Spring(Acegi)Security 权限扩展方案及问题

最新推荐文章于 2020-06-17 09:21:49 发布
最新推荐文章于 2020-06-17 09:21:49 发布
阅读量114 收藏
点赞数
文章标签: Security Acegi Spring JSP HTML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangjing85/article/details/83434328
版权
最近研究Spring(Acegi)Security 的权限管理扩展方案,基本告一段落,总结下遇到的问题以及解决方案,方案参照了springside,但使用后发现居然有惊天大bug,很是头痛。
教程可以参见http://family168.com/oa/springsecurity/html/index.html第5章
问题1:例程的权限控制居然依赖于数据库的数据顺序
研究发现扩展代码对当同一url属于多个用户组时没有做处理,由于采用HashMap并且用url作为key,导致前面加载的被后面key相同的给覆盖了,改造代码如下,采用url相同叠加机制
protected Map<String, String> findResources() {
ResourceMapping resourceMapping = new ResourceMapping(getDataSource(),
resourceQuery);

Map<String, String> resourceMap = new LinkedHashMap<String, String>();

for (Resource resource : (List<Resource>) resourceMapping.execute()) {
String url = resource.getUrl();
String role = resource.getRole();

if (resourceMap.containsKey(url)) {
String value = resourceMap.get(url);
resourceMap.put(url, value + "," + role);
} else {
resourceMap.put(url, role);
}
}

return resourceMap;
}

protected LinkedHashMap<RequestKey, ConfigAttributeDefinition> buildRequestMap() {
LinkedHashMap<RequestKey, ConfigAttributeDefinition> requestMap = null;
requestMap = new LinkedHashMap<RequestKey, ConfigAttributeDefinition>();

ConfigAttributeEditor editor = new ConfigAttributeEditor();

Map<String, String> resourceMap = this.findResources();

for (Map.Entry<String, String> entry : resourceMap.entrySet()) {
RequestKey key = new RequestKey(entry.getKey(), null);
editor.setAsText(entry.getValue());
requestMap.put(key,
(ConfigAttributeDefinition) editor.getValue());
}

return requestMap;
}
问题解决

问题2:在问题1解决的基础上发现权限还是依赖于数据顺序,这个是spring Security机制的问题,比如a url是b url的子集,a url必须在b url之前加载,否则a url权限无效,这个解决方案和springside论坛上和他们开发组人员讨论了好久,他们给出的方案是设置一个优先级字段来解决,我觉得这种方案太夸张没有采纳,当url很多的时候手动设置优先级太夸张,管理员还要设置url的范围顺序是不太现实的,最后使用根据url字符排序再倒序,基本可以保证如果a url是b url的子集排列到b url之前,目前还没有想到特殊url
问题算是基本解决

