1视频教程精品视频spring文库

1、2012-2-8Spring Security2Spring Security起源Spring Security前身是acegi,作为Spring Framework下最成熟的一个安全框架,他提供了强大的企业安全服务,如: 认证授权机制 Web资源访问控制 业务方法调用访问控制 领域对象访问控制Access Control List（ACL） 单点登录（Central Authentication Service） X509认证 信道安全（Channel Security）管理等功能Spring Security是什么？ Spring Security为基于J2EE企业应用软件提供了全面安全服

2、务。 特别是使用领先的J2EE解决方案-spring框架开发的企业软件项目。 spring security是基于sping core的一个具体工具实现，主要用来管理应用程序的安全性，并提供了一组用户权限的解决方案。 简单点说，以一个web应用程序举例，sping框架负责整个应用程序的构架，spring seurity负责用户登录和用户权限管理。 4Spring SecuritySpring Security:配置web.xml把下面的filter声明添加到 web.xml 文件中把下面的filter声明添加到 web.xml 文件中: springSecurityFilterChain or

3、g.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 5简单登录页面 login.jsp *注意：action=“j_spring_security_check“为默认提交方式。Username与password的name也是spring security的默认名称，不能写成别的名字6ApplicatonContext-security.xml 7ApplicatonContext-security.xml ApplicatonContext-security.xml!- 资源源数据定义，

4、即定义某一资源可以被哪些角色访问 ruralPost9根据用户名获取用户信息SecurityServiceImpl.javapublic class SecurityServiceImpl implements UserDetailsService public UserDetails loadUserByUsername(String username)throws UsernameNotFoundException, DataAccessException return securityDao.getUserByUsername(username); SecurityDao.javapub

5、lic class SecurityDao extends HibernateDaoSupport public UserDetails getUserByUsername(String username) List list = this. getHibernateTemplate().find(“from LoginUser where account=?”,username);return list.get(0);10LoginUser.javapublic class LoginUser implements UserDetails, Serializable Column(name

6、= ACCOUNT)private String username;Column(name = PASSWORD)private String password;Cache(usage = CacheConcurrencyStrategy.READ_WRITE)private Set roles = new LinkedHashSet();public String getUsername() return this.username;public void setUsername(String username) this.username = username;.11LoginUser.j

7、avaOverridepublic boolean isAccountNonExpired() return true;/判断登录的用户是否有效Overridepublic boolean isAccountNonLocked() return true;/判断用户名是否被锁定Overridepublic boolean isCredentialsNonExpired() return true;/判断用户密码是否有效Overridepublic boolean isEnabled() return this.accountStatus;/判断登录用户是否可用12LoginUser.javaO

8、verridepublic Collection getAuthorities() Set authSet = new HashSet();for (Role role : this.getRoles() for (Authority auth : role.getAuthorities() authSet.add(new SimpleGrantedAuthority(auth.getAuthName();List authorities = new ArrayList(authSet);return authorities;/返回该用户所拥有的权限名称此时认证成功的话，可根据配置文件跳转的相

9、应的页面。根据配置文件跳转到对应的actionStruts的配置文件: /index.jsp com.zjpost.rural.action.HomeActionObject principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (principal instanceof LoginUser) LoginUser user = (LoginUser)principal;String userName = user.getUsername();Map session = Actio

10、nContext.getContext().getSession();Session.put(“username”,username);Return .15获得权限当成功通过验证时，UserDetails会被用来 建立Authentication对象，保存在SecurityContextHolder里。public Collection getAuthorities() Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (principal instanceof LoginUser) return (LoginUser) principal).getAuthorities();return null;16简单回顾Spring Security主要是由以下几部分组成的：SecurityContextHolder，提供几种访问SecurityContext的方式。SecurityContext，保存Authentication信息，和请求对应的安全信息。HttpSessionContextIntegrationFilter，为了在不同请求使用，把SecurityContext保存到 HttpSession里。Authentication，展示Spr