S - Spring security初探

時間 2019-11-08

原文原文鏈接

如今不少企業和開發團隊都使用了SSH2（Struts 2 +Spring 2.5 +Hibernate）框架來進行開發，咱們或許已經習慣了強大的Spring Framework 全局配置管理，不能否認，Sping是一個很優秀的開源框架，可是因爲Spring3.0版本後強大的的註解式bean的誕生，Spring MVC框架這匹黑馬正悄然殺起，但今天Spring MVC不是主角，今天我和你們分享一個一樣隸屬於SpringSource 的安全框架——Spring Security，下面的基於Spring MVC給你們分享一下Spring Security 的使用。雖然對它的接觸時間不長，參考了一些網上朋友的作法，但也按照個人理解把這個框架介紹介紹，不是很專業，還請你們不要介意。html

咱們知道，Web 應用的安全性包括用戶認證（Authentication）和用戶受權（Authorization）兩個部分。用戶認證指的是驗證某個用戶是否爲系統中的合法主體，也就是說用戶可否訪問該系統。用戶受權指的是驗證某個用戶是否有權限執行某個操做。在一個系統中，不一樣用戶所具備的權限是不一樣的。好比對一個資源來講，有的用戶只能進行讀取，而有的用戶能夠進行修改。通常來講，系統會爲不一樣的用戶分配不一樣的角色，而每一個角色則對應一系列的權限。java

首先，咱們看web.xmlweb

Java代碼算法

<?xml version="1.0" encoding="UTF-8"?> spring
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 數據庫
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee express
http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> apache
安全
<filter> 服務器
<filter-name>Set Character Encoding</filter-name>
<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>UTF-8</param-value>
</init-param>
<init-param>
<param-name>forceEncoding</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Set Character Encoding</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
<!--
spring須要加載的配置文件
-->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
WEB-INF/classes/applicationContext.xml,
WEB-INF/spring3-servlet.xml,
WEB-INF/spring-security.xml
</param-value>
</context-param>
<listener>
<listener-class>
org.springframework.web.context.request.RequestContextListener
</listener-class>
</listener>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!--
默認所對應的配置文件是WEB-INF下的{servlet-name}-servlet.xml，這裏即是：spring3-servlet.xml
-->
<servlet>
<servlet-name>spring3</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>spring3</servlet-name>
<!--
這裏能夠用 / 但不能用 /*
，攔截了全部請求會致使靜態資源沒法訪問，因此要在spring3-servlet.xml中配置mvc:resources
-->
<url-pattern>/</url-pattern>
</servlet-mapping>
</web-app>

註釋已經寫了挺多，仍是稍微解釋一下要注意的地方，一個是UTF-8編碼轉換，這個最好加在最前面，讓它先生效，我在調試的時候就出過這種狀況，web.xml裏的其餘配置都正常生效了，可是編碼死活不行，一中文就亂碼，鬱悶了老半天，而後突發奇想，是否是web.xml裏先聲明的配置先生效，後聲明的後生效？接着實踐，果真不出我所料，把編碼轉換加在前面，一切正常。。。。我那個暈。。。

