此文是轉載自 sparta-紫杉兄的,http://www.blogjava.net/SpartaYew/archive/2011/05/19/SpingSecurity3.html原文
本來自己想總結一次spring security,發現sparta-紫杉兄寫的很完整就摘過來了.
此文是轉載自 sparta-紫杉兄的,http://www.blogjava.net/SpartaYew/archive/2011/05/19/SpingSecurity3.html原文
本來自己想總結一次spring security,發現sparta-紫杉兄寫的很完整就摘過來了.
使用Spring Security3的四種方法概述
那麼在Spring Security3的使用中,有4種方法:
一種是全部利用配置檔案,将使用者、權限、資源(url)寫死在xml檔案中,已經實作過,并經過驗證;
二種是使用者和權限用資料庫存儲,而資源(url)和權限的對應采用寫死配置,目前這種方式已經實作,并經過驗證。
三種是細分角色和權限,并将使用者、角色、權限和資源均采用資料庫存儲,并且自定義過濾器,代替原有的FilterSecurityInterceptor過濾器,
并分别實作AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,并在配置檔案中進行相應配置。
目前這種方式已經實作,并經過驗證。
四是修改spring security的源代碼,主要是修改InvocationSecurityMetadataSourceService和UserDetailsService兩個類。
前者是将配置檔案或資料庫中存儲的資源(url)提取出來加工成為url和權限清單的Map供Security使用,後者提取使用者名和權限組成一個完整的(UserDetails)User對象,該對象可以提供使用者的詳細資訊供AuthentationManager進行認證與授權使用。
該方法理論上可行,但是比較暴力,也沒有時間實作,未驗證,以後再研究。
說明一下,我目前調通的環境為: java1.6 + struts2.1.6 + spring3.0.1 + hibernate3.3.1 + spring security3.0.2 + oracle9i + weblogic10.3,
順便提一下,目前(2011-4-2)serutity的最新版本為3.1,比較穩定的版本為3.0.5和2.0.6。
當然在進行spring security3的下面4種方法介紹之前,先假定SSH2的環境已經配置完畢,進入正常開發的過程,并且已經導入
spring security3.0.2的5個jar包,分别為:
spring-security-acl-3.0.2.RELEASE.jar
spring-security-config-3.0.2.RELEASE.jar
spring-security-core-3.0.2.RELEASE.jar
spring-security-taglibs-3.0.2.RELEASE.jar
spring-security-web-3.0.2.RELEASE.jar
當然還有其他相關的jar包,在此不再贅述。
第一種方法
第一種方法比較簡單,可參考Spring Security自帶的例子spring-security-samples-tutorial-3.0.2.RELEASE。
這裡給出下載下傳網址:http://www.springsource.com/download/community?sid=1087087,不過在下載下傳之前必須填寫相應的使用者資訊,才允許下載下傳。各種版本号的均可以下載下傳。
在spring-security-samples-tutorial-3.0.2.RELEASE的例子裡,寫死的配置請參見applicationContext-security.xml檔案中的内容。
裡面配置了使用者名、經過MD5加密後的密碼密文、相關的權限,以及與權相對應的通路資源(URL)。還有對于Session逾時時的處理。
特别是因為版本号為3.0.2,是以還增加了對表達式的配置示範,具體内容請參見該例子。
當然你最好運作起該例子來,感受一下,你可以直接将下載下傳下來的解壓縮後的檔案夾中找到spring-security-samples-tutorial-3.0.2.RELEASE.war檔案,然後拷貝到Tomcat的安裝目錄下的\webapps檔案夾下,然後運作Tomcat的伺服器,伺服器在啟動過程中,會自動解開該war檔案,在IE内輸入http://localhost:8080/webapps/spring-security-samples-tutorial-3.0.2.RELEASE 就可以運作該系統了。在此不再贅述。
第二種方法
第二種方法的代碼如下:
使用到的兩個表,使用者表和權限表的SQL語句。将使用者和權限以資料庫進行存儲。
create table USERS(
USERNAME VARCHAR2(50) not null,
PASSWORD VARCHAR2(50) not null,
ENABLED NUMBER(1) not null,
USERNAMECN VARCHAR2(50),
primary key( username )
)
create table AUTHORITIES(
USERNAME VARCHAR2(50) not null,
AUTHORITY VARCHAR2(50) not null
)
-- 外鍵使使用者和權限相聯。
Create/Recreate primary, unique and foreign key constraints
alter table AUTHORITIES
add constraint FK_AUTHORITIES_USERS foreign key (USERNAME)
references USERS (USERNAME);
可插入幾條資料做為試驗,首先插入使用者:
insert into users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)
values ('lxb', 'c7d3f4c857bc8c145d6e5d40c1bf23d9', 1, '登入使用者', 'AAAHmhAALAAAAAOAAA');
insert into users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)
values ('admin', 'ceb4f32325eda6142bd65215f4c0f371', 1, '系統管理者', 'AAAHmhAALAAAAAPAAA');
insert into users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)
values ('user', '47a733d60998c719cf3526ae7d106d13', 1, '普通使用者', 'AAAHmhAALAAAAAPAAB');
再插入角色:
insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('admin', 'ROLE_PLATFORMADMIN', 'AAAHmjAALAAAAAgAAA');
insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('admin', 'ROLE_SYSADMIN', 'AAAHmjAALAAAAAgAAB');
insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('lxb', 'ROLE_LOGIN', 'AAAHmjAALAAAAAeAAA');
insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('lxb', 'ROLE_LOGINTOWELCOME', 'AAAHmjAALAAAAAeAAB');
insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('user', 'ROLE_USER', 'AAAHmjAALAAAAAgAAC');
第二種方法之密碼加密
可能要有人要問,使用者表裡面的密碼是如何取得的呢?這個密碼是通過MD5進行加密過的,并且以使用者名做為了鹽值,最後就成為32位數字這個樣子,這個你可以參見下面applicationContext-Security.xml中的password-encoder和salt-source的配置就會明白。
那麼在spring security3中是如何加密的呢?當我們設定了pawwrod-encoder和salt-source之後,Spring Security3會根據配置,采用相比對的加密算法(比如設定了MD5加密算法)再加上salt-source進行加密,形成32位數字的密文。
比如使用者名為yew,密碼為yew1234,鹽值為使用者名yew。那麼最後加密的明文為“yew1234{yew}”,密文就為“8fe2657d1599dba8e78a7a0bda8651bb”。
我們在試驗過程中,通常喜歡先将幾個常用的使用者及密碼插入資料庫進行試驗,這種情況下如何得到該使用者的密碼密文呢?
