Spring Security3十五日研究

最新推荐文章于 2025-12-01 14:09:18 发布
最新推荐文章于 2025-12-01 14:09:18 发布 · 83 阅读 · 0
文章标签:

#Spring #Security #Bean #配置管理 #log4j

使用Spring Security3的四种方法概述

    那么在Spring Security3的使用中,有4种方法:

    一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证;

    二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。

    三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义过滤器,代替原有的FilterSecurityInterceptor过滤器,
    并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,并在配置文件中进行相应配置。
    目前这种方式已经实现,并经过验证。

    四是修改spring security的源代码,主要是修改InvocationSecurityMetadataSourceService和UserDetailsService两个类。
    前者是将配置文件或数据库中存储的资源(url)提取出来加工成为url和权限列表的Map供Security使用,后者提取用户名和权限组成一个完整的 (UserDetails)User对象,该对象可以提供用户的详细信息供AuthentationManager进行认证与授权使用。
    该方法理论上可行,但是比较暴力,也没有时间实现,未验证,以后再研究。

    说明一下,我目前调通的环境为: java1.6 + struts2.1.6 + spring3.0.1 + hibernate3.3.1 + spring security3.0.2 + oracle9i + weblogic10.3,
    顺便提一下,目前(2011-4-2)serutity的最新版本为3.1,比较稳定的版本为3.0.5和2.0.6。

    当然在进行spring security3的下面4种方法介绍之前,先假定SSH2的环境已经配置完毕,进入正常开发的过程,并且已经导入
    spring security3.0.2的5个jar包,分别为:
    spring-security-acl-3.0.2.RELEASE.jar
    spring-security-config-3.0.2.RELEASE.jar
    spring-security-core-3.0.2.RELEASE.jar
    spring-security-taglibs-3.0.2.RELEASE.jar
    spring-security-web-3.0.2.RELEASE.jar
    当然还有其他相关的jar包,在此不再赘述。


第一种方法

    第一种方法比较简单,可参考Spring Security自带的例子spring-security-samples-tutorial-3.0.2.RELEASE。
这里给出下载网址:http://www.springsource.com/download/community?sid=1087087,不过在下载之前必须填写相应的用户信息,才允许下载。各种版本号的均可以下载。

    在spring-security-samples-tutorial-3.0.2.RELEASE的例子里,硬编码的配置请参见applicationContext-security.xml文件中的内容。
    里面配置了用户名、经过MD5加密后的密码密文、相关的权限,以及与权相对应的访问资源(URL)。还有对于Session超时时的处理。
    特别是因为版本号为3.0.2,因此还增加了对表达式的配置演示,具体内容请参见该例子。

    当然你最好运行起该例子来,感受一下,你可以直接将下载下来的解压缩后的文件夹中找到spring-security-samples- tutorial-3.0.2.RELEASE.war文件,然后拷贝到Tomcat的安装目录下的\webapps文件夹下,然后运行Tomcat的服务器,服务器在启动过程中,会自动解开该war文件,在IE内输入http://localhost:8080/webapps/spring-security-samples-tutorial-3.0.2.RELEASE 就可以运行该系统了。在此不再赘述。

第二种方法

    第二种方法的代码如下:

    使用到的两个表,用户表和权限表的SQL语句。将用户和权限以数据库进行存储。

 

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> create   table  USERS(
  USERNAME    VARCHAR2 ( 50 not   null ,
  PASSWORD    VARCHAR2 ( 50 not   null ,
  ENABLED     NUMBER ( 1 not   null ,
  USERNAMECN  VARCHAR2 ( 50 ),
   primary   key ( username )
)

 create   table  AUTHORITIES(
  USERNAME   VARCHAR2 ( 50 not   null ,
  AUTHORITY  VARCHAR2 ( 50 not   null
)

-- 外键使用户和权限相联。

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> Create / Recreate  primary unique   and   foreign   key  constraints 
 alter   table  AUTHORITIES
 add   constraint  FK_AUTHORITIES_USERS  foreign   key  (USERNAME)
 references  USERS (USERNAME);


可插入几条数据做为试验,首先插入用户:

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> insert   into  users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)
 values  ( ' lxb ' ' c7d3f4c857bc8c145d6e5d40c1bf23d9 ' 1 ' 登录用户 ' ' AAAHmhAALAAAAAOAAA ' );

 insert   into  users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)
 values  ( ' admin ' ' ceb4f32325eda6142bd65215f4c0f371 ' 1 ' 系统管理员 ' ' AAAHmhAALAAAAAPAAA ' );

 insert   into  users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)
 values  ( ' user ' ' 47a733d60998c719cf3526ae7d106d13 ' 1 ' 普通用户 ' ' AAAHmhAALAAAAAPAAB ' );