關於Spirng MVC的就不說了，那些數據訪問、業務和控制層那些的東東就自個研究去了吧。。這不是今天的重點。

接着是spring-security.xml

Java代碼

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<!--
注意use-expressions=true.表示開啓表達式,不然表達式將不可用. see:http://www.family168.com/tutorial/springsecurity3/html/el-access.html
-->
<security:http auto-config="true" use-expressions="false" access-denied-page="/user/login_failure.html">
<security:intercept-url pattern="/user/findAll.html" access="ROLE_ADMIN" />
<security:intercept-url pattern="/user/**" access="ROLE_ADMIN" />
<security:intercept-url pattern="/success.jsp" access="ROLE_USER,ROLE_ADMIN" />
<security:intercept-url pattern="/anonymously.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />
<security:intercept-url pattern="/js/**" filters="none" />
<security:intercept-url pattern="/index.jsp" filters="none" />
<security:form-login login-page="/index.jsp" authentication-failure-url="/user/login_failure.html"
default-target-url="/success.jsp" />
<!--
invalidate-session：指定在退出系統時是否要銷燬Session。logout-success-url：退出系統後轉向的URL。logout-url：指定了用於響應退出系統請求的URL。其默認值爲：/j_spring_security_logout。
-->
<security:logout invalidate-session="true" logout-success-url="/index.jsp" logout-url="/j_spring_security_logout" />
<!--
max-sessions:容許用戶賬號登陸的次數。範例限制用戶只能登陸一次。exception-if-maximum-exceeded:
默認爲false，此值表示：用戶第二次登陸時，前一次的登陸信息都被清空。當exception-if-maximum-exceeded="true"時系統會拒絕第二次登陸。
-->
<security:session-management>
<security:concurrency-control error-if-maximum-exceeded="true" max-sessions="1" />
</security:session-management>
</security:http>
<security:authentication-manager>
<security:authentication-provider user-service-ref="customUserDetailsService">
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager>
<bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
<!--
經過 customUserDetailsService,Spring會控制用戶的訪問級別.
也能夠理解成:之後咱們和數據庫操做就是經過customUserDetailsService來進行關聯.
-->
<bean id="customUserDetailsService" class="org.yzsoft.springmvcdemo.util.CustomUserDetailsService" />
<bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
<property name="basename" value="classpath:org/yzsoft/springmvcdemo/mymessages" />
</bean>
<bean id="localeResolver" class="org.springframework.web.servlet.i18n.AcceptHeaderLocaleResolver" />
</beans>

這個多解釋一下，首先

Java代碼

<security:intercept-url pattern="/findAll.html" access="hasRole('ROLE_ADMIN')" />
<security:intercept-url pattern="/user/**" access="hasRole('ROLE_ADMIN')" />
<security:intercept-url pattern="/anonymously.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />

這個是權限控制，聲明瞭擁有什麼權限能夠訪問哪些資源，這個配置的是有ROLE_ADMIN權限的才能夠訪問/findAll.html，至於這個ROLE_ADMIN從哪來，呆會再解釋。或者像第二句同樣配置也能夠：擁有ROLE_ADMIN權限的才能夠訪問/user/下的全部資源，不然都會拋出AccessDeniedException 。

IS_AUTHENTICATED_ANONYMOUSLY就是匿名訪問的意思，這個相信都懂的。。。

而後是登錄和安全退出

Java代碼

<security:form-login login-page="/index.jsp" authentication-failure-url="/user/login_failure.html"default-target-url="/user/findAll.html" />
<security:logout invalidate-session="true" logout-success-url="/index.jsp" logout-url="/user/login_failure.html" />

解釋下上面一句，相信看也能看出來了的，login-page:默認指定的登陸頁面. authentication-failure-url:出錯後跳轉頁面（包括那些個啥用戶名密碼錯誤吖。。啥啥啥的。）. default-target-url:成功登錄後跳轉頁面（這裏我直接跳到的控制器去查數據列表）。

接着：invalidate-session：指定在退出系統時是否要銷燬Session。logout-success-url：退出系統後轉向的URL。logout-url：指定了用於響應退出系統請求的URL。其默認值爲：/j_spring_security_logout。

接下來是一個比較不錯的功能：是否容許同一用戶多處登錄

Java代碼

<security:session-management>
<security:concurrency-control error-if-maximum-exceeded="true" max-sessions="1" />
</security:session-management>

exception-if-maximum-exceeded:
默認爲false，此值表示：用戶第二次登陸時，前一次的登陸信息都被清空。當error-if-maximum-exceeded="true"時系統會拒絕第二次登陸。

max-sessions:容許用戶賬號登陸的次數，這裏咱們容許一次登錄。這裏咱們作個實驗吧，看看是否是真的生效了，請看圖

這裏咱們看到，當同一個帳號多處登錄時，就會報出Maximum sessions of 1 for this principal exceeded 的錯誤，固然，正式使用咱們換成mymessages.properties裏的咱們自定義的國際化消息，這樣人性化一點。