不妨試試我這個辦法,假設,使用者名為user,密碼明文為user369,而且在配置檔案裡面設定了以MD5作為加密算法,并以使用者名做為鹽值。
那麼你可以首先将各個資訊組合成待加密的密碼明文, 應是 密碼明文 + { + 鹽值 + }, 那麼很明顯,上述user的密碼明文應當是:
user369{user}
拿上述的字串拷貝到 http://www.51240.com/md5jiami/ 網頁上的輸入框裡,點選加密按鈕,下面即可生成32位數字的密碼密文。
哈哈,屢試不爽啊。這個方法要謹慎使用,一般人我不告訴他。
第二種方法之相關配置
将權限及資源(URL或Action)的關系配置在xml檔案中,并且配置與Spring Security3相關的其他配置:
1、applicationContext-Security.xml代碼:
<b:beans xmlns="http://www.springframework.org/schema/security"
xmlns:b="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<http auto-config="true" access-denied-page="/accessDenied.jsp">
<!-- 不要過濾圖檔等靜态資源,其中**代表可以跨越目錄,*不可以跨越目錄。 -->
<intercept-url pattern="/**/*.jpg" filters="none" />
<intercept-url pattern="/**/*.png" filters="none" />
<intercept-url pattern="/**/*.gif" filters="none" />
<intercept-url pattern="/**/*.css" filters="none" />
<intercept-url pattern="/**/*.js" filters="none" />
<!-- 登入頁面和忘記密碼頁面不過濾 -->
<intercept-url pattern="/login.jsp" filters="none" />
<intercept-url pattern="/jsp/forgotpassword.jsp" filters="none" />
<!-- 下面是對Action配置。表示具有通路/unitsManager資源的使用者必須具有ROLE_PLATFORMADMIN的權限。
當使用者登入時,SS3将使用者的所有權限從資料庫中提取出來,形成清單。 當使用者通路該資源時,SS3将
登入使用者的權限清單提出來跟下面配置的權限進行比對,若有,則允許通路,若沒有,則給出AccessDeniedException。-->
<intercept-url pattern="/unitsManager" access="ROLE_PLATFORMADMIN" />
<intercept-url pattern="/usersManager" access="ROLE_PLATFORMADMIN" />
<intercept-url pattern="/horizontalQuery" access="ROLE_PLATFORMADMIN" />
<intercept-url pattern="/verticalQuery" access="ROLE_PLATFORMADMIN" />
<form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/index.jsp" />
<!-- "記住我"功能,采用持久化政策(将使用者的登入資訊存放在資料庫表中) -->
<remember-me data-source-ref="dataSource" />
<!-- 檢測失效的sessionId,逾時時定位到另外一個URL -->
<session-management invalid-session-url="/sessionTimeout.jsp" />
</http>
<!-- 注意能夠為authentication-manager 設定alias别名 -->
<authentication-manager alias="authenticationManager">
<authentication-provider user-service-ref="userDetailsManager">
<password-encoder ref="passwordEncoder">
<!-- 使用者名做為鹽值 -->
<salt-source user-property="username" />
</password-encoder>
</authentication-provider>
</authentication-manager>
</b:beans>
2、applicationContext.service.xml:
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:util="http://www.springframework.org/schema/util"
xmlns:jee="http://www.springframework.org/schema/jee"
xmlns:aop="http://www.springframework.org/schema/aop"
xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/aop
http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
http://www.springframework.org/schema/tx
http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
http://www.springframework.org/schema/jee
http://www.springframework.org/schema/jee/spring-jee-3.0.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context-3.0.xsd
http://www.springframework.org/schema/util
http://www.springframework.org/schema/util/spring-util-3.0.xsd">
<!-- 定義上下文傳回的消息的國際化。 -->
<bean id="messageSource"
class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
<property name="basename"
value="classpath:org/springframework/security/messages_zh_CN"/>
</bean>
<!-- 事件監聽:實作了 ApplicationListener監聽接口,包括AuthenticationCredentialsNotFoundEvent 事件,
AuthorizationFailureEvent事件,AuthorizedEvent事件, PublicInvocationEvent事件 -->
<bean class="org.springframework.security.authentication.event.LoggerListener" />
<!-- 使用者的密碼加密或解密 -->
<bean id="passwordEncoder"
class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
<!-- 使用者詳細資訊管理 : 資料源、使用者緩存、啟用使用者組功能。 -->
<bean id="userDetailsManager"
class="org.springframework.security.provisioning.JdbcUserDetailsManager">
<property name="dataSource" ref="dataSource" />
<property name="userCache" ref="userCache" />
</bean>
<bean id="userCache"
class="org.springframework.security.core.userdetails.cache.EhCacheBasedUserCache">
<property name="cache" ref="userEhCache" />
</bean>
<bean id="userEhCache" class="org.springframework.cache.ehcache.EhCacheFactoryBean">
<property name="cacheName" value="userCache" />
<property name="cacheManager" ref="cacheManager" />
</bean>
<!-- 緩存使用者管理 -->
<bean id="cacheManager"
class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" />
<!-- spring security自帶的與權限有關的資料讀寫Jdbc模闆 -->
<bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate">
<property name="dataSource" ref="dataSource" />
</bean>
</beans>
3、web.xml:
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<!-- 設定log4j存放Log檔案位置(通過spring統一進行管理) -->
<context-param>
<param-name>webAppRootKey</param-name>
<param-value>log.root</param-value>
</context-param>
<!-- 加載log4j的配置檔案 -->
<context-param>
<param-name>log4jConfigLocation</param-name>
<param-value>classpath:/log4j.properties</param-value>
</context-param>
<!--Spring預設重新整理Log4j配置檔案的間隔,機關為millisecond-->
<context-param>
<param-name>log4jRefreshInterval</param-name>
<param-value>60000</param-value>
</context-param>
<!--Spring用于log4j初始化的監聽器-->
<listener>
<listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
</listener>
<!--
加載Spring XML配置檔案,Spring安全配置及各類資源檔案,暫不加
/WEB-INF/applicationContext-security.xml,
-->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/applicationContext*.xml,
classpath*:applicationContext.xml
</param-value>
</context-param>
<!--spring監聽器的配置,用于在啟動Web容器時,自動裝配ApplicationContext的配置資訊-->
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!-- 使用Spring中的過濾器解決在請求和應答中的中文亂碼問題 -->
<filter>
<filter-name>characterEncodingFilter</filter-name>
<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>gbk</param-value>
</init-param>
<init-param>
<!--強制轉換編碼(request和response均适用) -->
<param-name>ForceEncoding</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>characterEncodingFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- Spring Secutiry3.0.2的過濾器鍊配置 -->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 配置Struts2的FilterDispathcer的Filter -->
<filter>
<filter-name>struts2</filter-name>
<filter-class>
org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter
</filter-class>
</filter>
<!-- struts2用以處理使用者Web請求的路徑模式-->
<filter-mapping>
<filter-name>struts2</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 避免亂碼問題 -->
<filter>
<filter-name>struts-cleanup</filter-name>
<filter-class>
org.apache.struts2.dispatcher.ActionContextCleanUp
</filter-class>
</filter>
<filter-mapping>
<filter-name>struts-cleanup</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- Spring重新整理Interceptor防止記憶體洩漏 -->
<listener>
<listener-class>
org.springframework.web.util.IntrospectorCleanupListener
</listener-class>
</listener>
<!-- 設定session 逾時時間為20分鐘 -->
<session-config>
<session-timeout>20</session-timeout>
</session-config>
<!--系統歡迎頁面-->
<welcome-file-list>
<welcome-file>login.jsp</welcome-file>
</welcome-file-list>
</web-app>
令人欣喜的是,整個Security配置過程中,除了建立資料庫和編寫配置檔案之外,不需要編寫任何的代碼。怎麼樣? 有點意思吧!