再插入角色:

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('admin''ROLE_PLATFORMADMIN''AAAHmjAALAAAAAgAAA');

insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('admin''ROLE_SYSADMIN''AAAHmjAALAAAAAgAAB');

insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('lxb''ROLE_LOGIN''AAAHmjAALAAAAAeAAA');

insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('lxb''ROLE_LOGINTOWELCOME''AAAHmjAALAAAAAeAAB');

insert into authorities (USERNAME, AUTHORITY, ROWID)
values ('user''ROLE_USER''AAAHmjAALAAAAAgAAC');


第二种方法之密码加密

    可能要有人要问,用户表里面的密码是如何取得的呢?这个密码是通过MD5进行加密过的,并且以用户名做为了盐值,最后就成为32位数字这个样子,这个你可以参见下面applicationContext-Security.xml中的password-encoder和salt- source的配置就会明白。
    那么在spring security3中是如何加密的呢?当我们设置了pawwrod-encoder和salt-source之后,Spring Security3会根据配置,采用相匹配的加密算法(比如设置了MD5加密算法)再加上salt-source进行加密,形成32位数字的密文。
    比如用户名为yew,密码为yew1234,盐值为用户名yew。那么最后加密的明文为“yew1234{yew}”,密文就为“8fe2657d1599dba8e78a7a0bda8651bb”。

    我们在试验过程中,通常喜欢先将几个常用的用户及密码插入数据库进行试验,这种情况下如何得到该用户的密码密文呢?
    不妨试试我这个办法,假设,用户名为user,密码明文为user369,而且在配置文件里面设置了以MD5作为加密算法,并以用户名做为盐值。
    那么你可以首先将各个信息组合成待加密的密码明文, 应是 密码明文 + { + 盐值 + }, 那么很明显,上述user的密码明文应当是:

    user369{user}

    拿上述的字串拷贝到 http://www.51240.com/md5jiami/ 网页上的输入框里,点击加密按钮,下面即可生成32位数字的密码密文。

    哈哈,屡试不爽啊。这个方法要谨慎使用,一般人我不告诉他。


第二种方法之相关配置

    将权限及资源(URL或Action)的关系配置在xml文件中,并且配置与Spring Security3相关的其他配置:

    1、applicationContext-Security.xml代码:

 

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> < b:beans  xmlns ="http://www.springframework.org/schema/security"
 xmlns:b ="http://www.springframework.org/schema/beans"  xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation ="http://www.springframework.org/schema/beans 
 http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/security 
    http://www.springframework.org/schema/security/spring-security-3.0.xsd" >

  < http  auto-config ="true"  access-denied-page ="/accessDenied.jsp" >
   <!--  不要过滤图片等静态资源,其中**代表可以跨越目录,*不可以跨越目录。  -->
   < intercept-url  pattern ="/**/*.jpg"  filters ="none"   />
   < intercept-url  pattern ="/**/*.png"  filters ="none"   />
   < intercept-url  pattern ="/**/*.gif"  filters ="none"   />
   < intercept-url  pattern ="/**/*.css"  filters ="none"   />
   < intercept-url  pattern ="/**/*.js"  filters ="none"   />
   <!--  登录页面和忘记密码页面不过滤  -->
   < intercept-url  pattern ="/login.jsp"  filters ="none"   />
   < intercept-url  pattern ="/jsp/forgotpassword.jsp"    filters ="none"   />  

    <!--  下面是对Action配置。表示具有访问/unitsManager资源的用户必须具有ROLE_PLATFORMADMIN的权限。
                      当用户登录时,SS3将用户的所有权限从数据库中提取出来,形成列表。 当用户访问该资源时,SS3将
                      登录用户的权限列表提出来跟下面配置的权限进行比对,若有,则允许访问,若没有,则给出AccessDeniedException。 -->
   < intercept-url  pattern ="/unitsManager"    access ="ROLE_PLATFORMADMIN"   />
   < intercept-url  pattern ="/usersManager"   access ="ROLE_PLATFORMADMIN"   />

   < intercept-url  pattern ="/horizontalQuery"   access ="ROLE_PLATFORMADMIN"   />
   
   < intercept-url  pattern ="/verticalQuery"     access ="ROLE_PLATFORMADMIN"   />
  
   < form-login  login-page ="/login.jsp"   authentication-failure-url ="/login.jsp?error=true"    default-target-url ="/index.jsp"   />

   <!--  "记住我"功能,采用持久化策略(将用户的登录信息存放在数据库表中)  -->
   < remember-me  data-source-ref ="dataSource"   />
  
