码迷,mamicode.com
首页 > 编程语言 > 详细

Spring Security 3.x 完整入门教程

时间:2015-12-31 17:30:19      阅读:278      评论:0      收藏:0      [点我收藏+]

标签:

Spring Security 3.x 出来一段时间了,跟Acegi是大不同了,与2.x的版本也有一些小小的区别,网上有一些文档,也有人翻译Spring Security 3.x的guide,但通过阅读guide,无法马上就能很容易的实现一个完整的实例。

我花了点儿时间,根据以前的实战经验,整理了一份完整的入门教程,供需要的朋友们参考。
1,建一个web project,并导入所有需要的lib,这步就不多讲了。
2,配置web.xml,使用Spring的机制装载:

技术分享<?xml version="1.0" encoding="UTF-8"?>
技术分享<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
技术分享    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
技术分享    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee 
技术分享    http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
技术分享    <context-param>
技术分享        <param-name>contextConfigLocation</param-name>
技术分享        <param-value>classpath:applicationContext*.xml</param-value>
技术分享    </context-param>
技术分享
技术分享    <listener>
技术分享        <listener-class>
技术分享            org.springframework.web.context.ContextLoaderListener
技术分享        </listener-class>
技术分享    </listener>
技术分享
技术分享    <filter>
技术分享        <filter-name>springSecurityFilterChain</filter-name>
技术分享        <filter-class>
技术分享            org.springframework.web.filter.DelegatingFilterProxy
技术分享        </filter-class>
技术分享    </filter>
技术分享    <filter-mapping>
技术分享        <filter-name>springSecurityFilterChain</filter-name>
技术分享        <url-pattern>/*</url-pattern>
技术分享    </filter-mapping>
技术分享
技术分享
技术分享    <welcome-file-list>
技术分享        <welcome-file>login.jsp</welcome-file>
技术分享    </welcome-file-list>
技术分享</web-app>
技术分享

这个文件中的内容我相信大家都很熟悉了,不再多说了。

2,来看看applicationContext-security.xml这个配置文件,关于Spring Security的配置均在其中:

技术分享<?xml version="1.0" encoding="UTF-8"?>
技术分享<beans:beans xmlns="http://www.springframework.org/schema/security"
技术分享    xmlns:beans="http://www.springframework.org/schema/beans"
技术分享    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
技术分享    xsi:schemaLocation="http://www.springframework.org/schema/beans
技术分享           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
技术分享           http://www.springframework.org/schema/security
技术分享           http://www.springframework.org/schema/security/spring-security-3.0.xsd">
技术分享
技术分享    <http access-denied-page="/403.jsp"><!-- 当访问被拒绝时,会转到403.jsp -->
技术分享        <intercept-url pattern="/login.jsp" filters="none" />
技术分享        <form-login login-page="/login.jsp"
技术分享            authentication-failure-url="/login.jsp?error=true"
技术分享            default-target-url="/index.jsp" />
技术分享        <logout logout-success-url="/login.jsp" />
技术分享        <http-basic />
技术分享        <!-- 增加一个filter,这点与Acegi是不一样的,不能修改默认的filter了,这个filter位于FILTER_SECURITY_INTERCEPTOR之前 -->
技术分享        <custom-filter before="FILTER_SECURITY_INTERCEPTOR"
技术分享            ref="myFilter" />
技术分享    </http>
技术分享
技术分享    <!-- 一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
技术分享    我们的所有控制将在这三个类中实现,解释详见具体配置 -->
技术分享    <beans:bean id="myFilter" class="com.robin.erp.fwk.security.MyFilterSecurityInterceptor">
技术分享        <beans:property name="authenticationManager"
技术分享            ref="authenticationManager" />
技术分享        <beans:property name="accessDecisionManager"
技术分享            ref="myAccessDecisionManagerBean" />
技术分享        <beans:property name="securityMetadataSource"
技术分享            ref="securityMetadataSource" />
技术分享    </beans:bean>
技术分享    
技术分享    <!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->
技术分享    <authentication-manager alias="authenticationManager">
技术分享        <authentication-provider
技术分享            user-service-ref="myUserDetailService">
技术分享            <!--   如果用户的密码采用加密的话,可以加点“盐”
技术分享                <password-encoder hash="md5" />
技术分享            -->
技术分享        </authentication-provider>
技术分享    </authentication-manager>
技术分享    <beans:bean id="myUserDetailService"
技术分享        class="com.robin.erp.fwk.security.MyUserDetailService" />
技术分享
技术分享    <!-- 访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
技术分享    <beans:bean id="myAccessDecisionManagerBean"
技术分享        class="com.robin.erp.fwk.security.MyAccessDecisionManager">
技术分享    </beans:bean>
技术分享    
技术分享    <!-- 资源源数据定义,即定义某一资源可以被哪些角色访问 -->
技术分享    <beans:bean id="securityMetadataSource"
技术分享        class="com.robin.erp.fwk.security.MyInvocationSecurityMetadataSource" />
技术分享
技术分享</beans:beans>
技术分享


