Spring下的权限框架 spring security总结

Spring下的权限框架 spring security总结

Java代码

1. spring security总结
2. 首先导入spring security所需要的jar包
3. spring-security-core-2.0.5.RELEASE.jar
4. spring-security-core-tiger-2.0.5.RELEASE.jar
5. 一.配置过滤器
6. 在web.xml中定义如下过滤器
7. <filter>
8. <filter-name>springSecurityFilterChain</filter-name>
9. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
10. </filter>
11. <filter-mapping>
12. <filter-name>springSecurityFilterChain</filter-name>
13. <url-pattern>
14. CREATE TABLE `t_account` (
15. `id` int(11)NOT NULL,
16. `username` varchar(255)defaultNULL,
17. `password` varchar(255)defaultNULL,
18. `enabled` intdefaultNULL,
19. PRIMARY KEY (`id`)
20. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
22. CREATE TABLE `t_role` (
23. `id` int(11)NOT NULL,
24. `name` varchar(255)defaultNULL,
25. `descn` varchar(255)defaultNULL,
26. PRIMARY KEY (`id`)
27. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
30. CREATE TABLE `t_account_role` (
31. `a_id` int(11)NOT NULL,
32. `r_id` int(11)NOT NULL,
33. PRIMARY KEY (`a_id`,`r_id`),
34. KEY `FK1C2BC9332D31C656` (`r_id`),
35. KEY `FK1C2BC93371CCC630` (`a_id`),
36. CONSTRAINT `FK1C2BC93384B0A30E` FOREIGN KEY (`a_id`) REFERENCES `t_account` (`id`),
37. CONSTRAINT `FK1C2BC9332D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`)
38. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
41. insert into t_account values(1,'zhangsan','123',1);
42. insert into t_account values(2,'lisi','321',1);
44. insert into t_role values(1,'系统管理员','ROLE_ADMIN');
45. insert into t_role values(2,'普通用户','ROLE_USER');
47. insert into t_account_role values(1,2);
48. insert into t_account_role values(2,1);
50. 当用户登录时，spring security首先判断用户是否可以登录。用户登录后spring security获得该用户的
51. 所有权限以判断用户是否可以访问资源。
53. spring配置文件中定义
54. <authentication-provider>
55. <jdbc-user-service data-source-ref="dataSource"
56. users-by-username-query="selectusername,password,enabled from t_account where username=?"
57. authorities-by-username-query="selectr.descn from t_account_role ar join
58. t_account a on ar.a_id=a.id join t_role r on ar.r_id=r.id where a.username=?"/>
59. </authentication-provider>
61. users-by-username-query：根据用户名查找用户
62. authorities-by-username-query：根据用户名查找这个用户所有的角色名，将用户访问的URL地址和
63. 查询结果与<intercept-url pattern="/admin.jsp"access="ROLE_ADMIN"/>标签进行匹配。
64. 匹配成功就允许访问，否则就返回到提示页面。
66. 在<http>标签中添加登录页面等信息
67. <http auto-config='true'>
68. <intercept-url pattern="/login.jsp"access="IS_AUTHENTICATED_ANONYMOUSLY"/>
69. <intercept-url pattern="/admin.jsp"access="ROLE_ADMIN"/>
70. <intercept-url pattern="
71. CREATE TABLE `t_account` (
72. `id` int(11)NOT NULL,
73. `username` varchar(255)defaultNULL,
74. `password` varchar(255)defaultNULL,
75. `enabled` intdefaultNULL,
76. PRIMARY KEY (`id`)
77. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
79. CREATE TABLE `t_role` (
80. `id` int(11)NOT NULL,
81. `name` varchar(255)defaultNULL,
82. `descn` varchar(255)defaultNULL,
83. PRIMARY KEY (`id`)
84. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
87. CREATE TABLE `t_account_role` (
88. `a_id` int(11)NOT NULL,
89. `r_id` int(11)NOT NULL,
90. PRIMARY KEY (`a_id`,`r_id`),
91. KEY `FK1C2BC9332D31C656` (`r_id`),
92. KEY `FK1C2BC93371CCC630` (`a_id`),
93. CONSTRAINT `FK1C2BC93384B0A30E` FOREIGN KEY (`a_id`) REFERENCES `t_account` (`id`),
94. CONSTRAINT `FK1C2BC9332D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`)
95. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
97. CREATE TABLE `t_module` (
98. `id` int(11)NOT NULL,
99. `name` varchar(255)defaultNULL,
100. `address` varchar(255)defaultNULL,
101. PRIMARY KEY (`id`)
102. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
105. CREATE TABLE `t_module_role` (
106. `m_id` int(11)NOT NULL,
