1,建一个web project,并导入所有需要的lib。

2,配置web.xml,使用Spring的机制装载:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
  3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  4. xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
  5. http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
  6. <context-param>
  7. <param-name>contextConfigLocation</param-name>
  8. <param-value>classpath:applicationContext*.xml</param-value>
  9. </context-param>
  10. <listener>
  11. <listener-class>
  12. org.springframework.web.context.ContextLoaderListener
  13. </listener-class>
  14. </listener>
  15. <filter>
  16. <filter-name>springSecurityFilterChain</filter-name>
  17. <filter-class>
  18. org.springframework.web.filter.DelegatingFilterProxy
  19. </filter-class>
  20. </filter>
  21. <filter-mapping>
  22. <filter-name>springSecurityFilterChain</filter-name>
  23. <url-pattern>/*</url-pattern>
  24. </filter-mapping>
  25. <welcome-file-list>
  26. <welcome-file>login.jsp</welcome-file>
  27. </welcome-file-list>
  28. </web-app>

这个文件中的内容我相信大家都很熟悉了,不再多说了。

2,来看看applicationContext-security.xml这个配置文件,关于Spring Security的配置均在其中:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <beans:beans xmlns="http://www.springframework.org/schema/security"
  3. xmlns:beans="http://www.springframework.org/schema/beans"
  4. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  5. xsi:schemaLocation="http://www.springframework.org/schema/beans
  6. http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
  7. http://www.springframework.org/schema/security
  8. http://www.springframework.org/schema/security/spring-security-3.0.xsd">
  9. <http access-denied-page="/403.jsp"><!-- 当访问被拒绝时,会转到403.jsp -->
  10. <intercept-url pattern="/login.jsp" filters="none" />
  11. <form-login login-page="/login.jsp"
  12. authentication-failure-url="/login.jsp?error=true"
  13. default-target-url="/index.jsp" />
  14. <logout logout-success-url="/login.jsp" />
  15. <http-basic />
  16. <!-- 增加一个filter,这点与Acegi是不一样的,不能修改默认的filter了,这个filter位于FILTER_SECURITY_INTERCEPTOR之前 -->
  17. <custom-filter before="FILTER_SECURITY_INTERCEPTOR"
  18. ref="myFilter" />
  19. </http>
  20. <!-- 一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
  21. 我们的所有控制将在这三个类中实现,解释详见具体配置 -->
  22. <beans:bean id="myFilter" class="com.robin.erp.fwk.security.MyFilterSecurityInterceptor">
  23. <beans:property name="authenticationManager"
  24. ref="authenticationManager" />
  25. <beans:property name="accessDecisionManager"
  26. ref="myAccessDecisionManagerBean" />
  27. <beans:property name="securityMetadataSource"
  28. ref="securityMetadataSource" />
  29. </beans:bean>
  30. <!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->
  31. <authentication-manager alias="authenticationManager">
  32. <authentication-provider
  33. user-service-ref="myUserDetailService">
  34. <!--    如果用户的密码采用加密的话,可以加点“盐”
  35. <password-encoder hash="md5" />
  36. -->
  37. </authentication-provider>
  38. </authentication-manager>
  39. <beans:bean id="myUserDetailService"
  40. class="com.robin.erp.fwk.security.MyUserDetailService" />
  41. <!-- 访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
  42. <beans:bean id="myAccessDecisionManagerBean"
  43. class="com.robin.erp.fwk.security.MyAccessDecisionManager">
  44. </beans:bean>
  45. <!-- 资源源数据定义,即定义某一资源可以被哪些角色访问 -->
  46. <beans:bean id="securityMetadataSource"
  47. class="com.robin.erp.fwk.security.MyInvocationSecurityMetadataSource" />
  48. </beans:beans>

3,来看看自定义filter的实现:

  1. package com.example.spring.security;
  2. import java.io.IOException;
  3. import javax.servlet.Filter;
  4. import javax.servlet.FilterChain;
  5. import javax.servlet.FilterConfig;
  6. import javax.servlet.ServletException;
  7. import javax.servlet.ServletRequest;
  8. import javax.servlet.ServletResponse;
  9. import org.springframework.security.access.SecurityMetadataSource;
  10. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
  11. import org.springframework.security.access.intercept.InterceptorStatusToken;
  12. import org.springframework.security.web.FilterInvocation;
  13. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
  14. public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor
  15. implements Filter {
  16. private FilterInvocationSecurityMetadataSource securityMetadataSource;
  17. // ~ Methods
  18. // ========================================================================================================
  19. /**
  20. * Method that is actually called by the filter chain. Simply delegates to
  21. * the {@link #invoke(FilterInvocation)} method.
  22. *
  23. * @param request
  24. *             the servlet request
  25. * @param response
  26. *             the servlet response
  27. * @param chain
  28. *             the filter chain
  29. *
  30. * @throws IOException
  31. *              if the filter chain fails
  32. * @throws ServletException
  33. *              if the filter chain fails
  34. */
  35. public void doFilter(ServletRequest request, ServletResponse response,
  36. FilterChain chain) throws IOException, ServletException {
  37. FilterInvocation fi = new FilterInvocation(request, response, chain);
  38. invoke(fi);
  39. }
  40. public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
  41. return this.securityMetadataSource;
  42. }
  43. public Class<? extends Object> getSecureObjectClass() {
  44. return FilterInvocation.class;
  45. }
  46. public void invoke(FilterInvocation fi) throws IOException,
  47. ServletException {
  48. InterceptorStatusToken token = super.beforeInvocation(fi);
  49. try {
  50. fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
  51. } finally {
  52. super.afterInvocation(token, null);
  53. }
  54. }
  55. public SecurityMetadataSource obtainSecurityMetadataSource() {
  56. return this.securityMetadataSource;
  57. }
  58. public void setSecurityMetadataSource(
  59. FilterInvocationSecurityMetadataSource newSource) {
  60. this.securityMetadataSource = newSource;
  61. }
  62. @Override
  63. public void destroy() {
  64. }
  65. @Override
  66. public void init(FilterConfig arg0) throws ServletException {
  67. }
  68. }

最核心的代码就是invoke方法中的InterceptorStatusToken token = super.beforeInvocation(fi);这一句,即在执行doFilter之前,进行权限的检查,而具体的实现已经交给accessDecisionManager了。

4,来看看authentication-provider的实现:

  1. package com.example.spring.security;
  2. import java.util.ArrayList;
  3. import java.util.Collection;
  4. import org.springframework.dao.DataAccessException;
  5. import org.springframework.security.core.GrantedAuthority;
  6. import org.springframework.security.core.authority.GrantedAuthorityImpl;
  7. import org.springframework.security.core.userdetails.User;
  8. import org.springframework.security.core.userdetails.UserDetails;
  9. import org.springframework.security.core.userdetails.UserDetailsService;
  10. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  11. public class MyUserDetailService implements UserDetailsService {
  12. @Override
  13. public UserDetails loadUserByUsername(String username)
  14. throws UsernameNotFoundException, DataAccessException {
  15. Collection<GrantedAuthority> auths=new ArrayList<GrantedAuthority>();
  16. GrantedAuthorityImpl auth2=new GrantedAuthorityImpl("ROLE_ADMIN");
  17. auths.add(auth2);
  18. if(username.equals("robin1")){
  19. auths=new ArrayList<GrantedAuthority>();
  20. GrantedAuthorityImpl auth1=new GrantedAuthorityImpl("ROLE_ROBIN");
  21. auths.add(auth1);
  22. }
  23. //         User(String username, String password, boolean enabled, boolean accountNonExpired,
  24. //                     boolean credentialsNonExpired, boolean accountNonLocked, Collection<GrantedAuthority> authorities) {
  25. User user = new User(username,
  26. "robin", true, true, true, true, auths);
  27. return user;
  28. }
  29. }

