spring security配置与分析

最新推荐文章于 2021-09-30 16:51:52 发布
最新推荐文章于 2021-09-30 16:51:52 发布
阅读量612 收藏 1
点赞数 1
分类专栏: Spring框架学习心得
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangbojun888/article/details/41350309
版权

1.web.xml中的配置

  

    

  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>
<span style="font-family:Microsoft YaHei;">      </span><filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping><span style="color:#000000;">
</span>

    在web.xml中需要配置ContextLoaderListener,ContextLoaderListener的作用是启动web容器时,自动装配ApplicationContext的配置信息。因为它实现了ServletContextListener这个接口,在web.xml配置这个监听器,启动容器时,就会默认执行它实现的方法。

  springSecurityFilterChain过滤器的作用在上一篇博客中已经叙述,这里不再阐述。

2.security-applicationContext.xml中的配置


<?xml version="1.0" encoding="UTF-8"?>
<beans:beans  xmlns="http://www.springframework.org/schema/security"
              xmlns:beans="http://www.springframework.org/schema/beans"
              xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
              xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <!-- 以下文件不检查权限 -->
    <http  auto-config="true"><!-- 访问权限 -->
        <!--<custom-filter position="CAS_FILTER" ref="casAuthenticationFilter"></custom-filter>-->
        <custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="myFilter" />
        <form-login login-page="/login.html"
                    authentication-failure-url="/login.html?error=true"
                    login-processing-url="/j_spring_security_check"/>
        <logout logout-url="/logout"/>
    </http>

    <!-- 一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
    我们的所有控制将在这三个类中实现,解释详见具体配置 -->
    <!-- 配置过滤器 -->
    <beans:bean id="myFilter"
                class="org.whut.platform.business.user.security.MySecurityInterceptorFilter">
        <!-- 用户拥有的权限 -->
        <beans:property name="authenticationManager" ref="authenticationManager" />
        <!-- 用户是否拥有所请求资源的权限 -->
        <beans:property name="accessDecisionManager" ref="myAccessDecisionManager" />
        <!-- 资源与权限对应关系 -->
        <beans:property name="securityMetadataSource" ref="mySecurityMetadataSource" />
    </beans:bean>

    <!-- 访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
    <beans:bean id="myAccessDecisionManager"
                class="org.whut.platform.business.user.security.MyAccessDecisionManager">
    </beans:bean>
    <!-- 资源源数据定义,即定义某一资源可以被哪些角色访问 -->
    <beans:bean id="mySecurityMetadataSource"
                class="org.whut.platform.business.user.security.MySecurityMetadataSource"
            >
    </beans:bean>

    <!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->
    <authentication-manager alias="authenticationManager">
        <authentication-provider
                user-service-ref="myUserDeatailsService">
            <password-encoder hash="md5" />
        </authentication-provider>
    </authentication-manager>

    <beans:bean id="myUserDeatailsService" class="org.whut.platform.business.user.security.MyUserDetailsService"/>
</beans:beans>
这是在 security-applicationContext.xml中的配置,下面按照spring security的作用顺序(认证,访问权限决策)来详细分析

3.MySecurityInterceptorFilter

   自定义了一个MySecurityInterceptorFilter,它继承了AbstractSecurityInterceptor,如下面的代码所示:

  


/**
  AbstractSecurityInterceptor确保security interceptor得到正确的启动配置,它将同样实现的对安全对象的操作有:
 1.从SecurityContextHolder对象中获得Authentication对象
 2.依靠对ObjectDefinitionSource查询获得的安全对象访问来判断请求涉及的是一个受保护的对象或是一个公用的对象 .