问题3,自定义登陆界面在设置<intercept-url pattern="/login.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />无法访问,其实就是个死循环,不停的刷,因为没有login.jsp的访问权限,失败了又转到login.jsp呵呵,没完没了了
其实这个设置压根就没起作用,因为被我们自己定义的filter给打劫了,所以还是把login.jsp设置为不使用filter拦截吧。虽然不拦截和拦截了给匿名用户权限是不一样的,但在这里是一样的效果
<intercept-url pattern="/login.jsp" filters="none"/>
<intercept-url pattern="/scripts/**" filters="none"/>
<intercept-url pattern="/images/**" filters="none"/>
<intercept-url pattern="/styles/**" filters="none"/>
问题解决
wangjing85
关注
Spring Security 详细配置
liuhanfeng123的专栏
08-03 1750
此文是转载自 sparta-紫杉兄的,http://www.blogjava.net/SpartaYew/archive/2011/05/19/SpingSecurity3.html原文 本来自己想总结一次spring security,发现sparta-紫杉兄写的很完整就摘过来了. 此文是转载自 sparta-紫杉兄的,http://www.blogjava.net/SpartaYew/
spring security扩展点入门示例
蜗牛跑的快
06-26 433
登录认证自定义 创建密码加密器并放到spring容器中 package com.snail.learn.security.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
使用acegi权限控制
sun5208的专栏
10-24 616
Acegi安全框架 简介 Acegi是为基于Spring的应用提供的声明式安全框架。它通过在Spring的应用上下文中配置一系列的Bean完成安全设置,完成利用了Spring提供的依赖注入和IoC编程方式。 为了保证Web应用的安全需求,Acegi使用过滤器拦截servlet请求,并执行认证来执行安全措施。 Acegi通过安全方法级调用来执行更低层次的安全需求。通过使用Spring的AOP,Ace
使用ACEGI实现权限控制
共勉
09-21 268
使用ACEGI实现权限控制,第一部分 环境: struts2,acegi1.0.6,spring2.5.1,cas3 一、综述:环境搭建 1.springacegi版本 spring2.5.6和acegi1.0.6兼容性问题 会报 java.lang.NoClassDefFoundError: org/springframework/web/bind/RequestUti...
使用acegi 控制用户权限
孙杰的博客
06-09 200
      公司现有一项目需要使用acegi控制身份验证,所以这几天都在学习acegi,经过网上查找资料,个人比较推崇网友zhanjia写的教程,发现比较完善的(http://zhanjia.iteye.com/category/43399)。       acegi配置与spring security配置比较相似,现在我也把自己经过修改后的并且可以运行的项目放在此blog中,以供大家交流。 ...
acegisecurity-1.0.7.zip_.acegisecuri_acegi security 1.0.7_acegi
09-24
Acegi Security是一款在Java平台上广泛使用的安全框架,它为Spring应用程序提供了高级的身份验证、授权和服务保护功能。在本文中,我们将深入探讨Acegi Security 1.0.7版本中的核心概念和关键特性。 首先,我们要...
Spring Acegi
03-16
Spring Acegi 是一个基于 Spring 框架的安全解决方案,主要用于企业级应用的身份验证和授权。它提供了一套全面的、可扩展的安全管理基础设施,帮助开发者处理复杂的用户认证与授权问题。在本文中,我们将深入探讨 ...
spring-security 官方文档 中文版
10-12
Spring Security 最初是由 Luke Taylor 和 Ray Ryan 开发的名为 Acegi Security 的项目,在 2005 年被并入 Spring 项目,并重新命名为 Spring Security。自那时起,Spring Security 经历了多个版本的迭代,不断地...
Grails + Spring Security 权限控制
09-14
Spring Security,原名Acegi Security,是Spring框架的一个扩展,用于提供身份验证和授权服务,适用于Java和Groovy应用。 首先,我们需要在Grails项目中添加Spring Security插件。这通常通过在`build.gradle`文件中...
acegi-security-tiger-1.0.0-RC2.jar.zip
07-17
Acegi Security是一个已退役的安全框架,它为Java平台上的Spring框架提供了全面的身份验证和授权服务。这个"acegi-security-tiger-1.0.0-RC2.jar.zip"压缩包包含的是Acegi Security的一个早期版本——1.0.0 Release ...
8. Spring Security intercept-url配置
一个人的人生
11-29 8083
intercept-url配置 目录 1.1     指定拦截的url 1.2     指定访问权限 1.3     指定访问协议 1.4     指定请求方法   1.1    指定拦截的url        通过pattern指定当前intercept-url定义应当作用于哪些url。 "/**" access="ROLE_USER"/>   1.2     指定访问权限
Acegi Security -- Spring下最优秀的安全系统
cfhgcvb的博客
01-17 1420
Acegi Security -- Spring下最优秀的安全系统
Spring Security 中的四种权限控制方式
热门推荐
江南一点雨的专栏
06-17 5万+
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 今天松哥来和大家介绍一下 Spring Security 中四种常见的权限控制方式。 表达式控制 URL 路径权限 表达式控制方法权限 使用过滤注解 动态权限 四种方式,我们分别来看。 本文是 Spring Security
acegi 方法拦截配置
学得越多,忘得越多;忘得越多,知道的越少
08-08 182
最近在测试acegi的方法拦截时候,竟然发现不成功。 对于url的拦截是成功的。 acegi中 对于方法级的安全认证需要使用的拦截器为MethodSecurityInterceptor,而应用于URL资源的安全拦截器为FilterSecurityInterceptor 。其中,MethodSecurityInterceptor拦截器是借助于Spring Aop实现的,而FilterS...
spring security 3.0配制
ystar9的博客
08-12 511
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
acegi security实践教程—入门
02-22 5577
Acegi Security概念     Acegi Security是基于J2EE的企业软件应用提供全面的安全服务。通俗的说,就是封装的安全框架。提到安全,大家脑子中第一反应肯定是权限控制。的确如此,安全主要的功能就是为了权限控制。    Acegi SecuritySpring Security 是一回事吗?为啥搜索Acegi Security框架,有时会发现一会这样配置,一会那样配置
使用acegi控制用户权限实例
zw7534313的专栏
07-04 336
acegi权限控制:1.配置authenticationProcessingFilter的登陆url: &lt;property name="filterProcessesUrl" value="/login.do"/&gt;2.UserDetailsServiceImpl.loadUserByUsername(username)   与登陆页面的&lt;input name="j_usern...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值