Spring Security研究（1）

 

1， 获取Spring Security的Jar包 ：从Spring网站下载页下载或者从Maven中央仓库下载。一个好办法是参考实例应用中包含的依赖库。

2，项目模块：

  　　Core - spring-security-core.jar
　包含了核心认证和权限控制类和接口，   运程支持和基本供应 API。使用 Spring Security 所必须的。支持单独运行的应用，   远程客户端，方法（服务层）安全和 JDBC用户供应。
　　 Web - spring-security-web.jar
  包含过滤器和对应的 web 安全架构代码。任何需要依赖 servlet API 的。   你将需要它，如果你需要 Spring  Security  Web 认证服务和基于 URL 的权限控制。
　　Config - spring-security-config.jar
  包含安全命名控制解析代码（因此我们不能直接把它用在你的应用中）。你需要它，如果使用了 Spring  Security  XML 命名控制来进行配置。
　　 LDAP - spring-security-ldap.jar
  LDAP 认证和实现代码，如果你需要使用 LDAP 认证或管理 LDAP 用户实体就是必须的。
　　 ACL - spring-security-acl.jar
  处理领域对象 ACL 实现。用来提供安全给特定的领域对象实例，在你的应用中。
      CAS - spring-security-cas-client.jar
  Spring Security 的 CAs 客户端集成。如果你希望使用 Spring Security web 认证整合一个 CAS 单点登录服务器。
　　 OpenID - spring-security-openid.jar
  OpenID  web 认证 支持 。 用来 认证 用户 ，通 过 一个 外部 的 OpenID 服务。

3， 获取项目源代码

　　svn  checkout http://acegisecurity.svn.sourceforge.net/svnroot/acegisecurity/spring-security/trunk/

4,添加 security 命名空间

<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
　　　　　　　　　　　　http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd"></beans>

    你会看到（在示例中）应用，我们通常使用"security"作为默认的命名空间，而不是"beans"，这意味着我们可以省略所有 security 命名空间元素的前缀，使上下文更容易阅读。  如果你把应用上下文分割成单独的文件，让你的安全配置都放到其中一个文件里，这样更容易使用这种配置方法。

<b:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:b="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">

5，开始使用安全命名空间配置

　　1） 配置 web.xml

<filter>
　　<filter-name>springSecurityFilterChain</filter-name>
　　<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
　　<filter-name>springSecurityFilterChain</filter-name>
　　<url-pattern>/*</url-pattern>
</filter-mapping>

    这是为 Spring Security 的 web 机制提供了一个调用钩子。这种情况下 ， bean 的名字是"springSecurityFilterChain"，这是由命名空间创建的用于处理 web 安全的一个内部的机制。  注意，你不应该自己使用这个 bean 的名字。

　　2）编辑 applicationContext 文件 web 安全服务 是使用<http>元素配置的。 最小  <http>配置：

<http auto-config='true'>
　　<intercept-url pattern="/**" access="ROLE_USER" />
</http>

这表示，我们要保护应用程序中的所有 URL，只有拥有  ROLE_USER 角色的用户才能访问。

<intercept-url>元素定义了  pattern，用来匹配进入的请求 URL，使用一个 ant 路径语法

 access 属性定义了请求匹配了指定模式时的需求。使用默认的配置，  这个一般是一个逗号分隔的角色队列，一个用户中的一个必须被允许访问请求

前缀“ROLE_”表示的是一个用户应该拥有的权限比对。

Spring Security 中的访问控制不限于简单角色的应用（因此，我们使用不同的前缀来区分不同的安全属性）

 Note：
你可以使用多个<intercept-url>元素为不同 URL 的集合定义不同的访问需求，它们会被归入一个有序队列中，每次取出最先匹配的一个元素使用。  所以你必须把期望使用的匹配条件放到最上边。你也可以添加一个 method 属性 来限制匹配一个特定的HTTP  method(GET,  POST,  PUT  等等)。对于一个模式同时定义在定义了 method 和未定义 method 的情况，指定method 的匹配会无视顺序优先被使用。

我们在上面用到的 auto-config 属性，其实是下面这些配置的缩写：

<http>
    <form-login />
    <http-basic /> 
    <logout />
</http>

<!-- 直接定义一些测试数据-->
    <authentication-manager>
        <!-- 
        <authentication-provider>元素意味着用户信息将被认证管理用作处理认证请求。
            你可以拥有多个<authentication-provider>元素来定义不同的认证数据
        -->
        <authentication-provider>
            <user-service>
                <!-- 可以从标准的properties文件中读取这些信息-->
                <user  name="jimi"  password="jimispassword" authorities="ROLE_USER, ROLE_ADMIN" /> 
                <user  name="bob"  password="bobspassword" authorities="ROLE_USER" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