第二種方法中遇見的問題
當然,首次使用Spring serutiry,在整合的過程中,我還是遇見了不少問題,當然有些問題比如找不到類呀,包呀,和架構的整合呀等問題不作為談論的重點。主要還是探讨Spring Security的配置和注意事項的問題。
我在其中碰到的對我印象最深的問題是,當完全配置好之後,重新開機Web伺服器,卻發現Spring Security不能攔截任何的URL了,這使我感到驚詫,因為在去年時,我已經将該架構搭建完成,在當時正是使用的該種方法,并且在試驗是否能夠攔截jsp檔案時進行了确認是沒有問題的。
接下來我又整理了一下applicationContext-security.xml的檔案才發現, 除了不需要進行檢測的圖檔及登入頁面之外,沒有對任何的資源和權限之間的對應關系進行配置,參見下面的代碼:
<http auto-config="true" access-denied-page="/accessDenied.jsp">
<!-- 不要過濾圖檔等靜态資源,其中**代表可以跨越目錄,*不可以跨越目錄。 -->
<intercept-url pattern="/**/*.jpg" filters="none" />
<intercept-url pattern="/**/*.png" filters="none" />
<intercept-url pattern="/**/*.gif" filters="none" />
<intercept-url pattern="/**/*.css" filters="none" />
<intercept-url pattern="/**/*.js" filters="none" />
<!-- 登入頁面和忘記密碼頁面不過濾 -->
<intercept-url pattern="/login.jsp" filters="none" />
<intercept-url pattern="/jsp/forgotpassword.jsp" filters="none" />
<!-- 下面是對Struts2的Action請求時的配置。注意在前面加/,否則不會被SS3進行攔截驗證。
表示具有通路/unitsManager資源的使用者必須具有ROLE_PLATFORMADMIN的權限。
當使用者登入時,SS3将使用者的所有權限從資料庫中提取出來,形成清單。 當使用者通路該資源時,
SS3将登入使用者的權限清單提出來跟下面配置的權限進行比對,若有,則允許通路,若沒有,
則給出AccessDeniedException。
<intercept-url pattern="/unitsManager" access="ROLE_PLATFORMADMIN" />
<intercept-url pattern="/usersManager" access="ROLE_PLATFORMADMIN" />
<intercept-url pattern="/horizontalQuery" access="ROLE_PLATFORMADMIN" />
<intercept-url pattern="/verticalQuery" access="ROLE_PLATFORMADMIN" /> -->
<form-login login-page="/login.jsp"
authentication-failure-url="/login.jsp?error=true"
default-target-url="/index.jsp" />
<!-- "記住我"功能,采用持久化政策(将使用者的登入資訊存放在資料庫表中) -->
<remember-me data-source-ref="dataSource" />
<!-- 檢測失效的sessionId,逾時時定位到另外一個URL -->
<session-management invalid-session-url="/sessionTimeout.jsp" />
</http>
這樣一來,spring security3就會認為根本不需要對任何的URL或Action進行檢測(注意上面代碼中被注釋掉的4條配置)。 哈哈,當時這個問題深深動搖了我對Spring security的信心,花費了這麼多天的精力,卻是這樣的結果,當時就在考慮是否有更好的替代品。有點崩潰啊。 還好,深深地求知欲和征服欲讓我堅持下來了。
哈哈,這算不算Spring Security的一個Bug呢?沒有任何的權限與資源的配置,就認為登入後的使用者具有通路任何資源的權限,說起來有點可怕哈。
當然,當我将上述代碼中被注釋的4條配置放開後,Spring security奇迹般的恢複了活力。
接下來實作了jsp型URL的攔截之後,我又遇見了不能攔截action的情況,不過經過多次的配置和重新開機服務試驗,終于發現,在配置Action與權限時,一定要在Action的路徑前面加“/”斜杠,否則,Spring Security就會對該請求的URL熟視無睹,無視它的存在,即使你在Action的前後加上*号進行比對也不會起任何作用,哈哈,不禁慨歎Spring Security的牛脾氣。
第二種方法BTW
順便提一下子,Spring Security3需要配置的過濾器是雙重的,首先在web.xml中配置一個過濾器代理,參見上述web.xml中的springSecurityFilterChain配置。
我們通常設定過濾的url模式為/*,就是說任何的url通路都要進行過濾,工作量有點大哈。當然我們可以為之設定不同的過濾url模式,比如.action、.do、.jsp等。這樣的話,遇到.action或.jsp或.do結尾的url通路,Spring Security就會突然站出來打截,若是其他的通路,Spring Security就會揮一揮手,潇灑地讓你路過。
是以說,這個過濾器主要對大的方面進行攔截,一些細小的活兒,還是要交給第二重過濾器。 就是說,這第一重過濾器是個總代理,他威武地管理着一個過濾器鍊。
那麼這第二重過濾器的配置,就是那些所謂的過濾器鍊,分别包括“記住我”、“登入”、“登出”、“url通路”等的過濾器,這個過濾器依順序排開,形成一個過濾鍊條。具體攔截我們明細Url的是一個叫做FilterInterCeptor的夥計,我認為這個家夥是在整個過濾器鍊條中是最重要的一個,因為我們登入系統之後,要通路的任何資源都必須經得他的同意。 那麼這第二重鍊條就設定在applicationContext-security.xml檔案中的<http>元素下面。
什麼,你看不到? 忘記告訴你了,從spring security2開始,就使用了命名空間,若你在<http>中設定了auto="true",Spring Security就會在服務啟動時自動加載
所有的過濾器鍊,省事了吧!
第三種方法
當然,spring security3畢竟是西方國家的東西,以英文為主,使用習慣和文化的差異共存,況且為了适應大多數Web應用的權限管理,作者将Spring Security3打造的精簡而靈活。精簡指Spring Security3對使用者和權限的表設計的非常簡單,并且沒有采用資料庫來管理資源(URL)。這樣的話,對于我們國人使用者來說,是個很大的遺憾,這個遺憾甚至能夠影響到我們對安全架構的選型。你想啊,在國内大多數項目中,均設定了比較複雜的權限控制,一般就會涉及到使用者、角色、權限、資源4張表,若要加上4張表之間的對應關系表3張,得有7張表才行。
得7張表才行,但是Spring Security3才給我們提供了2張最簡潔的表,這足以不能完成國人使用者的項目應用。那麼在對Spring Security3一無所知的情況下,
我們很容易就會放棄對該安全架構的選型。
還好,Spring Security3提供了靈活的擴充方法。具體應該擴充哪些類呢? 或者到底Spring Security3工作的流程如何,你不妨參看下面一篇文章,就會獲得
一些啟示,網址為:http://www.blogjava.net/youxia/archive/2008/12/07/244883.html , 哈哈,謝謝分享。
還有一個位址很有價值, http://wenku.baidu.com/view/4ec7e324ccbff121dd368364.html ,我就參考着上面的介紹擴充了4個類。
不過我得提一下,原文的作者為了考驗你的耐性和自信心,故意在代碼裡面賣了幾點小小的關子,是以若是完全按照作者的原文代碼裝配起來的權限系統,是不會那麼順利地工作的,天下似乎真是沒有不花費力氣的午餐!在裝配完成後,我也是經過九九八十一難的折磨,在使用者、角色、權限、資源的
“天下黃河九曲十八彎”裡面盤旋迂回,終于到達了成功的彼岸。至此才對Spring Security有了更深層次的了解,更加佩服作者的良苦用心。 哈哈。
并擴充了User類以增加其相關的各類其他資訊(如Email,職務,所在機關id等)。
相關的代碼如下(包含5個關鍵類):
/**//*
* @(#) MyFilterSecurityInterceptor.java 2011-3-23 上午07:53:03
*
* Copyright 2011 by Sparta
*/
package avatar.base.security;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
/** *//**
* 該過濾器的主要作用就是通過spring著名的IoC生成securityMetadataSource。
* securityMetadataSource相當于本包中自定義的MyInvocationSecurityMetadataSourceService。
* 該MyInvocationSecurityMetadataSourceService的作用提從資料庫提取權限和資源,裝配到HashMap中,
* 供Spring Security使用,用于權限校驗。
* @author sparta 11/3/29
*
*/
public class MyFilterSecurityInterceptor
extends AbstractSecurityInterceptor
implements Filter{
private FilterInvocationSecurityMetadataSource securityMetadataSource;
public void doFilter( ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException{
FilterInvocation fi = new FilterInvocation( request, response, chain );
invoke(fi);
}
public FilterInvocationSecurityMetadataSource getSecurityMetadataSource(){
return this.securityMetadataSource;
}
public Class<? extends Object> getSecureObjectClass(){
return FilterInvocation.class;
}
public void invoke( FilterInvocation fi ) throws IOException, ServletException{
InterceptorStatusToken token = super.beforeInvocation(fi);
try{
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
}finally{
super.afterInvocation(token, null);
}
}
@Override
public SecurityMetadataSource obtainSecurityMetadataSource(){
return this.securityMetadataSource;
}
public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource securityMetadataSource){
this.securityMetadataSource = securityMetadataSource;
}
public void destroy(){
}
public void init( FilterConfig filterconfig ) throws ServletException{
}
}
/**//*
* @(#) MyInvocationSecurityMetadataSourceService.java 2011-3-23 下午02:58:29
*
* Copyright 2011 by Sparta
*/
package avatar.base.security;
import java.util.ArrayList;
import java.util.Collection;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import org.hibernate.Session;
import org.hibernate.SessionFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.ApplicationContext;
import org.springframework.context.support.ClassPathXmlApplicationContext;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.security.web.util.AntUrlPathMatcher;
import org.springframework.security.web.util.UrlMatcher;
import org.springframework.stereotype.Service;
import avatar.base.security.dao.PubAuthoritiesResourcesHome;