107. `r_id` int(11)NOT NULL,
108. PRIMARY KEY (`m_id`,`r_id`),
109. KEY `FKA713071E2D31C656` (`r_id`),
110. KEY `FKA713071ED78C9071` (`m_id`),
111. CONSTRAINT `FKA713071ED78C9071` FOREIGN KEY (`m_id`) REFERENCES `t_module` (`id`),
112. CONSTRAINT `FKA713071E2D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`)
113. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
116. insert into t_account values(1,'zhangsan','123',1);
117. insert into t_account values(2,'lisi','321',1);
119. insert into t_role values(1,'系统管理员','ROLE_ADMIN');
120. insert into t_role values(2,'普通用户','ROLE_USER');
122. insert into t_account_role values(1,2);
123. insert into t_account_role values(2,1);
125. insert into t_module values(1,'部门管理','/dept.jsp');
126. insert into t_module values(2,'人员管理','/emp.jsp');
128. insert into `t_module_role` values(1,1);
129. insert into `t_module_role` values(1,2);
130. insert into `t_module_role` values(2,1);
132. 1.在自定义的过滤器中获取资源的URL地址和角色名以取代spring配置文件中原有的<intercept-urlpattern="/login.jsp"access="IS_AUTHENTICATED_ANONYMOUSLY"/>
133. 过滤器代码：
134. importjava.sql.ResultSet;
135. importjava.sql.SQLException;
137. importjava.util.LinkedHashMap;
138. importjava.util.List;
139. importjava.util.Map;
141. importjavax.sql.DataSource;
143. importorg.springframework.beans.factory.FactoryBean;
145. importorg.springframework.jdbc.core.support.JdbcDaoSupport;
146. importorg.springframework.jdbc.object.MappingSqlQuery;
148. importorg.springframework.security.ConfigAttributeDefinition;
149. importorg.springframework.security.ConfigAttributeEditor;
150. importorg.springframework.security.intercept.web.DefaultFilterInvocationDefinitionSource;
151. importorg.springframework.security.intercept.web.FilterInvocationDefinitionSource;
152. importorg.springframework.security.intercept.web.RequestKey;
153. importorg.springframework.security.util.AntUrlPathMatcher;
154. importorg.springframework.security.util.UrlMatcher;
157. publicclassJdbcFilterInvocationDefinitionSourceFactoryBean
158. extendsJdbcDaoSupport implementsFactoryBean {
159. privateString resourceQuery;
161. publicbooleanisSingleton() {
162. returntrue;
163. }
165. publicClass getObjectType() {
166. returnFilterInvocationDefinitionSource.class;
167. }
169. publicObject getObject() {
170. returnnewDefaultFilterInvocationDefinitionSource(this
171. .getUrlMatcher(),this.buildRequestMap());
172. }
174. protectedMap<String, String> findResources() {
175. ResourceMapping resourceMapping= newResourceMapping(getDataSource(),
176. resourceQuery);
178. Map<String, String> resourceMap= newLinkedHashMap<String, String>();
180. for(Resource resource : (List<Resource>) resourceMapping.execute()){
181. String url = resource.getUrl();
182. String role = resource.getRole();
184. if(resourceMap.containsKey(url)) {
185. Stringvalue = resourceMap.get(url);
186. resourceMap.put(url,value + ","+ role);
187. } else{
188. resourceMap.put(url,role);
189. }
190. }
192. returnresourceMap;
193. }
195. protectedLinkedHashMap<RequestKey, ConfigAttributeDefinition> buildRequestMap(){
196. LinkedHashMap<RequestKey, ConfigAttributeDefinition> requestMap = null;
197. requestMap = newLinkedHashMap<RequestKey, ConfigAttributeDefinition>();
199. ConfigAttributeEditor editor= newConfigAttributeEditor();
201. Map<String, String> resourceMap= this.findResources();
203. for(Map.Entry<String, String> entry : resourceMap.entrySet()){
204. RequestKey key = newRequestKey(entry.getKey(), null);
205. editor.setAsText(entry.getValue());
206. requestMap.put(key,
207. (ConfigAttributeDefinition)editor.getValue());
208. }
210. returnrequestMap;
211. }
213. protectedUrlMatcher getUrlMatcher() {
214. returnnewAntUrlPathMatcher();
215. }
217. publicvoidsetResourceQuery(String resourceQuery) {