6， 表单和基本登录选项

　　如果你想实现自己的登录页面，你可以使用

<http auto-config='true'>
    <intercept-url  pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <intercept-url pattern="/**" access="ROLE_USER" />
    <form-login login-page='/login.jsp'/>
</http>

　　依旧可以使用 auto-config。   这个 form-login 元素会覆盖默认的设置

　　我们需要添加额外的 intercept-url 元素，指定用来做登录的页面的 URL，这些 URL 应该可以被匿名访问。否则，这些请求会被/**部分拦截，它没法访问到登录页面

　　如果你的登录页面是被保护的。 也可能让所有的请求都匹配特定的模式，通过完全的安全过滤器链：
　

<http auto-config='true'> 
    <intercept-url pattern="/css/**" filters="none"/>
    <intercept-url pattern="/login.jsp*" filters="none"/>
    <intercept-url pattern="/**" access="ROLE_USER" />
    <form-login login-page='/login.jsp'/>
</http>

　　如果你希望使用基本认证，代替表单登录，可以把配置改为：

<http auto-config='true'>
    <intercept-url pattern="/**" access="ROLE_USER" />
    <http-basic />
</http>

　　基本身份认证会被优先用到，在用户尝试访问一个受保护的资源时，用来提示用户登录。在这种配置中，表单登录依然是可用的

设置一个默认的提交登陆目标

如果在进行表单登陆之前，没有试图去访问一个被保护的资源，default-target-url就会起作用。 这是用户登陆后会跳转到的 URL ，默认是 "/" 。你也可以把always-use-default-target 属性配置成"true"，这样用户就会一直跳转到这一页（无论登陆是“跳转过来的”还是用户特定进行登陆）。  如果你的系统一直需要用户从首页进入，就可以使用它了，比如：  

<http>
    <intercept-url pattern='/login.htm*' filters='none'/>
    <intercept-url pattern='/**' access='ROLE_USER' />
    <form-login  login-page='/login.htm'  default-target url='/home.htm' always-use-default-target='true' />
</http>

7， 使用其他认证提供器

　　多数情况下，你会想把用户信息保存到数据库或者是 LDAP 服务器里

  　 如果你自定义了一个 Spring Security 的 UserDetailsService 实现，在你的 application  context 中名叫"myUserDetailsService"，然后你可以使用下面的验证。

<authentication-manager>
    <authentication-provider user-service-ref='myUserDetailsService'/>
</authentication-manager>

　　如果你想用数据库，可以使用下面的方式

<authentication-manager>
    <authentication-provider> 
        <jdbc-user-service data-source-ref="securityDataSource"/>
    </authentication-provider>
</authentication-manager>
    

　　这里的“securityDataSource”就是  DataSource bean 在 application context 里的名字，它指向了包含着 Spring Security 用户信息的表。

 另外，你可以配置一个 Spring Security JdbcDaoImpl bean，使用 user-service-ref 属性指定：

<authentication-manager>
　　<authentication-provider user-service-ref='myUserDetailsService'/>
</authentication-manager>
<beans:bean id="myUserDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
<beans:property name="dataSource" ref="dataSource"/>

8,添加一个密码编码器

　　你的密码数据通常要使用一种散列算法进行编码。  使用<password-encoder>元素支持这个功能。  使用 SHA 加密密码，原始的认证供应器配置

<authentication-manager>
　　<authentication-provider>
　　　　<password-encoder hash="sha"/>
　　　　<user-service>
　　　　　　<user  name="jimi" password="d7e6351eaa13189a5a3641bab846c8e8c69ba39f" authorities="ROLE_USER, ROLE_ADMIN" />
　　　　　　<user  name="bob"  password="4e7421b1b8765d8f9406d87e7cc6aa784c4ab97f" authorities="ROLE_USER" />
　　　　</user-service>
　　</authentication-provider>
</authentication-manager>

　　在使用散列密码时，用盐值防止字典攻击是个好主意，Spring Security 也支持这个功能。 理想情况下，你可能想为每个用户随机生成一个盐值，不过，你可以使用从UserDetailsService 读取出来的 UserDetails 对象中的属性。比如，使用 username属性，你可以这样用：

<password-encoder hash="sha">
    <salt-source user-property="username"/>
</password-encoder>

　　你可以通过 password-encoder 的 ref 属性，指定一个自定义的密码编码器 bean。这应该包含 application  context 中一个 bean 的名字，它应该是 Spring  Security 的
PasswordEncoder 接口的一个实例