 如果对象是受保护的,即对于安全对象有一个ConfigAttributeDefinition ,则进行如下流程:
 1.如果Authentication.isAuthenticated()方法返回false,或者alwaysReauthenticate为true,则通过配置的
AuthenticationManager对
 请求进行认证。如果认证成功,将返回的Authentication对象放回SecurityContextHolder中。
 2.通过配置的AccessDecisionManager对请求授权
 3.通过RanAsManager处理所有的run-as替换
 4.将控制传递给实际的子类继续执行。为了确保AbstractSecurityInterceptor被重新调用,当子类完成处理后一个
   InterceptorStatusToken将被返回。具体的子类将通过afterInvocation(InterceptorStatusToken, Object) 方法
<span style="font-family:Microsoft YaHei;">     </span>重新调用AbstractSecurityInterceptor。
 5.如果RunAsManager替换了Authentication对象,则为该对象返回SecurityContextHolder。
 6.如果一个AfterInvocationManager被定义,那么执行它,并允许其替换应返回给调用者的对象。
 对于公共的对象,即对此安全对象没有对应的ConfigAttributeDefinition:
 具体的子类在安全对象被执行后返回的InterceptorStatusToken随后将传回AbstractSecurityInterceptor,Abstract
 SecurityInterceptor在afterInvocation(InterceptorStatusToken,Object)方法被调用后将不继续进行其它动作。
 之后控制重新返回给实际子类,子类将返回结果或异常给原始的调用者
 */

import org.springframework.security.access.SecurityMetadataSource; 
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;

import javax.servlet.*;
import java.io.IOException;

public class MySecurityInterceptorFilter extends AbstractSecurityInterceptor implements
        Filter {
    // 与applicationContext-security.xml里的myFilter的属性securityMetadataSource对应,
    // 其他的两个组件,已经在AbstractSecurityInterceptor定义
    private FilterInvocationSecurityMetadataSource securityMetadataSource;

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

    private void invoke(FilterInvocation fi) throws IOException,
            ServletException {
        // object为FilterInvocation对象
        // super.beforeInvocation(fi);//源码
        // 1.获取请求资源的权限
        //执行 Collection<ConfigAttribute> attributes = securityMetadataSource.getAttributes(fi);
<span style="font-family:Microsoft YaHei;">              //</span>在 AbstractSecurityInterceptor中调用 其实现在MySecurityMetadataSourc<span style="font-family:Microsoft YaHei;">e</span>
        // 2.是否拥有权限
        // this.accessDecisionManager.decide(authenticated, fi, attributes);
        // this.accessDecisionManager.decide(authenticated, fi, attributes);
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
        return securityMetadataSource;
    }

    public void setSecurityMetadataSource(
            FilterInvocationSecurityMetadataSource securityMetadataSource) {
        this.securityMetadataSource = securityMetadataSource;
    }

    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub
    }

    public void destroy() {
        // TODO Auto-generated method stub

    }

    @Override
    public Class<? extends Object> getSecureObjectClass() {
        //下面的MyAccessDecisionManager的supports方面必须放回true,否则会提醒类型错误
        return FilterInvocation.class;
    }
}
这里就不贴出 AbstractSecurityInterceptor的源码了   有兴趣的自己可以去看。

4.MyUserDetailsService类

  MyUserDetailsService类实现了UserDetailService接口

public class MyUserDetailsService implements UserDetailsService {

    private static PlatformLogger logger = PlatformLogger.getLogger(MyUserDetailsService.class);

    @Autowired
    private UserService userService;

    @Autowired
    private UserAuthorityService userAuthorityService;
    /*
    在这个类中实现方法UserDetails loadUserByUsername(String username),从数据库获取用户信息,以及其拥有的角色
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.findByName(username);
        if(user!=null){
            MyUserDetail userDetails = new MyUserDetail();
            userDetails.setUserName(username);
            userDetails.setPassword(user.getPassword());//这里可以从数据库取
            userDetails.setId(user.getId());
            userDetails.setAppId(user.getAppId());
            userDetails.setAuthorities(getUserAuthority(username));
            return userDetails;
        }
        return null;

    }

    //获取用户的授权角色列表
    private List<GrantedAuthority> getUserAuthority(String userName){
        List<UserAuthority> authorityList = userAuthorityService.findByUserName(userName);
        if(authorityList==null) return null;
        List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
        for(UserAuthority userAuthority:authorityList){
            authorities.add(new GrantedAuthorityImpl(userAuthority.getAuthorityName()));
        }
        return authorities;
    }
}
5.MySecurityMetadataSource
  MySecurityMetadataSource的作用是加载资源与权限的对应关系

  

