Spring中集成Acegi 2.x安全框架——基于数据库配置

最新推荐文章于 2024-11-14 13:49:39 发布
最新推荐文章于 2024-11-14 13:49:39 发布
阅读量117 收藏
点赞数
分类专栏: acegi 文章标签: Acegi Spring 框架 配置管理 数据结构
一、数据库结构
采用常用的用户——角色——资源结构

[img]http://www.iteye.com/upload/picture/pic/22461/8a1931c3-c81e-321a-a29d-97c5740bf335-thumb.jpg[/img]

二、在web.xml的配置 

	<!-- Acegi filter -->
	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
	    <filter-name>springSecurityFilterChain</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>



三、在applicationContext-security.xml中的配置 

<b:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:b="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd"
	default-autowire="byName" default-lazy-init="true">

	<b:bean id="springSecurityFilterChain"
		class="org.springframework.security.util.FilterChainProxy">
		<filter-chain-map path-type="ant">
			<filter-chain pattern="/**"
				filters="httpSessionContextIntegrationFilter,authenticationProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor" />
		</filter-chain-map>
	</b:bean>

	<!-- 这样 SecurityContext可以在web请求的开始阶段通过 SecurityContextHolder建立,然后 SecurityContext的任何修改都会在web请求结束的时候(为下一个web请求做准备)复制到 HttpSession中  -->
	<b:bean id="httpSessionContextIntegrationFilter"
		class="org.springframework.security.context.HttpSessionContextIntegrationFilter" />

	<!-- 用户名、密码验证 -->
	<b:bean id="authenticationProcessingFilter"
		class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter">
		<b:property name="authenticationManager"
			ref="authenticationManager" />
		<b:property name="authenticationFailureUrl"
			value="/login.jsp?login_error=1" />
		<b:property name="defaultTargetUrl" value="/index.jsp" />
		<b:property name="filterProcessesUrl"
			value="/j_spring_security_check" />
	</b:bean>

	<!-- 用来捕捉 Spring Security异常,这样,可能返回一个HTTP错误响应,或者执行一个对应的 AuthenticationEntryPoint。 -->
	<b:bean id="exceptionTranslationFilter"
		class="org.springframework.security.ui.ExceptionTranslationFilter">
		<b:property name="authenticationEntryPoint"
			ref="authenticationProcessingFilterEntryPoint" />
		<b:property name="accessDeniedHandler">
			<b:bean
				class="org.springframework.security.ui.AccessDeniedHandlerImpl">
				<b:property name="errorPage" value="/accessDenied.jsp" />
			</b:bean>
		</b:property>
	</b:bean>

	<!-- 保护web URI -->
	<b:bean id="filterInvocationInterceptor"
		class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
		<b:property name="authenticationManager"
			ref="authenticationManager" />
		<b:property name="accessDecisionManager"
			ref="accessDecisionManager" />
		<b:property name="objectDefinitionSource"
			ref="secureResourceFilter" />
	</b:bean>

	<!-- 认证管理器 -->
	<b:bean id="authenticationManager"
		class="org.springframework.security.providers.ProviderManager">
		<b:property name="providers">
			<b:list>
				<b:ref bean="daoAuthenticationProvider" />
			</b:list>
		</b:property>
		<b:property name="sessionController" ref="concurrentSessionController" />
	</b:bean>

	<!-- 并发访问控制 -->
	<b:bean id="concurrentSessionController"
		class="org.springframework.security.concurrent.ConcurrentSessionControllerImpl">
		<b:property name="maximumSessions" value="1" />
		<b:property name="exceptionIfMaximumExceeded" value="true"></b:property>
		<b:property name="sessionRegistry">
			<b:bean class="org.springframework.security.concurrent.SessionRegistryImpl"/>
		</b:property>
	</b:bean>

	<!-- dao身份认证提供者,从数据库中获取用户信息,包括用户名和密码 -->
	<b:bean id="daoAuthenticationProvider" class="org.springframework.security.providers.dao.DaoAuthenticationProvider">
		<b:property name="userDetailsService" ref="userDetailsService" />
	</b:bean>

	<!-- 
	访问决策管理器 
		 Acegi提供三种投票通过策略的实现:
         1、AffirmativeBased(至少一个投票者同意方可通过)
         2、ConsensusBased(多数投票者同意方可通过)
         3、UnanimousBased(所有投票者同意方可通过)
	-->
	<b:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
		<b:property name="allowIfAllAbstainDecisions" value="false" /><!-- 设定是否允许 “没人反对就通过” 的投票策略 --> 
		<b:property name="decisionVoters"><!-- 投票者 --> 
			<b:list>
				<b:bean class="org.springframework.security.vote.RoleVoter" />
			</b:list>
		</b:property>
	</b:bean>