/** *//**
* 最核心的地方,就是提供某個資源對應的權限定義,即getAttributes方法傳回的結果。 此類在初始化時,應該取到所有資源及其對應角色的定義。
*
*/
@Service
public class MyInvocationSecurityMetadataSourceService implements
FilterInvocationSecurityMetadataSource {
@Autowired
private PubAuthoritiesResourcesHome pubAuthoritiesResourcesHome;
private UrlMatcher urlMatcher = new AntUrlPathMatcher();
private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
public MyInvocationSecurityMetadataSourceService() {
loadResourceDefine();
}
private void loadResourceDefine() {
ApplicationContext context = new ClassPathXmlApplicationContext(
"classpath:applicationContext.xml");
SessionFactory sessionFactory = (SessionFactory) context
.getBean("sessionFactory");
Session session = sessionFactory.openSession();
String username = "";
String sql = "";
// 在Web伺服器啟動時,提取系統中的所有權限。
sql = "select authority_name from pub_authorities";
List<String> query = session.createSQLQuery(sql).list();
/**//*
* 應當是資源為key, 權限為value。 資源通常為url, 權限就是那些以ROLE_為字首的角色。 一個資源可以由多個權限來通路。
* sparta
*/
resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
for (String auth : query) {
ConfigAttribute ca = new SecurityConfig(auth);
List<String> query1 = session
.createSQLQuery(
"select b.resource_string "
+ "from Pub_Authorities_Resources a, Pub_Resources b, "
+ "Pub_authorities c where a.resource_id = b.resource_id "
+ "and a.authority_id=c.authority_id and c.Authority_name='"
+ auth + "'").list();
for (String res : query1) {
String url = res;
/**//*
* 判斷資源檔案和權限的對應關系,如果已經存在相關的資源url,則要通過該url為key提取出權限集合,将權限增加到權限集合中。
* sparta
*/
if (resourceMap.containsKey(url)) {
Collection<ConfigAttribute> value = resourceMap.get(url);
value.add(ca);
resourceMap.put(url, value);
} else {
Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
atts.add(ca);
resourceMap.put(url, atts);
}
}
}
}
@Override
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
// 根據URL,找到相關的權限配置。
@Override
public Collection<ConfigAttribute> getAttributes(Object object)
throws IllegalArgumentException {
// object 是一個URL,被使用者請求的url。
String url = ((FilterInvocation) object).getRequestUrl();
int firstQuestionMarkIndex = url.indexOf("?");
if (firstQuestionMarkIndex != -1) {
url = url.substring(0, firstQuestionMarkIndex);
}
Iterator<String> ite = resourceMap.keySet().iterator();
while (ite.hasNext()) {
String resURL = ite.next();
if (urlMatcher.pathMatchesUrl(url, resURL)) {
return resourceMap.get(resURL);
}
}
return null;
}
@Override
public boolean supports(Class<?> arg0) {
return true;
}
}
/**//*
* @(#) MyUserDetailsService.java 2011-3-23 上午09:04:31
*
* Copyright 2011 by Sparta
*/
package avatar.base.security;
import java.util.ArrayList;
import java.util.Collection;
import javax.sql.DataSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.dao.DataAccessException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserCache;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import avatar.base.security.dao.PubAuthoritiesResourcesHome;
import avatar.base.security.dao.PubUsersHome;
/** *//**
*該類的主要作用是為Spring Security提供一個經過使用者認證後的UserDetails。
*該UserDetails包括使用者名、密碼、是否可用、是否過期等資訊。
*sparta 11/3/29
*/
@Service
public class MyUserDetailsService implements UserDetailsService {
@Autowired
private PubUsersHome pubUsersHome;
@Autowired
private PubAuthoritiesResourcesHome pubAuthoritiesResourcesHome;
@Autowired
private DataSource dataSource;
@Autowired
private UserCache userCache;
@Override
public UserDetails loadUserByUsername(String username)
throws UsernameNotFoundException, DataAccessException {
Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
//得到使用者的權限
auths = pubUsersHome.loadUserAuthoritiesByName( username );
String password = null;
//取得使用者的密碼
password = pubUsersHome.getPasswordByUsername( username );
return new User( username, password, true, "", true, true, true, auths);
}
//set PubUsersHome
public void setPubUsersHome( PubUsersHome pubUsersHome ){
this.pubUsersHome = pubUsersHome;
}
public PubUsersHome getPubUsersHome(){
return pubUsersHome;
}
//set PubAuthoritiesResourcesHome
public void setPubAuthoritiesResourcesHome( PubAuthoritiesResourcesHome pubAuthoritiesResourcesHome ){
this.pubAuthoritiesResourcesHome = pubAuthoritiesResourcesHome;
}
public PubAuthoritiesResourcesHome getPubAuthoritiesResourcesHome(){
return pubAuthoritiesResourcesHome;
}
//set DataSource
public void setDataSource( DataSource dataSource ){
this.dataSource = dataSource;
}
public DataSource getDataSource(){
return dataSource;
}
//設定使用者緩存功能。
public void setUserCache(UserCache userCache) {
this.userCache = userCache;
}
public UserCache getUserCache(){
return this.userCache;
}
}
/**//*
* @(#) MyAccessDecisionManager.java 2011-3-23 下午04:41:12
*
* Copyright 2011 by Sparta
*/
package avatar.base.security;
import java.util.Collection;
import java.util.Iterator;
import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
/** *//**
*AccessdecisionManager在Spring security中是很重要的。
*
*在驗證部分簡略提過了,所有的Authentication實作需要儲存在一個GrantedAuthority對象數組中。
*這就是賦予給主體的權限。 GrantedAuthority對象通過AuthenticationManager
*儲存到 Authentication對象裡,然後從AccessDecisionManager讀出來,進行授權判斷。
*
*Spring Security提供了一些攔截器,來控制對安全對象的通路權限,例如方法調用或web請求。
*一個是否允許執行調用的預調用決定,是由AccessDecisionManager實作的。
*這個 AccessDecisionManager 被AbstractSecurityInterceptor調用,
*它用來作最終通路控制的決定。 這個AccessDecisionManager接口包含三個方法:
*
void decide(Authentication authentication, Object secureObject,
List<ConfigAttributeDefinition> config) throws AccessDeniedException;
boolean supports(ConfigAttribute attribute);
boolean supports(Class clazz);
從第一個方法可以看出來,AccessDecisionManager使用方法參數傳遞所有資訊,這好像在認證評估時進行決定。
特别是,在真實的安全方法期望調用的時候,傳遞安全Object啟用那些參數。
比如,讓我們假設安全對象是一個MethodInvocation。
很容易為任何Customer參數查詢MethodInvocation,
然後在AccessDecisionManager裡實作一些有序的安全邏輯,來确認主體是否允許在那個客戶上操作。
如果通路被拒絕,實作将抛出一個AccessDeniedException異常。
這個 supports(ConfigAttribute) 方法在啟動的時候被
AbstractSecurityInterceptor調用,來決定AccessDecisionManager
是否可以執行傳遞ConfigAttribute。
supports(Class)方法被安全攔截器實作調用,
包含安全攔截器将顯示的AccessDecisionManager支援安全對象的類型。
*/
public class MyAccessDecisionManager implements AccessDecisionManager {
public void decide( Authentication authentication, Object object,
