【JavaEE】SSH+Spring Security整合及example

到前文为止，SSH的基本框架都已经搭建出来了，现在，在这基础上再加上权限控制，也就是Spring Security框架，和前文的顺序一样，先看看需要加哪些库。

1. pom.xml

Spring Security只需要加上自己的库就可以，先定义一个版本的属性：

<properties>
    <spring.version>4.0.4.RELEASE</spring.version>
    <hibernate.version>4.3.5.Final</hibernate.version>
    <spring-security.version>3.2.4.RELEASE</spring-security.version>
</properties>

然后加入spring-security的包：

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>${spring-security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>${spring-security.version}</version>
</dependency>

当然还有spring-security-core和spring-security-web等必须的包，不过都会被作为依赖导入。

2. web.xml

Spring Security是作为过滤器控制权限的，所以，要在web.xml中配置这个过滤器：

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

其他的东西，就是被Spring框架来管理了，Spring Security配置的地方和hibernate的配置一样，可以加在applicationContext.xml中，但是hibernate要单独弄一个infrastructure.xml，Security也单独写一个配置文件，叫做applicationContext-security.xml，因为这个的名字和前面的非常像，可以合并在一起来配置contextConfigLocation：

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:/META-INF/applicationContext*.xml,
                classpath:/META-INF/infrastructure.xml</param-value>
</context-param>

classpath后面的*代表有多个文件，后面的*是一个通配符，所以凡是/META-INF/下所有applicationContext开头的xml文件都会被读取。

3. User.java/Role.java

这里先不说applicationContext-security.xml，先来看看需要哪些数据表，首先创建一个权限类Role（org.zhangfc.demo4ssh.domain.Role）：

@Entity
@Table
public class Role implements Serializable {
    private static final long serialVersionUID = -7425304725239042741L;
    private int id;
    private String role;
    @Id
    public int getId() {
        return id;
    }
    public void setId(int id) {
        this.id = id;
    }
    public String getRole() {
        return role;
    }
    public void setRole(String role) {
        this.role = role;
    }
}

权限表就两个字段，id和一个权限名，接着修改User表：

@Entity
@Table
public class User implements Serializable {
    private static final long serialVersionUID = 172643386440351811L;
    private int id;
    private String username;
    private String password;
    private Role role;

    @Id
    @GeneratedValue
    public int getId() {
        return id;
    }
    @Size(min=6)
    public String getUsername() {
        return username;
    }public String getPassword() {
        return password;
    }
    @ManyToOne
    public Role getRole() {
        return role;
    }

    // setter method of id / username / password / role
}

为了节省篇幅，我删掉了所有的setter方法，这儿增加了两项，一个id，还有一个多对一的外键指向Role表。把properties/hibernate.properties中的hibernate.hbm2dll.auto属性设置为update，并把HomeController的home方法插入新用户的代码注释掉或删掉，首先把这个程序运行起来，让程序创建role表并更新user表，然后编辑数据表（我用的navicat），在role表中加入下面的两条记录：

之后修改user表，之前的数据不会被清空，而是新添加了两个空字段：

这样就有了两个可登陆的账号，下面就来写一下配置文件。

4. applicationContext-security.xml

先贴下所有的配置再做解释

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
                        http://www.springframework.org/schema/security
                        http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <http auto-config="true">
        <intercept-url pattern="/json**" access="ROLE_ADMIN,ROLE_USER" />
        <intercept-url pattern="/admin**" access="ROLE_ADMIN" />
        <form-login
            login-page="/"
            default-target-url="/"
            authentication-failure-url="/?login=error" />

        <logout logout-success-url="/" />
    </http>

    <authentication-manager>
        <authentication-provider>
            <!-- <password-encoder hash="md5">
                <salt-source user-property="email"/>
            </password-encoder> -->
            <jdbc-user-service data-source-ref="dataSource"
                users-by-username-query="select username, password, 1 from user where username = ?"
                authorities-by-username-query="select u.username, r.role from user u left join role r on u.role_id=r.id where username = ?"
            />
        </authentication-provider>
    </authentication-manager>