	<!-- 自定义的FilterInvocationDefinitionSource,在Spring Security需要对请求页面检测权限的时候调用 -->
	<b:bean id="secureResourceFilter"
		class="com.ywlqi.common.components.acegi.filter.MySecureResourceFilter">
		<b:property name="resourceService" ref="resourceService" />
		<b:property name="protectAllResource" value="true"></b:property>
		<b:property name="useAntPath" value="true"></b:property>
	</b:bean>

	<!-- 如果用户请求受保护的HTTP请求,但是他们没有认证时被调用 -->
	<b:bean id="authenticationProcessingFilterEntryPoint"
		class="org.springframework.security.ui.webapp.AuthenticationProcessingFilterEntryPoint">
		<b:property name="loginFormUrl" value="/login.jsp" />
		<b:property name="forceHttps" value="false" />
	</b:bean>

	<b:bean id="loggerListener"
		class="org.springframework.security.event.authentication.LoggerListener" />

	<b:bean id="userDetailsService"
		class="com.ywlqi.common.components.acegi.service.UserDetailServiceImpl">
		<b:property name="userService" ref="userService" />
	</b:bean>

	<!-- 自定义的用户、角色、资源管理 -->
	<b:bean id="userService" class="com.ywlqi.common.components.acegi.service.UserService" parent="baseService"/>

	<b:bean id="resourceService" class="com.ywlqi.common.components.acegi.service.ResourceService" parent="baseService" />

	<b:bean id="roleService" class="com.ywlqi.common.components.acegi.service.RoleService" parent="baseService" />
</b:beans>


三、userDetailsService 代码 
public class UserDetailServiceImpl implements UserDetailsService{

	private UserService userService;
	public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException, DataAccessException {
		// TODO Auto-generated method stub
		User user = userService.getUserByName(userName);
		if (user == null)
			throw new UsernameNotFoundException(userName + " not found");

		List<GrantedAuthority> authsList = new ArrayList<GrantedAuthority>();

		Set<Role> roles = user.getRoles();

		for (Role role : roles) {
			authsList.add(new GrantedAuthorityImpl(role.getName()));
		}

		org.springframework.security.userdetails.User userdetail = new org.springframework.security.userdetails.User(
				user.getName(), user.getPasswd(), user.isEnabled(), true, true, true, authsList
						.toArray(new GrantedAuthority[0]));

		return userdetail;
	}
	public void setUserService(UserService userService) {
		this.userService = userService;
	}

}


四、MySecureResourceFilter 代码 
	public ConfigAttributeDefinition getAttributes(Object filter)
			throws IllegalArgumentException {
		// TODO Auto-generated method stub
		FilterInvocation filterInvocation = (FilterInvocation) filter;

		String url = filterInvocation.getRequestUrl();
		url = preDealUrl(url, isUseAntPath(),
				isConvertUrlToLowercaseBeforeComparison());

		List<Resource> resourceList = resourceService.getResourcesByType("URL");

		Set<Role> authorities = new HashSet<Role>();

		for (Iterator iterator = resourceList.iterator(); iterator.hasNext();) {
			Resource resource = (Resource) iterator.next();
			if (isResourceMatch(isUseAntPath(), url, resource.getResString())) {
				CollectionUtils.addAll(authorities, resource.getRoles().iterator());
			}
		}
		ConfigAttributeEditor configAttrEditor = new ConfigAttributeEditor();
		StringBuffer rolesList = new StringBuffer();
		for (Role role : authorities) {
			rolesList.append(role.getName());
			rolesList.append(",");
		}

		if (rolesList.length() > 0)
			rolesList.replace(rolesList.length() - 1, rolesList.length() + 1, "");

		configAttrEditor.setAsText(rolesList.toString());
		return (ConfigAttributeDefinition) configAttrEditor.getValue();

	}


到这里为止,基于数据库的acegi配置就完成了,在配置的过程中我有些疑问,希望能得到高手的解答:

1、 
<authentication-manager alias="authenticationManager" />

这个标签究竟应该怎么使用?貌似是定义认证管理器的,但不知道在哪自定义认证提供者
2、 

<http auto-config="true" lowercase-comparisons="true"
		path-type="ant" access-decision-manager-ref="accessDecisionManager"
		access-denied-page="/403.jsp" >
		<concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="true" />
		<form-login login-page="/login.jsp" authentication-failure-url="/login.jsp" default-target-url="/index.jsp" />
		<logout logout-success-url="/login.jsp" />
	</http>

