最近公司要做开发平台,对安全要求比较高;SPRING SECURTIY框架刚好对所有安全问题都有涉及,框架的作者最近还做了spring-session项目实现分布式会话管理,还有他的另一个开源项目spring-security-oauth2。           关于spring-security的配置方法,网上有非常多的介绍,大都是基于XML配置,配置项目非常多,阅读和扩展都不方便。其实spring-security也有基于java的配置方式,今天就讲讲如何通过java配置方式,扩展spring-security实现权限配置全部从表中读取。 
    直接上代码: 
application.properties配置文件

  1. privilesByUsernameQuery= select  authority from user_authorities  where username = ?
  2. allUrlAuthoritiesQuery=SELECT authority_id , url   FROM Url_Authorities

javaconfig

  1. /**
  2. *
  3. */
  4. package com.sivalabs.springapp.config;
  5. import java.util.List;
  6. import javax.annotation.Resource;
  7. import org.springframework.beans.factory.annotation.Autowired;
  8. import org.springframework.context.annotation.Bean;
  9. import org.springframework.context.annotation.Configuration;
  10. import org.springframework.core.env.Environment;
  11. import org.springframework.jdbc.core.JdbcTemplate;
  12. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  13. //import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
  14. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  15. import org.springframework.security.config.annotation.web.builders.WebSecurity;
  16. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  17. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  18. import org.springframework.util.StringUtils;
  19. import com.sivalabs.springapp.entities.UrlAuthority;
  20. import com.sivalabs.springapp.repositories.UserRepository;
  21. /**
  22. * @author tony
  23. *
  24. */
  25. @Configuration
  26. @EnableWebSecurity(debug = true)
  27. // @EnableGlobalMethodSecurity(prePostEnabled = true)
  28. // @ImportResource("classpath:applicationContext-security.xml")
  29. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  30. @Autowired
  31. JdbcTemplate jdbcTemplate ;
  32. @Autowired
  33. private Environment env;
  34. @Bean
  35. CustomUserDetailsService customUserDetailsService() {
  36. //==================application.properties文件中配置2个SQL=============
  37. //privilesByUsernameQuery= select  authority from user_authorities  where username = ?
  38. //allUrlAuthoritiesQuery=SELECT authority_id , url   FROM Url_Authorities
  39. String privilesByUsernameQuery = env.getProperty("privilesByUsernameQuery");
  40. String allUrlAuthoritiesQuery = env.getProperty("allUrlAuthoritiesQuery");
  41. CustomUserDetailsService customUserDetailsService = new CustomUserDetailsService();
  42. customUserDetailsService.setJdbcTemplate(jdbcTemplate);
  43. customUserDetailsService.setEnableGroups(false);
  44. //根据登录ID,查登录用户的所有权限
  45. if(StringUtils.hasLength(privilesByUsernameQuery))
  46. customUserDetailsService.setAuthoritiesByUsernameQuery(privilesByUsernameQuery);
  47. //所有URL与权限的对应关系
  48. if(StringUtils.hasLength(privilesByUsernameQuery))
  49. customUserDetailsService.setAllUrlAuthoritiesQuery(allUrlAuthoritiesQuery);
  50. return customUserDetailsService;
  51. }
  52. @Resource(name = "userRepository")
  53. private UserRepository userRepository;
  54. @Override
  55. protected void configure(AuthenticationManagerBuilder registry)
  56. throws Exception {
  57. /*
  58. * registry .inMemoryAuthentication() .withUser("siva") // #1
  59. * .password("siva") .roles("USER") .and() .withUser("admin") // #2
  60. * .password("admin") .roles("ADMIN","USER");
  61. */
  62. // registry.jdbcAuthentication().dataSource(dataSource);
  63. registry.userDetailsService(customUserDetailsService());
  64. }
  65. @Override
  66. public void configure(WebSecurity web) throws Exception {
  67. web.ignoring().antMatchers("/resources/**"); // #3web
  68. }
  69. // AntPathRequestMatcher --> AntPathRequestMatcher --->AntPathMatcher
  70. @Override
  71. protected void configure(HttpSecurity http) throws Exception {
  72. //1.登录注册等URL不要身份验证
  73. http.csrf().disable().authorizeRequests()
  74. .antMatchers("/login", "/login/form**", "/register", "/logout")
  75. .permitAll() // #4
  76. .antMatchers("/admin", "/admin/**").hasRole("ADMIN"); // #6
  77. //2. 从数据库中读取所有需要权限控制的URL资源,注意当新增URL控制时,需要重启服务
  78. List<UrlAuthority> urlAuthorities = customUserDetailsService().loadUrlAuthorities();
  79. for (UrlAuthority urlAuthority : urlAuthorities) {
  80. http.authorizeRequests().antMatchers(urlAuthority.getUrl()).hasAuthority(String.valueOf(urlAuthority.getId()));
  81. }
  82. //3. 除1,2两个步骤验证之外的URL资源,只要身份认证即可访问
  83. http.authorizeRequests().anyRequest().authenticated() // 7
  84. .and().formLogin() // #8
  85. .loginPage("/login/form") // #9
  86. .loginProcessingUrl("/login").defaultSuccessUrl("/welcome") // #defaultSuccessUrl
  87. .failureUrl("/login/form?error").permitAll(); // #5
  88. }
  89. }

