Spring Security 从配置入门 学习讲解

首先，Spring Security 到底是用来干嘛的？

再次，Security 是怎么工作的？

 

最后，我们为什么要用Security。

--------------------------------------------------------------------------

我先大体上说下security的工作流程：

　　　Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求，并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器，它们能够拦截Servlet请求，并将这些请求转给认证和访问决策管理器处理，从而增强安全性。根据自己的需要，可以使用表7.4中所列的几个过滤器来保护自己的应用程序。http://baike.baidu.com/link?url=LhguUpz1g7MnakDzFDFRK9D7n6u6wFffzSbJ7Zkcq3QMDNy741SpXMVGAb4jfz_GAa5J0ORkYvKEGYOD2bIQsa

对于概念，百度百科上的说很明了。

　　在我们访问一个资源的之前，会被AuthenticationProcessingFilter(这个过滤器我们会重写)拦截，然后它会调用securityMetadataSource来获取被访问资源所对应的权限集合，然后调用accessDecisionManager 来确认，我们用户是否有权限访问这个资源。

 

---------------------------说了这么多 ，还没见代码。-------------------------------

每个项目的访问入口都是 web.xml，那我们就看他的代码：

 

<?xml version="1.0" encoding="UTF-8"?><web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">  <display-name>SpringSecurityDemo</display-name>  <welcome-file-list>    <welcome-file>index.jsp</welcome-file>  </welcome-file-list>    <!-- 加载Spring security XML 配置文件      为什么要配置这个文件？！！！      因为百度！ security是什么？  就是依靠一个特殊的过滤器（DelegatingFilterProxy，他是干嘛的？！），      依靠他来委托一个在spring上下文的一个bean完成工作。      而这个Bean，说白了就是一个过滤器。   -->  <context-param>        <param-name>contextConfigLocation</param-name>        <param-value>        /WEB-INF/securityConfig.xml        </param-value>    </context-param>          <!-- Spring 容器监听，这尼玛又是个什么东东？       listener. 哦 ，是个监听器啊。      看看他的源码      public void contextInitialized(ServletContextEvent event)    {        contextLoader = createContextLoader();        if(contextLoader == null)            contextLoader = this;        contextLoader.initWebApplicationContext(event.getServletContext());    }        瞅见了么，就特么是来加载上面配置的securityConfig.xml文件   -->  <listener>      <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  </listener>    <!-- 看吧，这就是看个特殊的过滤器，撒手掌柜了，他到底干什么了，为什么我们要配置他？      我们来扒开他的皮，瞅一瞅吧，      //这是他的doFilter方法       public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)        throws ServletException, IOException    {        Filter delegateToUse = null;        synchronized(delegateMonitor)        {            if(_flddelegate == null)   //如果bean为空            {                WebApplicationContext wac = findWebApplicationContext();  //给我拿来配置文件                if(wac == null)            //虾米？配置文件为空？！  妈的，给老子抛异常！ 你给老子监听的配置吃啦？！                    throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener registered?");                _flddelegate = initDelegate(wac);   //这是什么？猜都出来了，在配置文件里召唤bean(感情配置文件就是人才市场，掌柜的招小工了..)            }            delegateToUse = _flddelegate; //小工招用完了，就你啦...可怜，三方呢？ 工资了？  你他妈的刚毕业吧....        }        invokeDelegate(delegateToUse, request, response, filterChain); //照完小工干嘛去？  干活呗！，给老子干！ 干！    }    //这是initDeletegate    protected Filter initDelegate(WebApplicationContext wac)        throws ServletException    {        Filter delegate = (Filter)wac.getBean(getTargetBeanName(), javax/servlet/Filter);        if(isTargetFilterLifecycle())            delegate.init(getFilterConfig());        return delegate;    }      //这是invokeDelegate  protected void invokeDelegate(Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)        throws ServletException, IOException    {        delegate.doFilter(request, response, filterChain);    }        咦？ 不对呀，小工要造反了怎么办？  你无良老板就啥都不干？     对，我就是啥都不干？ 老子就是这么任性。 老子把你们召唤来，就是给了你们生存的价值 (DelegatingFilterProxy做的事情是代理Filter的方法，从application context里获得bean。       这让bean可以获得spring web application context的生命周期支持，使配置较为轻便。)你们就知足吧！  唉...初来乍到，谁没有被老板坑过....   -->      <filter>        <filter-name>springSecurityFilterChain</filter-name>        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>    </filter>    <filter-mapping>        <filter-name>springSecurityFilterChain</filter-name>        <url-pattern>/*</url-pattern>    </filter-mapping></web-app>

这篇我们要讲刽子手  securityConfig。 为什么要说他是刽子手呢？  因为他是无良掌柜的小工，直接的操盘手......

<?xml version="1.0" encoding="UTF-8"?><beans:beans xmlns="http://www.springframework.org/schema/security"    xmlns:beans="http://www.springframework.org/schema/beans"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="http://www.springframework.org/schema/beans           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd           http://www.springframework.org/schema/security           http://www.springframework.org/schema/security/spring-security-3.0.xsd">    <http access-denied-page = "/accessDenied.jsp">        <!-- 访问拒绝页面 -->        <form-login login-page="/login.jsp"/>   <!-- 定义登陆界面 -->        <intercept-url pattern="/login.jsp" filters="none"/>        <session-management>            <concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/>  <!-- 用户最大登录数设置为1 ，超过则引发异常 -->        </session-management>                          <custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>  <!-- 自定义FILTER ,FilterSecurityInterceptor 负责授权-->    </http>    <!-- myFilter -->    <beans:bean id = "myFilter" class = "com.qbt.spring.security.MyFilterSecurityInterceptor">            <beans:property name="authenticationManager" ref ="authenticationManager"></beans:property>  <!-- 登陆验证 ，验证你的用户名密码噼里啪啦-->            <beans:property name="securityMetadataSource" ref = "securityMetadataSource"></beans:property>  <!-- 资源数据源的定义 ，神马权限对应神马资源 噼里啪啦-->             <beans:property name="accessDecisionManager" ref="myAccessDecisionManagerBean"></beans:property>  <!-- 访问决策 有没有权限访问资源 噼里啪啦-->    </beans:bean>                                                         <!-- 验证配置，认证管理器，实现UserDetailService接口 -->    <!-- authenticationManager 可以有多个provider提供信息，我们用myUserDetailService获取信息 -->    <!-- Spring Security中进行身份验证的是AuthenticationManager接口，ProviderManager是它的一个默认实现，        但它并不用来处理身份认证，而是委托给配置好的AuthenticationProvider，每个AuthenticationProvider会轮流检查身份认证。        检查后或者返回Authentication对象或者抛出异常 -->    <authentication-manager alias="authenticationManager">        <authentication-provider user-service-ref="myUserDetailService"></authentication-provider>        </authentication-manager>        <!-- 获取user数据，可以从数据库中获取用户密码，角色等！ -->    <beans:bean id = "myUserDetailService" class = "com.qbt.spring.security.MyUserDetailService"></beans:bean>        <!-- 访问决策器，决定用户的角色，访问的权限 -->    <beans:bean id = "myAccessDecisionManagerBean" class = "com.qbt.spring.security.MyAccessDecisionManager"></beans:bean>        <!-- 资源数据源的定义 什么资源对应什么权限，或者什么资源能被什么角色访问-->    <beans:bean id = "securityMetadataSource" class = "com.qbt.spring.security.MyInvocationSecurityMetadataSource"></beans:bean>    </beans:beans>