   <!--  检测失效的sessionId,超时时定位到另外一个URL  -->
   < session-management  invalid-session-url ="/sessionTimeout.jsp"   />
  
  </ http >

  <!--  注意能够为authentication-manager 设置alias别名   -->
  < authentication-manager  alias ="authenticationManager" >
       < authentication-provider  user-service-ref ="userDetailsManager" >
            < password-encoder  ref ="passwordEncoder" >
                 <!--  用户名做为盐值  -->
                 < salt-source  user-property ="username"   />
            </ password-encoder >
       </ authentication-provider >
  </ authentication-manager >

</ b:beans >

    2、applicationContext.service.xml:

 

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> < beans  xmlns ="http://www.springframework.org/schema/beans"
 xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"  
 xmlns:util ="http://www.springframework.org/schema/util"
 xmlns:jee ="http://www.springframework.org/schema/jee"  
 xmlns:aop ="http://www.springframework.org/schema/aop"
 xmlns:tx ="http://www.springframework.org/schema/tx"  
 xmlns:context ="http://www.springframework.org/schema/context"
 xsi:schemaLocation ="http://www.springframework.org/schema/beans
 http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
   http://www.springframework.org/schema/aop 
   http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
   http://www.springframework.org/schema/tx
   http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
   http://www.springframework.org/schema/jee
   http://www.springframework.org/schema/jee/spring-jee-3.0.xsd
   http://www.springframework.org/schema/context
   http://www.springframework.org/schema/context/spring-context-3.0.xsd
   http://www.springframework.org/schema/util 
   http://www.springframework.org/schema/util/spring-util-3.0.xsd" >
 
  <!--  定义上下文返回的消息的国际化。  -->
  < bean  id ="messageSource"
  class ="org.springframework.context.support.ReloadableResourceBundleMessageSource" >
   < property  name ="basename"
   value ="classpath:org/springframework/security/messages_zh_CN" />
  </ bean >

  <!--    事件监听:实现了 ApplicationListener监听接口,包括AuthenticationCredentialsNotFoundEvent 事件,
  AuthorizationFailureEvent事件,AuthorizedEvent事件, PublicInvocationEvent事件  -->
  < bean   class ="org.springframework.security.authentication.event.LoggerListener"   />

  <!--  用户的密码加密或解密  -->
  < bean  id ="passwordEncoder"
  class ="org.springframework.security.authentication.encoding.Md5PasswordEncoder"   />


  <!--  用户详细信息管理 : 数据源、用户缓存、启用用户组功能。   -->
  < bean  id ="userDetailsManager"
  class ="org.springframework.security.provisioning.JdbcUserDetailsManager" >
   < property  name ="dataSource"  ref ="dataSource"   />
   < property  name ="userCache"  ref ="userCache"   />
  </ bean >  
 
  < bean  id ="userCache"
  class ="org.springframework.security.core.userdetails.cache.EhCacheBasedUserCache" >
   < property  name ="cache"  ref ="userEhCache"   />
  </ bean >  
 
 
  < bean  id ="userEhCache"  class ="org.springframework.cache.ehcache.EhCacheFactoryBean" >
   < property  name ="cacheName"  value ="userCache"   />
   < property  name ="cacheManager"  ref ="cacheManager"   />
  </ bean >
 
  <!--  缓存用户管理  -->
  < bean  id ="cacheManager"
  class ="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"   />
  

  <!--  spring security自带的与权限有关的数据读写Jdbc模板  -->
  < bean  id ="jdbcTemplate"  class ="org.springframework.jdbc.core.JdbcTemplate" >
   < property  name ="dataSource"  ref ="dataSource"   />
  </ bean >

</ beans >

    3、web.xml:

 

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> < web-app  version ="2.5"  xmlns ="http://java.sun.com/xml/ns/javaee"
 xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation ="http://java.sun.com/xml/ns/javaee 
  http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" >


  <!--  设置log4j存放Log文件位置(通过spring统一进行管理)  -->
  < context-param >
   < param-name > webAppRootKey </ param-name >
   < param-value > log.root </ param-value >
  </ context-param >

  <!--  加载log4j的配置文件  -->
  < context-param >
   < param-name > log4jConfigLocation </ param-name >
   < param-value > classpath:/log4j.properties </ param-value >
  </ context-param >

  <!-- Spring默认刷新Log4j配置文件的间隔,单位为millisecond -->
  < context-param >
   < param-name > log4jRefreshInterval </ param-name >
   < param-value > 60000 </ param-value >
  </ context-param >

  <!-- Spring用于log4j初始化的监听器 -->
  < listener >
   < listener-class > org.springframework.web.util.Log4jConfigListener </ listener-class >
  </ listener >