Collection<ConfigAttribute> configAttributes)
throws AccessDeniedException, InsufficientAuthenticationException{
if( configAttributes == null ) {
return ;
}
Iterator<ConfigAttribute> ite = configAttributes.iterator();
while( ite.hasNext()){
ConfigAttribute ca = ite.next();
String needRole = ((SecurityConfig)ca).getAttribute();
//ga 為使用者所被賦予的權限。 needRole 為通路相應的資源應該具有的權限。
for( GrantedAuthority ga: authentication.getAuthorities()){
if(needRole.trim().equals(ga.getAuthority().trim())){
return;
}
}
}
throw new AccessDeniedException("");
}
public boolean supports( ConfigAttribute attribute ){
return true;
}
public boolean supports(Class<?> clazz){
return true;
}
}
資料庫的SQL及預置資料:
prompt PL/SQL Developer import file
prompt Created on 2011年6月1日 by Administrator
set feedback off
set define off
prompt Creating SYS_AUTHORITIES
create table SYS_AUTHORITIES
(
AUTHORITY_ID VARCHAR2(32) not null,
AUTHORITY_NAME VARCHAR2(40),
AUTHORITY_DESC VARCHAR2(100),
ENABLED NUMBER(1),
ISSYS NUMBER(1),
MODULE VARCHAR2(4)
)
tablespace SCJD
pctfree 10
initrans 1
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
comment on table SYS_AUTHORITIES
is '權限表';
comment on column SYS_AUTHORITIES.MODULE
is '所屬的子系統,比如平台裡面包括10個系統,分别為成本、作業、集輸等。';
alter table SYS_AUTHORITIES
add constraint PK_PUB_AUTHORITIES primary key (AUTHORITY_ID)
using index
tablespace SCJD
pctfree 10
initrans 2
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
prompt Creating SYS_RESOURCES
create table SYS_RESOURCES
(
RESOURCE_ID VARCHAR2(32) not null,
RESOURCE_NAME VARCHAR2(100),
RESOURCE_DESC VARCHAR2(100),
RESOURCE_TYPE VARCHAR2(40),
RESOURCE_STRING VARCHAR2(200),
PRIORITY NUMBER(1),
ENABLED NUMBER(1),
ISSYS NUMBER(1),
MODULE VARCHAR2(4)
)
tablespace SCJD
pctfree 10
initrans 1
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
comment on table SYS_RESOURCES
is '資源表';
comment on column SYS_RESOURCES.PRIORITY
is '(暫不用,保留)';
comment on column SYS_RESOURCES.MODULE
is '所屬的子系統,比如平台裡面包括10個系統,分别為成本、作業、集輸等。 (暫不用,保留)';
alter table SYS_RESOURCES
add constraint PK_PUB_RESOURCES primary key (RESOURCE_ID)
using index
tablespace SCJD
pctfree 10
initrans 2
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
prompt Creating SYS_AUTHORITIES_RESOURCES
create table SYS_AUTHORITIES_RESOURCES
(
ID NUMBER(13) not null,
AUTHORITY_ID VARCHAR2(32),
RESOURCE_ID VARCHAR2(32),
ENABLED NUMBER(1)
)
tablespace SCJD
pctfree 10
initrans 1
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
comment on table SYS_AUTHORITIES_RESOURCES
is '權限資源表';
alter table SYS_AUTHORITIES_RESOURCES
add constraint PK_PUB_AUTHORITIES_RE primary key (ID)
using index
tablespace SCJD
pctfree 10
initrans 2
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
alter table SYS_AUTHORITIES_RESOURCES
add constraint FK_PUB_AUTHORITIES_RE_AU foreign key (AUTHORITY_ID)
references SYS_AUTHORITIES (AUTHORITY_ID);
alter table SYS_AUTHORITIES_RESOURCES
add constraint FK_PUB_AUTHORITIES_RE_RE foreign key (RESOURCE_ID)
references SYS_RESOURCES (RESOURCE_ID);
prompt Creating SYS_ROLES
create table SYS_ROLES
(
ROLE_ID VARCHAR2(32) not null,
ROLE_NAME VARCHAR2(40),
ROLE_DESC VARCHAR2(100),
ENABLED NUMBER(1),
ISSYS NUMBER(1),
MODULE VARCHAR2(4)
)
tablespace SCJD
pctfree 10
initrans 1
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
comment on table SYS_ROLES
is '角色表';
comment on column SYS_ROLES.MODULE
is '所屬的子系統,比如平台裡面包括10個系統,分别為成本、作業、集輸等。';
alter table SYS_ROLES
add constraint PK_PUB_ROLES primary key (ROLE_ID)
using index
tablespace SCJD
pctfree 10
initrans 2
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
prompt Creating SYS_ROLES_AUTHORITIES
create table SYS_ROLES_AUTHORITIES
(
ID NUMBER(13) not null,
ROLE_ID VARCHAR2(32),
AUTHORITY_ID VARCHAR2(32),
ENABLED NUMBER(1)
)
tablespace SCJD
pctfree 10
initrans 1
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
comment on table SYS_ROLES_AUTHORITIES
is '角色權限表';
alter table SYS_ROLES_AUTHORITIES
add constraint PK_PUB_ROLES_AUTHORITY primary key (ID)
using index
tablespace SCJD
pctfree 10
initrans 2
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
alter table SYS_ROLES_AUTHORITIES
add constraint FK_PUB_ROLES_AUTHORITIES_AU foreign key (AUTHORITY_ID)
references SYS_AUTHORITIES (AUTHORITY_ID);
alter table SYS_ROLES_AUTHORITIES
add constraint FK_PUB_ROLES_AUTHORITIES_ROLES foreign key (ROLE_ID)
references SYS_ROLES (ROLE_ID);
prompt Creating SYS_USERS
create table SYS_USERS
(
USER_ID VARCHAR2(32) not null,
USER_ACCOUNT VARCHAR2(30),
USER_NAME VARCHAR2(40),
USER_PASSWORD VARCHAR2(100),
USER_DESC VARCHAR2(100),
ENABLED NUMBER(1),
ISSYS NUMBER(1),
USER_DEPT VARCHAR2(20),
USER_DUTY VARCHAR2(10),
SUB_SYSTEM VARCHAR2(30)
)
tablespace SCJD
pctfree 10
initrans 1
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
comment on table SYS_USERS
is '使用者表';
comment on column SYS_USERS.USER_PASSWORD
is '該密碼是經加鹽值加密的,格式為password{username}。 比如使用者的密碼為user,使用者名為user,那麼通過MD5進行加密的串為: user{user}';
comment on column SYS_USERS.ISSYS
is '是否是超級使用者';
comment on column SYS_USERS.USER_DEPT
is '所在機關';
comment on column SYS_USERS.USER_DUTY
is '經理或主任';
comment on column SYS_USERS.SUB_SYSTEM
is '該使用者所負責的各子系統,可多個,中間用逗号分隔。(目前暫未用,作為保留字段)';
alter table SYS_USERS
add constraint PK_PUB_USERS primary key (USER_ID)
using index
tablespace SCJD
pctfree 10
initrans 2
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
prompt Creating SYS_USERS_ROLES
create table SYS_USERS_ROLES
(
ID NUMBER(13) not null,
USER_ID VARCHAR2(32),
ROLE_ID VARCHAR2(32),
ENABLED NUMBER(1)
)
tablespace SCJD
pctfree 10
initrans 1
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
comment on table SYS_USERS_ROLES
is '使用者角色表';
alter table SYS_USERS_ROLES
add constraint PK_PUB_USERS_ROLES primary key (ID)
using index
tablespace SCJD
pctfree 10
initrans 2
maxtrans 255
storage
(
initial 64K
minextents 1
maxextents unlimited
);
alter table SYS_USERS_ROLES
add constraint FK_USERS_ROLES_ROLES foreign key (ROLE_ID)
references SYS_ROLES (ROLE_ID);
alter table SYS_USERS_ROLES
add constraint FK_USERS_ROLES_USERS foreign key (USER_ID)
references SYS_USERS (USER_ID);
prompt Disabling triggers for SYS_AUTHORITIES
alter table SYS_AUTHORITIES disable all triggers;