在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等,我想这么简单的代码就不再多解释了。

5,对于资源的访问权限的定义,我们通过实现FilterInvocationSecurityMetadataSource这个接口来初始化数据。

  1. package com.example.spring.security;
  2. import java.util.ArrayList;
  3. import java.util.Collection;
  4. import java.util.HashMap;
  5. import java.util.Iterator;
  6. import java.util.Map;
  7. import org.springframework.security.access.ConfigAttribute;
  8. import org.springframework.security.access.SecurityConfig;
  9. import org.springframework.security.web.FilterInvocation;
  10. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
  11. import org.springframework.security.web.util.AntUrlPathMatcher;
  12. import org.springframework.security.web.util.UrlMatcher;
  13. /**
  14. *
  15. * 此类在初始化时,应该取到所有资源及其对应角色的定义
  16. *
  17. * @author Robin
  18. *
  19. */
  20. public class MyInvocationSecurityMetadataSource
  21. implements FilterInvocationSecurityMetadataSource {
  22. private UrlMatcher urlMatcher = new AntUrlPathMatcher();;
  23. private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
  24. public MyInvocationSecurityMetadataSource() {
  25. loadResourceDefine();
  26. }
  27. private void loadResourceDefine() {
  28. resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
  29. Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();
  30. ConfigAttribute ca = new SecurityConfig("ROLE_ADMIN");
  31. atts.add(ca);
  32. resourceMap.put("/index.jsp", atts);
  33. resourceMap.put("/i.jsp", atts);
  34. }
  35. // According to a URL, Find out permission configuration of this URL.
  36. public Collection<ConfigAttribute> getAttributes(Object object)
  37. throws IllegalArgumentException {
  38. // guess object is a URL.
  39. String url = ((FilterInvocation)object).getRequestUrl();
  40. Iterator<String> ite = resourceMap.keySet().iterator();
  41. while (ite.hasNext()) {
  42. String resURL = ite.next();
  43. if (urlMatcher.pathMatchesUrl(url, resURL)) {
  44. return resourceMap.get(resURL);
  45. }
  46. }
  47. return null;
  48. }
  49. public boolean supports(Class<?> clazz) {
  50. return true;
  51. }
  52. public Collection<ConfigAttribute> getAllConfigAttributes() {
  53. return null;
  54. }
  55. }

看看loadResourceDefine方法,我在这里,假定index.jsp和i.jsp这两个资源,需要ROLE_ADMIN角色的用户才能访问。

这个类中,还有一个最核心的地方,就是提供某个资源对应的权限定义,即getAttributes方法返回的结果。注意,我例子中使用的是AntUrlPathMatcher这个path matcher来检查URL是否与资源定义匹配,事实上你还要用正则的方式来匹配,或者自己实现一个matcher。

6,剩下的就是最终的决策了,make a decision,其实也很容易,呵呵。

  1. package com.example.spring.security;
  2. import java.util.Collection;
  3. import java.util.Iterator;
  4. import org.springframework.security.access.AccessDecisionManager;
  5. import org.springframework.security.access.AccessDeniedException;
  6. import org.springframework.security.access.ConfigAttribute;
  7. import org.springframework.security.access.SecurityConfig;
  8. import org.springframework.security.authentication.InsufficientAuthenticationException;
  9. import org.springframework.security.core.Authentication;
  10. import org.springframework.security.core.GrantedAuthority;
  11. public class MyAccessDecisionManager implements AccessDecisionManager {
  12. //In this method, need to compare authentication with configAttributes.
  13. // 1, A object is a URL, a filter was find permission configuration by this URL, and pass to here.
  14. // 2, Check authentication has attribute in permission configuration (configAttributes)
  15. // 3, If not match corresponding authentication, throw a AccessDeniedException.
  16. public void decide(Authentication authentication, Object object,
  17. Collection<ConfigAttribute> configAttributes)
  18. throws AccessDeniedException, InsufficientAuthenticationException {
  19. if(configAttributes == null){
  20. return ;
  21. }
  22. System.out.println(object.toString());  //object is a URL.
  23. Iterator<ConfigAttribute> ite=configAttributes.iterator();
  24. while(ite.hasNext()){
  25. ConfigAttribute ca=ite.next();
  26. String needRole=((SecurityConfig)ca).getAttribute();
  27. for(GrantedAuthority ga:authentication.getAuthorities()){
  28. if(needRole.equals(ga.getAuthority())){  //ga is user's role.
  29. return;
  30. }
  31. }
  32. }
  33. throw new AccessDeniedException("no right");
  34. }
  35. @Override
  36. public boolean supports(ConfigAttribute attribute) {
  37. // TODO Auto-generated method stub
  38. return true;
  39. }
  40. @Override
  41. public boolean supports(Class<?> clazz) {
  42. return true;
  43. }
  44. }

在这个类中,最重要的是decide方法,如果不存在对该资源的定义,直接放行;否则,如果找到正确的角色,即认为拥有权限,并放行,否则throw new AccessDeniedException("no right");这样,就会进入上面提到的403.jsp页面

spring security 3 自定义认证,授权示例的更多相关文章

  1. Spring Security OAuth2.0认证授权三:使用JWT令牌

    Spring Security OAuth2.0系列文章: Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二: ...

