY_USERNAME_QUERY;
        roleByUsernameQuery = DEF_Role_BY_USERNAME_QUERY;
    }

  

 protected void addCustomRole(String username, List roles) {}
    public boolean isUsernameBasedPrimaryKey() {
        return usernameBasedPrimaryKey;
    }

    @SuppressWarnings("unchecked")
 public UserDetails loadUserByUsername(String username)
        throws UsernameNotFoundException, DataAccessException {
        List <UserDetails>users = usersByUsername(username);

        if (users.size() == 0) {
            throw new UsernameNotFoundException("User not found");
        }

        UserDetails user =  users.get(0); // contains no GrantedAuthority[]

        List dbRoles = roleByUsername(user.getUsername());

        addCustomRole(user.getUsername(), dbRoles);

        if (dbRoles.size() == 0) {
            throw new UsernameNotFoundException("User has no GrantedAuthority");
        }

        GrantedAuthority[] arrayAuths = (GrantedAuthority[]) dbRoles.toArray(new GrantedAuthority[dbRoles.size()]);

        String returnUsername = user.getUsername();

        if (!usernameBasedPrimaryKey) {
            returnUsername = username;
        }

        return new User(returnUsername, user.getPassword(), user.isEnabled(), true, true, true, arrayAuths);
    }

    /**
     * find roles by username
     * @param username
     * @return
     */
    @SuppressWarnings("unchecked")
 private List roleByUsername(String username) {
  // TODO 自动生成方法存根
     roleByUsernameQuery=DEF_Role_BY_USERNAME_QUERY;
     List roleList = userService.findByParam(roleByUsernameQuery,username);
     List <GrantedAuthorityImpl>roles = new Vector();
     
   for (Iterator iter = roleList.iterator(); iter.hasNext();) {
    String role = (String) iter.next();
    
    String roleName = rolePrefix + role;
    GrantedAuthorityImpl grantedAuth =new GrantedAuthorityImpl(roleName);
    roles.add(grantedAuth);
   }
  return roles;
 }

    /**
     * find users by username
     * @param username
     * @return
     */
 @SuppressWarnings("unchecked")
 private List usersByUsername(String username) {
  // TODO 自动生成方法存根
     List userList = userService.findByParam(usersByUsernameQuery,username);
     List <UserDetails>users =new Vector();
     for (Iterator iter = userList.iterator(); iter.hasNext();) {
   Users user = (Users) iter.next();
   UserDetails userDetails = new User(user.getUserName(), user.getUserPass(), user.isEnabled(),
     true, true, true, new GrantedAuthority[] {new GrantedAuthorityImpl("HOLDER")});
   users.add(userDetails);
     }
  return users;
 }

主要实现的方法public UserDetails loadUserByUsername(String username)通过用户名查询用户资料,然后再通过用户用查询用户的具有角色(权限).

 

也可以设置passwordEncoder对密码加密,acegi提供md5,sha,等好几种加密方式.

显然,在这里认证设置了加密方式,在获取用户信息的时候,对用户的密码也需要相同的加密方式.

 acegi的资源文件默认提供E文的,要自己实现本地化

 <!-- set load message resource -->
 <bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
  <property name="basename" value="/WEB-INF/classes/messages_zh"/>
 </bean>

 

下边设置资源从数据库获取,并实现动态更新

 <!-- * set filterDefinitionSource for myself  -->
 <bean id="filterDefinitionSource" class="com.runsa.components.acegi.inteceptor.web.DBFilterInvocationDefinationSource">
  <property name="convertUrlToLowercaseBeforeComparison" value="true"/>
  <property name="useAntPath" value="true"/>
  <property name="acegiCacheManager" ref="acegiCacheManager"/>
 </bean>

 

....next page

 

 

