1、2012-2-8Spring Security2Spring Security起源Spring Security前身是acegi,作為Spring Framework下最成熟的一個(gè)安全框架,他提供了強(qiáng)大的企業(yè)安全服務(wù),如: 認(rèn)證授權(quán)機(jī)制 Web資源訪問(wèn)控制 業(yè)務(wù)方法調(diào)用訪問(wèn)控制 領(lǐng)域?qū)ο笤L問(wèn)控制Access Control List（ACL） 單點(diǎn)登錄（Central Authentication Service） X509認(rèn)證 信道安全（Channel Security）管理等功能Spring Security是什么？ Spring Security為基于J2EE企業(yè)應(yīng)用軟件提供了全面安全服

2、務(wù)。 特別是使用領(lǐng)先的J2EE解決方案-spring框架開(kāi)發(fā)的企業(yè)軟件項(xiàng)目。 spring security是基于sping core的一個(gè)具體工具實(shí)現(xiàn)，主要用來(lái)管理應(yīng)用程序的安全性，并提供了一組用戶(hù)權(quán)限的解決方案。 簡(jiǎn)單點(diǎn)說(shuō)，以一個(gè)web應(yīng)用程序舉例，sping框架負(fù)責(zé)整個(gè)應(yīng)用程序的構(gòu)架，spring seurity負(fù)責(zé)用戶(hù)登錄和用戶(hù)權(quán)限管理。 4Spring SecuritySpring Security:配置web.xml把下面的filter聲明添加到 web.xml 文件中把下面的filter聲明添加到 web.xml 文件中: springSecurityFilterChain or

3、g.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 5簡(jiǎn)單登錄頁(yè)面 login.jsp *注意：action=“j_spring_security_check“為默認(rèn)提交方式。Username與password的name也是spring security的默認(rèn)名稱(chēng)，不能寫(xiě)成別的名字6ApplicatonContext-security.xml 7ApplicatonContext-security.xml ApplicatonContext-security.xml!- 資源源數(shù)據(jù)定義，

4、即定義某一資源可以被哪些角色訪問(wèn) ruralPost9根據(jù)用戶(hù)名獲取用戶(hù)信息SecurityServiceImpl.javapublic class SecurityServiceImpl implements UserDetailsService public UserDetails loadUserByUsername(String username)throws UsernameNotFoundException, DataAccessException return securityDao.getUserByUsername(username); SecurityDao.javapub

5、lic class SecurityDao extends HibernateDaoSupport public UserDetails getUserByUsername(String username) List list = this. getHibernateTemplate().find(“from LoginUser where account=?”,username);return list.get(0);10LoginUser.javapublic class LoginUser implements UserDetails, Serializable Column(name

6、= ACCOUNT)private String username;Column(name = PASSWORD)private String password;Cache(usage = CacheConcurrencyStrategy.READ_WRITE)private Set roles = new LinkedHashSet();public String getUsername() return this.username;public void setUsername(String username) this.username = username;.11LoginUser.j

7、avaOverridepublic boolean isAccountNonExpired() return true;/判斷登錄的用戶(hù)是否有效Overridepublic boolean isAccountNonLocked() return true;/判斷用戶(hù)名是否被鎖定Overridepublic boolean isCredentialsNonExpired() return true;/判斷用戶(hù)密碼是否有效Overridepublic boolean isEnabled() return this.accountStatus;/判斷登錄用戶(hù)是否可用12LoginUser.javaO

8、verridepublic Collection getAuthorities() Set authSet = new HashSet();for (Role role : this.getRoles() for (Authority auth : role.getAuthorities() authSet.add(new SimpleGrantedAuthority(auth.getAuthName();List authorities = new ArrayList(authSet);return authorities;/返回該用戶(hù)所擁有的權(quán)限名稱(chēng)此時(shí)認(rèn)證成功的話，可根據(jù)配置文件跳轉(zhuǎn)的相

9、應(yīng)的頁(yè)面。根據(jù)配置文件跳轉(zhuǎn)到對(duì)應(yīng)的actionStruts的配置文件: /index.jsp com.zjpost.rural.action.HomeActionObject principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (principal instanceof LoginUser) LoginUser user = (LoginUser)principal;String userName = user.getUsername();Map session = Actio

10、nContext.getContext().getSession();Session.put(“username”,username);Return .15獲得權(quán)限當(dāng)成功通過(guò)驗(yàn)證時(shí)，UserDetails會(huì)被用來(lái) 建立Authentication對(duì)象，保存在SecurityContextHolder里。public Collection getAuthorities() Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (principal instanceof LoginUser) return (LoginUser) principal).getAuthorities();return null;16簡(jiǎn)單回顧Spring Security主要是由以下幾部分組成的：SecurityContextHolder，提供幾種訪問(wèn)SecurityContext的方式。SecurityContext，保存Authentication信息，和請(qǐng)求對(duì)應(yīng)的安全信息。HttpSessionContextIntegrationFilter，為了在不同請(qǐng)求使用，把SecurityContext保存到 HttpSession里。Authentication，展示Spr