218. this.resourceQuery= resourceQuery;
219. }
221. privateclassResource {
222. privateString url;
223. privateString role;
225. publicResource(String url, String role) {
226. this.url= url;
227. this.role= role;
228. }
230. publicString getUrl() {
231. returnurl;
232. }
234. publicString getRole() {
235. returnrole;
236. }
237. }
239. privateclassResourceMapping extendsMappingSqlQuery {
240. protectedResourceMapping(DataSource dataSource,
241. String resourceQuery) {
242. super(dataSource,resourceQuery);
243. compile();
244. }
246. protectedObject mapRow(ResultSet rs, intrownum)
247. throwsSQLException {
248. String url = rs.getString(1);
249. String role = rs.getString(2);
250. Resource resource = newResource(url, role);
252. returnresource;
253. }
254. }
255. }
257. 将自定义的过滤器放入到原有的spring security过滤器链中（在spring配置文件中配置）
258. 定义自定义过滤器（sql语句用于查询资源的URL地址 如：/index.jsp 和角色名 如ROLE_USER）
259. <beans:bean id="filterInvocationDefinitionSource"
260. class="com.lovo.JdbcFilterInvocationDefinitionSourceFactoryBean">
261. <beans:property name="dataSource"ref="dataSource"/>
262. <beans:property name="resourceQuery"value="
263. select m.address,r.descn
264. from t_module_role mr
265. join t_module m on mr.m_id=m.id
266. join t_role r on mr.r_id=r.id;
267. "/>
268. </beans:bean>
269. 将自定义过滤器放入过滤器链中
270. <beans:bean id="filterSecurityInterceptor"
271. class="org.springframework.security.intercept.web.FilterSecurityInterceptor"autowire="byType">
272. <custom-filter before="FILTER_SECURITY_INTERCEPTOR"/>
273. <beans:property name="objectDefinitionSource"ref="filterInvocationDefinitionSource"/>
274. </beans:bean>
275. 注意：FilterSecurityInterceptor过滤器会向request中写入一个标记，用于标记是否已经控制了当前请求，以避免对同一请求多次处理，导致第2个FilterSecurityInterceptor不会再次执行。
276. 在<http>中不需要再定义<intercept-url>,如下：
277. <http auto-config='true'>
278. <form-login login-page="/login.jsp"
279. authentication-failure-url="/error.jsp"
280. default-target-url="/index.jsp"/>
282. </http>
283. 自定义的过滤器就从配置文件中读取sql，查询结果就是角色和资源，用户登录时就在session中保存了用户的角色。
284. 注意：intercept-url的先后顺序，spring security使用第一个能匹配的intercept-url标签进行权限控制。
285. 现在intercept-url来源于数据库，所以在sql查询时注意角色和资源的顺序。
286. 建议在角色和资源的中间表中添加1个字段用于标识顺序，（按从严到宽的顺序）
287. 表结构修改如下：
289. CREATE TABLE `t_module_role` (
290. `m_id` int(11)NOT NULL,
291. `r_id` int(11)NOT NULL,
292. `priority` int(11)defaultNULL,
293. PRIMARY KEY (`m_id`,`r_id`),
294. KEY `FKA713071E2D31C656` (`r_id`),
295. KEY `FKA713071ED78C9071` (`m_id`),
296. CONSTRAINT `FKA713071ED78C9071` FOREIGN KEY (`m_id`) REFERENCES `t_module` (`id`),
297. CONSTRAINT `FKA713071E2D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`)
298. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
300. 数据如下：
301. insert into t_account values(1,'zhangsan','123',1);
302. insert into t_account values(2,'lisi','321',1);
304. insert into t_role values(1,'系统管理员','ROLE_ADMIN');
305. insert into t_role values(2,'普通用户','ROLE_USER');
307. insert into t_account_role values(1,2);
308. insert into t_account_role values(2,1);
310. insert into t_module values(1,'部门管理','/dept.jsp');
311. insert into t_module values(2,'人员管理','/emp.jsp');
313. insert into `t_module_role` values(1,1,3);
314. insert into `t_module_role` values(1,2,2);
315. insert into `t_module_role` values(2,1,1);
317. 自定义过滤器修改如下：
318. <beans:bean id="filterInvocationDefinitionSource"
319. class="com.lovo.JdbcFilterInvocationDefinitionSourceFactoryBean">
320. <beans:property name="dataSource"ref="dataSource"/>
321. <beans:property name="resourceQuery"value="
322. select m.address,r.descn
323. from t_module_role mr
324. join t_module m on mr.m_id=m.id
325. join t_role r on mr.r_id=r.id
326. order by mr.priority
327. "/>
328. </beans:bean>
330. 如果持久层使用的是hibernate，那么只需要给自定义过滤器注入1个hibernateTemplate.