1.读取数据库中的URL资源对应的权限列表  2.读取登录用户拥有的权限列表

  1. /**
  2. *
  3. */
  4. package com.sivalabs.springapp.config;
  5. import java.sql.ResultSet;
  6. import java.sql.SQLException;
  7. import java.util.List;
  8. import org.springframework.jdbc.core.RowMapper;
  9. import org.springframework.security.core.GrantedAuthority;
  10. import org.springframework.security.core.authority.SimpleGrantedAuthority;
  11. import org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl;
  12. import com.sivalabs.springapp.entities.UrlAuthority;
  13. /**
  14. * @author tony
  15. *
  16. */
  17. public class CustomUserDetailsService extends JdbcDaoImpl{
  18. private String allUrlAuthoritiesQuery ;
  19. /**
  20. * 从数据库中读取所有需要权限控制的URL资源,注意当新增URL控制时,需要重启服务
  21. */
  22. public List<UrlAuthority> loadUrlAuthorities( ) {
  23. return getJdbcTemplate().query(allUrlAuthoritiesQuery,  new RowMapper<UrlAuthority>() {
  24. public UrlAuthority mapRow(ResultSet rs, int rowNum) throws SQLException {
  25. return new UrlAuthority (rs.getInt(1),rs.getString(2));
  26. }
  27. });
  28. }
  29. /**
  30. *  从数据库中读取用户权限
  31. * Loads authorities by executing the SQL from <tt>authoritiesByUsernameQuery</tt>.
  32. * @return a list of GrantedAuthority objects for the user
  33. */
  34. protected List<GrantedAuthority> loadUserAuthorities(String username) {
  35. return getJdbcTemplate().query(super.getAuthoritiesByUsernameQuery(), new String[] {username}, new RowMapper<GrantedAuthority>() {
  36. public GrantedAuthority mapRow(ResultSet rs, int rowNum) throws SQLException {
  37. String roleName =  rs.getString(1);
  38. return new SimpleGrantedAuthority(roleName);
  39. }
  40. });
  41. }
  42. public void setAllUrlAuthoritiesQuery(String allUrlAuthoritiesQuery) {
  43. this.allUrlAuthoritiesQuery = allUrlAuthoritiesQuery;
  44. }
  45. }

测试数据及案例见  http://note.youdao.com/share/?id=c20e348d9a08504cd3ac1c7c58d1026e&type=note 
spring-security-oauth2  http://www.mvnrepository.com/artifact/org.springframework.security.oauth/spring-security-oauth2 
Maven Repository: org.springframework.session » spring-session  http://www.mvnrepository.com/artifact/org.springframework.session/spring-session

http://json20080301.iteye.com/blog/2190711

spring-security3.2.5实现中国式安全管理(转)的更多相关文章

  1. Spring Security3学习实例

    Spring Security是什么? Spring Security,这是一种基于Spring AOP和Servlet过滤器的安全框架.它提供全面的安全性解决方案,同时在Web请求级和方法调用级处理 ...

  2. Spring security3

    最近一直在学习spring security3,试着搭建了环境: 构建maven环境 项目配置pom.xml文件 <project xmlns="http://maven.apache ...

  3. Spring Security3实现,权限动态获取

    Spring Security3实现,权限动态获取 原文  http://blog.csdn.net/yangwei19680827/article/details/9359113 主题 网络安全Sp ...

  4. Spring Security3详细配置

    Spring Security3详细配置 表名:RESOURCE 解释:资源表备注: 资源表 RESOURCE(资源表) 是否主键 字段名 字段描述 数据类型 长度 可空 约束 缺省值 备注 是 ID ...

