Spring Security 认证 根据数据库自动授权

最新推荐文章于 2024-01-16 09:37:38 发布
最新推荐文章于 2024-01-16 09:37:38 发布
阅读量189 收藏
点赞数
文章标签: Security Spring Bean JSP UP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_20353/article/details/81990605
版权 
 

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd"> <!-- org.springframework.security.providers.dao.cache.EhCacheBasedUserCache --> <beans:bean id="userCache" class="org.springframework.security.providers.dao.cache.EhCacheBasedUserCache"> <beans:property name="cache" ref="userEhCache" /> </beans:bean> <beans:bean id="cacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" /> <beans:bean id="userEhCache" class="org.springframework.cache.ehcache.EhCacheFactoryBean"> <beans:property name="cacheManager" ref="cacheManager" /> <beans:property name="cacheName" value="userCache" /> </beans:bean> <!-- jsp 资源保护 --> <http auto-config="true" access-denied-page="/common/403.jsp" session-fixation-protection="none"> <!-- intercept-url pattern="/admin.jsp" requires-channel="https"/ --> <!-- <intercept-url pattern="/" filters="none" />限制匿名登陆 --> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/" /> <logout logout-success-url="/login.jsp" /> <port-mappings> <port-mapping http="8080" https="9443" /> </port-mappings> <concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="true" /> <!-- 匿名身份:Guest --> <anonymous username="Guest" /> </http> <!-- 用户 合法性认证 --> <authentication-provider> <password-encoder hash="md5" /> <jdbc-user-service data-source-ref="dataSource" users-by-username-query="SELECT userinfo_name,userinfo_pwd,1 AS 'enabled' FROM up_userinfo WHERE userinfo_name = ? " authorities-by-username-query="SELECT up_userinfo.userinfo_name,('ROLE_'+LTRIM(str(up_role.role_id))) as 'role' FROM up_userrole inner join up_userinfo on up_userrole.userinfo_id=up_userinfo.userinfo_id inner join up_role on up_role.role_id=up_userrole.role_id WHERE up_userinfo.userinfo_name = ? " cache-ref="userCache" /> </authentication-provider> <beans:bean id="filterSecurityInterceptor" class="org.springframework.security.intercept.web.FilterSecurityInterceptor" autowire="byType"> <custom-filter before="FILTER_SECURITY_INTERCEPTOR" /> <beans:property name="objectDefinitionSource" ref="filterInvocationDefinitionSource" /> </beans:bean> <!-- 根据数据库中的内容自动为用户授权 --> <beans:bean id="filterInvocationDefinitionSource" class="org.springframework.security.SecureFilter.MySecureResourceFilter"> <beans:property name="dataSource" ref="dataSource" /> <beans:property name="resourceQuery" value="select distinct _source.resource_link, ('ROLE_'+LTRIM(str(_role.role_id))) as ROLE ,_role.role_name from up_role _role JOIN up_privilege _pri ON _role.role_id=_pri.role_id JOIN up_resource _source ON _pri.resource_id=_source.resource_id WHERE _source.resource_link not like ''" /> </beans:bean> <!-- 数据源 --> <beans:bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> <beans:property name="driverClassName" value="net.sourceforge.jtds.jdbc.Driver" /> <beans:property name="url" value="jdbc:jtds:sqlserver://localhost:1433;DatabaseName=eBuilder_egov;useLOBs=false" /> <beans:property name="username" value="sa" /> <beans:property name="password" value="sa1" /> </beans:bean> <!-- logger debug listener --> <beans:bean id="loggerListener" class="org.springframework.security.event.authentication.LogListener" /> </beans:beans> 
 

 需要些什么包呢:
 

 
 

 
 

 此项目所需要的包
 

 
 

 
 

 
 

Web.xml
 

 
 

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee 
 http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
 
 
 <welcome-file-list>
  <welcome-file>index.jsp</welcome-file>
 </welcome-file-list>

 <context-param>
  <param-name>contextConfigLocation</param-name>
  <param-value>classpath:applicationContext.xml</param-value>
 </context-param>