331. 在自定义过滤器中就不需要再使用mapRow的方式。而是直接获取url和角色名即可。
332. 例如：
333. publicclassModuleFilter implementsFactoryBean {
334. privateString resourceQuery;
336. publicbooleanisSingleton() {
337. returntrue;
338. }
340. publicClass getObjectType() {
341. returnFilterInvocationDefinitionSource.class;
342. }
344. publicObject getObject() {
345. returnnewDefaultFilterInvocationDefinitionSource(this
346. .getUrlMatcher(),this.buildRequestMap());
347. }
349. protectedMap<String, String> findResources() {
350. ResourceMapping resourceMapping= newResourceMapping();
352. Map<String, String> resourceMap= newLinkedHashMap<String, String>();
354. for(Resource resource : (List<Resource>) resourceMapping.execute()){
355. String url = resource.getUrl();
356. String role = resource.getRole();
358. if(resourceMap.containsKey(url)) {
359. Stringvalue = resourceMap.get(url);
360. resourceMap.put(url,value + ","+ role);
361. } else{
362. resourceMap.put(url,role);
363. }
364. }
366. returnresourceMap;
367. }
369. protectedLinkedHashMap<RequestKey, ConfigAttributeDefinition> buildRequestMap(){
370. LinkedHashMap<RequestKey, ConfigAttributeDefinition> requestMap = null;
371. requestMap = newLinkedHashMap<RequestKey, ConfigAttributeDefinition>();
373. ConfigAttributeEditor editor= newConfigAttributeEditor();
375. Map<String, String> resourceMap= this.findResources();
377. for(Map.Entry<String, String> entry : resourceMap.entrySet()){
378. RequestKey key = newRequestKey(entry.getKey(), null);
379. editor.setAsText(entry.getValue());
380. requestMap.put(key,
381. (ConfigAttributeDefinition)editor.getValue());
382. }
384. returnrequestMap;
385. }
387. protectedUrlMatcher getUrlMatcher() {
388. returnnewAntUrlPathMatcher();
389. }
391. publicvoidsetResourceQuery(String resourceQuery) {
392. this.resourceQuery= resourceQuery;
393. }
395. privateclassResource {
396. privateString url;
397. privateString role;
399. publicResource(String url, String role) {
400. this.url= url;
401. this.role= role;
402. }
404. publicString getUrl() {
405. returnurl;
406. }
408. publicString getRole() {
409. returnrole;
410. }
411. }
413. privateclassResourceMapping{
414. publicList<Resource> execute(){
415. List<Resource> rlist = newArrayList<Resource>();
416. List<Role> list = hibernateTemplate.find(resourceQuery);
417. for(inti=0;i<list.size();i++){
418. Role role = list.get(i);
419. Set<Module> set = role.getModuleSet();
420. Iterator<Module> it =set.iterator();
421. while(it.hasNext()){
422. Module m = it.next();
423. Resource re = newResource(m.getUrl(),role.getDescn());
424. rlist.add(re);
425. }
426. }
427. returnrlist;
428. }
429. }
431. publicvoidsetHibernateTemplate(HibernateTemplate hibernateTemplate) {
432. this.hibernateTemplate= hibernateTemplate;
433. }
435. privateHibernateTemplate hibernateTemplate;
436. }
437. 而从灵活性的角度考虑，把hql写在配置文件中
438. <beans:bean id="moduleFilter"class="com.lovo.ModuleFilter">
439. <beans:property name="resourceQuery"
440. value="fromcom.lovo.po.Role order by ind">
441. </beans:property>
442. <beans:property name="hibernateTemplate"ref="hibernateTemplate">
443. </beans:property>
444. </beans:bean>
446. 问题：系统只会在初始化的时候从数据库中加载信息。无法识别数据库中信息的改变。
447. 解决：每个jsp页面上重新内存
448. 代码：每个jsp页面include如下代码：
449. <%@page import="org.springframework.context.ApplicationContext"%>
450. <%@page import="org.springframework.web.context.support.WebApplicationContextUtils"%>
451. <%@page import="org.springframework.beans.factory.FactoryBean"%>
452. <%@page import="org.springframework.security.intercept.web.FilterSecurityInterceptor"%>
