Spring Security3详细配置

Spring Security3详细配置

表名:RESOURCE 解释:资源表
备注: 资源表

RESOURCE(资源表)
是否主键	字段名	字段描述	数据类型	长度	可空	约束	缺省值	备注
是	ID	id	INT(11)	11
TYPE	类型（URL,METHOD）	VARCHAR(50)	50	是
VALUE	URL	VARCHAR(50)	50	是
MODEL_NAME	模块名	VARCHAR(50)	50	是
PARENT_ID	父模块ID	VARCHAR(50)	50	是

 

表名:ROLE 解释:角色表
备注: 角色表

ROLE(角色表)
是否主键	字段名	字段描述	数据类型	长度	可空	约束	缺省值	备注
是	ID	id	INT(11)	11
NAME	角色名	VARCHAR(50)	50	是
DESCRIPTION	角色描述	VARCHAR(50)	50	是

 

表名:ROLE_RESOURCE 解释:角色资源表
备注: 角色资源表

ROLE_RESOURCE(角色资源表)
是否主键	字段名	字段描述	数据类型	长度	可空	约束	缺省值	备注
ROLE_ID	角色ID	VARCHAR(50)	50	是
RESOURCE_ID	资源ID	VARCHAR(50)	50	是

 

表名:USER 解释:用户表
备注: 用户表

USER(用户表)
是否主键	字段名	字段描述	数据类型	长度	可空	约束	缺省值	备注
是	NAME	用户名	VARCHAR(50)	50
PASSWORD	密码	VARCHAR(50)	50	是
DISABLED	是否有效	CHAR(1)	1	是
EMAIL	邮箱	VARCHAR(100)	100	是

 

表名:USER_ROLE 解释:用户角色表
备注: 用户角色表

USER_ROLE(用户角色表)
是否主键	字段名	字段描述	数据类型	长度	可空	约束	缺省值	备注
USER_ID	用户ID	VARCHAR(50)	50	是
ROLE_ID	角色ID	VARCHAR(50)	50	是

相关的jar包可到spring官网下载，我使用的是spring security 3.1.3

首先web.xml配置

1. <context-param>  
2. <param-name>contextConfigLocation</param-name>  
3. <param-value>  
4. classpath:/config/*.xml   
5. </param-value>  
6. </context-param>  
7. <!-- spring监听 -->  
8. <listener>  
9. <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
10. </listener>  
11. <!-- Spring Security会话控制 -->  
12. <listener>  
13. <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>  
14. </listener>  
15. <!-- Spring security Filter -->  
16. <filter>  
17. <filter-name>springSecurityFilterChain</filter-name>  
18. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
19. </filter>  
20. <filter-mapping>  
21. <filter-name>springSecurityFilterChain</filter-name>  
22. <url-pattern>/*</url-pattern>  
23. </filter-mapping>  

这里主要做了三件事，

1、加载Spring；

2、加载Spring Security；

3、添加Spring Security Session监听器(用于控制登录)

Spring Secirty如下：

1. <?xml version="1.0" encoding="UTF-8"?>  
2. <beans:beans xmlns="http://www.springframework.org/schema/security"  
3. xmlns:beans="http://www.springframework.org/schema/beans"  
4. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
5. xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
6. http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
8. <debug/>  
10. <global-method-security  pre-post-annotations="enabled" />  
12. <!-- 此目录下不需要过滤 -->  
13. <http pattern="/js/**" security="none"/>  
14. <http pattern="/resources/**" security="none"/>  
15. <http pattern="/css/**" security="none"/>  
16. <http pattern="/dwr/**" security="none"/>  
17. <http pattern="/images/**" security="none"/>  
18. <http pattern="/login.jsp" security="none"/>  
22. <http use-expressions="true">  
23. <!-- 非匿名用户就允许访问 -->  
24. <intercept-url pattern="/index.jsp" access="isAuthenticated()"/>  
25. <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true"  always-use-default-target="true" default-target-url="/index.jsp" />  
26. <logout logout-success-url="/login.jsp"/>  
27. <!-- 没有权限访问的页面 -->  
28. <access-denied-handler error-page="/403.jsp"/>  
29. <session-management></session-management>  
30. <remember-me/>  
31. <custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>  
32. </http>  
36. <!-- 指定提示信息 -->  
37. <beans:bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">  
38. <beans:property name="basename" value="classpath:spring-security"></beans:property>  
39. </beans:bean>  
42. <authentication-manager alias="myAuthenticationManager">  
43. <authentication-provider ref="authenticationProvider">  
44. </authentication-provider>  
45. </authentication-manager>  
47. <beans:bean id="authenticationProvider"   
48. class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">  
49. <beans:property name="userDetailsService" ref="userdetailService" />  
50. <!--显示用户错误信息-->  
51. <beans:property name="hideUserNotFoundExceptions" value="false" />  
52. <beans:property  name="passwordEncoder" ref="md5password"></beans:property >  
53. </beans:bean>  
54. <!-- 密码加密策略 -->  
55. <beans:bean name="md5password" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder"></beans:bean>  
57. <beans:bean name="userdetailService" class="com.yindejin.system.MyAuthenticationManager">  
58. <beans:property name="systemService" ref="systemService"></beans:property>  
59. </beans:bean>  
61. <beans:bean name="myFilter" class="com.yindejin.system.MySecurityFilter">  
62. <!-- 用户拥有的权限 -->    
63. <beans:property name="authenticationManager" ref="myAuthenticationManager" />    
64. <!-- 用户是否拥有所请求资源的权限 -->    
65. <beans:property name="accessDecisionManager" ref="myAccessDecisionManager" />    
66. <!-- 资源与权限对应关系 -->    
67. <beans:property name="securityMetadataSource" ref="mySecurityMetadataSource" />  
68. </beans:bean>  
73. <beans:bean id="myAccessDecisionManager" class="com.yindejin.system.MyAccessDecisionManager"></beans:bean>    
74. <beans:bean id="mySecurityMetadataSource" class="com.yindejin.system.MySecurityMetadataSource">    
75. <beans:constructor-arg name="systemService" ref="systemService"></beans:constructor-arg>    
76. </beans:bean>    
80. </beans:beans>  

<custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>

这里的FILTER_SECURITY_INTERCEPTOR是Spring Security过滤器链中默认的Filter，

他的主要功能是

1、校验用户名、密码；

2、初始化时一次性加载所有的资源角色信息

3、检查用户访问权限

我们自定义的Filter必须在它之前，由于我们自己的过滤器和默认过滤器功能是一样的，所以就替换掉了原来的过滤器。

接下来是myFilter几个关键类

 

MySecurityFilter

1. package com.yindejin.system;  
3. import java.io.IOException;  
5. import javax.servlet.Filter;  
6. import javax.servlet.FilterChain;  
7. import javax.servlet.FilterConfig;  
8. import javax.servlet.ServletException;  
9. import javax.servlet.ServletRequest;  
10. import javax.servlet.ServletResponse;  
12. import org.springframework.security.access.SecurityMetadataSource;  
13. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;  
14. import org.springframework.security.access.intercept.InterceptorStatusToken;  
15. import org.springframework.security.web.FilterInvocation;  
16. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;  
18. public class MySecurityFilter extends AbstractSecurityInterceptor implements Filter {  
19. //与applicationContext-security.xml里的myFilter的属性securityMetadataSource对应，  
20. //其他的两个组件，已经在AbstractSecurityInterceptor定义  
21. private FilterInvocationSecurityMetadataSource securityMetadataSource;  
23. @Override  
24. public SecurityMetadataSource obtainSecurityMetadataSource() {  
25. return this.securityMetadataSource;  
26. }  
28. public void doFilter(ServletRequest request, ServletResponse response,  
29. FilterChain chain) throws IOException, ServletException {  
30. FilterInvocation fi = new FilterInvocation(request, response, chain);  
31. invoke(fi);  
32. }  
34. private void invoke(FilterInvocation fi) throws IOException, ServletException {  
35. System.out.println("用户发送请求！ ");  
36. InterceptorStatusToken token = null;  
37. token = super.beforeInvocation(fi);  
38. try {  
39. fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  
40. } finally {  
41. super.afterInvocation(token, null);  
42. }  
43. }  
45. public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {  
46. return securityMetadataSource;  
47. }  
49. public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource securityMetadataSource) {  
50. this.securityMetadataSource = securityMetadataSource;  
51. }  
53. public void init(FilterConfig arg0) throws ServletException {  
54. // TODO Auto-generated method stub  
55. }  
57. public void destroy() {  
58. // TODO Auto-generated method stub  
60. }  
62. @Override  
63. public Class<? extends Object> getSecureObjectClass() {  
64. //下面的MyAccessDecisionManager的supports方面必须放回true,否则会提醒类型错误  
65. return FilterInvocation.class;  
66. }}  

 