 <filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>
   org.springframework.web.filter.DelegatingFilterProxy
  </filter-class>
 </filter>
 <filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

 <listener>
  <listener-class>
   org.springframework.web.context.ContextLoaderListener
  </listener-class>
 </listener>
<listener>
    <listener-class>org.springframework.security.ui.session.HttpSessionEventPublisher</listener-class>
</listener>

 

</web-app>

 

 

 
 

 
 

 
 

 
 

 
 

自定义的一个加载权限和角色对应的类
 

 
 

MySecureResourceFilter.java
 

 
 

 
 

package org.springframework.security.SecureFilter;

import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.LinkedHashMap;
import java.util.List;
import java.util.Map;

import javax.sql.DataSource;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.beans.factory.FactoryBean;
import org.springframework.jdbc.core.support.JdbcDaoSupport;
import org.springframework.jdbc.object.MappingSqlQuery;
import org.springframework.security.ConfigAttributeDefinition;
import org.springframework.security.ConfigAttributeEditor;
import org.springframework.security.intercept.web.DefaultFilterInvocationDefinitionSource;
import org.springframework.security.intercept.web.FilterInvocationDefinitionSource;
import org.springframework.security.intercept.web.RequestKey;
import org.springframework.security.util.AntUrlPathMatcher;
import org.springframework.security.util.UrlMatcher;


/**
 * SS(Spring Security)  根据Web.xml指定的xml配置文件(在其中配置好resourceQuery)自动授权
 * @author 杨伦亮
 * Dec 14, 2010
 */
public class MySecureResourceFilter extends JdbcDaoSupport implements FactoryBean {
 private String resourceQuery;
 private final Log log=LogFactory.getLog(MySecureResourceFilter.class);
 public boolean isSingleton() {
  return true;
 }
 
 public Class getObjectType() {
  return FilterInvocationDefinitionSource.class;
 }
 /**
  * 我扩展的功能: urlMatcher和requestMap创建DefaultFilterInvocationDefinitionSource。
  */
 public Object getObject() {
  return new DefaultFilterInvocationDefinitionSource(this.getUrlMatcher(), this
        .buildRequestMap());
 }
 /**
  * 方法获得所有资源信息。<br>默认的情况是从XML配置文件中读取此信息即类似URL与ROLE_ADMIN信息。现在改为自定义地去查找数据库中的信息并与之对应
  * @return Map
  */
 protected Map<String, String> findResources() {
  //获得DataSource
  ResourceMapping resourceMapping = new ResourceMapping(getDataSource(), resourceQuery);
  
  Map<String, String> resourceMap = new LinkedHashMap<String, String>();
  String url,role,value;
  //execute()方法获得所有资源信息。
  Log log=LogFactory.getLog(MySecureResourceFilter.class);
  for(Resource resource : (List<Resource>) resourceMapping.execute()){
    url = resource.getUrl();
    role = resource.getRole();
   if(resourceMap.containsKey(url)){
     value = resourceMap.get(url);
     log.info(url+"\t授权:"+value+","+role+"\n");
    resourceMap.put(url, value +"," +role);
   }else{
    log.info(url+"\t授权:"+role+"\n");
    resourceMap.put(url, role);
   }
  }
  
  return resourceMap;
 }
 
 /**
  * 使用获得的资源信息组装requestMap。
  * @return LinkedHashMap
  */
 protected LinkedHashMap<RequestKey, ConfigAttributeDefinition> buildRequestMap() {
  LinkedHashMap<RequestKey, ConfigAttributeDefinition> requestMap = null;
  requestMap = new LinkedHashMap<RequestKey, ConfigAttributeDefinition>();
  
  ConfigAttributeEditor editor = new ConfigAttributeEditor();
  