prompt Disabling triggers for SYS_RESOURCES
alter table SYS_RESOURCES disable all triggers;
prompt Disabling triggers for SYS_AUTHORITIES_RESOURCES
alter table SYS_AUTHORITIES_RESOURCES disable all triggers;
prompt Disabling triggers for SYS_ROLES
alter table SYS_ROLES disable all triggers;
prompt Disabling triggers for SYS_ROLES_AUTHORITIES
alter table SYS_ROLES_AUTHORITIES disable all triggers;
prompt Disabling triggers for SYS_USERS
alter table SYS_USERS disable all triggers;
prompt Disabling triggers for SYS_USERS_ROLES
alter table SYS_USERS_ROLES disable all triggers;
prompt Disabling foreign key constraints for SYS_AUTHORITIES_RESOURCES
alter table SYS_AUTHORITIES_RESOURCES disable constraint FK_PUB_AUTHORITIES_RE_AU;
alter table SYS_AUTHORITIES_RESOURCES disable constraint FK_PUB_AUTHORITIES_RE_RE;
prompt Disabling foreign key constraints for SYS_ROLES_AUTHORITIES
alter table SYS_ROLES_AUTHORITIES disable constraint FK_PUB_ROLES_AUTHORITIES_AU;
alter table SYS_ROLES_AUTHORITIES disable constraint FK_PUB_ROLES_AUTHORITIES_ROLES;
prompt Disabling foreign key constraints for SYS_USERS_ROLES
alter table SYS_USERS_ROLES disable constraint FK_USERS_ROLES_ROLES;
alter table SYS_USERS_ROLES disable constraint FK_USERS_ROLES_USERS;
prompt Deleting SYS_USERS_ROLES
delete from SYS_USERS_ROLES;
commit;
prompt Deleting SYS_USERS
delete from SYS_USERS;
commit;
prompt Deleting SYS_ROLES_AUTHORITIES
delete from SYS_ROLES_AUTHORITIES;
commit;
prompt Deleting SYS_ROLES
delete from SYS_ROLES;
commit;
prompt Deleting SYS_AUTHORITIES_RESOURCES
delete from SYS_AUTHORITIES_RESOURCES;
commit;
prompt Deleting SYS_RESOURCES
delete from SYS_RESOURCES;
commit;
prompt Deleting SYS_AUTHORITIES
delete from SYS_AUTHORITIES;
commit;
prompt Loading SYS_AUTHORITIES
insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)
values ('1303910437484', 'AUTH_xxx', 'xxx', null, null, '01');
insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)
values ('AUTH_LOGIN4', 'AUTH_LOGIN', '登入', 1, 0, '01');
insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)
values ('AUTH_AFTERLOGINWELCOME5', 'AUTH_AFTERLOGINWELCOME', '登入後歡迎界面', 1, 0, '01');
insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)
values ('AUTH_XTSZ_DEPT1', 'AUTH_XTSZ_DEPT', '機關設定', 1, 0, '01');
insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)
values ('AUTH_XTSZ_USER2', 'AUTH_XTSZ_USER', '使用者設定、橫向查詢', 1, 0, '01');
insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)
values ('AUTH_NODE_MGR3', 'AUTH_NODE_MGR', '節點管理、縱向查詢', 1, 0, '01');
commit;
prompt 6 records loaded
prompt Loading SYS_RESOURCES
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('1303909883031', 'ff', 'ff', 'action', 'b.jsp', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('1303909847687', 'ff1', 'ff1', 'action', 'b.jsp', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('node_mgr3', 'node_mgr', '節點管理', 'url', '/*/*/Tree.jsp', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('login4', 'login', '登入', 'url', '/login.jsp', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('index5', 'index', '登入後歡迎頁面', 'url', '/index.jsp', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('resources_mgr', 'resources_mgr', '資源管理', 'action', '/managerResource', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('horizontal_qry6', 'horizontal_qry', '橫向查詢', 'action', '/horizontalQuery', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('vertical_qry7', 'vertical_qry', '縱向查詢', 'action', '/verticalQuery', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('dep_mgr1', 'dep_mgr', '機關管理', 'action', '/UnitsManager', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('user_mgr2', 'user_mgr', '使用者管理', 'action', '/managerUser', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('authority_mgr', 'authority_mgr', '權限管理', 'action', '/managerAuthority', null, 1, 0, null);
insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)
values ('role_mgr', 'role_mgr', '角色管理', 'action', '/managerRole', null, null, null, null);
commit;
prompt 12 records loaded
prompt Loading SYS_AUTHORITIES_RESOURCES
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (1, 'AUTH_AFTERLOGINWELCOME5', 'index5', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (2, 'AUTH_LOGIN4', 'login4', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (3, 'AUTH_NODE_MGR3', 'node_mgr3', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (4, 'AUTH_XTSZ_DEPT1', 'dep_mgr1', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (5, 'AUTH_XTSZ_USER2', 'user_mgr2', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (7, 'AUTH_XTSZ_USER2', 'horizontal_qry6', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (8, 'AUTH_XTSZ_DEPT1', 'vertical_qry7', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (12, 'AUTH_XTSZ_USER2', 'role_mgr', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (10, 'AUTH_XTSZ_USER2', 'resources_mgr', 1);
insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)
values (11, 'AUTH_XTSZ_USER2', 'authority_mgr', 1);
commit;
prompt 10 records loaded
prompt Loading SYS_ROLES
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('1303463518765', 'ROLE_dd1', 'dd1', 1, 0, '01');
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('1303463949640', 'ROLE_rr1', 'rr1', 1, 0, '02');
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('ROLE_PLATFORMADMIN1', 'ROLE_PLATFORMADMIN', '可管理整個平台的使用者、機關設定。', 1, 1, '01');
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('ROLE_USER2', 'ROLE_USER', '普通使用者', 1, 0, '01');
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('ROLE_LOGINTOWELCOME4', 'ROLE_LOGINTOWELCOME', '僅登入到歡迎界面!', 1, 0, '01');
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('ROLE_SYSADMIN3', 'ROLE_SYSADMIN', '可管理本系統的使用者、機關設定。', 1, 0, '01');
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('ROLE_WORK', 'ROLE_WORK', '作業子系統的角色(試驗)', 1, 0, '02');
insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)
values ('ROLE_LOGIN', 'ROLE_LOGIN', '系統登入', 1, 0, '01');
commit;
prompt 8 records loaded
prompt Loading SYS_ROLES_AUTHORITIES