MySecurityMetadataSource

1. package com.yindejin.system;  
4. import java.util.ArrayList;  
5. import java.util.Collection;  
6. import java.util.HashMap;  
7. import java.util.LinkedHashMap;  
8. import java.util.List;  
9. import java.util.Map;  
10. import java.util.Set;  
12. import javax.servlet.http.HttpServletRequest;  
14. import org.springframework.security.access.ConfigAttribute;  
15. import org.springframework.security.access.SecurityConfig;  
16. import org.springframework.security.web.FilterInvocation;  
17. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;  
18. import org.springframework.security.web.util.AntPathRequestMatcher;  
19. import org.springframework.security.web.util.RequestMatcher;  
21. import com.yindejin.system.service.ISystemService;  
22. import com.yindejin.vo.Resource;  
23. import com.yindejin.vo.Role;  
24. import com.yindejin.vo.User;  
26. //1 加载资源与权限的对应关系  
27. public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {  
28. //由spring调用  
29. public MySecurityMetadataSource(ISystemService systemService) {  
30. this.systemService = systemService;  
31. }  
33. private ISystemService systemService;  
34. public ISystemService getSystemService() {  
35. return systemService;  
36. }  
38. public void setSystemService(ISystemService systemService) {  
39. this.systemService = systemService;  
40. }  
42. private static LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> resourceMap = null;  
46. public Collection<ConfigAttribute> getAllConfigAttributes() {  
47. // TODO Auto-generated method stub  
48. return null;  
49. }  
51. public boolean supports(Class<?> clazz) {  
52. // TODO Auto-generated method stub  
53. return true;  
54. }  
55. //加载所有资源与权限的关系  
56. private Map<String, String> getResource() {  
57. Map<String, String> resourceMap = new HashMap<String, String>();  
58. List<User> users = systemService.getAllUser();  
59. for(User user:users){     
60. for(Role role : user.getUserRoles()) {  
61. Set<Resource> resources = role.getRoleResources();  
62. for(Resource resource : resources) {  
63. String url = resource.getValue();  
64. if(!resourceMap.containsKey(url)) {  
65. resourceMap.put(url, role.getName());  
66. }else{  
67. String roleName = resourceMap.get(url);  
68. resourceMap.put(url, roleName+","+role.getName());  
69. }  
70. }  
71. }  
72. }  
73. return resourceMap;  
75. }  
77. private void loadResourceDefine(){  
78. resourceMap = new LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>>();  
79. Map<String, String> resource = getResource();  
80. for(Map.Entry<String, String> entry:resource.entrySet()){  
81. Collection<ConfigAttribute> configAttributes = new ArrayList<ConfigAttribute>();  
82. configAttributes.add(new SecurityConfig(entry.getValue()));  
83. resourceMap.put(new AntPathRequestMatcher(entry.getKey()), configAttributes);  
84. }  
86. }  
89. //返回所请求资源所需要的权限  
90. public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {  
92. HttpServletRequest request = ((FilterInvocation) object).getRequest();  
93. if(null==resourceMap){  
94. System.out.println("请求地址 " + ((FilterInvocation) object).getRequestUrl());  
95. loadResourceDefine();  
96. System.out.println("我需要的认证："+resourceMap.toString());  
97. }  
98. for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : resourceMap.entrySet()) {  
99. if (entry.getKey().matches(request)) {  
100. return entry.getValue();  
101. }  
102. }  
103. return null;  
104. }  
106. }  

MyAccessDecisionManager

1. package com.yindejin.system;  
4. import java.util.Collection;  
5. import java.util.Iterator;  
7. import org.springframework.security.access.AccessDecisionManager;  
8. import org.springframework.security.access.AccessDeniedException;  
9. import org.springframework.security.access.ConfigAttribute;  
10. import org.springframework.security.authentication.InsufficientAuthenticationException;  
11. import org.springframework.security.core.Authentication;  
12. import org.springframework.security.core.GrantedAuthority;  
14. //3  
15. public class MyAccessDecisionManager implements AccessDecisionManager {  
17. public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {  
18. if(configAttributes == null) {  
19. return;  
20. }  
21. //所请求的资源拥有的权限(一个资源对多个权限)  
22. Iterator<ConfigAttribute> iterator = configAttributes.iterator();  
23. while(iterator.hasNext()) {  
24. ConfigAttribute configAttribute = iterator.next();  
25. //访问所请求资源所需要的权限  
26. String needPermission = configAttribute.getAttribute();  
27. System.out.println("needPermission is " + needPermission);  
28. //用户所拥有的权限authentication  
29. for(GrantedAuthority ga : authentication.getAuthorities()) {  
30. if(needPermission.contains((ga.getAuthority()))) {  
31. return;  
32. }  
33. }  
34. }  
35. //没有权限让我们去捕捉  
36. throw new AccessDeniedException(" 没有权限访问！");  
37. }  
39. public boolean supports(ConfigAttribute attribute) {  
40. // TODO Auto-generated method stub  
41. return true;  
42. }  
44. public boolean supports(Class<?> clazz) {  
45. // TODO Auto-generated method stub  
46. return true;  
47. }  
49. }  