  5. Spring Security3 - MVC 整合教程

    下面我们将实现关于Spring Security3的一系列教程.  最终的目标是整合Spring Security + Spring3MVC  完成类似于SpringSide3中mini-web的功能 ...

  6. JavaEE学习之Spring Security3.x——模拟数据库实现用户,权限,资源的管理

    一.引言 因项目需要最近研究了下Spring Security3.x,并模拟数据库实现用户,权限,资源的管理. 二.准备 1.了解一些Spring MVC相关知识: 2.了解一些AOP相关知识: 3. ...

  7. Spring Security3十五日研究(转载)

    前言 南朝<述异记>中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老.    因此发出“山中方一日,世上几千年” 的慨叹.原文寥寥几笔,读来 ...

  8. spring security3.1配置比较纠结的2个问题

    转自:http://www.iteye.com/topic/1122629 总论无疑问的,spring security在怎么保护网页应用安全上做得很强很周全,但有些地方还是很差强人意,比如对< ...

  9. 使用Spring Security3的四种方法概述

    使用Spring Security3的四种方法概述 那么在Spring Security3的使用中,有4种方法: 一种是全部利用配置文件,将用户.权限.资源(url)硬编码在xml文件中,已经实现过, ...

  10. Spring Security3中的-authentication-manager标签详解

    讲解完http标签的解析过程,authentication-manager标签解析部分就很容易理解了 authentication-manager标签在spring的配置文件中的定义一般如下 < ...

随机推荐

  1. sqlserver bak还原

    一.查看: restore filelistonly from disk='F:\Db\A_backup.bak' 二.还原:RESTORE DATABASE AFROM DISK = 'F:\Db\ ...

  2. 关于yaf的控制器命名,一个纠结的问题(续)

    以下方案缺少loader相关的步骤,明天补上!!! 前面写过一篇<关于yaf的控制器命名,一个纠结的问题>.没想到yaf群里面也有跟我遇到一样问题的人,分享下解决办法. 写完那篇博文后,我 ...

  3. C++ Primer 学习笔记_60_重载操作符与转换 --赋值、下标、成员訪问操作符

    重载操作符与转换 --赋值.下标.成员訪问操作符 一.赋值操作符 类赋值操作符接受类类型形參,通常该形參是对类类型的const引用,但也能够是类类型或对类类型的非const引用.假设未定义这个操作符, ...

  4. android解析xml一直报错org.xmlpull.v1.XmlPullParserException

     错误: org.xmlpull.v1.XmlPullParserException: Unexpected token (position:TEXT @1:2 injava.io.String ...

  5. 【从零学习经典算法系列】分治策略实例——高速排序(QuickSort)

    在前面的博文(http://blog.csdn.net/jasonding1354/article/details/37736555)中介绍了作为分治策略的经典实例,即归并排序.并给出了递归形式和循环 ...

  6. qt宽字符串中文乱码(codec->toUnicode值得学习)

    乱码原因: QT使用的是utf-8 简体中文版的windows操作系统及其应用软件默认都是ANSI/GBK编码.而且这里应该是宽字符串. 多字节ANISGB 宽字符UNICODE 多字节显示标准字符的 ...

  7. jquery.form.js用法之清空form的方法

    本段代码摘取自jquery.form.js中,由于觉得该方法的使用性非常强,同时也可独立拿出来使用.该段代码言简意赅可以很好的作为学习参考. /** * Clears the form data. T ...

  8. ConnectivityManager

    ConnectivityManager 主要管理网络连接的相关的类它主要负责的是1 监视网络连接状态 包括(Wi-Fi, GPRS, UMTS, etc)2 当网络状态改变时发送广播通知3 当网络连接 ...

  9. Webserver管理系列:5、利用MSConfig排查木马

    木马程序最喜欢去的地方有两个一个是服务里面,一个是启动里面.利用msconfig我们能够高速的找到可疑程序. 在命令行中输入msconfig回车 选择服务项: 这里面的服务有非常多我们非常难排查,我告 ...

  10. 排序(6)---------归并排序(C语言实现)

    归并排序: 归并操作,也叫归并算法,指的是将两个已经排序的序列合并成一个序列的操作.归并排序算法依赖归并操作. 归并操作的步骤例如以下:     (1) 申请空间,使其大小为两个已经排序序列之和.该空 ...