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1, 'ROLE_LOGINTOWELCOME4', 'AUTH_AFTERLOGINWELCOME5', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (2, 'ROLE_PLATFORMADMIN1', 'AUTH_AFTERLOGINWELCOME5', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (3, 'ROLE_PLATFORMADMIN1', 'AUTH_LOGIN4', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (4, 'ROLE_PLATFORMADMIN1', 'AUTH_NODE_MGR3', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (5, 'ROLE_PLATFORMADMIN1', 'AUTH_XTSZ_DEPT1', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (6, 'ROLE_PLATFORMADMIN1', 'AUTH_XTSZ_USER2', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (7, 'ROLE_SYSADMIN3', 'AUTH_XTSZ_DEPT1', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (8, 'ROLE_SYSADMIN3', 'AUTH_XTSZ_USER2', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (9, 'ROLE_USER2', 'AUTH_LOGIN4', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (10, 'ROLE_LOGINTOWELCOME4', 'AUTH_LOGIN4', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (11, 'ROLE_USER2', 'AUTH_AFTERLOGINWELCOME5', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1303463962718, '1303463949640', 'AUTH_LOGIN4', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1303463972234, 'ROLE_WORK', 'AUTH_LOGIN4', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1303463972235, 'ROLE_WORK', 'AUTH_AFTERLOGINWELCOME5', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1303463972250, 'ROLE_WORK', 'AUTH_XTSZ_DEPT1', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1303463972251, 'ROLE_WORK', 'AUTH_XTSZ_USER2', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1303463972265, 'ROLE_WORK', 'AUTH_NODE_MGR3', 1);
insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)
values (1303287600015, 'ROLE_LOGIN', 'AUTH_LOGIN4', 1);
commit;
prompt 18 records loaded
prompt Loading SYS_USERS
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('1304494573750', 'lxb', 'lxb', 'c7d3f4c857bc8c145d6e5d40c1bf23d9', null, 1, 0, '10011001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('1304490737406', 'lxb', 'lxb', 'c7d3f4c857bc8c145d6e5d40c1bf23d9', null, 1, 0, '10011001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('1304574079546', 'ddd', 'ddd', '0a4f6a961276619f7f91356bcba5a746', null, 0, 0, null, null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('1304573363921', 'lxb', '盧小兵', '09eb37d219cfa835db40e5ab587f7082', '普通僅登入到歡迎界面!', 0, 0, '1001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('1304573484515', 'lll', 'lll', '47acedc22cef8c3762c21a435e262d67', null, 1, 0, '1001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('admin1', 'admin', '系統管理者', 'ceb4f32325eda6142bd65215f4c0f371', '超級系統管理者', 1, 1, '1001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('user2', 'user', '普通使用者', '47a733d60998c719cf3526ae7d106d13', '普通使用者', 1, 0, '1001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('sysUser3', 'sysUser', '系統設定維護', '8f0295328c34f8eedc2362e9f4a10b7e', '系統設定使用者', 1, 0, '1001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('lxb4', 'lxb', '盧小兵', 'c7d3f4c857bc8c145d6e5d40c1bf23d9', '普通僅登入到歡迎界面!', 1, 0, '1001', null, '01');
insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)
values ('1304566319625', 'lxb5', 'lx5', '1abe40ed6d0da1c834586e8ecef61fe7', null, 0, 0, '10011001', null, '01');
commit;
prompt 10 records loaded
prompt Loading SYS_USERS_ROLES
insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)
values (1, 'admin1', 'ROLE_PLATFORMADMIN1', 1);
insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)
values (2, 'sysUser3', 'ROLE_SYSADMIN3', 1);
insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)
values (3, 'user2', 'ROLE_USER2', 1);
insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)
values (4, 'lxb4', 'ROLE_LOGINTOWELCOME4', 1);
insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)
values (5, '1304573484515', '1303463518765', null);
commit;
prompt 5 records loaded
prompt Enabling foreign key constraints for SYS_AUTHORITIES_RESOURCES
alter table SYS_AUTHORITIES_RESOURCES enable constraint FK_PUB_AUTHORITIES_RE_AU;
alter table SYS_AUTHORITIES_RESOURCES enable constraint FK_PUB_AUTHORITIES_RE_RE;
prompt Enabling foreign key constraints for SYS_ROLES_AUTHORITIES
alter table SYS_ROLES_AUTHORITIES enable constraint FK_PUB_ROLES_AUTHORITIES_AU;
alter table SYS_ROLES_AUTHORITIES enable constraint FK_PUB_ROLES_AUTHORITIES_ROLES;
prompt Enabling foreign key constraints for SYS_USERS_ROLES
alter table SYS_USERS_ROLES enable constraint FK_USERS_ROLES_ROLES;
alter table SYS_USERS_ROLES enable constraint FK_USERS_ROLES_USERS;
prompt Enabling triggers for SYS_AUTHORITIES
alter table SYS_AUTHORITIES enable all triggers;
prompt Enabling triggers for SYS_RESOURCES
alter table SYS_RESOURCES enable all triggers;
prompt Enabling triggers for SYS_AUTHORITIES_RESOURCES
alter table SYS_AUTHORITIES_RESOURCES enable all triggers;
prompt Enabling triggers for SYS_ROLES
alter table SYS_ROLES enable all triggers;
prompt Enabling triggers for SYS_ROLES_AUTHORITIES
alter table SYS_ROLES_AUTHORITIES enable all triggers;
prompt Enabling triggers for SYS_USERS
alter table SYS_USERS enable all triggers;
prompt Enabling triggers for SYS_USERS_ROLES
alter table SYS_USERS_ROLES enable all triggers;
set feedback on
set define on
prompt Done.
相關配置檔案:
web.xml與第一種方法同。
applicationContext-security.xml:
<?xml version="1.0" encoding="UTF-8"?>
<b:beans xmlns="http://www.springframework.org/schema/security"
xmlns:b="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<http auto-config="true" access-denied-page="/accessDenied.jsp">
<!-- 不要過濾圖檔等靜态資源 -->
<intercept-url pattern="/**/*.jpg" filters="none" />
<intercept-url pattern="/**/*.png" filters="none" />
<intercept-url pattern="/**/*.gif" filters="none" />
<intercept-url pattern="/**/*.css" filters="none" />
<intercept-url pattern="/**/*.js" filters="none" />
<!-- 登入頁面和忘記密碼頁面不過濾 -->
<intercept-url pattern="/login.jsp" filters="none" />
<intercept-url pattern="/jsp/forgotpassword.jsp"
filters="none" />
<form-login login-page="/login.jsp"
authentication-failure-url="/login.jsp?error=true"
default-target-url="/index.jsp" />
<!-- "記住我"功能,采用持久化政策(将使用者的登入資訊存放在資料庫表中) -->
<remember-me data-source-ref="dataSource" />