</beans:beans>

先看这个authentication-manager，这是一个认证管理器，用户名密码的认证就是它来干的，Spring security有一套默认的规则，个人认为也没太大必要去改这个默认规则，那就是对根目录下/j_spring_security_check的网络请求，会被作为登陆请求，并获取j_username和j_password作为参数进行用户名密码的匹配，这时候spring会把j_username交给一个provider，这个provider的任务就是根据这个用户名返回一个包含用户名、密码、权限（权限可以是数组）的对象。在这个地方，我用了spring security自己的authentication-provider，引用前面在配置hibernate的配置的数据源，并分别执行两条sql语句去根据用户名查询密码、当前用户是否enable及该用户权限。

登录成功之后，所有的网络请求，都会根据当前用户的role去最前面的intercept-url上去匹配（json和admin后面的两个**，第一个代表通配路径，第二个代表通配子目录），如果当前用户的权限是ROLE_USER，但是对应url的access域中没有ROLE_USER或者IS_AUTHENTICATED_ANONYMOUSLY（表示允许匿名访问），那么就不能访问，这时候就会跳转到下面设置的login-page去让用户登录，当然，登录成功之前所有的请求也会经过这个链，所以千万不要把登陆界面设置什么访问权限，要不就死循环了，登录时如果登录成功了会跳转到default-target-url设置的地址，如果登录失败了，则会跳到authentication-failure-url上去，现在我是设置的无论怎么样都跳回根目录。

如果是注销，也有一个默认的规则，就是访问根目录下的j_spring_security_logout就可以了，注销之后页面会跳转到logout-success-url。

5. index.jsp

我们访问根目录会访问HomeController的home方法，之后进入index.jsp上，所以这里就编辑pages/index.jsp（pages是WEB-INF的同级目录），加上登录用的表单：

<%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>

<c:set var="base" value="${pageContext.request.contextPath }/" scope="session"/>
<sec:authentication property="principal" var="auth" scope="session" />

<html>
<body>
<h2>Hello World!</h2>
<h2>${auth }</h2>
<form action="${base }j_spring_security_check" method="post">
    用户名：<input type="text" name="j_username" /><br/>
    密码：<input type="password" name="j_password" /><br/>
    <input type="submit" value="登录" />
</form>
<a href="${base }j_spring_security_logout">注销</a>
</body>
</html>

运行程序，访问项目根目录：

我在index.jsp中使用security的标签获得了一个叫做principal的对象，这个对象在未登录的时候是一个字符串，我把它打印了出来，可以看到值是"anonymousUser"。登录的时候是一个用户对象（不是我们自己定义的那个domain.User，而是spring的一个UserDetails对象），这个一会登录之后再看。

用zhangsan/123456登录，点登录之后看到，原来打印anonymousUser的地方变成了一个对象的描述：

org.springframework.security.core.userdetails.User@aa9c3074: Username: zhangsan; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN

这时候如果把index.jsp里的${auth}改成${auth.username}就可以打印出zhangsan。接下来访问：http://localhost:8080/demo4ssh-security/json和http://localhost:8080/demo4ssh-security/admin都是可以正确访问的，因为zhangsan是个ROLE_ADMIN，这两个目录都有访问权限，但是，根据前面的配置ROLE_USER是不能访问admin的，下面再次进入根目录，点注销之后用wangwu/234567登录（注销之后如果是打印${auth.username}就会抛异常，因为auth这个对象没有username这个域了），登录之后发现http://localhost:8080/demo4ssh-security/json依旧可以正常访问，http://localhost:8080/demo4ssh-security/admin却不能访问了：

Spring Security的基本配置就是这样了，相比较前面的几个而言，Spring Security这么基础的配置基本没什么大用，现在谁还能用明文存密码，用加盐的方式MD5加密是好配置的（我写的是用email作为盐，但是出于简单考虑，我这个demo的user表里没有没有email，所以需要用MD5的时候注意一下），applicationContext-security.xml中有一段被我注释掉的配置就是干这个的，但是，更多的密码存储要比这个还要复杂，而且，没有访问权限也不能返回这么个界面，还是那句话，我现在只想用最简单的方式搭出一个能用的框架，至于这些细节，只要基本框架能跑了就是小意思了，这些问题还是留待以后再写。

源码下载