  
/** 
 * 该过滤器的主要作用就是通过spring著名的IoC生成securityMetadataSource。  
 * securityMetadataSource相当于本包中自定义的MySecurityMetadataSource。
 * 该MySecurityMetadataSource的作用提从数据库提取权限和资源,装配到HashMap中,
 * 供Spring Security使用,用于权限校验。  
 * 
 */  
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource,InitializingBean {

    @Autowired
    private AuthorityPowerService authorityPowerServices;

    private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
    private RequestMatcher pathMatcher;

    //由spring调用
    public MySecurityMetadataSource(){

    }

    public Collection<ConfigAttribute> getAllConfigAttributes() {
            return new ArrayList<ConfigAttribute>();  
        }    
        
        public boolean supports(Class<?> clazz) {    
            // TODO Auto-generated method stub    
            return true;    
        }    
        //加载所有资源与权限的关系    
        private void loadResourceDefine(){
            if (resourceMap == null) {  
                resourceMap = new HashMap<String, Collection<ConfigAttribute>>();  
                List<AuthorityPower> resources = authorityPowerServices.getAuthorityPowerList();
                 for (AuthorityPower resource : resources) {

                    Collection<ConfigAttribute> configAttributes = null;
                     if(resourceMap.containsKey(resource.getPowerResource())){
                         ConfigAttribute configAttribute = new SecurityConfig(resource.getAuthorityName());
                      configAttributes = (Collection<ConfigAttribute>)resourceMap.get(resource.getPowerResource());
                         configAttributes.add(configAttribute);
                     }else{
                         configAttributes =  new ArrayList<ConfigAttribute>();
                         /*以权限名封装为Spring的security Object
                         resource.getRoleName() 角色名称 可随意 role_admin  或者 admin
<span style="font-family:Microsoft YaHei;">                                         </span>*/
                         ConfigAttribute configAttribute =
                                 new SecurityConfig(resource.getAuthorityName());
                         configAttributes.add(configAttribute);
                         /*resource.getInterceptUrl() 格式必须是 拦截的包路径
                          */
                         //或者是 比如  /manager/**/*.jh  或者  /system/manager/**/*.jsp 
                     }
                    resourceMap.put(resource.getPowerResource(), configAttributes);
                 }  
            }  
                        
        }    
      //返回所请求资源所需要的权限    
        public Collection<ConfigAttribute> getAttributes(Object object)  
                               throws IllegalArgumentException {    
            Iterator<String> it = resourceMap.keySet().iterator();  
            while (it.hasNext()) {  
                String resURL = it.next();  
                Iterator<String> ite = resourceMap.keySet().iterator();  
                pathMatcher = new AntPathRequestMatcher(resURL);  
            if (pathMatcher.matches(((FilterInvocation) object).getRequest())) {  
                    Collection<ConfigAttribute> returnCollection =  
                                          resourceMap.get(resURL);  
                    return returnCollection;  
                }  
            }  
            return null;  
        }

    @Override
    public void afterPropertiesSet() throws Exception {
        loadResourceDefine();
    }
}
以上就是 security-applicationContext.xml中的配置

当然最重要的是需要在数据库中建立user(用户)、authority(角色)、power(资源)、user_authority、authority_power,五张表。