好，咱們往下看，接着就是應用咱們實際項目裏的自定義用戶權限了

Java代碼

<security:authentication-manager>
<security:authentication-provider user-service-ref="customUserDetailsService">
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager>
<bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
<bean id="customUserDetailsService" class="org.yzsoft.springmvcdemo.util.CustomUserDetailsService" />

首先是<security:authentication-manager>是指定咱們自定義的身份驗證策略，這裏咱們用customUserDetailsService這個bean，就是指向咱們CustomUserDetailsService.java這個類。而後<security:password-encoder>指定咱們密碼使用MD5進行編碼，調用Spring Security自帶的MD5加密類。固然，還有加鹽MD5或咱們本身寫的加密算法等安全性更加高的密碼策略。這個按項目實際使用配置吧。

而後看到咱們的CustomUserDetailsService.java

Java代碼

package org.yzsoft.springmvcdemo.util;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;
import org.apache.log4j.Logger;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.dao.DataAccessException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.GrantedAuthorityImpl;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.yzsoft.springmvcdemo.serviceimpl.UsersServiceImpl;
import org.yzsoft.springmvcdemo.vo.TUsers;
/**
* 一個自定義的類用來和數據庫進行操做. 即之後咱們要經過數據庫保存權限.則須要咱們繼承UserDetailsService
*
* @author
*
*/
public class CustomUserDetailsService implements UserDetailsService {
protected static Logger logger = Logger.getLogger("service");//log4j，不用解釋了吧。。
@Autowired
private UsersServiceImpl usersService;
public UsersServiceImpl getUsersService() {
return usersService;
}
public void setUsersService(UsersServiceImpl usersService) {
this.usersService = usersService;
}
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException, DataAccessException {
UserDetails user = null;
try {
// 搜索數據庫以匹配用戶登陸名.
// 咱們能夠經過dao使用Hibernate來訪問數據庫
System.out.println(username + " 用戶頁面輸入的用戶名");
TUsers tusers = this.usersService.findByUsername(username);
System.out.println(tusers.getUsername() + " 數據庫取出的用戶名");
// Populate the Spring User object with details from the dbUser
// Here we just pass the username, password, and access level
// getAuthorities() will translate the access level to the correct
// role type
// 用戶名、密碼、是否啓用、是否被鎖定、是否過時、權限
user = new User(tusers.getUsername(), tusers.getPassword().toLowerCase(), true, true, true, true, getAuthorities(Integer.parseInt(tusers.getRole())));
} catch (Exception e) {
logger.error("用戶信息錯誤！");
throw new UsernameNotFoundException("異常處理：檢索用戶信息未經過！");
}
return user;
}
/**
* 得到訪問角色權限列表
*
* @param access
* @return
*/
public Collection<GrantedAuthority> getAuthorities(Integer role) {
System.out.println("取得的權限是 :" + role);
List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>();
// 全部的用戶默認擁有ROLE_USER權限
if (role == 0) {
System.out.println("普通用戶");
logger.debug("取得普通用戶權限-->");
authList.add(new GrantedAuthorityImpl("ROLE_USERS"));
}
// 若是參數role爲1.則擁有ROLE_ADMIN權限
if (role == 1) {
logger.debug("取得ADMIN用戶權限-->");
authList.add(new GrantedAuthorityImpl("ROLE_ADMIN"));
}
System.out.println(authList.size()+" 權限列表長度");
return authList;
}
}

這裏就是把咱們從數據庫裏面取得的用戶權限和Spring Security的配置進行橋接，還記得上面配置文件裏的ROLE_ADMIN吧，就是從這裏來的，很奇怪的是，這個必須設置成ROLE_ 開頭纔有效。。鬱悶。。。