  Map<String, String> resourceMap = this.findResources();
  
  for(Map.Entry<String, String> entry : resourceMap.entrySet()){
   RequestKey key = new RequestKey(entry.getKey(), null);
   editor.setAsText(entry.getValue());
   requestMap.put(key, (ConfigAttributeDefinition) editor.getValue());
  }
  
  return requestMap;
 }
 
 protected UrlMatcher getUrlMatcher() {
  return new AntUrlPathMatcher();
 }
 
 public void setResourceQuery(String resourceQuery) {
  log.info("setResourceQuery()\t"+resourceQuery);
  this.resourceQuery = resourceQuery;
 }
 
 /**
  * 资源属性<br>链接地址及角色名
  * @author 杨伦亮
  * Dec 15, 2010
  */
 private class Resource {
  private String url;
  private String role;
  
  public Resource(String url, String role) {
   this.url = url;
   this.role = role;
  }
  
  public String getUrl() {
   return url;
  }
  
  public String getRole() {
   return role;
  }
 }
 
 private class ResourceMapping extends MappingSqlQuery {
  protected ResourceMapping(DataSource dataSource, String resourceQuery) {
   super(dataSource, resourceQuery);
   compile();
  }
  
  protected Object mapRow(ResultSet rs, int rownum)
     throws SQLException {
   String url = rs.getString(1);
   String role = rs.getString(2);
   Resource resource = new Resource(url, role);
   
   return resource;
  }
 }
 
}

 

 
 

 
 

 
 

 
 

下面来测试一下配置信息是否对
 

admin.jsp
 

 
 

<%@ page language="java"
 import="java.util.*,org.springframework.security.*,org.springframework.security.userdetails.*,org.springframework.security.context.*"
 pageEncoding="UTF-8"%>
<%@ taglib prefix="sec"
 uri="http://www.springframework.org/security/tags"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
 <head>
  <title>My JSP 'index.jsp' starting page</title>
  <meta http-equiv="pragma" content="no-cache">
  <meta http-equiv="cache-control" content="no-cache">
  <meta http-equiv="expires" content="0">
  <meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
  <meta http-equiv="description" content="This is my page">
 </head>
 <body >
 <h3>
  <a href="index.jsp">Home</a>&nbsp;&nbsp;|&nbsp;&nbsp;
  <a href="admin.jsp" target=_blank>试试访问受保护的jsp(403表示无权限访问)</a>&nbsp;&nbsp;|&nbsp;&nbsp;
  <a href="button_admin.jsp">只保护jsp中的按钮</a>&nbsp;&nbsp;|&nbsp;&nbsp;当前用户
  <a href="j_spring_security_logout">重新登陆</a>
  :
  <sec:authentication property="name"></sec:authentication>[${authentication.username }]
  
  <input type="button" value='<sec:authentication property="name" />' />
 </h3>
 
  <p>
   权限列表:
  </p>
  <%
   try{
    //当前登陆对象
    SecurityContext sec = SecurityContextHolder.getContext();
    UserDetails userDetails = (UserDetails) sec.getAuthentication().getPrincipal();
    out.print("["+userDetails.getUsername()+"]<br>");
    //取得权限列表
    GrantedAuthority[] authorities = userDetails.getAuthorities();
    
    for(int size = authorities.length, i = 0; i <size; i++){
     if(authorities[i] ==null)
      break;
     out.print("<br><font color=green>" +authorities[i] ==null ? "" : authorities[i].toString()+"</font>");
    }
   }catch(Exception e){
    out.print("<script>document.write('<font color=ffffff>Exception:!!!" +e.getMessage()
          +"</font>');</script>");
   }
  %>
  <font color=ffffff>
  <sec:authentication property="authorities" />
  </font>
  <br>
 <hr><h3>Session:</h3>
 <% 
 Enumeration<String> s=session.getAttributeNames();
 try{
 //UserDetails userdetails=(UserDetails)session.getAttribute();
   while(s.hasMoreElements()){
    String key=s.nextElement();
     out.println("<font color=red>"+key+"</font>&nbsp;<font color=green>"+session.getAttribute(key)+"</font><br>");
//这里的s.nextElement()就对应了每一个键名 通过他取值就可以了
   }
 }catch(java.util.NoSuchElementException e){
  out.println("认证失败"+e.getMessage());
 }
%>
 