OPUS
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
applicationContext-security.xml
06-21
用于配置acegi的xml文件,把这个文件加入项目中,然后建立里面的数据库,引入jar包就可以实现权限的管理
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
权限控制:spring 3.0 security配置例子
05-28 772
我几年前自己写过一个后台权限管理的东西,也是基于用户-角色-权限这样的结构,说实话代码结构写得不好,因为是硬编码的形式,虽然功能其实用起来还是挺好用的,用户、角色及权限的管理均可在后台轻松完成,但现在如果再用硬编码的形式写这样的系统就说不过去了。目前关于权限管理的java开源系统比较多,有的比较有名,有的不出名,比如像Spring Security就很出名,在权限管理方面做得也非常全面,子
applicationContext-security笔记
weixin_43292547的博客
05-06 609
/xml配置文件/其他配置/springSecurity配置/applicationContext-security笔记.xml<?xmlversion="1.0"encoding="UTF-8"?> <bean:beansxmlns="http://www.springframework.org/schema/security" xmlns:bean="http://ww...
Spring Security 常用配置详解
MarcoAsensio的博客
02-29 6963
Spring SecuritySpring 家族为我们提供的一款安全管理的框架,它是一个功能强大并且可以灵活定制的身份验证和访问控制框架。Spring Security 侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它非常容易扩展来满足我们的不同需求。 在 SSM 时代,Spring Security 因为繁...
Apache Ranger2 源码导入IDEA并运行调试Hive Policy等
Shlpeng的博客
09-30 973
声明 本文参考自:Apache Ranger 1.1.0源码导入IDEA并运行调试security-admin web模块 故尽量保持了原汁原味。 前言 Apache Ranger是什么,它是一个为Hadoop平台提供了全面的数据安全访问控制及监控的集中式管理框架,Apache顶级项目。不废话了,其实本篇没那么高大上,就是一步步教你如何将Ranger源码导入到IDEA,并运行调试其web模块。 环境说明 环境 版本 备注 s
spring的概要介绍与分析
最新发布
04-30
此外,Spring框架提供了丰富的功能组件,如数据访问(Spring Data JPA、MyBatis等)、Web开发(Spring MVC、Spring Boot等)、消息传递(Spring AMQP、Spring Integration等)和安全性(Spring Security)等。...
Spring Security入门
04-11
本文介绍了Spring Security命名空间配置的核心概念,并说明了Web应用程序中基于表单的简单身份验证所需的设置。
SpringSecurity框架原理.png
09-08
该图是作者在分析SpringSecurity框架源代码之后梳理出来的Spring Security框架得启动原理图,即SpringSecurity是如何获取过滤器参数配置并调用相应的过滤器的;
spring-boot mybaits spring security redis整合
05-14
spring security权限管理。 aop日志记录。 4、调度 ====== Spring task, 可以查询已经注册的任务。立即执行一次任务。 5、缓存和Session =========== 注解redis缓存数据,Spring-session和redis实现分布式...
applicationContext.xml配置详解
公号:一条coding
07-27 1万+
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www...
applicationContext-security
weixin_43292547的博客
05-05 559
/xml配置文件/其他配置/springSecurity配置/applicationContext-security.xml<?xmlversion="1.0"encoding="UTF-8"?> <bean:beansxmlns="http://www.springframework.org/schema/security" xmlns:bean="http://...
spring security3.24后applicationContext-security.xml中schema配置出错解决方法
一名清官
08-11 1万+
我在以前的一个老项目中使用的spring securi
FilterSecurityInterceptor详解
小汤圆
08-14 2332
我们已经有了认证,有了请求的封装,有了Session的关联…还缺一个:由什么控制哪些资源是受限的,这些受限的资源需要什么权限,需要什么角色…这一切和访问控制相关的操作,都是由FilterSecurityInterceptor完成的。 FilterSecurityInterceptor的工作流程用笔者的理解可以理解如下:FilterSecurityInterceptor从SecurityContextHolder中获取Authentication对象,然后比对用户拥有的权限和资源所需的权限。前者可以通过Aut
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
第四部分:spring security使用cas单点登录配置
zh350229319的专栏
01-14 1万+
spring security使用cas单点登录配置
spring security3进级篇III
gaojie1190的专栏
10-31 122
      在spring security3进级篇II中,虽然将用户和权限存入到数据库中,但在配置文件中仍然要对URL地址配置角色进行控制访问,如何将用户,角色,资源存放到数据库中,进行统一管理,逐步实现RBAC的模型呢,这需要更复杂的实现,这一篇将实现将所有的信息存储到数据库中,但不涉及组,许可等表。   1、首先建立数据表 CREATE DATABASE IF NOT EXISTS s...
14. Spring Security 权限鉴定基础
一个人的人生
11-29 841
权限鉴定基础   目录 1.1     Spring Security的AOP Advice思想 1.2     AbstractSecurityInterceptor 1.2.1    ConfigAttribute 1.2.2    RunAsManager 1.2.3    AfterInvocationManager          Spring Security的权限
分析springsecurity源码
03-22
此外,Spring Security 还有很多扩展模块,比如 spring-security-web、spring-security-config 等,它们提供了更多的功能和配置选项。如果你想深入了解 Spring Security 的实现细节,可以逐个分析这些模块的源码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值