定义这个标签后,貌似 
<b:bean id="springSecurityFilterChain"
		class="org.springframework.security.util.FilterChainProxy">
		<filter-chain-map path-type="ant">
			<filter-chain pattern="/**"
				filters="httpSessionContextIntegrationFilter,authenticationProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor" />
		</filter-chain-map>
	</b:bean>

就不起作用了,debug显示加载了默认的Filter :( 
	<b:bean id="filterInvocationInterceptor"
		class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
		<b:property name="authenticationManager" ref="authenticationManager" />
		<b:property name="accessDecisionManager" ref="accessDecisionManager" />
		<b:property name="objectDefinitionSource" ref="secureResourceFilter" />
	</b:bean>
的配置也不起作用了,同样是加载了默认的配置
yangwlqi
关注
专栏目录
XML Schema
coding change your life
05-11 310
XML Schema 是DTD的替代者。 XML Schema 用于描述XML 文档的结构。XML Schema 语言也称作XML Schema 定义(XML Schema Definition,XSD)。 XML Schema:     • 定义可出现在文档的元素     • 定义可出现在文档的属性     • 定义哪个元素是子元素     • 定义子元素的次序     • 定义
在项目SpringAcegi安全框架的步骤
软件工程 plus 人工智能
09-25 887
0、准备:配置数据源 1、配置认证管理器(org.acegisecurity.providers.ProviderManager) 1.1声明一个DAO认证提供者 即:配置AuthenticationDao的实例(依赖0步骤):        Acegi提供了两个可供选择的AuthenticationDao的实例:InMemoryDaoImpl(内存DAO)和JdbcDaoImpl(J
精通Spring 2.x —— 企业应用开发详解
xenron的专栏
03-04 3214
 第1篇  概述 第1章  Spring概述 21.1  认识Spring 31.2  Spring带给我们什么 51.3  Spring体系结构 61.4  Spring 2.0的新功能 71.4.1  简化配置文件编写,增强配置文件1.4.1  的扩展性 71.4.2  新Bean的作用域 81.4.3  AOP的增强 81.4.4  持久层的增
在项目应用SpringAcegi安全框架的步骤
小头猪
11-26 158
0、准备:配置数据源 1、配置认证管理器(org.acegisecurity.providers.ProviderManager) 1.1声明一个DAO认证提供者 即:配置AuthenticationDao的实例(依赖0步骤): Acegi提供了两个可供选择的AuthenticationDao的实例:InMemoryDaoImpl(内存DAO)和JdbcDao...
SpringSecurity安全框架 ——认证与授权
让优秀成为一种习惯!
12-23 6005
Security是一个基于Spring框架安全框架,可用于对Java应用程序进行身份验证、授权和其他安全性功能的添加。它不仅可以对Web应用程序进行保护,还可以保护非Web环境下的应用程序,如远程服务和命令行应用程序等。提供了一系列可插拔的安全性特性,如基于标记的身份验证、权限控制、会话管理、密码加密等。它还支持多种安全性协议和标准,如OAuthSAMLOpenID等,可与各种身份提供商集成
Java应用程序安全框架
Herishwater的博客
12-05 1351
在构建应用程序时,必须首先考虑其安全性。每个应用程序都是通过网络发布的,随之而来的是安全、隐私和完整性风险的威胁。本文列举市面上比较热门的安全框架,并最终选择使用Spring Security。
Spring学习总结——Spring概念详解
weixin_45919347的博客
01-08 300
Spring是一个开源框架Spring是于2003 年兴起的一个轻量级的Java 开发框架,由Rod Johnson创建。简单来说,Spring是一个分层的JavaSE/EEfull-stack(一站式) 轻量级开源框架。你可能正在想“Spring不过是另外一个的framework”。当已经有许多开放源代码(和专有)J2EEframework时,我们为什么还需要Spring Framework?...
安全权限框架——Shiro使用(篇一)
baidu_38379823的博客
09-05 247
