Spring Security3配置使用

最新推荐文章于 2023-04-20 09:45:21 发布
最新推荐文章于 2023-04-20 09:45:21 发布
阅读量356 收藏
点赞数

   使用Spring Security3的几种方法概述

一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过。

二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现。

三种我使用的是第三种 第三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义过滤器,代替原有的FilterSecurityInterceptor过滤器,
并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,并在配置文件中进行相应配置。

四种第四种方式我没有试过

业务逻辑

权限代码action为请求路径,权限信息拥有多个权限代码,角色可以拥有多个权限信息, 用户属于用户组,用户组拥有多个角色,用户组必须拥有跟菜单同样权限代码action、页面菜单才能显示 , 最终实现菜单显示与请求路径权限验证。


在上个项目开发中用到的技术: java1.5 + struts2.1.8 + spring3.0.7 + hibernate3.2.5 + spring security3.1.0 + mysql5.5 + tomcat6.0。

我这里只说明spring security,代码是项目里抽取权限部分出来讲解的,
spring security3.1 .0 的11 个jar包,分别为:
spring-security-acl-3.1 .0 .RELEASE.jar
spring-security-config-3.1 .0 .RELEASE.jar
spring-security-core-3.1 .0 .RELEASE.jar
spring-security-taglibs-3.1 .0 .RELEASE.jar
spring-security-web-3.1 .0 .RELEASE.jar

spring-security-aspects-3.1.0.RELEASE.jar

spring-security-cas-3.1.0.RELEASE.jar

spring-security-crypto-3.1.0.RELEASE.jar

spring-security-ldap-3.1.0.RELEASE.jar

spring-security-openid-3.1.0.RELEASE.jar

spring-security-remoting-3.1.0.RELEASE.jar
当然还有其他项目相关 的jar包,不贴出来了 。

年初讲解过spring security的旧版本Acegi的文章xml配置稍微复杂一些, spring security3配置相对比较简单。

Spring Security3 配置使用

1 spring security3 主要实现类。

2 spring security3 主要配置文件。

3 web.xml配置文件。

4 实现流程说明

5 权限sql脚本

6 附件为完整程序与数据库脚本


1、spring security3 主要实现类 (包含4个关键类):

myFilter

(1) MySecurityFilter.java 过滤用户请求

Java代码 复制代码 收藏代码
  1. package com.taskmanager.web.security;
  3. import java.io.IOException;
  4. import java.util.Collection;
  6. import javax.servlet.Filter;
  7. import javax.servlet.FilterChain;
  8. import javax.servlet.FilterConfig;
  9. import javax.servlet.ServletException;
  10. import javax.servlet.ServletRequest;
  11. import javax.servlet.ServletResponse;
  13. import org.springframework.security.access.ConfigAttribute;
  14. import org.springframework.security.access.SecurityMetadataSource;
  15. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
  16. import org.springframework.security.access.intercept.InterceptorStatusToken;
  17. import org.springframework.security.web.FilterInvocation;
  18. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
  20. public class MySecurityFilter extends AbstractSecurityInterceptor implements
  21. Filter {
  22. // 与applicationContext-security.xml里的myFilter的属性securityMetadataSource对应,
  23. // 其他的两个组件,已经在AbstractSecurityInterceptor定义
  24. private FilterInvocationSecurityMetadataSource securityMetadataSource;
  26. @Override
  27. public SecurityMetadataSource obtainSecurityMetadataSource() {
  28. return this.securityMetadataSource;
  29. }
  31. public void doFilter(ServletRequest request, ServletResponse response,
  32. FilterChain chain) throws IOException, ServletException {
  33. FilterInvocation fi = new FilterInvocation(request, response, chain);
  34. invoke(fi);
  35. }
  37. private void invoke(FilterInvocation fi) throws IOException,
  38. ServletException {
  39. // object为FilterInvocation对象
  40. // super.beforeInvocation(fi);//源码
  41. // 1.获取请求资源的权限
  42. //执行 Collection<ConfigAttribute> attributes =
  43. //securityMetadataSource.getAttributes(fi);
  44. // 2.是否拥有权限
  45. // this.accessDecisionManager.decide(authenticated, fi, attributes);
  46. // this.accessDecisionManager.decide(authenticated, fi, attributes);
  47. InterceptorStatusToken token = super.beforeInvocation(fi);
  48. try {
  49. fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
  50. } finally {
  51. super.afterInvocation(token, null);
  52. }
  53. }
  55. public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
  56. return securityMetadataSource;
  57. }
  59. public void setSecurityMetadataSource(
  60. FilterInvocationSecurityMetadataSource securityMetadataSource) {
  61. this.securityMetadataSource = securityMetadataSource;
  62. }
  64. public void init(FilterConfig arg0) throws ServletException {
  65. // TODO Auto-generated method stub
  66. }
  68. public void destroy() {
  69. // TODO Auto-generated method stub
  71. }
  73. @Override
  74. public Class<? extends Object> getSecureObjectClass() {
  75. //下面的MyAccessDecisionManager的supports方面必须放回true,否则会提醒类型错误
  76. return FilterInvocation.class;
  77. }
  78. } 
package com.taskmanager.web.security;