453. <%@page import="org.springframework.security.intercept.web.FilterInvocationDefinitionSource"%>
454. <%
455. ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(application);
456. FactoryBean factoryBean = (FactoryBean)ctx.getBean("&自定义过滤器的id");
457. FilterInvocationDefinitionSource fids = (FilterInvocationDefinitionSource) factoryBean.getObject();
458. FilterSecurityInterceptor filter = (FilterSecurityInterceptor) ctx.getBean("filterSecurityInterceptor");
459. filter.setObjectDefinitionSource(fids);
460. %>
464. 控制用户信息
465. 用户密码MD5加密：
466. <authentication-provider>
467. <password-encoder hash="md5"/>
468. <jdbc-user-service data-source-ref="dataSource"
469. users-by-username-query="selectusername,password,enabled from t_account where username=?"
470. authorities-by-username-query="selecta.username,r.descn from t_account_role ar join
471. t_account a on ar.a_id=a.id join t_role r on ar.r_id=r.id where a.username=?"/>
472. </authentication-provider>
473. 盐值加密
474. <authentication-provider>
475. <password-encoder hash="md5">
476. <salt-source user-property="username"/>
477. </password-encoder>
478. <jdbc-user-service data-source-ref="dataSource"
479. users-by-username-query="selectusername,password,enabled from t_account where username=?"
480. authorities-by-username-query="selecta.username,r.descn from t_account_role ar join
481. t_account a on ar.a_id=a.id join t_role r on ar.r_id=r.id where a.username=?"/>
482. </authentication-provider>
484. 用户信息缓存，使用spring内置的ehCache实现
485. <beans:bean id="cacheManager"class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"></beans:bean>
486. <beans:bean id="userEhCache"class="org.springframework.cache.ehcache.EhCacheFactoryBean">
487. <beans:property name="cacheManager"ref="cacheManager"></beans:property>
488. <beans:property name="cacheName"value="userCache"></beans:property>
489. </beans:bean>
490. <beans:bean id="userCache"class="org.springframework.security.providers.dao.cache.EhCacheBasedUserCache">
491. <beans:property name="cache"ref="userEhCache"></beans:property>
492. </beans:bean>
494. 在src目录下新建ehcache.xml
495. <ehcache>
496. <diskStore path="java.io.tmpdir"/>
498. <defaultCache
499. maxElementsInMemory="1000"
500. eternal="false"
501. timeToIdleSeconds="120"
502. timeToLiveSeconds="120"
503. overflowToDisk="true"
504. />
506. <cache
507. name="userCache"
508. maxElementsInMemory="100"
509. eternal="false"
510. timeToIdleSeconds="600"
511. timeToLiveSeconds="3600"
512. overflowToDisk="true"
513. />
514. </ehcache>
516. 在程序中获取用户信息
517. UserDetails ud = (UserDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
518. String name = ud.getUsername();
519. String pwd = ud.getPassword();
520. GrantedAuthority[] ga = ud.getAuthorities();
521. System.out.println(name + ","+ pwd);
522. for(GrantedAuthorityg : ga){
523. System.out.println(g.getAuthority());
524. }
526. 自定义访问拒绝页面
527. <http auto-config='true'access-denied-page="/error.jsp">
529. 访问用户以带参形式访问
530. 在资源URL地址后加*
531. 如
532. insert into t_module values(1,'部门管理','/dept.jsp*');
533. insert into t_module values(2,'人员管理','/emp.jsp*');
535. 自定义用户接口实现
536. 由于将sql写在配置文件中只适用于小型系统，而且不灵活，在大型系统或实体关系复杂时需要自定义用户实现的接口。
537. 自定义用户实现需要实现2个接口。
538. UserDetails：实体类需要实现的接口。
539. UserDetailsService：实体管理类需要实现的接口。
540. 配置：
541. <!-- 实体管理类 -->
542. <beans:bean id="userManager"class="com.lovo.UserManager"></beans:bean>
543. <authentication-provider user-service-ref="userManager">
544. <!--
545. <jdbc-user-service data-source-ref="dataSource"
546. users-by-username-query="selectusername,password,enabled from t_account where username=?"