 </body>
</html>


 

 

                

        

        




    




    

      

        

            

              
                
                  iteye_20353
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Spring security认证授权

				
			

			

				

					11-30
				

			

		

		

			
				
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)

			
		

	



                

              
                



	

		

			

				
					
关于Acegi配置文件中filterChainProxy的属性filterInvocationDefinitionSource的解析问题

				
			

			

				

					Michael的专栏
				

				

					03-11
					
					3081
					
				

			

		

		

			
				
今天研究acegi时遇到一个问题,filterChainProxy类中的filterInvocationDefinitionSource是FilterInvocationDefinitionSource类型,而在配置文件中传入了一个String类型的值。其间怎么转化,没弄明白,源码中也没有找到。但是在网上搜到这样一个帖子,原理解释的很明白。原帖地址:http://www.javaeye.com/t

			
		

	



                


  
              

                


	

		

			

				
					
java Spring Security 总结二 6

				
			

			

				

					lion222
				

				

					12-24
					
					98
					
				

			

		

		

			
				
    1 自定义FilterInvocationDefinitionSource
    在2.0中,系统没有在系统抽象类,所以我们还是使用1.x中的实现方式,首先通过一个抽象类来实现ObjectDefinitionSource接口。代码如下:


&lt;!--&lt;br /&gt;

&lt;br /&gt;

Code highlighting produced by A...

			
		

	





	

		

			

				
					
Spring Security学习总结二

				
			

			

				

					pureboy的专栏
				

				

					04-01
					
					698
					
				

			

		

		

			
				
<br /><br />前一篇文章里介绍了Spring Security的一些基础知识,相信你对Spring Security的工作流程已经有了一定的了解,如果你同时在读源代码,那你应该可以认识的更深刻。在这篇文章里,我们将对Spring Security进行一些自定义的扩展,比如自定义实现UserDetailsService,保护业务方法以及如何对用户权限等信息进行动态的配置管理。<br />说明:<br />如果你通过Google搜索,可以找到很 多类似主题的文章,本文的目的在于通过这些实例来介绍的工作

			
		

	



		

			
		



	

		

			

				
					
Spring Security 授权

					
最新发布

				
			

			

				

					weixin_45722666的博客
				

				

					01-16
					
					1356
					
				

			

		

		

			
				
本文介绍在 Spring Security 中如和对受限资源进行权限控制访问。 

			
		

	





	

		

			

				
					
AttributeError: ‘xxx‘ object has no attribute ‘_sa_instance_state‘

				
			

			

				

					u014220146的博客
				

				

					01-11
					
					963
					
				

			

		

		

			
				
flask搭建的web项目,使用sqlalchemy工具查询数据库

			
		

	





	

		

			

				
					
关于spring security的URL路径验证问题

				
			

			

				

					qiuqiuit的专栏
				

				

					02-15
					
					1445
					
				

			

		

		

			
				
在前一篇文章中,还是有些地方没讲清楚,但那篇文章已经有点长了,所以还是另外单独讲一下吧。见SecureResourceFilterInvocationDefinitionSource代码:

[code="java"]
/**
 * RegexUrlPathMatcher默认不进行小写转换,而AntUrlPathMatcher默认要进行小写转换
 */
    public void ...

			
		

	





	

		

			

				
					
Spring Security使用数据库管理资源整理

				
			

			

				

					weixin_34348174的博客
				

				

					08-26
					
					83
					
				

			

		

		

			
				
转载  http://alimama.iteye.com/blog/6168541.网上常见的重写FilterInvocationDefinitionSource的做法 http://www.family168.com/oa/springsecurity/html/ch005-resource-db.html#d0e585  具体方法参照这里 http://www.iteye.com/topic/...