3,来看看自定义filter的实现:

技术分享package com.robin.erp.fwk.security;
技术分享import java.io.IOException;
技术分享
技术分享import javax.servlet.Filter;
技术分享import javax.servlet.FilterChain;
技术分享import javax.servlet.FilterConfig;
技术分享import javax.servlet.ServletException;
技术分享import javax.servlet.ServletRequest;
技术分享import javax.servlet.ServletResponse;
技术分享
技术分享import org.springframework.security.access.SecurityMetadataSource;
技术分享import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
技术分享import org.springframework.security.access.intercept.InterceptorStatusToken;
技术分享import org.springframework.security.web.FilterInvocation;
技术分享import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
技术分享
技术分享public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor
技术分享技术分享        implements Filter 技术分享{
技术分享
技术分享    private FilterInvocationSecurityMetadataSource securityMetadataSource;
技术分享
技术分享    // ~ Methods
技术分享    // ========================================================================================================
技术分享
技术分享技术分享    /** *//**
技术分享     * Method that is actually called by the filter chain. Simply delegates to
技术分享     * the {@link #invoke(FilterInvocation)} method.
技术分享     * 
技术分享     * @param request
技术分享     *            the servlet request
技术分享     * @param response
技术分享     *            the servlet response
技术分享     * @param chain
技术分享     *            the filter chain
技术分享     * 
技术分享     * @throws IOException
技术分享     *             if the filter chain fails
技术分享     * @throws ServletException
技术分享     *             if the filter chain fails
技术分享     */
技术分享    public void doFilter(ServletRequest request, ServletResponse response,
技术分享技术分享            FilterChain chain) throws IOException, ServletException 技术分享{
技术分享        FilterInvocation fi = new FilterInvocation(request, response, chain);
技术分享        invoke(fi);
技术分享    }
技术分享
技术分享技术分享    public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() 技术分享{
技术分享        return this.securityMetadataSource;
技术分享    }
技术分享
技术分享技术分享    public Class<? extends Object> getSecureObjectClass() 技术分享{
技术分享        return FilterInvocation.class;
技术分享    }
技术分享
技术分享    public void invoke(FilterInvocation fi) throws IOException,
技术分享技术分享            ServletException 技术分享{
技术分享        InterceptorStatusToken token = super.beforeInvocation(fi);
技术分享技术分享        try 技术分享{
技术分享            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
技术分享技术分享        } finally 技术分享{
技术分享            super.afterInvocation(token, null);
技术分享        }
技术分享    }
技术分享
技术分享技术分享    public SecurityMetadataSource obtainSecurityMetadataSource() 技术分享{
技术分享        return this.securityMetadataSource;
技术分享    }
技术分享
技术分享    public void setSecurityMetadataSource(
技术分享技术分享            FilterInvocationSecurityMetadataSource newSource) 技术分享{
技术分享        this.securityMetadataSource = newSource;
技术分享    }
技术分享
技术分享    @Override
技术分享技术分享    public void destroy() 技术分享{
技术分享    }
技术分享
技术分享    @Override
技术分享技术分享    public void init(FilterConfig arg0) throws ServletException 技术分享{
技术分享    }
技术分享
技术分享}

