java+se+ee+spring_【JavaEE】SSH+Spring Security整合及example

到前文为止，SSH的基本框架都已经搭建出来了，现在，在这基础上再加上权限控制，也就是Spring Security框架，和前文的顺序一样，先看看需要加哪些库。

1. pom.xml

Spring Security只需要加上自己的库就可以，先定义一个版本的属性：

4.0.4.RELEASE

4.3.5.Final

3.2.4.RELEASE

然后加入spring-security的包：

org.springframework.security

spring-security-config

${spring-security.version}

org.springframework.security

spring-security-taglibs

${spring-security.version}

当然还有spring-security-core和spring-security-web等必须的包，不过都会被作为依赖导入。

2. web.xml

Spring Security是作为过滤器控制权限的，所以，要在web.xml中配置这个过滤器：

springSecurityFilterChain

org.springframework.web.filter.DelegatingFilterProxy

springSecurityFilterChain

/*

其他的东西，就是被Spring框架来管理了，Spring Security配置的地方和hibernate的配置一样，可以加在applicationContext.xml中，但是hibernate要单独弄一个infrastructure.xml，Security也单独写一个配置文件，叫做applicationContext-security.xml，因为这个的名字和前面的非常像，可以合并在一起来配置contextConfigLocation：

contextConfigLocation

classpath*:/META-INF/applicationContext*.xml,

classpath:/META-INF/infrastructure.xml

classpath后面的*代表有多个文件，后面的*是一个通配符，所以凡是/META-INF/下所有applicationContext开头的xml文件都会被读取。

3. User.java/Role.java

这里先不说applicationContext-security.xml，先来看看需要哪些数据表，首先创建一个权限类Role(org.zhangfc.demo4ssh.domain.Role)：

@Entity

@Tablepublic class Role implementsSerializable {private static final long serialVersionUID = -7425304725239042741L;private intid;privateString role;

@Idpublic intgetId() {returnid;

}public void setId(intid) {this.id =id;

}publicString getRole() {returnrole;

}public voidsetRole(String role) {this.role =role;

}

}

权限表就两个字段，id和一个权限名，接着修改User表：

@Entity

@Tablepublic class User implementsSerializable {private static final long serialVersionUID = 172643386440351811L;private intid;privateString username;privateString password;privateRole role;

@Id

@GeneratedValuepublic intgetId() {returnid;

}@Size(min=6)publicString getUsername() {returnusername;

}publicString getPassword() {returnpassword;

}@ManyToOnepublicRole getRole() {returnrole;

}// setter method of id / username / password / role}

为了节省篇幅，我删掉了所有的setter方法，这儿增加了两项，一个id，还有一个多对一的外键指向Role表。把properties/hibernate.properties中的hibernate.hbm2dll.auto属性设置为update，并把HomeController的home方法插入新用户的代码注释掉或删掉，首先把这个程序运行起来，让程序创建role表并更新user表，然后编辑数据表(我用的navicat)，在role表中加入下面的两条记录：

之后修改user表，之前的数据不会被清空，而是新添加了两个空字段：

这样就有了两个可登陆的账号，下面就来写一下配置文件。

4. applicationContext-security.xml

先贴下所有的配置再做解释

http://www.springframework.org/schema/beans/spring-beans-3.2.xsd

http://www.springframework.org/schema/security

http://www.springframework.org/schema/security/spring-security-3.2.xsd">

/>

先看这个authentication-manager，这是一个认证管理器，用户名密码的认证就是它来干的，Spring security有一套默认的规则，个人认为也没太大必要去改这个默认规则，那就是对根目录下/j_spring_security_check的网络请求，会被作为登陆请求，并获取j_username和j_password作为参数进行用户名密码的匹配，这时候spring会把j_username交给一个provider，这个provider的任务就是根据这个用户名返回一个包含用户名、密码、权限(权限可以是数组)的对象。在这个地方，我用了spring security自己的authentication-provider，引用前面在配置hibernate的配置的数据源，并分别执行两条sql语句去根据用户名查询密码、当前用户是否enable及该用户权限。

登录成功之后，所有的网络请求，都会根据当前用户的role去最前面的intercept-url上去匹配(json和admin后面的两个**，第一个代表通配路径，第二个代表通配子目录)，如果当前用户的权限是ROLE_USER，但是对应url的access域中没有ROLE_USER或者IS_AUTHENTICATED_ANONYMOUSLY(表示允许匿名访问)，那么就不能访问，这时候就会跳转到下面设置的login-page去让用户登录，当然，登录成功之前所有的请求也会经过这个链，所以千万不要把登陆界面设置什么访问权限，要不就死循环了，登录时如果登录成功了会跳转到default-target-url设置的地址，如果登录失败了，则会跳到authentication-failure-url上去，现在我是设置的无论怎么样都跳回根目录。

如果是注销，也有一个默认的规则，就是访问根目录下的j_spring_security_logout就可以了，注销之后页面会跳转到logout-success-url。

5. index.jsp

我们访问根目录会访问HomeController的home方法，之后进入index.jsp上，所以这里就编辑pages/index.jsp(pages是WEB-INF的同级目录)，加上登录用的表单：

Hello World!

${auth }

用户名：
密码：

注销

运行程序，访问项目根目录：

我在index.jsp中使用security的标签获得了一个叫做principal的对象，这个对象在未登录的时候是一个字符串，我把它打印了出来，可以看到值是"anonymousUser"。登录的时候是一个用户对象(不是我们自己定义的那个domain.User，而是spring的一个UserDetails对象)，这个一会登录之后再看。

用zhangsan/123456登录，点登录之后看到，原来打印anonymousUser的地方变成了一个对象的描述：

org.springframework.security.core.userdetails.User@aa9c3074: Username: zhangsan; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN

这时候如果把index.jsp里的${auth}改成${auth.username}就可以打印出zhangsan。接下来访问：http://localhost:8080/demo4ssh-security/json和http://localhost:8080/demo4ssh-security/admin都是可以正确访问的，因为zhangsan是个ROLE_ADMIN，这两个目录都有访问权限，但是，根据前面的配置ROLE_USER是不能访问admin的，下面再次进入根目录，点注销之后用wangwu/234567登录(注销之后如果是打印${auth.username}就会抛异常，因为auth这个对象没有username这个域了)，登录之后发现http://localhost:8080/demo4ssh-security/json依旧可以正常访问，http://localhost:8080/demo4ssh-security/admin却不能访问了：

Spring Security的基本配置就是这样了，相比较前面的几个而言，Spring Security这么基础的配置基本没什么大用，现在谁还能用明文存密码，用加盐的方式MD5加密是好配置的(我写的是用email作为盐，但是出于简单考虑，我这个demo的user表里没有没有email，所以需要用MD5的时候注意一下)，applicationContext-security.xml中有一段被我注释掉的配置就是干这个的，但是，更多的密码存储要比这个还要复杂，而且，没有访问权限也不能返回这么个界面，还是那句话，我现在只想用最简单的方式搭出一个能用的框架，至于这些细节，只要基本框架能跑了就是小意思了，这些问题还是留待以后再写。