547. authorities-by-username-query="selecta.username,r.descn from t_account_role ar join
548. t_account a on ar.a_id=a.id join t_role r on ar.r_id=r.id where a.username=?"/>
549. -->
550. </authentication-provider>
551. 原有的通过固定sql语句的获取方式可以抛弃，改为使用user-service-ref属性注入的bean来实现对用户及用户所
552. 拥有的资源的查找。
554. 用户注销
555. 注销功能由过滤器org.springframework.security.ui.logout.LogoutFilter负责完成。
556. <a href="${pageContext.request.contextPath}/j_spring_security_logout">注销</a>
557. 被注销的用户就是当前session中保存的用户，注销后页面自动重定向到default-target-url所指定的页面
559. spring security过滤器体系
560. spring security的一系列功能都是由一串过滤器来完成的。在spring配置文件中配置的<http>标签实际上就是
561. 起到默认的过滤器进行声明和配置的作用。
563. 管理会话
564. 当项目中要求不能使用同一个账号同时登陆，按以下步骤实施
565. 1.web.xml添加1个监听器
566. <listener>
567. <listener-class>org.springframework.security.ui.session.HttpSessionEventPublisher</listener-class>
568. </listener>
569. 2.spring配置文件中的<http>标签添加子标签<concurrent-session-control/>
570. <http auto-config='true'access-denied-page="/noview.jsp">
571. <form-login login-page="/login.jsp"authentication-failure-url="/error.jsp"default-target-url="/index.jsp"/>
572. <concurrent-session-control/>
573. </http>
574. <concurrent-session-control/>会产生1个org.springframework.security.concurrent.ConcurrentSessionFilter
575. 并放在过滤器链的最前面。
576. 默认情况下，使用同一账号后登陆的用户会踢出先登陆的用户。
577. 如果想禁止第2个用户登录，则设置
578. <concurrent-session-control exception-if-maximum-exceeded="true"/>
582. 对方法级的权限控制
583. 1.添加依赖包 cglib-nodep-2.1_3.jaraspectjweaver.jar aspectjrt.jar
584. 2.利用<global-method-security>设置需要保护的方法及可以调用的权限
585. <global-method-security>
586. <protect-pointcut access="ROLE_ADMIN,ROLE_USER"expression="execution(* com.lovo.bo.AccountBo.get*(..))"/>
587. <protect-pointcut access="ROLE_ADMIN"expression="execution(* com.lovo.bo.AccountBo.create*(..))"/>
588. </global-method-security>
590. 利用注解同样可以实现方法级的保护
591. 需要spring-security-core-tiger.jar包
592. 启用注解保护
593. <global-method-security secured-annotations="enabled"/>
595. @Secured({"ROLE_ADMIN","ROLE_USER"})
596. publicvoidgetOneAccount();
597. 拥护ROLE_ADMIN或ROLE_USER权限的用户可以调用该方法
599. SecurityContext安全上下文
600. SecurityContext securityContext = SecurityContextHolder.getContext();
601. SecurityContext中保存着实现了Authentication 接口的对象，如果用户尚未通过
602. 认证，那么SecurityContext.getAuthenticaiton()方法就会返回null。
603. 注意，如果使用了匿名用户，SecurityContext.getAuthenticaiton()返回的不是null.
604. 只有在未启用过滤器链的情况下，SecurityContext.getAuthenticaiton()才返回空。
606. 验证管理器
607. 验证管理器用来识别用户的身份。使用命名空间会自动注册一个验证管理器的bean.