最核心的代码就是invoke方法中的InterceptorStatusToken token = super.beforeInvocation(fi);这一句,即在执行doFilter之前,进行权限的检查,而具体的实现已经交给accessDecisionManager了,下文中会讲述。

4,来看看authentication-provider的实现:

技术分享package com.robin.erp.fwk.security;
技术分享import java.util.ArrayList;
技术分享import java.util.Collection;
技术分享
技术分享import org.springframework.dao.DataAccessException;
技术分享import org.springframework.security.core.GrantedAuthority;
技术分享import org.springframework.security.core.authority.GrantedAuthorityImpl;
技术分享import org.springframework.security.core.userdetails.User;
技术分享import org.springframework.security.core.userdetails.UserDetails;
技术分享import org.springframework.security.core.userdetails.UserDetailsService;
技术分享import org.springframework.security.core.userdetails.UsernameNotFoundException;
技术分享
技术分享技术分享public class MyUserDetailService implements UserDetailsService 技术分享{
技术分享
技术分享    @Override
技术分享    public UserDetails loadUserByUsername(String username)
技术分享技术分享            throws UsernameNotFoundException, DataAccessException 技术分享{
技术分享        Collection<GrantedAuthority> auths=new ArrayList<GrantedAuthority>();
技术分享        GrantedAuthorityImpl auth2=new GrantedAuthorityImpl("ROLE_ADMIN");
技术分享        auths.add(auth2);
技术分享技术分享        if(username.equals("robin1"))技术分享{
技术分享            auths=new ArrayList<GrantedAuthority>();
技术分享            GrantedAuthorityImpl auth1=new GrantedAuthorityImpl("ROLE_ROBIN");
技术分享            auths.add(auth1);
技术分享        }
技术分享        
技术分享//        User(String username, String password, boolean enabled, boolean accountNonExpired,
技术分享//                    boolean credentialsNonExpired, boolean accountNonLocked, Collection<GrantedAuthority> authorities) {
技术分享        User user = new User(username,
技术分享                "robin", true, true, true, true, auths);
技术分享        return user;
技术分享    }
技术分享    
技术分享}

在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等,我想这么简单的代码就不再多解释了。

5,对于资源的访问权限的定义,我们通过实现FilterInvocationSecurityMetadataSource这个接口来初始化数据。

技术分享package com.robin.erp.fwk.security;
技术分享import java.util.ArrayList;
技术分享import java.util.Collection;
技术分享import java.util.HashMap;
技术分享import java.util.Iterator;
技术分享import java.util.Map;
技术分享
技术分享import org.springframework.security.access.ConfigAttribute;
技术分享import org.springframework.security.access.SecurityConfig;
技术分享import org.springframework.security.web.FilterInvocation;
技术分享import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
技术分享import org.springframework.security.web.util.AntUrlPathMatcher;
技术分享import org.springframework.security.web.util.UrlMatcher;
技术分享
技术分享技术分享/** *//**
技术分享 * 
技术分享 * 此类在初始化时,应该取到所有资源及其对应角色的定义
技术分享 * 
技术分享 * @author Robin
技术分享 * 
技术分享 */
技术分享public class MyInvocationSecurityMetadataSource
技术分享技术分享        implements FilterInvocationSecurityMetadataSource 技术分享{
技术分享    private UrlMatcher urlMatcher = new AntUrlPathMatcher();;
技术分享    private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
技术分享
技术分享技术分享    public MyInvocationSecurityMetadataSource() 技术分享{
技术分享        loadResourceDefine();
技术分享    }
技术分享
技术分享技术分享    private void loadResourceDefine() 技术分享{
技术分享        resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
技术分享        Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
技术分享        ConfigAttribute ca = new SecurityConfig("ROLE_ADMIN");
技术分享        atts.add(ca);
技术分享        resourceMap.put("/index.jsp", atts);
技术分享        resourceMap.put("/i.jsp", atts);
技术分享    }
技术分享
技术分享    // According to a URL, Find out permission configuration of this URL.
技术分享    public Collection<ConfigAttribute> getAttributes(Object object)
技术分享技术分享            throws IllegalArgumentException 技术分享{
技术分享        // guess object is a URL.
技术分享        String url = ((FilterInvocation)object).getRequestUrl();
技术分享        Iterator<String> ite = resourceMap.keySet().iterator();
技术分享技术分享        while (ite.hasNext()) 技术分享{
技术分享            String resURL = ite.next();
技术分享技术分享            if (urlMatcher.pathMatchesUrl(resURL, url)) {
技术分享                return resourceMap.get(resURL);
技术分享            }
技术分享        }
技术分享        return null;
技术分享    }
技术分享
技术分享技术分享    public boolean supports(Class<?> clazz) 技术分享{
技术分享        return true;
技术分享    }
技术分享    
技术分享技术分享    public Collection<ConfigAttribute> getAllConfigAttributes() 技术分享{
技术分享        return null;
技术分享    }
技术分享
技术分享}

