Spring Security安全框架入門篇

1、Spring Security相關概念

1.1.、Spring Security介紹：

Spring Security是一個可以爲基於Spring的企業應用系統提供聲明式的安全訪問控制解決方式的安全框架（簡單說是對訪問權限進行控制嘛）。它提供了一組可以在Spring應用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反轉Inversion of Control ,DI:Dependency Injection 依賴注入）和AOP（面向切面編程）功能。爲應用系統提供聲明式的安全訪問控制功能，下降了爲企業系統安全控制編寫大量反覆代碼的工做。

1.二、Spring Security實現原理：

Spring Security對Web安全性的支持大量地依賴於Servlet過濾器。經過這些過濾器攔截進入請求，推斷是否已經登陸認證且具訪問相應請求的權限。

要完畢訪問控制。Spring Security至少需要如下四個攔截器（調度器、認證管理器、權限資源關聯器、訪問決策器）進行配合完畢：

<!-- mySecurityInterceptor這裏咱們把它命名爲調度器吧 -->
<!-- 必須包括 authenticationManager,securityMetadataSource,accessDecisionManager 三個屬性 -->   
<!-- 咱們的所有控制將在這三個類中實現 --> 
<!-- 它繼承AbstractSecurityInterceptor類並實現了Filter接口 --> 
<bean id="mySecurityInterceptor" class="com.luo.Filter.MySecurityInterceptor">  
    <b:property name="authenticationManager" ref="authenticationManager" />  
    <b:property name="securityMetadataSource" ref="securityMetadataSource" />  
    <b:property name="accessDecisionManager" ref="accessDecisionManager" />  

</bean>  

<!-- 認證管理器，實現用戶認證的入口 -->  
<authentication-manager alias="authenticationManager">  
    <authentication-provider user-service-ref="myUserDetailService" />   
</authentication-manager>  

<!-- 在這個類中，你就可以從數據庫中讀入用戶的password。角色信息等 -->  
<!-- 主要實現UserDetailsService接口就能夠，而後返回用戶數據 -->  
<bean id="myUserDetailService" class="com.luo.Filter.MyUserDetailService" />  

<!-- 權限資源關聯器。將所有的資源和權限相應關係創建起來，即定義某一資源可以被哪些角色訪問 -->  
<!-- 它實現了FilterInvocationSecurityMetadataSource接口 -->  
<bean id="securityMetadataSource" class="com.luo.Filter.MyFilterInvocationSecurityMetadataSource" /> 

<!--訪問決策器。決定某個用戶具備的角色，是否有足夠的權限去訪問某個資源 --> 
<!-- 它實現了AccessDecisionManager接口 --> 
<bean id="accessDecisionManager" class="com.luo.Filter.MyAccessDecisionManager">

看完上面的配置。可能未必可以全然明確。如下咱們再進一步說明。

（1）首先咱們本身定義一個過濾器（調度器。這裏咱們命名爲mySecurityInterceptor），這個過濾器繼承AbstractSecurityInterceptor類（這裏先說明，本文但凡不是本身定義的類或接口都是Spring Security提供的，無須深究）。 它至少包括 authenticationManager,accessDecisionManager,securityMetadataSource三個屬性，咱們的所有控制將在這三個類中實現。

（2）登陸驗證：本身定義類MyUserDetailService實現UserDetailsService接口和其loadUserByUsername方法，這種方法依據用戶輸入的username，從數據庫裏面獲取該用戶的所有權限細信息（統稱用戶信息）。Spring Security的AuthenticationProcessingFilter攔截器調用authenticationManager，類MyUserDetailService拿到用戶信息後，authenticationManager對照用戶的password（即驗證用戶），假設經過了，那麼至關於經過了AuthenticationProcessingFilter攔截器，也就是登陸驗證經過。

（3）資源訪問控制：MySecurityInterceptor繼承AbstractSecurityInterceptor、實現Filter是必須的。登錄後，每次訪問資源都會被MySecurityInterceptor這個攔截器攔截，它首先會調用MyFilterInvocationSecurityMetadataSource類的getAttributes方法獲取被攔截url所需的權限，在調用MyAccessDecisionManager類decide方法推斷用戶是否夠權限。

可能文字描寫敘述仍是比較抽象。經過實例應該能讓你們更加清楚其原理。

---

補充說明一下：

UserDetailsService在身份認證中的做用：

Spring Security中進行身份驗證的是AuthenticationManager接口，ProviderManager是它的一個默認實現，但它並不用來處理身份認證，而是託付給配置好的AuthenticationProvider。每個AuthenticationProvider會輪流檢查身份認證。

檢查後或者返回Authentication對象或者拋出異常。

驗證身份就是載入響應的UserDetails，看看是否和用戶輸入的帳號、password、權限等信息匹配。

此步驟由實現AuthenticationProvider的DaoAuthenticationProvider（它利用UserDetailsService驗證username、password和受權）處理。

所以，登陸認證事實上可以不實現UserDetailsService，而是實現AuthenticationProvider，而後在AuthenticationProvider裏面獲取用戶輸入的username和password進行校驗也是可以的。或者二者一塊兒使用。

如下推薦二者一塊兒使用的方式http://blog.sina.com.cn/s/blog_4adc4b090102uy2f.html

另外，僅僅實現AuthenticationProvider而不實現UserDetailsService的方式，這類是重寫AuthenticationProvider的authenticate方法的代碼：

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    String inputLoginId = authentication.getName();   //獲取用戶輸入的username
    String inputPasswd = authentication.getCredentials().toString(); /獲取用戶輸入的password

    LOGGER.info("用戶{}登陸", inputLoginId);
    try{
        // 查詢此用戶信息
        myUser myUser = null;  //依據username到數據庫裏面查詢用戶數據
        if (myUser == null ) {
            throw new Exception("您輸入的帳號不存在");
        }
        if (myUser.getUserStatus() == UserStatus.locked) {
            throw new Exception("您的帳號已被鎖定");
        }

        String encodedPassword = myUser.getLoginPasswd();
        // 校驗password是否正確
        boolean authenticated = verifyPassword(inputPasswd, encodedPassword);
        if (authenticated) {
            // 認證成功處理
            updateLoginInfo(myUser.getLoginId(), 0, null);
        } else {
            // 認證失敗處理
            authenticateErrorProcess(portalUser);
        }

        List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
        for (MyRole myRole : myUser.allRoleList()) {
            grantedAuths.add(new SimpleGrantedAuthority(myRole.getRoleCode()));
        }
        MyAuthUser authUser = new PortalAuthUser(inputLoginId, inputPasswd, true, true, true, true, grantedAuths);
        authUser.setPortalUser(portalUser);
        return new UsernamePasswordAuthenticationToken(authUser, null, authUser.getAuthorities());
    }catch(Exception e){
        LOGGER.warn("用戶登陸失敗", e);
        throw new Exception(" 請確認username或者password是否正確); } }

---

2、Spring Security實例具體說明

本實例環境：eclipse + maven
本實例採用的主要技術：spring + springmvc + spring security

時間有限這裏僅僅對其訪問控制原理進行了闡述，樣例後面再補上，只是關於實例推薦參考博文：http://blog.csdn.net/u012367513/article/details/38866465，這篇文章寫得很具體！

！

。

這是春節前最後一篇博客了。過春節回來還有另外的學習計劃。可能這個樣例的TODO有點遙遙無期啊……..哈哈