import java.io.IOException;
import java.util.Collection;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;

import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;

public class MySecurityFilter extends AbstractSecurityInterceptor implements
		Filter {
// 与applicationContext-security.xml里的myFilter的属性securityMetadataSource对应,
	// 其他的两个组件,已经在AbstractSecurityInterceptor定义
	private FilterInvocationSecurityMetadataSource securityMetadataSource;

	@Override
	public SecurityMetadataSource obtainSecurityMetadataSource() {
		return this.securityMetadataSource;
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		FilterInvocation fi = new FilterInvocation(request, response, chain);
		invoke(fi);
	}

	private void invoke(FilterInvocation fi) throws IOException,
			ServletException {
		// object为FilterInvocation对象
		// super.beforeInvocation(fi);//源码
		// 1.获取请求资源的权限
		 //执行 Collection<ConfigAttribute> attributes = 
                        //securityMetadataSource.getAttributes(fi);
		// 2.是否拥有权限
		// this.accessDecisionManager.decide(authenticated, fi, attributes);
		// this.accessDecisionManager.decide(authenticated, fi, attributes);
		InterceptorStatusToken token = super.beforeInvocation(fi);
		try {
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		} finally {
			super.afterInvocation(token, null);
		}
	}

	public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
		return securityMetadataSource;
	}

	public void setSecurityMetadataSource(
			FilterInvocationSecurityMetadataSource securityMetadataSource) {
		this.securityMetadataSource = securityMetadataSource;
	}

	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
	}

	public void destroy() {
		// TODO Auto-generated method stub

	}

	@Override
	public Class<? extends Object> getSecureObjectClass() {
		//下面的MyAccessDecisionManager的supports方面必须放回true,否则会提醒类型错误  
		return FilterInvocation.class;
	}
}

核心的InterceptorStatusToken token = super.beforeInvocation(fi);会调用我们定义的accessDecisionManager:decide(Object object)和securityMetadataSource