608. 是org.springframework.security.providers.ProviderManager类的一个对象。
609. 如果要在其他的bean中要引用这个验证管理器，则给这个验证管理器取一个别名。
610. <authentication-manager alias="authenticationManager"/>
611. 如果要采用其他的类来完成验证管理器的功能，可以使用以下标签
612. <beans:bean id="abc"class="org.springframework.security.providers.dao.DaoAuthenticationProvider">
613. <custom-authentication-provider/>
614. </beans:bean>
616. 访问决策管理器
617. 当使用命名空间配置时，默认的AccessDecisionManager实例会自动注册。
618. 默认的策略是使用一个AffirmativeBased作为AccessDecisionManager（访问决策管理器），投票者是RoleVoter和
619. AuthenticatedVote
621. <global-method-security secured-annotations="enabled"access-decision-manager-ref="accessDecisionManager">
622. </global-method-security>
623. 利用访问决策管理器对方法进行保护
625. <beans:bean id="filterSecurityInterceptor"class="org.springframework.security.intercept.web.FilterSecurityInterceptor"autowire="byType">
626. <custom-filter before="FILTER_SECURITY_INTERCEPTOR"/>
627. <beans:property name="objectDefinitionSource"ref="moduleFilter"/>
628. <beans:property name="accessDecisionManager"ref="accessDecisionManager"></beans:property>
629. </beans:bean>
630. 向过滤器注入访问决策管理器
633. 不管是MethodSecurityInterceptor还是FilterSecurityInterceptor都使用authenticationManager和accessDecisionManager属性用于验证用户，并且都是通过使用 objectDefinitionSource属性来定义受保护的资源。不同的是过滤器安全拦截器将URL资源与权限关联，而方法安全拦截器将业务方法与权限关联。
634. objectDefinitionSource属性需要注入的就是 org.springframework.security.intercept.ObjectDefinitionSource这个接口的实现类。
635. 该接口中有一个方法是：
636. ConfigAttributeDefinition getAttributes(Object object) throwsIllegalArgumentException;
637. 参数实际类型是org.springframework.security.intercept.web.FilterInvocation
638. 这个方法用于获取保护资源对应的权限信息，返回一个ConfigAttributeDefinition对象。
639. ConfigAttributeDefinition对象内部维护1个列表，安全拦截器就通过调用getAttributes方法来获取ConfigAttributeDefinition对象，并将该对象和当前用户拥有的Authentication对象传递给 accessDecisionManager（访问决策管理器）
640. 访问决策管理器在将其传递给具体实现类维护的投票者，这些投票者从ConfigAttributeDefinition对象中获取这个存放了访问保护资源需要的权限信息的列表，然后遍历这个列表并与Authentication对象中GrantedAuthority[]数据中的用户权限信息进行匹配，如果匹配成功，投票者就会投赞成票，否则就投反对票，最后访问决策管理器来统计这些投票决定用户是否能访问该资源。
642. FilterInvocationDefinitionSource接口和MethodDefinitionSource接口继承自ObjectDefinitionSource接口，并提供了2个默认实现类用以从配置文件读取权限信息。
643. 是DefaultFilterInvocationDefinitionSource和 DelegatingMethodDefinitionSource两个类，如果需要从其他数据来源读取则需要实现FilterInvocationDefinitionSource接口和MethodDefinitionSource接口。
645. 自定义的过滤器必须注入 objectDefinitionSource，accessDecisionManager，authenticationManager3个属性。
647. FilterInvocationDefinitionSource接口getAttributes实现思路
648. 1.获取客户端访问的url地址。
649. 2.将该url地址和数据库中存储的url地址匹配，找到所有有权访问该地址的权限（角色）名字。
650. 3.把所有的权限名利用ConfigAttributeEditor类封装成ConfigAttributeDefinition对象
652. 简单例子：
655. publicclassMyFilter extendsHibernateDaoSupport implementsFilterInvocationDefinitionSource,FactoryBean{
656. //保存权限信息(能够访问当前资源的角色名)
657. privateList<String> roleNameList = newArrayList<String>();
659. publicConfigAttributeDefinition getAttributes(Object object) throwsIllegalArgumentException {
660. FilterInvocation fi = (FilterInvocation)object;
661. String requeatUrl = fi.getRequestUrl(); //获取客户端访问的url地址
662. requeatUrl = requeatUrl.toLowerCase(); //将url地址全部转换成小写
663. if(requeatUrl.indexOf("?")!= -1){ //过滤请求参数
664. requeatUrl = requeatUrl.substring(0,requeatUrl.indexOf("?"));
665. }
666. //在数据库中查找能够访问此url地址的角色
667. List<Module> list = this.getHibernateTemplate().find("fromcom.lovo.po.Module where url like ?",requeatUrl+"%");
668. if(list.size()<= 0){
669. returnnull;
670. }
671. String s = "";
672. Module module = (Module)list.get(0);