這裏我剛開始有一個疑惑，咱們看這2句

Java代碼

TUsers tusers = this.usersService.findByUsername(username);
user = new User(tusers.getUsername(), tusers.getPassword().toLowerCase(), true, true, true, true, getAuthorities(Integer.parseInt(tusers.getRole())));

這裏根本不須要用戶輸入的密碼，只要了用戶名，而後直接根據用戶名去取權限，就直接設置進Spring Security的User對象裏面去，我不由一身冷汗，這不至關於說有了用戶名就直接去查數據庫麼，並且是不用密碼的。。。。

但通過查看官方文檔和網上的解釋，這才放心，原來是這樣的，Spring Security的確是直接根據用戶名去查，可是查得出來的Spring Security User對象以後，它會根據這個對象的屬性值去數據庫查詢與這個對象匹配的數據，咱們這裏設置的是（用戶名，密碼，是否啓用、是否被鎖定、是否過時、權限。。。），那麼若是數據庫存在這個對象，就返回真，不然返回假，這樣也就不用擔憂了，徹底可靠。就是咱們在前臺要作好限制，不能給用戶不輸密碼就訪問，否則擠爆你數據庫鏈接。。。。。

最後登錄頁面index.jsp

Java代碼

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<base href="<%=basePath%>">
<title>My JSP 'index.jsp' starting page</title>
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="This is my page">
</head>
<body>
用戶登錄 <br>
${SPRING_SECURITY_LAST_EXCEPTION.message}
<form action="j_spring_security_check" method="post">
USERNAME:<input type="text" name="j_username" value="${sessionScope['SPRING_SECURITY_LAST_USERNAME']}" /><br/>
PASSWORD:<input type="password" name="j_password" value="" /><br/>
<input type="checkbox" name="_spring_security_remember_me" />兩週以內沒必要登錄(這個功能沒有作的)<br/>
<input type="submit">
</form>
</body>
</html>

這裏我仍是使用Spring Security默認的j_username和j_password,表單目標也用默認的j_spring_security_check，會默認跳到Spring Security進行攔截。其餘的應該不用解釋了吧。。。。

最後，咱們整理一下Spring Security的整個控制過程：

——>用戶登錄

——> <security:authentication-manager> 攔截

——>交給customUserDetailsService處理，而且聲明密碼採用MD5策略

——>根據輸入的用戶名去數據庫查這條記錄，驗證身份

——>取出該條記錄的用戶權限（鎖定、禁用、過時和實際權限等）

——>根據取得的權限列表去security:intercept-url匹配、受權，而後判斷是否放行。

這就完成了一整個的權限控制流程。

接下來咱們來測試一下看是否真的生效了：

一、測試匿名訪問頁面，直接地址欄訪問：

二、普通用戶登錄

而後訪問後臺管理頁面，跳回了登錄頁

三、管理員用戶登錄

退出後成功跳轉回登錄頁，點擊後退再執行其餘操做，這時候session已經註銷了的，不能執行，又跳回了登錄頁。是咱們想要的效果，OK，成功了。

好了，Spring Security的簡單使用就講到這裏，其實這只是Spring Security的一小部分，並且這裏我尚未用權限表對用戶權限進行專門的管理，不少東西仍是用Spring Security 默認的，還有Spring Security CAS (單點登錄)以及更加高級的權限控制和更完善的Spring Security 配置，之後咱們再慢慢去研究吧。發現Spring Security 這個技術不只簡化了咱們的用戶權限管理，要知道咱們作管理系統的時候這是個大問題，也差很少顛覆了我一向以來用戶權限管理的觀念，可是掌握了這種思惟以後，又發現，其實，程序並非只有一種實現方式，它激發了我寫程序時要去尋找多種解決方案的想法。學習的路上，就是要不斷推翻本身固有的思惟，去見識多種新事物，纔能有進步。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。