 

MyAuthenticationManager

1. package com.yindejin.system;  
3. import org.springframework.security.core.userdetails.UserDetails;  
4. import org.springframework.security.core.userdetails.UserDetailsService;  
5. import org.springframework.security.core.userdetails.UsernameNotFoundException;  
7. import com.yindejin.system.service.ISystemService;  
8. import com.yindejin.util.StringUtils;  
9. import com.yindejin.vo.User;  
11. public class MyAuthenticationManager implements UserDetailsService {  
13. private ISystemService systemService;  
16. public void setSystemService(ISystemService systemService) {  
17. this.systemService = systemService;  
18. }  
21. @Override  
22. public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {  
23. if(!StringUtils.isEmpty(userName)){  
24. throw new UsernameNotFoundException("用户名不能为空！");  
25. }  
26. User user = systemService.loginByUserName(userName);  
27. if (user == null) {  
28. throw new UsernameNotFoundException("用户名或密码错误！");  
29. }  
30. return user;  
31. }  
33. }  

User

1. package com.yindejin.vo;  
3. import java.util.ArrayList;  
4. import java.util.Collection;  
5. import java.util.HashMap;  
6. import java.util.HashSet;  
7. import java.util.List;  
8. import java.util.Map;  
9. import java.util.Set;  
11. import javax.persistence.Transient;  
13. import org.springframework.security.core.GrantedAuthority;  
14. import org.springframework.security.core.authority.GrantedAuthorityImpl;  
15. import org.springframework.security.core.userdetails.UserDetails;  
17. /** 
18. * User entity. @author MyEclipse Persistence Tools 
19. */  
21. public class User implements UserDetails {  
23. // Fields  
25. private Integer id;  
26. private String name;  
27. private String password = "123456";  
28. private Integer disabled = 0;  
29. private String email;  
30. public String getEmail() {  
31. return email;  
32. }  
34. public void setEmail(String email) {  
35. this.email = email;  
36. }  
38. private Set<Role> userRoles = new HashSet<Role>();  
39. @Transient  
40. private Map<String, List<Resource>> roleResources;  
42. // Constructors  
44. public Integer getId() {  
45. return id;  
46. }  
48. public void setId(Integer id) {  
49. this.id = id;  
50. }  
52. public String getName() {  
53. return name;  
54. }  
56. public void setName(String name) {  
57. this.name = name;  
58. }  
60. public String getPassword() {  
61. return password;  
62. }  
64. public void setPassword(String password) {  
65. this.password = password;  
66. }  
68. public Integer getDisabled() {  
69. return disabled;  
70. }  
72. public void setDisabled(Integer disabled) {  
73. this.disabled = disabled;  
74. }  
76. public Set<Role> getUserRoles() {  
77. return userRoles;  
78. }  
80. public void setUserRoles(Set<Role> userRoles) {  
81. this.userRoles = userRoles;  
82. }  
84. /** default constructor */  
85. public User() {  
86. }  
89. public String getUsername() {  
90. return name;  
91. }  
93. public boolean isAccountNonExpired() {  
94. return true;  
95. }  
97. public boolean isAccountNonLocked() {  
98. return true;  
99. }  
101. public boolean isCredentialsNonExpired() {  
102. return true;  
103. }  
105. public boolean isEnabled() {  
106. return this.disabled==0?true:false;  
107. }  
109. /** 
110. * @return the roleResources 
111. */  
112. public Map<String, List<Resource>> getRoleResources() {  
113. // init roleResources for the first time  
114. if(this.roleResources == null) {              
115. this.roleResources = new HashMap<String, List<Resource>>();  
117. for(Role role : this.userRoles) {  
118. String roleName = role.getName();  
119. Set<Resource> resources = role.getRoleResources();  
120. for(Resource resource : resources) {  
121. String key = roleName + "_" + resource.getType();  
122. if(!this.roleResources.containsKey(key)) {  
123. this.roleResources.put(key, new ArrayList<Resource>());  
124. }  
125. this.roleResources.get(key).add(resource);                    
126. }  
127. }  
129. }  
130. return this.roleResources;  
131. }  
133. @SuppressWarnings("deprecation")  
134. @Override  
135. public Collection<GrantedAuthority> getAuthorities() {  
136. Set<GrantedAuthority> authSet = new HashSet<GrantedAuthority>();  
137. for(Role role : getUserRoles()){  
138. authSet.add(new GrantedAuthorityImpl(role.getName()));  
139. }  
140. return authSet;  
141. }  
145. }