java Spring Security 总结一 8

   身份验证只是Spring Security安全机制的第一步，访问决策管理器验证用户是否有权限访问相应的资源（filterSecurityInterceptor中objectDefinitionSource属性定义的访问URL需要的属性信息）。

    org.springframework.security.AccessDecisionManager接口定义了用于验证用户是否有权限访问受保护资源的decide方法，另一个supports方法根据受保护资源的配置属性（即访问这些资源所需的权限）来判断该访问决策管理器是否能做出针对该资源的访问决策。decide方法最终决定用户有无访问权限，如果没有则抛出AccessDeniedException异常（面前也提到过，你应该在回过头去看看）。

    与认证管理器类似，访问决策管理器也不是由自己来实现访问控制的，而是通过一组投票者来投票决定（通过调用投票者的vote方法），访问决策管理器统计投票结果并最终完成决策工作。下表列出了系统提供的3个访问决策管理器的实现：

 

访问决策管理器	如 何 决 策
AffirmativeBased	当至少有一个投票者投允许访问票时允许访问
ConsensusBased	当所有投票者都投允许访问票时允许访问
UnanimousBased	当没有投票者投拒绝访问票时允许访问

    decisionVoters属性为访问决策管理器定义了一组进行投票工作的投票者，那么这些投票者是如何进行投票的呢？这就需要提 org.springframework.security.vote.AccessDecisionVoter接口，所有的投票者都实现了这个接口并实现了其中的vote方法。该接口中还定义了3个int类型的常量：

    int ACCESS_GRANTED = 1；（投赞成票）

    int ACCESS_ABSTAIN = 0；（投弃权票）

    int ACCESS_DENIED = -1； （投反对票）

    每个决策投票者都返回这3个常量中一个，这取决与用户是否有权限访问当前请求的资源，访问决策管理器再对这些投票结果进行统计。认证投票者的配置如上面所示。

    loggerListener是一个可选项，它和我们前面配置的Bean或者过滤器没有关系，只是监听系统的一些事件（实现了 ApplicationListener监听接口），被它监听的事件包括AuthenticationCredentialsNotFoundEvent 事件，AuthorizationFailureEvent事件，AuthorizedEvent事件，PublicInvocationEvent事件，相信你从他们的名字就能看出来是一些什么样的事件，除非你的e文比我还差劲。loggerListener配置如下：

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> 1  < bean  id ="loggerListener"  class ="org.springframework.security.event.authentication.LoggerListener" />

    到此，本例所涉及到的所有配置都介绍完了，在下一篇中会介绍方法安全拦截器，以及如何使用它来保护我们的方法调用，以及前面提到过的会在下一篇中介绍的，这里不在一一列出。

    接下来就是JSP页面了，首先是login.jsp：

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->  1  < c:if  test ="${not empty param.login_error}" >
 2      登录失败，请重试。错误原因: < br />
 3       < font  color ="red" >
 4           < c:if  test ="${not empty SPRING_SECURITY_LAST_EXCEPTION}" >
 5               < c:out  value ="${SPRING_SECURITY_LAST_EXCEPTION}" ></ c:out >
 6           </ c:if >
 7       </ font >
 8  </ c:if >
 9  < form  action ="<c:url value=" /j_spring_security_check" /> " method="post">
10       < table >
11           < tr >
12               < td >< label  for ="username" > username: </ label ></ td >
13               < td >< input  type ="text"  id ="username"  name ="j_username"
                    value="<c:out value="${SPRING_SECURITY_LAST_USERNAME}"/>"/></td>
14           </ tr >
15           < tr >
16               < td >< label  for ="password" > password: </ label ></ td >
17               < td >< input  type ="password"  id ="password"  name ="j_password"  value ="" /></ td >
18           </ tr >
19           < tr >< td ></ td >
20               < td >< input  type ="checkbox"  name ="_spring_security_remember_me" > 两周内记住我 </ td >
21           </ tr >
22           < tr >< td  colspan ="2" >< input  type ="submit"  value ="提交" />
23           < input  type ="reset"  value ="重置" /></ td ></ tr >
24       </ table >
25  </ form >

    如果你有看源代码，上面的某些参数，以及本文所有提及的东西你都不应该感到陌生。其它页面也不在列出了，还有就是如何让它运行起来，这些我相信你都能自己搞定。

    附件1：linux/springsecurity.rar">springsecurity.rar（不包括JAR包）

    补上使用命名空间配置实现的代码，命名空间的详细资料请参考Spring Security中文参考文档，翻译得很好，这里就不在累述了，配置文件中也有比较详细的注释。另外例子中还包括了自定义 UserDetailService的实现已经如何Ehcache缓存用户信息，详细的信息将在下一篇中讲述。

    附件2：linux/springsecurity-namespace.rar">springsecurity-namespace.rar（包括部分JAR包）