一般在一个应用系统中都会有权限的设计,最基本的权限设计会关系到五张表,用户表,角色表,权限表用户和角色的中间表,角色和权限的中间表,这样五张表,在负责一些的权限设计还会进行分组,将资源放入表中,并建立权限和资源的中间关系表,
https://p-blog.csdn.net/images/p_blog_csdn_net/cailiang517502214/EntryImages/20090923/59833db1tc7a7e10c3d18&690副本.jpg
spring acegi 是spring框架中最为优秀的框架之一,今天讲的是关于spring acegi的权限配置,其中会采用jcaptcha的验证码服务 整个项目 采用struts2.16(注解) hibernate3.12(注解) spring2.5(注解) spring acegi 2.05的版本.
整个项目的结构如图:
要在项目中使用spring acegi需要在web.xml中引入 acegi
<!-- SpringSecurity filter--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class> org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
(struts2 和hibernate的引入就不说了,关于验证码 在后面下载的例子中会有详细的配置)
在引入acegi后,最主要的就是关于applicationContext-serurity.xml文件的配置了,
<!-- http安全配置 --> <http auto-config='true' access-decision-manager-ref="accessDecisionManager"> <intercept-url pattern="/user/*" access="A_Normal,A_Member,A_Administrator" /> <form-login login-page="/login.jsp" default-target-url="/user/users" authentication-failure-url="/login.jsp?error=1" /> </http>
intercept-url 是表示受保护的资源,access是指那些角色具有访问权限,由于acegi的默认权限是一ROLE_开头的,所以通过access-decision-manager-ref="accessDecisionManager" 这个bean标签可以修改成你所需要的前缀,并不局限于acegi,form-login 配置系统的登录页面,default-target-url是指登录成功后返回的页面,authentication-failure-url是指认证失败后的页面,
acegi的认证模式有好几种,比如数据库的认证模式(常用模式),cas认证等等,
<authentication-provider user-service-ref="myUserDetailServices >
</authentication-provider >
这种模式 是基于数据库的认证模式 myUserDetailServices 是自己定义的一个spring bean
<beans:bean id="myUserDetailServices" class="com.happy.services.LoginValidate"></beans:bean>
这是我们自己写的一个类,但是这个类有些特殊,这个类必须实现 UserDetailsService接口实现loadUserByUsername方法并 返回UserDetails
当然在测试的时候 我们可以把用户名和这些直接写在配置文件中
<authentication-provider > <!-- user-service-ref="myUserDetailServices" --> <user-service> <user name="normal" password="normal" authorities="A_Normal" /> <user name="user" password="user" authorities="A_Normal,A_Member" /> <user name="admin" password="admin" authorities="A_Normal,A_Member,A_Administrator" /> </user-service> </authentication-provider>
去掉基于数据库的认证模式. 这样就完成了acegi的配置,当具有权限的人才有权访问指定的页面,acegi还有一系列的标签,用来在页面上控制内容的展示,
<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags"%>(导入标签)
比如说 <security:authorize ifAnyGranted="A_Administrator">删除</security:authorize> 当用户具有A_Administrator的权限时 才会显示 删除菜单,这就是一个简单的基于acegi权限的配置
资源的下载地址:
http://download.csdn.net/source/1620226 带验证码(基于配置文件的验证)
http://download.csdn.net/source/1606935 不带验证码 (基于数据库的验证)
593
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