  2. Spring Security OAuth2.0认证授权六:前后端分离下的登录授权

    历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...

  3. Spring Security OAuth2.0认证授权二:搭建资源服务

    在上一篇文章[Spring Security OAuth2.0认证授权一:框架搭建和认证测试](https://www.cnblogs.com/kuangdaoyizhimei/p/14250374. ...

  4. Spring Security OAuth2.0认证授权四:分布式系统认证授权

    Spring Security OAuth2.0认证授权系列文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授 ...

  5. Spring Security OAuth2.0认证授权五:用户信息扩展到jwt

    历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OA ...

  6. Spring Security OAuth2.0认证授权一:框架搭建和认证测试

    一.OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容. 1.s ...

  7. Spring security OAuth2.0认证授权学习第四天(SpringBoot集成)

    基础的授权其实只有两行代码就不单独写一个篇章了; 这两行就是上一章demo的权限判断; 集成SpringBoot SpringBoot介绍 这个篇章主要是讲SpringSecurity的,Spring ...

  8. Spring security OAuth2.0认证授权学习第三天(认证流程)

    本来之前打算把第三天写基于Session认证授权的,但是后来视屏看完后感觉意义不大,而且内容简单,就不单独写成文章了; 简单说一下吧,就是通过Servlet的SessionApi 通过实现拦截器的前置 ...

  9. Spring security OAuth2.0认证授权学习第一天(基础概念-认证授权会话)

    这段时间没有学习,可能是因为最近工作比较忙,每天回来都晚上11点多了,但是还是要学习的,进过和我的领导确认,在当前公司的技术架构方面,将持续使用Spring security,暂不做Shiro的考虑, ...

随机推荐

  1. PHP中 post 与get的区别 详细说明

    1.Get 方法通过 URL 请求来传递用户的数据,将表单内各字段名称与其内容,以成对的字符串连接,置于 action 属性所指程序的 url 后,如[url]http://www.jincaib.c ...

  2. HashMap,HashTable ,LinkedHashMap,TreeMap的区别

    Map:主要是存储键值对,不允许键重复,但可以值重复. HashMap:根据键的HashCode值来存储数据,根据键直接获取值.具有很快的访问速度,遍历时,取得的数据值的顺序都是随机的.hashMap ...

  3. Ajax的基本请求/响应模型

    一.Ajax工作核心 Ajax的核心是JavaScript对象XMLHttpRequest(简称XHR).它是一种支持异步请求的技术.可以通过使用XHR对象向服务器提出请求并处理响应,而不阻塞用户. ...

  4. 微信小程序学习总结(1)

    1.一个小程序文件最基本包含app.js.app.json.app.wxss和pages文件夹结构,pages中的页面必须要在app.json的pages项进行配置,app.json也提供窗口表现,t ...

  5. Java 泛型 协变性、逆变性

    Java 泛型 协变性.逆变性 @author ixenos 摘要:协变性.协变通配符.协变数组.协变返回值 协变性.逆变性和无关性 在面向对象的计算机程序语言中,经常涉及到类型之间的转换,例如从具体 ...

  6. 3、Hibernate三态间的转换

    学过hibernate的人都可能都知道hibernate有三种状态,transient(瞬时状态),persistent(持久化状态)以及detached(离线状态),大家伙也许也知道这三者之间的区别 ...

  7. Spring contextConfigLocation默认加载文件的位置

    在使用Spring框架的时候,如果我们使用的是XML文件配置Bean的方式的话,我们往往会在web.xml里面配置如下内容: <context-param> <param-name& ...

  8. PHP7新功能及语法变化总结

    1.标量类型声明有两种模式: 强制 (默认) 和 严格模式. 现在可以使用下列类型参数(无论用强制模式还是严格模式): 字符串(string), 整数 (int), 浮点数 (float), 以及布尔 ...

  9. js与jquery实时监听输入框值变化方法

    本文实例讲述了js与jquery实时监听输入框值的oninput与onpropertychange方法.分享给大家供大家参考.具体如下: 最近做过一个项目,需求是下拉框里自动匹配关键字,具体细节是实时 ...

  10. SqlServer 汉字转换拼音首字母函数

    CREATE function [dbo].[Func_GetPY](@str nvarchar(4000))returns nvarchar(4000)asbegin set @str=RTRIM( ...