前言: 目前有两款主要使用的安全权限框架SpringAcegi) Security: 优点:功能非常强大。能够和Spring整合特别的容易。 缺点:学习难度大。 Apache Shiro: 优点:学习简单。 缺点:功能没有那么强大。 正文: (Shiro我将分为两篇文章,此为第一篇) 1、Apache Shiro Apache Shiro 是 Java 的一个安全(权限...
Spring Mybatis log4j日志配置详解
Web3 & Basketball
11-12 1226
SLF4J Apache Commons Logging Log4j 2 Log4j JDK logging具体选择哪个日志实现工具由MyBatis的内置日志工厂确定。它会使用最先找到的(按上文列举的顺序查找)。 如果一个都未找到,日志功能就会被禁用。不少应用服务器的classpath已经包含Commons Logging,如Tomcat和WebShpere, 所以MyBatis会把它作为具体的日志实现。记住这点非常重要。这将意味着,在诸如 WebSphere的环境——WebSphere提供了Commo
Spring Acegi实战:构建Web应用安全框架
该文章由作者“一餐三碗”撰写,主要讲解如何在Spring应用有效地集成Acegi,以及如何配置和扩展此框架以满足实际项目需求。 在使用Acegi时,首先要了解其特性。Acegi Security System for Spring (Acegi)是一个...
Acegi安全系统与Spring集成的手册——Web应用保护
"Spring+Acegi手册文版提供了关于如何在Spring应用集成和使用Acegi安全系统的详细指南。" Spring+Acegi手册是针对Java开发者的一份重要参考资料,主要聚焦于如何在Spring应用程序实现高级的安全管理。Acegi...
Spring 3.x深度解析与实战指南
本书《Spring 3.x企业应用开发实战》基于《精通Spring2.x——企业应用开发详解》,作者陈雄华和林开雄对内容进行了深度调整和改版。书保持了深入浅出,注重原理的讲解风格,不仅教会读者如何使用Spring的各项功能...
Spring框架深度解析——官方指南
"这是一份Spring框架的详细指导文档,由Spring框架的原作者们编著,涵盖了Spring的核心概念如AOP(面向切面编程)、IOC(依赖注入)、Java Bean、安全(security)、事务管理(transaction manager)等多个关键模块。...
Spring框架深度总结——田超凡
9. **安全控制(Security)**:Spring Security(前身为Acegi)提供了一套全面的安全管理框架,包括认证、授权等功能。 Spring框架的两个主要目标是简化JavaEE开发和促进现有技术的使用。通过提供一个统一的编程模型...
数据结构】C语言二叉树求度为2的结点的个数、交换二叉树的左右子树、二叉树先序输出各结点及其层次
samroom的博客
11-11 590
编写算法,在以二叉链表存储的二叉树,按先序次序输出各结点的内容及相应的层次数,要求以二元组的形式输出。(输出格式参见样例)编写算法,在以二叉链表存储的二叉树,交换二叉树各结点的左右子树。编写算法,在以二叉链表存储的二叉树,求度为2的结点的个数。
SystemVerilog学习笔记(八):循环
qq_38156104的博客
11-11 952
循环只不过是将需要多次运行的语句包含在循环,而不是重复编写这些语句。循环将根据条件语句运行多次,如果条件始终为真,则它会变成无限循环,系统将挂起。
数据结构】实验二 单链表的基本操作
最新发布
drt_0506的博客
11-14 251
1)根据输入的一系列整数,以0标志结束,用头插法建立单链表,并输出单链表各元素值,观察输入的内容与输出的内容是否一致。4)在单链表查找第i个元素,如果查找成功,则显示该元素的值,否则显示该元素不存在。2)在单链表的第i个元素之前插入一个值为x的元素,并输出插入后的单链表各元素值。3)删除单链表第i个元素,并输出删除后的单链表各元素值。掌握链表基本操作的算法实现,以及对相应算法的性能分析。掌握线性表的链式存储结构的表示和实现方法。
Redis简介、数据结构、高性能读写、持久化机制、分布式架构
weixin_42267411的博客
11-14 1109
Redis简介、数据结构、高性能读写、持久化机制、分布式架构
数据结构-查找以及效率分析
dametime_的博客
11-11 290
将被查概率高的放到靠前位置,可以提高查找成功的效率,但对于查找失败的情况需要从头看到尾,因为无序排列,根据实际情况选择不同的方式,经常查找成功可以考虑上图方式。折半查找的查找效率,绿色节点为查找成功,紫色为查找失败,一共11个结点,每一层结点的数量*查到该层结点需要的步数的综合/11就是成功的ASL,失败同理。因为右子树的节点数一定比左子树多1个或等于左子树的结点,所以当两个数折半查找,画出查找判断树,2结点在右子树。所以要想算出他们的查找效率,我们需要画出来对应的查找判定树(根据折半查找的思想画图)
Acegi安全框架Spring Web应用的实战指南
`WEB-INF`目录包含所有必要的配置文件,如`web.xml`(定义应用的部署描述符),`applicationContext-basic.xml`(基础Spring配置),`applicationContext-security-acegi.xml`(Acegi安全配置),以及`log4j....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值