acegi security实践教程—访问系统中资源前必须登陆系统

最新推荐文章于 2023-11-23 19:09:10 发布
最新推荐文章于 2023-11-23 19:09:10 发布
阅读量208 收藏
点赞数
文章标签: 数据库 数据结构与算法 java

问题:

处于安全角度,访问本系统时,是需要登陆才可以访问其下的资源。根据上篇博客的调试,我们发现,若其url在数据库中没有没有配置其角色,则是可以直接访问其url的。
那为了避免这种情况,我们如何改进自己的系统,进一步接近真实的企业开发呢?
概要:
这节我们将会讲到匿名权限,securitycontext中随时都包含权限,而不是只有登录后才有。
进一步改进上一篇博客中自定义objectDefinitionSource类,因为若返回null,则直接进入其url。

具体开发:
开发环境:

MyEclispe10.7.1+tomcat6.0.37+acegi1.0.5+spring2.0+jdk1.6【其中数据库和数据结构保持不变】
项目目录如下:
其中readme主要用来记录本次验证目的

配置匿名Filter:

<bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
<property name="filterInvocationDefinitionSource">
<value>
PATTERN_TYPE_APACHE_ANT
/**=httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,
anonymousProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor
</value>
</property>
</bean>
    <!--匿名过滤器 -->
    <bean id="anonymousProcessingFilter" class="org.acegisecurity.providers.anonymous.AnonymousProcessingFilter">
      <!-- 其中key随意提供一个名字即可,但是必须提供,类似用户名 -->
      <property name="key" value="test"></property>
      <!-- userAttribute提供了其密码和相应的角色 -->
      <property name="userAttribute" value="testpwd,ROLE_ANONYMOUS"></property>
    </bean>

配置原因:

根据以往的经验,我们还是来看其源码,为什么必须提供key以及userAttribute呢?
doFilter中的:
SecurityContextHolder.getContext().setAuthentication(createAuthentication(request));
而createAuthentication代码如下:
protected Authentication createAuthentication(ServletRequest request) {
Assert.isInstanceOf(HttpServletRequest.class, request,
"ServletRequest must be an instance of HttpServletRequest");
AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key, userAttribute.getPassword(),
userAttribute.getAuthorities());
auth.setDetails(authenticationDetailsSource.buildDetails((HttpServletRequest) request));
return auth;
}
而AnonymousAuthenticationToken代码:
public AnonymousAuthenticationToken(String key, Object principal, GrantedAuthority[] authorities) {
super(authorities);
if ((key == null) || ("".equals(key)) || (principal == null) || "".equals(principal) || (authorities == null)
|| (authorities.length == 0)) {
throw new IllegalArgumentException("Cannot pass null or empty values to constructor");
}
this.keyHash = key.hashCode();
this.principal = principal;
setAuthenticated(true);
}
所以key、principal【密码】、authorities三个属性必须配置,通过这三个属性来new一个匿名的权限,然后存放到securitycontext中,这样SecurityContextHolder.getContext().getAuthentication()中的权限不是null,而是匿名的权限,其中角色信息ROLE_ANONYMOUS
完善自定义objectDefinitionSource类:
若是保护资源,则返回数据库中其对应的角色信息;若不是保护资源,我们不返回null,否则直接进入其url,我们返回一个自定义角色信息。
//若是保护的资源
if(matched){
//进一步查询此url的角色权限
String urlRole="select role from test_resource_role where url=?";
List<Map> roleList=this.jdbcTemplate.queryForList(urlRole,new Object[]{url});
return converURLRole(roleList);
}
ConfigAttributeDefinition configDefinition = new ConfigAttributeDefinition();
configDefinition.addConfigAttribute(new SecurityConfig("IS_AUTHENTICATED_FULLY"));
return configDefinition;
这样改进后,我们再看看AbstractSecurityInterceptor中的beforeInvocation方法:

结果讲解:

投票失败后,则根据错误分类信息,转向不同的页面。
另一个注意点:
若想登陆成功后一直转到默认页面而非访问的目的地时,如何操作?
比如:访问http://localhost/acegitest8/test.jsp,首先出现login.jsp页面,若登陆成功后,你想跳转到默认的/userinfo.jsp页面。跳转之后,再访问http://localhost/acegitest8/test.jsp。
无论何种情况,只要登陆后就转到acegi.xml默认的配置页面。如何配置?
AuthenticationProcessingFilter中alwaysUseDefaultTargetUrl属性默认情况为false,所以只要我们在aceg.xml配置为true即可。
<bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
<!-- 认证管理器,然后委托给Provides -->
<property name="authenticationManager" ref="authenticationManager"/>
<!-- 认证失败后转向的url,包含出错信息的的登陆页面 -->
<property name="authenticationFailureUrl" value="/login.jsp?login_error=1"/>
<!-- 登陆成功后转向的url -->
<property name="defaultTargetUrl" value="/userinfo.jsp"/>
<!-- 登陆的url,这个是默认的acegi自带的 -->
<property name="filterProcessesUrl" value="/j_acegi_security_check"/>
<!-- 永远转到登陆成功后默认的目的地,如上文/userinfo.jsp -->
<property name="alwaysUseDefaultTargetUrl" value="true"/>
</bean>