:getAttributes(Object object)方法。

tiger925
关注
Spring Security3 配置使用
04-15
**Spring Security 3 配置使用详解** Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用。在Spring Security 3版本,它提供了许多改进和新特性,旨在简化安全配置...
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1975
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权的流程是这样的:(网上找的图)......
史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解
银河架构师的博客
07-29 9285
​FilterSecurityInterceptor作为Spring Security Filter Chain的最后一个Filter,承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。 先简单看一下FilterSecurityInterceptor类的主要功用。 获取当前 request 对应的权限配置,首先是调用基类的beforeInvocation方法。 public void invoke(FilterInv...
关于SpringSecurity动态鉴权流程的详细解析
最新发布
Java技术攻略的博客
04-20 587
上文配置放入了两个投票器,其第二个投票器就是我们需要创建的投票器,我起名为。投票其也是有一个接口规范的,我们只需要实现这个接口就行了,然后实现它的方法。= null;// 拿到当前请求urilog.debug("进入自定义鉴权投票器,URI : {} {}", method, requestUrl);// 如果没有缓存没有此权限也就是未保护此API,弃权// 拿到当前用户所具有的权限}else{
Spring Security 权限验证
weixin_43958996的博客
01-22 737
写在前面 环境:SpringBoot + MySQL + MyBatis-Plus + JWT + lombok
Spring security知识点整理
weixin_34228617的博客
12-20 257
1) Filter(javax.servlet.Filter) 接口是整个流程关键的接口. 其doFilter为关键动作, 用来过滤动作.2) fi.getChain().doFilter(fi.getRequest(), fi.getResponse());调用沿袭链条3) AbstractSecurityInterceptor的beforeInvocation在验证这里已经处理验证的比对逻辑...
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9887
springboot整合springsecurity实现用户登录认证和鉴权
SpringSecurity动态鉴权流程解析
q66562636的博客
05-22 2227
楔子 上一篇文我们讲过了SpringSecurity的认证流程,相信大家认真读过了之后一定会对SpringSecurity的认证流程已经明白个七八分了,本期是我们如约而至的动态鉴权篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从撷取自己需要的部分。 祝有好收获。 本文代码:码云地址 GitHub地址 1. SpringSecurity的鉴权原理 上一篇文我们讲认证的时候曾经放了一个图,就是下图: 整个认证的过程其实一直在围绕图过滤.
授权原理
qq_43843037的博客
01-24 974
授权原理 在Spring Security权限框架里,若要对后端http接口实现权限受权控制,有两种实现方式。 1、重写 #configure(HttpSecurity http) 方法,主要配置 URL 的权限控制 @Override protected void configure(HttpSecurity http) throws Exception { http // 配置请求地址的权限 .authorizeRequests()
springSecurity 认证流程
yuzheh521的博客
01-01 554
认证流程是在UsernamePasswordAuthenticationFilter过滤器处理的,具体流程如下所示: UsernamePasswordAuthenticationFilter源码 当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter,查看相关源码: *** 上述的 第二 过程调用了UsernamePassword
spring security FilterSecurityInterceptor过滤器访问控制流程分析
a807719447的专栏
11-18 961
FilterSecurityInterceptor.doFilter调用了当前类的invoke(fi)方法参数fi为FilterInvocation(调用的对象内部封装了当前请求的一些列信息),该方法主要流程如下 public void invoke(FilterInvocation fi) throws IOException, ServletException { //判断当前请求的request不为null,FILTER_APPLIED这个属性限制 //了当前类型的过滤器仅执行一个,它结合obser
SpringSecurity实现动态管理权限(三)
zhoubangbang1的博客
01-07 823
SpringBoot整合SpringSecurity实现接口动态管理权限 接上一篇权限管理是后台管理不可缺少的部分,今天结合SpringSecurity实现接口的动态管理。 动态权限管理 SpringSecurity实现权限动态管理,第一步需要创建一个过滤器,doFilter方法需要注意,对于OPTIONS直接放行,否则会出现跨域问题。并且对在上篇文章提到的IgnoreUrlsConfig的白名单也是直接放行,所有的权限操作都会在super.beforeInvocation(fi)实现。
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring Security原理学习--权限校验(四)
井底之蛙
10-17 4262
      在上一篇博客Spring Security原理学习--用户名和密码认证(三)我们已经了解到Spring Security关于用户名和密码在UsernamePasswordAuthenticationFilter的认证处理逻辑,接下来我们看看权限的校验处理。       Spring Security权限角色的校验处理是在FilterSecurityInterceptor过滤器进...
聊聊FilterSecurityInterceptor
weixin_34204057的博客
12-18 212
为什么80%的码农都做不了架构师?>>> ...
Spring Security学习笔记之整体配置
py_xin的博客
09-22 2万+
第一部分: web.xml的配置 使用SpringSecurity的朋友都知道,首先需要在web.xml进行以下配置springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 从这个配置, 可能会给我
Spring Boot Security 详解
程序员果果的博客
03-20 478
简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 工作流程 从网上找了一张Spring Security 的工作流程图,如下。 图标记的MyXXX,就是我们项目需要配置的。 快速上手 建表 表结构 建表语句 DROP TABLE IF EXIST...
springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
热门推荐
哎幽的成长
01-20 15万+
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户、角色、权限管理本文细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSource
spring security 登录、权限管理配置
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
Spring Security 3.x 配置使用详解
然后,在classpath下添加security配置文件,例如applicationContext-security.xml。需要注意的是,schema的版本需要根据自己的使用版本而定。 配置文件applicationContext-security.xml 在applicationContext-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值