看看loadResourceDefine方法,我在这里,假定index.jsp和i.jsp这两个资源,需要ROLE_ADMIN角色的用户才能访问。
这个类中,还有一个最核心的地方,就是提供某个资源对应的权限定义,即getAttributes方法返回的结果。注意,我例子中使用的是AntUrlPathMatcher这个path matcher来检查URL是否与资源定义匹配,事实上你还要用正则的方式来匹配,或者自己实现一个matcher。

6,剩下的就是最终的决策了,make a decision,其实也很容易,呵呵。

技术分享package com.robin.erp.fwk.security;
技术分享import java.util.Collection;
技术分享import java.util.Iterator;
技术分享
技术分享import org.springframework.security.access.AccessDecisionManager;
技术分享import org.springframework.security.access.AccessDeniedException;
技术分享import org.springframework.security.access.ConfigAttribute;
技术分享import org.springframework.security.access.SecurityConfig;
技术分享import org.springframework.security.authentication.InsufficientAuthenticationException;
技术分享import org.springframework.security.core.Authentication;
技术分享import org.springframework.security.core.GrantedAuthority;
技术分享
技术分享
技术分享技术分享public class MyAccessDecisionManager implements AccessDecisionManager 技术分享{
技术分享
技术分享    //In this method, need to compare authentication with configAttributes.
技术分享    // 1, A object is a URL, a filter was find permission configuration by this URL, and pass to here.
技术分享    // 2, Check authentication has attribute in permission configuration (configAttributes)
技术分享    // 3, If not match corresponding authentication, throw a AccessDeniedException.
技术分享    public void decide(Authentication authentication, Object object,
技术分享            Collection<ConfigAttribute> configAttributes)
技术分享技术分享            throws AccessDeniedException, InsufficientAuthenticationException 技术分享{
技术分享技术分享        if(configAttributes == null)技术分享{
技术分享            return ;
技术分享        }
技术分享        System.out.println(object.toString());  //object is a URL.
技术分享        Iterator<ConfigAttribute> ite=configAttributes.iterator();
技术分享技术分享        while(ite.hasNext())技术分享{
技术分享            ConfigAttribute ca=ite.next();
技术分享            String needRole=((SecurityConfig)ca).getAttribute();
技术分享技术分享            for(GrantedAuthority ga:authentication.getAuthorities())技术分享{
技术分享技术分享                if(needRole.equals(ga.getAuthority()))技术分享{  //ga is user‘s role.
技术分享                    return;
技术分享                }
技术分享            }
技术分享        }
技术分享        throw new AccessDeniedException("no right");
技术分享    }
技术分享
技术分享    @Override
技术分享技术分享    public boolean supports(ConfigAttribute attribute) 技术分享{
技术分享        // TODO Auto-generated method stub
技术分享        return true;
技术分享    }
技术分享
技术分享    @Override
技术分享技术分享    public boolean supports(Class<?> clazz) 技术分享{
技术分享        return true;
技术分享    }
技术分享
技术分享
技术分享}
技术分享

在这个类中,最重要的是decide方法,如果不存在对该资源的定义,直接放行;否则,如果找到正确的角色,即认为拥有权限,并放行,否则throw new AccessDeniedException("no right");这样,就会进入上面提到的403.jsp页面。

Spring Security 3.x 完整入门教程

标签:

原文地址:http://www.cnblogs.com/jizhuan/p/5092288.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!