SpringSecurity3.X权限原理(转)
这里给出一个简单的安全验证的实现例子,先说一下需求:
1.通过登录页面进行登录
2.用户登录前访问被保护的地址时自动跳转到登录页面
3.用户信息存储在数据表中
4.用户权限信息存在在数据表中
5.用户登录成功后访问没有权限访问的地址时跳转到登录页面
ok,以上就是一个基本的需求了,大部分的系统都是基于该需求实现登录模块的。
给出实现之前,先简单说明一下springsecurity的原理,
1.AccessDecisionManager
和我们一般实现登录验证采用filter的方式一样,springsecurity也是一个过滤器,当请求被springsecurity拦截后,会先对用户请求的资源进行安全认证,如果用户有权访问该资源,则放行,否则将阻断用户请求或提供用户登录,
在springsecurity中,负责对用户的请求资源进行安全认证的是AccessDecisionManager,它就是一组投票器的集合,默认的策略是使用一个AffirmativeBased,既只要有一个投票器通过验证就允许用户访问,
所以如果希望实现自己的权限验证策略,实现自己的投票器是一个很好的选择。
2.UserDetailsService
如果用户没有登录就访问某一个受保护的资源,则springsecurity会提示用户登录,用户登录后,由UserDetailsService来验证用户是否合法,既验证用户名和密码是否正确,同时验证用户是否具备相应的资源权限,
即对应的access的value。
如果用户验证通过,则由AccessDecisionManager来决定是否用户可以访问该资源。
下面给出具体实现:
web.xml
基本上都是这样配置,就不废话了。
Xml代码 
- <</span> filter >
- <</span> filter-name > springSecurityFilterChain </</span> filter-name >
- <</span> filter-class > org.springframework.web.filter.DelegatingFilterProxy </</span> filter-class>
- </</span> filter >
- <</span> filter-mapping >
- <</span> filter-name > springSecurityFilterChain </</span> filter-name >
- <</span> url-pattern > *.do*" access = "HODLE" />
- <</span> logout logout-url = "/logout.do" invalidate-session = "true"
- logout-success-url = "/logout.jsp" />
- <</span> form-login login-page = "/index.do" default-target-url = "/frame.do"
- always-use-default-target = "true" authentication-failure-url = "/index.do?login_error=1" />
- <</span> session-management >
- <</span> concurrency-control max-sessions = "1" />
- </</span> session-management >
- </</span> http >
- <</span> beans:bean id = "loggerListener"
- class = "org.springframework.security.authentication.event.LoggerListener" />
- <</span> authentication-manager >
- <</span> authentication-provider user-service-ref = "userService" >
- <</span> password-encoder hash = "md5" />
- </</span> authentication-provider >
- </</span> authentication-manager >
- <</span> beans:bean id = "userService" class = "com.piaoyi.common.security.UserService" />
- <</span> beans:bean id = "accessDecisionManager"
- class = "org.springframework.security.access.vote.AffirmativeBased" >
- <</span> beans:property name = "decisionVoters" >
- <</span> beans:list >
- <</span> beans:bean class = "org.springframework.security.access.vote.RoleVoter" />
- <</span> beans:bean
- class = "org.springframework.security.access.vote.AuthenticatedVoter" />
- <</span> beans:bean class = "com.piaoyi.common.security.DynamicRoleVoter" />
- </</span> beans:list >
- </</span> beans:property >
- </</span> beans:bean >
- </</span> beans:beans >
UserService.java
Java代码 
- public class UserService implements UserDetailsService{
- @Autowired
- private ISystemUserService userService;
- @Override
- public UserDetails loadUserByUsername(String username)
- throws UsernameNotFoundException {
- // TODO Auto-generated method stub
- SystemUser user = userService.findById(username);
- if (user == null )
- throw new UsernameNotFoundException( "The user name " + username
- + " can not be found!" );
- List resultAuths = new ArrayList();
- //增加access中配置的权限,实际上这里就是让所有登陆用户都具备该权限,
- //而真正的资源权限验证留给AccessDecisionManager来决定
- resultAuths.add(new GrantedAuthorityImpl( "HODLE" ));
- //验证用户名和密码是否正确,以及是否权限正确
- return new User(username, user.getPassword().toLowerCase(), user.isStatus(), true ,
- true , true , resultAuths);
- }
- }
DynamicRoleVoter.java
Java代码 
- public class DynamicRoleVoter implements
- AccessDecisionVoter {
- @Autowired
- private ISystemUserService userService;
- private PathMatcher pathMatcher = new AntPathMatcher();
- @SuppressWarnings ( "unchecked" )
- public boolean supports(Class clazz) {
- return true ;
- }
- public boolean supports(ConfigAttribute attribute) {
- return true ;
- }
- public int vote(Authentication authentication, Object object,
- java.util.Collection arg2) {
- int result = ACCESS_ABSTAIN;
- if (!(object instanceof FilterInvocation))
- return result;
- FilterInvocation invo = (FilterInvocation) object;
- String url = invo.getRequestUrl();//当前请求的URL
- Set authorities = null ;
- String userId = authentication.getName();
- //获得当前用户的可访问资源,自定义的查询方法,之后和当前请求资源进行匹配,成功则放行,否则拦截
- authorities = loadUserAuthorities(userService.findById(userId));
- Map> urlAuths = authService.getUrlAuthorities();
- Set keySet = urlAuths.keySet();
- for (String key : keySet) {
- boolean matched = pathMatcher.match(key, url);
- if (!matched)
- continue ;
- Set mappedAuths = urlAuths.get(key);
- if (contain(authorities, mappedAuths)) {
- result = ACCESS_GRANTED;
- break ;
- }
- }
- return result;
- }
- protected boolean contain(Set authorities,
- Set mappedAuths) {
- if (CollectionUtils.isEmpty(mappedAuths)
- || CollectionUtils.isEmpty(authorities))
- return false ;
- for (GrantedAuthority item : authorities) {
- if (mappedAuths.contains(item.getAuthority()))
- return true ;
- }
- return false ;
- }
- }
SpringSecurity3.X权限原理(转)的更多相关文章
- Android 上SuperUser获取ROOT权限原理解析
Android 上SuperUser获取ROOT权限原理解析 一. 概述 本文介绍了android中获取root权限的方法以及原理,让大家对android 玩家中常说的“越狱”有一个更深层次的认识. ...