heaven_robin
关注
专栏目录
acegi+ssh动态实现基于角色权限管理
08-28
### acegi+SSH动态实现基于角色权限管理 在企业级应用开发中,权限管理和用户认证是必不可少的安全机制。本文将详细介绍如何利用Acegi安全框架(现称为Spring Security)结合SSH(Struts + Spring + Hibernate)...
SSH+Extjs4 0实现权限管理系统 基于角色的权限设计
10-08
SSH+Extjs4.0实现权限管理系统:基于角色的权限设计》 在IT行业中,权限管理系统是保障系统安全性和数据隐私的关键组件。本文将深入探讨如何利用SSH(Spring、Struts2、Hibernate)框架结合Extjs4.0前端库,...
acegi配置
sun33170161的专栏
12-22 941
xml version="1.0" encoding="UTF-8"?>DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springframework.org/dtd/spring-beans.dtd">beans>     filter chain -->    bean id="filterChainProxy" cla
acegi+ssh动态实现基于角色权限管理(四)
heaven_robin的专栏
05-02 165
 资源信息:  code: public Resource(String authResource, int resType, GrantedAuthority[] authorities) {   // TODO 自动生成构造函数存根   if(authResource == null ||"".equals(authResource)){    throw new IllegalAr...
acegi+ssh动态实现基于角色权限管理(一)
heaven_robin的专栏
05-02 114
    第一次写blog,由于文笔差,请大家见谅.     最近通过springside和springframework社区学习acegi,并将其加入到我的设计之中.,现在做到web-request,method interceptor,至于domain object级别和acl也没有去研究,但感觉做到这两步也就差不多了吧..    jar包:     spring1.2.jar        a...
acegi+ssh动态实现基于角色权限管理(三)
heaven_robin的专栏
05-02 106
DBFilterInvocationDefinationSource 实现AbstractFilterInvocationDefinitionSource ,从db获取资源信息 code: public class DBFilterInvocationDefinationSource extends   AbstractFilterInvocationDefinitionSource { ...
acegi+ssh动态实现基于角色权限管理(五)
heaven_robin的专栏
05-02 109
 AuthenticationPostUpdateListenerEvent code: /**  * @author 叶天兵  */ @SuppressWarnings("serial") public class AuthenticationPostUpdateListenerEvent implements   PostUpdateEventListener {  private ...
[分享]Acegi + Spring + Hibernate + Struts 2搭建基于角色的权限控制系统
fit for java
08-24 116
[color=red]引用地址:http://hi.baidu.com/obullxl/blog/item/6e7a8550db3cd36784352422.html[/color] 安全永远是WEB应用系统必须面对的头等大事, 也是最头疼的事, 其实安全系统就只包括两个问题: 认证和授权. 以前做些网站系统, 安全检测逻辑都在放在须要安全控制的代码前面, 这样做有很多...
Acegi + Spring + Hibernate + Struts 2搭建基于角色的权限控制系统
java
12-28 64
    安全永远是WEB应用系统必须面对的头等大事, 也是最头疼的事, 其实安全系统就只包括两个问题: 认证和授权.     以前做些网站系统, 安全检测逻辑都在放在须要安全控制的代码前面, 这样做有很多不好的地方, 重复多次的编码就不用说了, 代码移植性, 重用性都得不到体现, 安全检测逻辑要永远和业务逻辑放在一起.     那么, 能不能够在进入方法前就调用一些安全检测? 其实Spring A...
velocity+ssh2+分页+权限
03-28
通过配置Spring Security,可以实现基于角色的访问控制,限制不同角色用户的操作范围。同时,这些权限信息可以在Velocity模板中动态地显示或隐藏相应的内容。 【数据库自动生成】 在开发过程中,有时需要快速生成...
oa.rar_flex ssh oa_java oa_ssh权限管理
09-21
权限管理中,Spring Security(以前称为Acegi Security)可以提供用户认证和授权,确保只有具备相应权限的用户才能访问特定资源。 2. Struts:Struts作为MVC(Model-View-Controller)框架的一部分,负责处理HTTP...
Acegi+Spring+Hibernate+Struts2搭建角色权限控制系统
xxsh673076773的专栏
07-23 112
安全永远是WEB应用系统必须面对的头等大事, 也是最头疼的事, 其实安全系统就只包括两个问题: 认证和授权.  以前做些网站系统, 安全检测逻辑都在放在须要安全控制的代码前面, 这样做有很多不好的地方, 重复多次的编码就不用说了, 代码移植性, 重用性都得不到体现, 安全检测逻辑要永远和业务逻辑放在一起.那么, 能不能够在进入方法前就调用一些安全检测? 其实Spring AOP就是这个思想, 那么...
湖北工业大学在河南2021-2024各专业最低录取分数及位次表.pdf
最新发布
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
西南交通大学在河南2021-2024各专业最低录取分数及位次表.pdf
09-16
全国各大学在河北2021-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
DAY27使用的实时脚本文件
09-16
博客链接:https://blog.csdn.net/qq_47248729/article/details/142303818?spm=1001.2014.3001.5502
使用AcegiSSH框架中构建RBAC权限系统
"Acegi_Spring_...Acegi Security提供了一种强大的机制,使得在SSH2架构上实现基于角色的权限控制变得简单且高效。通过合理的设计和配置,开发者能够灵活地定义和管理用户的访问权限,确保Web应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值