			
		

	





	

		

			

				
					
Spring Security 认证授权详解

				
			

			

				

					共勉
				

				

					05-03
					
					4505
					
				

			

		

		

			
				
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。

			
		

	





	

		

			

				
					
出现AttributeError: ‘int‘ object has no attribute ‘_sa_instance_state‘,可能的原因

				
			

			

				

					qq_43399648的博客
				

				

					04-26
					
					4680
					
				

			

		

		

			
				
我再python处理对象和数据库之间的关系时碰到了这个问题。
我程序中是把对象写入数据库中,而这里写入时牵扯到ID这个字段,大概率是因为这个。
ID字段在我的表中是unique的,如果写入,违反了数据库的规定,导致出现问题。
上述可能只是一个原因,仅此记录一下。

...

			
		

	





	

		

			

				
					
Spring Security 自定义授权服务器实践

				
			

			

				

					分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
				

				

					08-18
					
					4778
					
				

			

		

		

			
				
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......

			
		

	





	

		

			

				
					
Spring Security授权信息写入数据库

				
			

			

				

					07-15
				

			

		

		

			
				
Spring Security授权信息写入数据库

			
		

	





	

		

			

				
					
SpringSecurity授权

				
			

			

				

					Littewood的博客
				

				

					07-24
					
					3414
					
				

			

		

		

			
				
SpringSecurity授权介绍

			
		

	





	

		

			

				
					
'int' object has no attribute '_sa_instance_state'

				
			

			

				

					gymaisyl的博客
				

				

					03-01
					
					8578
					
				

			

		

		

			
				
FLask外键字段在创建对象赋值时,需要赋值对象,而不是该对象的id或者其他单独的字段



			
		

	





	

		

			

				
					
用Hibernate 实现 FilterInvocationDefinitionSource(Acegi)

				
			

			

				

					melin1204的博客
				

				

					06-08
					
					199
					
				

			

		

		

			
				
整个工程在附件中,去掉了lib 目录,需要的jar包在jar.jpg。带有数据脚本,还有好多去完善,有空会更新
下面的代码缓存好像没有起作用。以后在调试,如果那位调试缓存起作用,请回复
[code]public class RdbmsFilterInvocationDefinitionSource extends AbstractFilterInvocationDefinitionSource...

			
		

	





	

		

			

				
					
SpringBoot整合Springsecurity实现数据库登录以及权限控制

					
热门推荐

				
			

			

				

					qq_39620552的博客
				

				

					10-16
					
					4万+
					
				

			

		

		

			
				
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB

首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表


DROP TABLE IF EXISTS `xy_role`;

CREATE TABLE `xy_role` (
  `xyr_id` int(11) NOT NULL AUTO_INCRE...

			
		

	





	

		

			

				
					
Spring Security使用数据库登录认证授权

				
			

			

				

					Charge8的博客
				

				

					01-03
					
					4684
					
				

			

		

		

			
				
Spring Security使用数据库登录认证授权

			
		

	





	

		

			

				
					
Spring Security授权

				
			

			

				

					qq_32734365的博客
				

				

					08-04
					
					3432
					
				

			

		

		

			
				


授权
授权架构
授权
调用前置处理
AccessDecisionManager
基于投票的AccessDecisionManager实现
RoleVoter
AuthenticatedVoter
自定义Voter




调用后处理
分层角色


安全对象实现
AOP Alliance (MethodInvocation) 安全拦截器
显式MethodSecurityInterceptor配置...

			
		

	





	

		

			

				
					
(五)Spring Security基于数据库的权限授权

				
			

			

				

					惜阳
				

				

					07-10
					
					4819
					
				

			

		

		

			
				
目录
我们接着上一章(四)Spring Security基于数据库的用户认证,进行开发



			
		

	





	

		

			

				
					
SpringBoot与SpringSecurity整合实战:用户认证数据库Remember-Me

				
			

			

				

					
				

			

		

		

			
				
Spring Boot项目中,Spring Security可以通过自动配置轻松集成,如在`pom.xml`中添加依赖并创建相应的配置类。  配置Spring Security通常涉及以下几个步骤:  1. 添加Spring Security依赖:在`pom.xml`中引入`...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值