- Android 获取ROOT权限原理解析
一. 概述 本文介绍了android中获取root权限的方法以及原理,让大家对android玩家中常说的“越狱”有一个更深层次的认识. 二. Root的介绍 1. Root 的目的 可以让 ...
- MySQL权限原理及删除MySQL的匿名账户
MySQL权限系统的工作原理 MySQL权限系统通过下面两个阶段进行认证: (1)对连接的用户进行身份认证,合法的用户通过认证,不合法的用户拒绝连接: (2)对通过认证的合法用户赋予相应的权限,用户可 ...
- Sage Crm 权限原理分析
文字是11年写的,贴出来共享一下,先来一张表结构图: 一.区域.表名:[territories] 1.我们先来看看区域表的结构. 从图中前面都是不能为空的字段,都是很重要的.来介绍一下这些字段: Te ...
- 奇特的Local System权限(转载)
转载自:http://mp.weixin.qq.com/s?__biz=MzA3NTM1MzE4Nw==&mid=202597764&idx=1&sn=0cef1a40fb3c ...
- Android权限说明 system权限 root权限
原文链接:http://blog.csdn.net/rockwupj/article/details/8618655 Android权限说明 Android系统是运行在Linux内核上的,Androi ...
- android apk的签名和权限问题
一. android apk的签名问题(http://blog.csdn.net/lyq8479/article/details/6401093) 1.为什么要给Android应用程序签名? ...
- 学SpringMVC收藏
一个较完整的SpringMVC工程的配置 2014-01-22 17:17:25 标签:java spring springMVC 配置 springSecurity web.xml 原创作品,允许 ...
- DAY6 使用ping钥匙临时开启SSH:22端口,实现远程安全SSH登录管理就这么简单
设置防火墙策略时,关于SSH:22访问权限,我们常常会设置服务器只接受某个固定IP(如公司IP)访问,但是当我们出差或在家情况需要登录服务器怎么办呢? 常用两种解决方案:1.通过VPN操作登录主机: ...
随机推荐
- Near Field Communication (NFC) applications
Near Field Communication (NFC) applications There has been little practical guidance available on NF ...
- ethtool常见命令使用方法
查看网卡信息:ethtool DEVNAME Settings for eth6: Supported ports: [ FIBRE ] #可以看出网卡类型:光口或电口 Supported link ...
- HihoCoder1622 : 有趣的子区间(预处理+组合数)
有趣的子区间 时间限制:10000ms 单点时限:1000ms 内存限制:256MB 描述 如果一个区间[a, b]内恰好包含偶数个回文整数,我们就称[a, b]是有趣的区间. 例如[9, 12]包含 ...
- thunderbird 设置 邮件回复时内容在上方显示
1 . 编辑->属性 2.选择当前账户,在弹出窗体的右下角 选择 管理标示 ,在弹出窗中选择编辑 3.在弹出标识设置窗体中选择 编写&地址簿 选项卡选择 在引用内容之前回复
- 关于altera的fft核使用问题记录
altera的fft核使用比较特别,今天我做了一下仿真,发现一些问题,现做记录如下: 1,ip配置 parameters选项卡主要是fft变换的长度和数据长度,旋转因子长度,需要注意的是“Twiddl ...
- 一分钟理解js闭包
什么是闭包?先看一段代码: ? 1 2 3 4 5 6 7 8 9 10 function a(){ var n = 0; function inc() { n++; cons ...
- java 执行JavaScript 以及容器化的问题
1. 可选方案 a. jdk 6 开始内置的Rhino 引擎 b. jdk8 替换的nashorn (性能高,对于ECMA 支持更好) c. java 版的nodejs vertx.i ...
- 使用.NET Remoting开发分布式应用——基于租约的生存期
一.概述 知名类型的SingleCall对象可以在客户程序的方法调用之后被垃圾收集器清理掉,因为它没有保持状态,属于无状态的.而客户激活的类型的对象和知名类型的SingleTon对象都属于生存期长的对 ...
- 基于ThinkPHP的开发笔记3-登录功能(转)
1.前台登录用的form ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 <for ...
- 关于IO流的抽象类
被一个问题问愣了:java的IO里有哪些抽象类?这个一时半会儿还真记不得,只知道IO有好几类,具体有哪些抽象类从来没有去认真记过.回头仔细看了下分类和继承才发现其实就两对:字节流的抽象类是InputS ...