673. Set<Role> set = module.getRoleSet();
674. roleNameList.clear();
675. for(Rolerole : set){
676. roleNameList.add(role.getDescn());
677. s += role.getDescn() + ",";
678. }
679. s = s.substring(0,(s.length()- 1)); //将所有的角色名（ROLE_开头）拼接为一个字符串。
681. ConfigAttributeEditor editer = newConfigAttributeEditor();
683. editer.setAsText(s);
684. return(ConfigAttributeDefinition) editer.getValue(); //将包含所有角色名（ROLE_开头）的字符串转换为ConfigAttributeDefinition对象。
686. }
688. publicCollection getConfigAttributeDefinitions() {
689. returnCollections.unmodifiableCollection(this.roleNameList);
690. }
692. publicbooleansupports(Class clazz) {
693. returnFilterInvocation.class.isAssignableFrom(clazz);
694. }
696. publicObject getObject() throwsException {
697. returnthis;
698. }
701. publicClass getObjectType() {
702. returnFilterInvocationDefinitionSource.class;
703. }
706. publicbooleanisSingleton() {
707. // TODO Auto-generated methodstub
708. returntrue;
709. }
711. }
713. 方法保护的原理是通过aop来实现的。
714. <aop:config>
715. <aop:pointcut expression="execution(*com.lovo.bo.face.*.*(..))" id="me"/>
716. <aop:advisor advice-ref="methodSecurityInterceptor"pointcut-ref="me"/>
717. </aop:config>
718. 通知是1个实现了MethodSecurityInterceptor接口的类
719. methodSecurityInterceptor是spring中的一个类
720. <beans:bean id="methodSecurityInterceptor"class="org.springframework.security.intercept.method.aopalliance.MethodSecurityInterceptor">
721. <beans:property name="objectDefinitionSource"ref="methodFilter"/>
722. <beans:property name="accessDecisionManager"ref="accessDecisionManager"></beans:property>
723. <beans:property name="authenticationManager"ref="authenticationManager"></beans:property>
724. </beans:bean>
725. accessDecisionManager属性注入访问决策管理器，authenticationManager属性注入验证管理器。
726. objectDefinitionSource属性注入1个实现了MethodDefinitionSource接口的类。
727. <beans:bean id="methodFilter"class="com.lovo.method.MethodFilter">
728. <beans:property name="hibernateTemplate"ref="hibernateTemplate"></beans:property>
729. </beans:bean>
730. 这个类的作用是根据用户调用的方法，找到相应的角色，
731. publicclassMethodFilter extendsHibernateDaoSupport implementsMethodDefinitionSource{
733. privateList<String> roleList = newArrayList<String>();
734. publicConfigAttributeDefinition getAttributes(Method method, ClasstargetClass) {
735. returnnull;
736. }
738. publicConfigAttributeDefinition getAttributes(Object object)
739. throwsIllegalArgumentException {
741. ConfigAttributeEditor editor = newConfigAttributeEditor();
742. String s = "";
743. ReflectiveMethodInvocation rmi = (ReflectiveMethodInvocation)object;
745. String methodName = rmi.getThis().getClass().getName() + "." + rmi.getMethod().getName();
746. System.out.println(methodName);
748. List<Module> list = this.getHibernateTemplate().find("fromcom.lovo.po.Module where url like ?",methodName);
749. if(list.size()== 0){
750. returnnull;
751. }
752. roleList.clear();
753. for(inti=0;i<list.size();i++){
754. Module module = list.get(i);
755. Set<Role> roleSet = module.getRoleSet();
756. Iterator<Role> it = roleSet.iterator();
757. while(it.hasNext()){
758. Role role = it.next();
759. s += role.getDescn() + ",";
760. roleList.add(role.getDescn());
761. }
762. }
763. s = s.substring(0,(s.length()- 1));
764. editor.setAsText(s);
765. editor.getValue();
766. return(ConfigAttributeDefinition) editor.getValue();
767. }
769. publicCollection getConfigAttributeDefinitions() {
771. returnroleList;
772. }
774. publicbooleansupports(Class clazz) {
775. returntrue;
776. }
778. }