iteye_11495
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Acegi安全系统介绍(一)
02-21
Acegi是SpringFramework下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如:完善的认证和授权机制,Http资源访问控制,Method调用访问控制,AccessControlList(ACL)基于对象实例的访问控制,...
敏捷Acegi、CAS.构建安全的Java系统
07-22
资源名称:敏捷Acegi、CAS.构建安全的Java系统资源截图: 资源太大,传百度网盘了,链接在附件,有需要的同学自取。
Spring Security之匿名用户
热门推荐
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的面,在各种认证机制和RememberMeAuthenti
springboot security只会跳到login_SpringBoot+SpringSecurity+jwt整合及初体验
weixin_39525865的博客
11-26 312
在这里插入图片描述原来一直使用shiro做安全框架,配置起来相当方便,正好有机会接触下SpringSecurity,学习下这个。顺道结合下jwt,把安全信息管理的问题扔给客户端,准备首先用的是SpringBoot,省去写各种xml的时间。然后把依赖加入一下org.springframework.bootspring-boot-starter-securityio.jsonwebtoken...
Spring Security(安全框架,必须登录成功才能访问指定资源
最新发布
戏拈秃笔的博客
11-23 1130
Spring Security(安全框架,必须登录成功才能访问指定资源
spring security oauth2 带过期token请求免登录接口被拦截
a435656923的博客
09-09 5174
简单说下,项目是springcloud架构,用的spring security oauth2 就是如果token过期了或者token错误了,请求开放的接口是会被看拦截的,但是不带token就能请求。有一种解决方案是在请求判断这个地址是不是免登陆的是的话把请求头的token给去掉,这种方法也可以做到,但是如果是登录用户的话在有必要获取到访问用户的时候就没方法拿到用户了,虽然这种情况比较少。 解决方案:重写原本的认证管理器 import org.springframework.security.auth
Spring Security OAuth 匿名认证的使用
m13012606980的专栏
09-14 2787
Spring Security OAuth 匿名认证的使用AnonymousAuthenticationFilter配置匿名访问资源路径自定义匿名访问注解自定义注解AnonymousAccess动态获取匿名访问路径获取@AnonymousAccess标注的接口为空问题反射获取@AnonymousAccess标注的接口 AnonymousAuthenticationFilter spring security 默认提供了一个匿名身份验证的过滤器AnonymousAuthenticationFilter,默认
acegisecurity-1.0.7.zip_.acegisecuri_acegi security 1.0.7_acegi
09-24
权限管理是一个不错的东东,可以看一看
敏捷Acegi、CAS构建安全的Java系统
07-22
资源名称:敏捷Acegi、CAS 构建安全的Java系统 内容简介:本书是关于Acegi、CAS的权威教程,是JavaJava EE安全性开发者的必备参考书。无论是Java EE安全性编程模型的背景和基础知识,还是Acegi、CAS本身,还是...
Acegi自动登录
berheleyBI的专栏
09-10 1112
最近经常做DEMO,为节省时间,难免要拼凑(叫集成也行)不同的系统,经常遇到这样的场景,某DEMO,要集成A,B两个系统,登录A系统之后,要访问B系统的时候自动登录。其每个待拼凑的系统毫无疑问都有各自的权限,我们第一反应是单点登录(SSO),然而搞个单点登录太麻烦,闹不好,甚至要花更多的时间, 排除掉单点登录,最多想到的是自动登录。还在以研究过Acegi,对其的机理有一些了解,因此改造起来还
Acegi详细教程
04-01
Spring的安全框架,目主流的平台框架都用到了该技术
acegi登陆成功后页面跳转一说
学得越多,忘得越多;忘得越多,知道的越少
08-06 139
在很早用了acegi后,就想到了这个问题,acegi登陆后怎么返回到登陆一页呢。。 传统的做法是把登陆的页面保存在session登陆之后再跳转到页面去。 但在acegi,跳转页面在配置文件已经配置好了,怎么去实现呢。 过去想到了一种方法,那就是与过去相似,把点击登陆的页面的url放入session acegi配置一个成功登陆后的页面里得到session的值,跳转到那个...
AnonymousAuthenticationFilter详解
小汤圆
08-11 1433
匿名认证过滤器,可能有人会想:匿名了还有身份?我自己对于Anonymous匿名身份的理解是Spirng Security为了整体逻辑的统一性,即使是未通过认证的用户,也给予了一个匿名身份。而AnonymousAuthenticationFilter该过滤器的位置也是非常的科学的,它位于常用的身份认证过滤器(如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter、RememberMeAuthenticationFilter)之后,意味着只
SpringBoot+Vue后端分离,使用SpringSecurity完美处理权限问题(二)
weixin_34248487的博客
01-10 6909
后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上...
java获取authorization_java – 获取访问令牌需要身份验证(不允许匿名)
weixin_39838328的博客
12-19 1144
这篇文章差不多两年了.Authentication auth = SecurityContextHolder.getContext().getAuthentication();if (auth instanceof AnonymousAuthenticationToken) {if (!resource.isClientOnly()) {throw new InsufficientAuthenti...
Spring Security3源码分析(12)-AnonymousAuthenticationFilter分析
Benjamin
09-11 1410
AnonymousAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.AnonymousAuthenticationFilter  AnonymousAuthenticationFilter过滤器是在UsernamePasswordAuthenticationFilter、BasicAu
acegi教程(1)
climber2002的专栏
10-18 2763
从今天开始我将写一系列关于acegi的文章,这组文章不仅讲述acegi的配置和用法,还将谈到如何对acegi进行扩展,已经与其他的开源项目进行集成。另外我也会挑出acegi的部分源代码来进行讲解。acegi是一个基于spring的安全框架,它自身支持对3种类型的resource进行保护,URL、MethodInvocation和AspectJ。它为应用程序提供了authentication
$("form").attr("action",document.location.origin+'/j_acegi_security_check');
05-30
这段代码的作用是将表单的 action 属性设置为当页面的域名加上一个字符串 '/j_acegi_security_check'。这通常用于表单提交时指定请求的 URL 地址。其 '/j_acegi_security_check' 可能是用于身份验证或授权的 URL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值