<!-- 檢測失效的sessionId,逾時時定位到另外一個URL -->
<session-management invalid-session-url="/sessionTimeout.jsp" />
<!-- 增加一個自定義的filter,放在FILTER_SECURITY_INTERCEPTOR之前,
實作使用者、角色、權限、資源的資料庫管理。 -->
<custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>
</http>
<!-- 一個自定義的filter,必須包含authenticationManager,
accessDecisionManager,securityMetadataSource三個屬性。 -->
<b:bean id="myFilter"
class="avatar.base.security.MyFilterSecurityInterceptor">
<b:property name="authenticationManager"
ref="authenticationManager"/>
<b:property name="accessDecisionManager"
ref="myAccessDecisionManager"/>
<b:property name="securityMetadataSource"
ref="mySecurityMetadataSource"/>
</b:bean>
<!-- 注意能夠為authentication-manager 設定alias别名 -->
<authentication-manager alias="authenticationManager">
<authentication-provider user-service-ref="userDetailsManager">
<password-encoder ref="passwordEncoder">
<salt-source user-property="username" />
</password-encoder>
</authentication-provider>
</authentication-manager>
<!-- 通路決策器,決定某個使用者具有的角色,是否有足夠的權限去通路某個資源。 -->
<b:bean id="myAccessDecisionManager"
class="avatar.base.security.MyAccessDecisionManager">
</b:bean>
<!-- 資源源資料定義,将所有的資源和權限對應關系建立起來,即定義某一資源可以被哪些角色去通路。 -->
<b:bean id="mySecurityMetadataSource"
class="avatar.base.security.MyInvocationSecurityMetadataSourceService">
</b:bean>
</b:beans>
applicationContext-service.xml:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:util="http://www.springframework.org/schema/util"
xmlns:jee="http://www.springframework.org/schema/jee"
xmlns:aop="http://www.springframework.org/schema/aop"
xmlns:tx="http://www.springframework.org/schema/tx"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/aop
http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
http://www.springframework.org/schema/tx
http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
http://www.springframework.org/schema/jee
http://www.springframework.org/schema/jee/spring-jee-3.0.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context-3.0.xsd
http://www.springframework.org/schema/util
http://www.springframework.org/schema/util/spring-util-3.0.xsd">
<!-- 定義上下文傳回的消息的國際化。 -->
<bean id="messageSource"
class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
<property name="basename"
value="classpath:org/springframework/security/messages_zh_CN"/>
</bean>
<!--
事件監聽:實作了 ApplicationListener監聽接口,
包括AuthenticationCredentialsNotFoundEvent 事件,
AuthorizationFailureEvent事件,AuthorizedEvent事件, PublicInvocationEvent事
件。 -->
<bean
class="org.springframework.security.authentication.event.LoggerListener" />
<!-- 使用者的密碼加密或解密 -->
<bean id="passwordEncoder"
class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
<!-- 使用者詳細資訊管理:資料源、使用者緩存(通過資料庫管理使用者、角色、權限、資源)。 -->
<bean id="userDetailsManager" class="avatar.base.security.MyUserDetailsService">
<property name="pubUsersHome" ref="pubUsersHome" />
<property name="pubAuthoritiesResourcesHome" ref="pubAuthoritiesResourcesHome" />
<property name="dataSource" ref="dataSource" />
<property name="userCache" ref="userCache" />
</bean>
<!-- 啟用使用者的緩存功能 -->
<bean id="userCache"
class="org.springframework.security.core.userdetails.cache.EhCacheBasedUserCache">
<property name="cache" ref="userEhCache" />
</bean>
<bean id="userEhCache" class="org.springframework.cache.ehcache.EhCacheFactoryBean">
<property name="cacheName" value="userCache" />
<property name="cacheManager" ref="cacheManager" />
</bean>
<bean id="cacheManager"
class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" />
<!-- spring security自帶的與權限有關的資料讀寫Jdbc模闆 -->
<bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate">
<property name="dataSource" ref="dataSource" />
</bean>
</beans>
第三種方法擴充後Spring Security3.0.2的驗證和授權方法
為了叙述的嚴謹性,這裡說的是Spring Security3.0.2,而非其他版本,這是因為我隻讀過Spring Security3.0.2的代碼,并且在該版本上面擴充自定義的
動态管理使用者、角色、權限和資源成功。 估計其他版本的驗證和授權方法是差不太多的,因為沒有接觸過,也不敢大膽猜測。
在擴充後的Spring Security3.0.2中,驗證及授權的過程如下:
1、當Web伺服器啟動時,通過Web.xml中對于Spring Security的配置,加載過濾器鍊,那麼在加載MyFilterSecurityInterceptor類時,會注入MyInvocationSecurityMetadataSourceService、MyUserDetailsService、MyAccessDecisionManager類。
2、該MyInvocationSecurityMetadataSourceService類在執行時會提取資料庫中所有的使用者權限,形成權限清單;
并循環該權限清單,通過每個權限再從資料庫中提取出該權限所對應的資源清單,并将資源(URL)作為key,權限清單作為value,形成Map結構的資料。
3、當使用者登入時,AuthenticationManager進行響應,通過使用者輸入的使用者名和密碼,然後再根據使用者定義的密碼算法和鹽值等進行計算并和資料庫比對,
當正确時通過驗證。此時MyUserDetailsService進行響應,根據使用者名從資料庫中提取該使用者的權限清單,組合成UserDetails供Spring Security使用。
4、當使用者點選某個功能時,觸發MyAccessDecisionManager類,該類通過decide方法對使用者的資源通路進行攔截。
使用者點選某個功能時,實際上是請求某個URL或Action, 無論.jsp也好,.action或.do也好,在請求時無一例外的表現為URL。
還記得第2步時那個Map結構的資料嗎? 若使用者點選了"login.action"這個URL之後,那麼這個URL就跟那個Map結構的資料中的key對比,若兩者相同,
則根據該url提取出Map結構的資料中的value來,這說明:若要請求這個URL,必須具有跟這個URL相對應的權限值。這個權限有可能是一個單獨的權限,
也有可能是一個權限清單,也就是說,一個URL有可能被多種權限通路。
那好,我們在MyAccessDecisionManager類的decide這個方法裡,将通過URL取得的權限清單進行循環,然後跟第3步中登入的使用者所具有的權限進行比對,若相同,則表明該使用者具有通路該資源的權利。 不大明白吧? 簡單地說, 在資料庫中我們定義了通路“LOGIN”這個URL必須是具有ROLE_ADMIN權限的人來通路,那麼,登入使用者恰恰具有該ROLE_ADMIN權限,兩者的比對過程中,就能夠傳回TRUE,可以允許該使用者進行通路。就這麼簡單!
不過在第2步的時候,一定要注意,MyInvocationSecurityMetadataSoruceService類的loadResourceDefine()方法中,形成以URL為key,權限清單為value的Map時,
要注意key和Value的對應性,避免Value的不正确對應形成重複,這樣會導緻沒有權限的人也能通路到不該通路到的資源。
還有getAttributes()方法,要有 url.indexOf("?")這樣的判斷,要通過判斷對URL特别是Action問号之前的部分進行比對,防止使用者請求的帶參數的URL與你資料庫中定義的URL不比對,造成通路拒絕!
第三種方法BTW
當然,你在設計了7張表之後,那麼對于這些之間互相關聯的關系内容及資訊内容,就得由你來進行維護了,大約有使用者、角色、權限、資源的增删改查,并還需要設定使用者和角色、角色和權限、權限和資源之間的關系。可考慮分為三個菜單進行維護,使用者設定、角色設定、資源設定。 在使用者設定裡分别管理使用者、使用者與角色的關系;在角色設定裡管理角色、角色與權限的關系; 在資源設定裡分别管理權限、權限與資源的關系等。
第四種方法
第四種方法就是直接修改源碼以達到第三種方法的效果。
本來準備是直接從源碼修改來的, 但是始終認為修改源碼并非終極解決之道,有違OO的精神本質,再者由于時間關系,隻是對代碼進行了研究,但并沒有進行實作或驗證。隻待以後時間稍稍寬松時再做為興趣進行研究,在次不過多的講解。但據我從代碼上來看,一是将從配置檔案中擷取使用者及權限的功能修改為從資料庫中提取出來;二是将從配置檔案中擷取權限和資源的對應關系修改為從資料庫中提取;三是修改User增加相關資訊等。
始終還是圍繞着JdbcDaoImpl和DefaultFilterInvocationSecurityMetadataSource還有User這3個類進行修改。
以實作從資料庫提取使用者、角色、權限和資源資訊。
有興趣的就先試試吧,等試好了告訴我一聲哈。
Spring Security的優缺點
不可否認,Spring Security依賴于Spring的Ioc、AOP等機制,橫切開系統的業務元件,将通用的權限功能注入到業務元件内部,實作了通用功能和業務功能的無縫整合,但又保證了通用功能和業務功能的實作上的分離,省卻了一部分工作量,這是其存在的最重要意義。
但又不可否認,Spring Security所具有的缺乏動态資源管理的硬傷(若是能夠提供使用者、角色、權限和資源的資料庫管理,并且提供管理界面那實在是太完美了,可惜這兩樣一樣都不能實作),又令國人使用者愛恨交加。
![Rabbitmq指令行手動建立隊列[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)