Spring security.pptx

1、Spring security,企业应用系统提供声明式的安全访问控制解决方案,spring security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中 配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。 外文名：Spring Security 原 名

2、：Acegi Security 类 别：安全服务体系 所 属：Spring 项目,Brief,Spring Security 的前身是 Acegi Security ，是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。,Function,Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求，并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器，它

3、们能够拦截Servlet请求，并将这些请求转给认证和访问决策管理器处理，从而增强安全性。,Advantage,人们使用Spring Security有很多种原因，不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在WAR 或 EAR 级别进行移植。 这样，如果更换服务器环境，就要，在新的目标环境进行大量的工作，对应用系统进行重新配置安全。,Advantage,使用Spring Security 解决了这些问题，也提供很多有用的，完全可以指定的其他安全特性。 可能知道，安全包括两个主要操作。 第一个被称为“认证”，是为用户建

4、立一个他所声明的主体。主体一般是指用户，设备或可以在系统中执行动作的其他系统。 第二个叫“授权”，指的是一个用户能否在应用中执行某个操作，在到达授权判断之前，身份的主体已经由身份验证过程建立。 这些概念是通用的，不是Spring Security特有的。,Advantage,在身份验证层面，Spring Security广泛支持各种身份验证模式，这些验证模型绝大多数都由第三方提供，或者正在开发的有关标准机构提供的，例如 Internet Engineering Task Force. 作为补充，Spring Security 也提供了自己的一套验证功能。,Application,我们知道，We

5、b 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。用户认证指的是验证某个用户是否为系统中 的合法主体，也就是说用户能否访问该系统。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个 资源来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。,这是web.xml 配置文件 ！SetCharacterEncoding org.springframework.web.filter.CharacterEncodingF

6、ilter encodingUTF-8forceEncodingtrueSetCharacterEncoding/*,springSecurityFilterChainorg.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain/*index.jsp ,contextConfigLocationWEB-INF/classes/applicationContext.xml,WEB-INF/spring3-servlet.xml,WEB-INF/spring-security.xmlorg.spring

7、framework.web.context.request.RequestContextListener org.springframework.web.context.ContextLoaderListener ,spring3org.springframework.web.servlet.DispatcherServlet 1spring3 / ,然后是 spring-security.xml这是文件的开头配置内容 和Spring的xml 基本相似,-, ,然后看到我们的CustomUserDetailsService.javaJava代码 packageorg.yzsoft.spring

8、mvcdemo.util;importjava.util.ArrayList;importjava.util.Collection;importjava.util.List;importorg.apache.log4j.Logger;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.dao.DataAccessException;importorg.springframework.security.core.GrantedAuthority;importorg.sprin

9、gframework.security.core.authority.GrantedAuthorityImpl;importorg.springframework.security.core.userdetails.User;importorg.springframework.security.core.userdetails.UserDetails;importorg.springframework.security.core.userdetails.UserDetailsService;importorg.springframework.security.core.userdetails.

10、UsernameNotFoundException;importorg.yzsoft.springmvcdemo.serviceimpl.UsersServiceImpl;importorg.yzsoft.springmvcdemo.vo.TUsers;,/*一个自定义的类用来和数据库进行操作. *即以后我们要通过数据库保存权限.则需要我们继承UserDetailsService.*author*/publicclassCustomUserDetailsServiceimplementsUserDetailsServiceprotectedstaticLoggerlogger=Logger.g

11、etLogger(service);/log4j，不用解释了吧。AutowiredprivateUsersServiceImplusersService;publicUsersServiceImplgetUsersService()returnusersService;publicvoidsetUsersService(UsersServiceImplusersService)this.usersService=usersService;,publicUserDetailsloadUserByUsername(Stringusername)throwsUsernameNotFoundExcep

12、tion,DataAccessExceptionUserDetailsuser=null;try/搜索数据库以匹配用户登录名./我们可以通过dao使用Hibernate来访问数据库System.out.println(username+用户页面输入的用户名);TUserstusers=this.usersService.findByUsername(username); System.out.println(tusers.getUsername()+数据库取出的用户名); /PopulatetheSpringUserobjectwithdetailsfromthedbUser /Herewej

13、ustpasstheusername,password,andaccesslevel /getAuthorities()willtranslatetheaccessleveltothecorrect/roletype/用户名、密码、是否启用、是否被锁定、是否过期、权限user=newUser(tusers.getUsername(),tusers.getPassword().toLowerCase(),true,true,true,true,getAuthorities(Integer.parseInt(tusers.getRole();catch(Exceptione)logger.error(用户信息错误！);thrownewUsernameNotFoundException(异常处理：用户信息未通过！); returnuser;,/*获得访问角色权限列表 *paramaccess*return*/publicCollectiongetAuthorities(Integerrole) System.out.println(取得的权限是:+role);ListauthList=newArrayList();/所有的用户默认拥有ROLE_USER权限if(role=0)System.out.println(普通用户);logger.debug(取得普通用户权限-);aut