springside使用——Spring Security 2和struts2的一些资料整理

现在的东西包装得越来越厉害，不知道是好事还是坏事。

 

需要建个web client，用到了springside，里面集成了spring security，没办法，得研究一下，用的spring security版本是2.0.5。

 

一、登录及其相关信息配置

高级特性咱先不要，先来实现个最简单的登录验证授权功能，底层的框架spring security已经搭好了，关键的是开发者需要提供以下几个方面的信息给它：

1、authentication相关的信息——都有哪些user，密码是多少，属于什么角色

2、authorization相关信息——哪些页面需要保护，被保护的每个页面能被哪些用户访问

3、相关的信息放在哪，如何来配置

 

当然这里的验证设计是基于RBAC——Role based access control，简单地说就是user--role--authority（=资源+操作）的三者对应关系。

 

个人的理解，spring security通过预先配置的一些filter来完成一个应用所需的基本安全功能，然后需要开发人员对每个filter进行参数配置来达到特定的效果。我使用的是namespace configuration的方式来配置我的web security。比如缺省配置的就有以下的一些filter，每个filter又都允许你进行一些参数的设置：

<xs:enumeration value="CHANNEL_FILTER"/> <xs:enumeration value="CONCURRENT_SESSION_FILTER"/> <xs:enumeration value="SESSION_CONTEXT_INTEGRATION_FILTER"/> <xs:enumeration value="LOGOUT_FILTER"/> <xs:enumeration value="X509_FILTER"/> <xs:enumeration value="PRE_AUTH_FILTER"/> <xs:enumeration value="CAS_PROCESSING_FILTER"/> <xs:enumeration value="AUTHENTICATION_PROCESSING_FILTER"/> <xs:enumeration value="BASIC_PROCESSING_FILTER"/> <xs:enumeration value="SERVLET_API_SUPPORT_FILTER"/> <xs:enumeration value="REMEMBER_ME_FILTER"/> <xs:enumeration value="ANONYMOUS_FILTER"/> <xs:enumeration value="EXCEPTION_TRANSLATION_FILTER"/> <xs:enumeration value="NTLM_FILTER"/> <xs:enumeration value="FILTER_SECURITY_INTERCEPTOR"/> <xs:enumeration value="SWITCH_USER_FILTER"/>

 

 

既然是web应用，spring security要起作用，必须先在web.xml进行注册：

<!--这个参数是给后面的ContextLoaderListener用的 --> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath*:/applicationContext*.xml</param-value> </context-param> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!--Spring的ApplicationContext 载入 --> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> </listener>

 

注册好之后，我们接下来需要关心具体的每个filter如何工作的，我们就拿其中的filterSecurityInterceptor来看看怎么把我们自己的信息嵌入进去。

 

打开FilterSecurityInterceptor.java或者xsd文件，我们就能知道如何去提供上面说的几类信息：

1、直接在xml文件里配置好这些信息

2、通过database或者ldap server来提供这些信息

详细的配置说明可以参考下面这两篇文章，我也是跟着学的。

 

 

 非常优秀的权限管理框架 -- Spring Security

http://blog.csdn.net/wenlin56/archive/2010/12/16/6081022.aspx

 

 

SpringSide 3 中的安全框架 Spring Security 2.0

http://blog.csdn.net/shangpusp/archive/2010/04/16/5494563.aspx

 

 

二、如何使用用户相关信息

前面登录的配置中，有个地方可以指定你自己的用户登录页面：

<!-- http安全配置 --> <s:http auto-config="true" access-decision-manager-ref="accessDecisionManager"> <s:form-login login-page="/login.action" default-target-url="/index.action" authentication-failure-url="/login.action?error=true" always-use-default-target="true" /> <s:logout logout-success-url="/" /> </s:http> 

就是上面代码中login-page="/login.action"这一项，因为这里用到了Struts的convention plugin，晕，当然也可以直接指定某个页面比如login.jsp。

 

好了，哪些页面受保护，有哪些用户，每个用户能够访问什么页面都配置好了，当用户访问某个页面时，spring security会自动判断该用户是否已经登录，没有登录的话就跳转到登录页面，等用户输入相关信息后，它会帮你判断是否登录成功。等登录成功后，它还会自动帮你检查权限。够不错的吧！下面是一个完整的spring xml配置文件：

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:s="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd" default-autowire="byType" default-lazy-init="true"> <description>SpringSecurity安全配置</description> <!-- http安全配置 --> <s:http auto-config="true" access-decision-manager-ref="accessDecisionManager"> <s:form-login login-page="/login.action" default-target-url="/index.action" authentication-failure-url="/login.action?error=true" always-use-default-target="true" /> <s:logout logout-success-url="/" /> <s:remember-me key="e37f4b31-0c45-11dd-bd0b-0800200c9a66" /> </s:http> <!-- 认证配置 --> <s:authentication-provider user-service-ref="userDetailsService"> <!-- 可设置hash使用sha1或md5散列密码后再存入数据库 --> <s:password-encoder hash="plaintext" /> </s:authentication-provider> <!-- 项目实现的用户查询服务 --> <bean id="userDetailsService" class="com.trading.tradingweb.service.security.UserDetailsServiceImpl" /> <!-- 重新定义的FilterSecurityInterceptor,使用databaseDefinitionSource提供的url-授权关系定义 --> <bean id="filterSecurityInterceptor" class="org.springframework.security.intercept.web.FilterSecurityInterceptor"> <s:custom-filter before="FILTER_SECURITY_INTERCEPTOR" /> <property name="accessDecisionManager" ref="accessDecisionManager" /> <property name="objectDefinitionSource" ref="databaseDefinitionSource" /> </bean> <!-- DefinitionSource工厂,使用resourceDetailsService提供的URL-授权关系. --> <bean id="databaseDefinitionSource" class="org.springside.modules.security.springsecurity.DefinitionSourceFactoryBean"> <property name="resourceDetailsService" ref="resourceDetailsService" /> </bean> <!-- 项目实现的URL-授权查询服务 --> <bean id="resourceDetailsService" class="com.trading.tradingweb.service.security.ResourceDetailsServiceImpl" /> <!-- 授权判断配置, 将授权名称的默认前缀由ROLE_改为A_. --> <bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased"> <property name="decisionVoters"> <list> <bean class="org.springframework.security.vote.RoleVoter"> <property name="rolePrefix" value="A_" /> </bean> <bean class="org.springframework.security.vote.AuthenticatedVoter" /> </list> </property> </bean> </beans>

 

接下来就有一个问题，比如我需要在别的页面是用登录用户的相关信息，那我该怎么拿到登录用户的具体信息呢，比如用户名之类的？

 

这就需要看FilterSecurityInterceptor在验证成功后都把这些信息放哪了。

在AbstractSecurityInterceptor.java里面通过以下代码发现是把这些信息放在了SecurityContextHolder里面，而放入的信息是Authentication的实现类，其中最重要的方法就是getPrincipal()，它默认返回Spring内置的User对象。

authentication = authenticationManager.authenticate(authentication); if(logger.isDebugEnabled()) logger.debug("Successfully Authenticated: " + authentication); SecurityContextHolder.getContext().setAuthentication(authentication); 

当你有了自己的UserDetailService实现时，你可以在loadUserByUsername方法中定制这个信息，你甚至可以扩展User对象加入自己的字段。

 

好了，接下来就是在后续的页面中将这些信息取出来了。

org.springframework.security.userdetails.User userDetail = (org.springframework.security.userdetails.User) SecurityContextHolder .getContext().getAuthentication().getPrincipal(); System.out.println("Username in userDetail is:" + userDetail.getUsername());