  <!--
  加载Spring XML配置文件,Spring安全配置及各类资源文件,暂不加
  /WEB-INF/applicationContext-security.xml,
  -->
  < context-param >
   < param-name > contextConfigLocation </ param-name >
   < param-value >
           /WEB-INF/applicationContext*.xml,
           classpath*:applicationContext.xml
iteye_12869
关注
Spring security 密码加密使用
冬阳
08-27 1160
spring security 多种加密方式,基于动态配置密码使用不同的认证方式,以及自动更新密码;源码断点各种讲解
【序列晋升】47 Spring Authorization Server授权码模式深度解构:OAuth2.1协议与PKCE扩展的实现细节
愚者Turbo的博客
10-04 1057
Spring Authorization Server是Spring生态中为构建安全、现代认证授权服务提供的权威框架,它由Spring Security团队主导开发,基于OAuth 2.1和OpenID Connect 1.0规范,旨在为Java开发者提供一个轻量级、可扩展且生产就绪的授权服务器解决方案。作为Spring Security OAuth的进化版本,它解决了旧版框架在安全性和协议支持方面的局限,成为构建企业级身份认证系统和微服务安全架构的理想选择。
Spring Security3 十五日研究
yj_021219的专栏
04-20 587
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。     因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整
春天的故事-Spring Security3十五日研究
romantic_PK的专栏
06-14 1119
sparta-紫杉   2011-4-2 22:00 前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。     因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时
Spring Security3十五日研究(转载)
学习历程
09-23 1327
前言:    略。。 使用Spring Security3的四种方法概述    那么在Spring Security3的使用中,有4种方法:     一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证;     二种是用
Spring Security:认证与授权的实现原理及实践
lssffy的博客
07-08 1581
Spring SecuritySpring 生态中强大的安全框架,用于为 Java 应用提供认证(Authentication)和授权(Authorization)功能。根据 2024 年 Stack Overflow 开发者调查,Spring Boot 是 Java 开发者中最流行的框架,约 60% 的 Java 开发者使用它构建微服务,而 Spring Security 是其首选安全解决方案。本文深入剖析 Spring Security 的认证和授权机制、核心组件、工作原理,并以电商订单管理系统(
Spring Security晋级文档
weixin_62421895的博客
08-03 211
是一个非常流行和成功的 Java 应用开发框架。是家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。...
spring security OAuth2 客户端接入gitee
冬阳
09-12 2736
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌(token)可以实现这一功能,每一个令牌授权一个特定的网站在特定的时段内允许可特定的资源。0Auth让用户可以授权第三方网站灵活访问它们存储在另外一些资源服务器上的特定信息,而非所有内容。
最新Spring Security实战教程(十七)企业级安全方案设计 - 多因素认证(MFA)实现
Micro麦可乐的博客
06-07 4057
在微服务与分布式架构日益普及的今天,传统的 单一凭证(用户名+密码) 已经难以满足企业对于身份验证的高安全性需求。多因素认证(Multi‐Factor Authentication,简称 MFA) 通过用户知道的东西(如密码)+ 用户拥有的东西(如动态验证码)或 用户自身的一部分(如指纹)三种因素的组合,大幅提升了系统防护能力
Java面试题总结之Spring高频面试题
qq_44896574的博客
05-13 453
java面试题总结,不定时更新
springcloud全流程一篇入门
weixin_42075258的博客
06-06 3433
springcloud_2021-1-24 文章目录springcloud_2021-1-24微服务微服务架构优势springcloud 架构分类一、Spring Cloud Netflix 和Spring Cloud alibaba服务技术架构比较二、重点介绍Spring Cloud alibaba微服务一站式解决方案三、Spring Cloud alibaba 技术架构四、Spring Cloud alibaba 主要功能及对应组件spring cloud框架介绍什么是Spring BootSpring
Spring Boot 2019年7月17日技术栈深度解析
Spring Boot集成了大量常用的第三方库配置(例如:嵌入式Tomcat、Jetty或Undertow、Spring Security、Thymeleaf、FreeMarker等),这些库都可以通过简单配置或者不需要配置即可使用。 知识点二:Spring Boot项目...
Claude Code 实用开发手册
言之。
12-01 548
摘要: Claude Code是Anthropic开发的AI编程助手,采用终端优先设计,通过自然语言指令帮助开发者完成复杂编程任务。核心功能包括:根据描述构建完整功能、智能调试修复问题、代码库导航理解、自动化繁琐任务。安装支持多种方式(curl/npm/Homebrew),需配置API密钥和项目记忆文件(CLAUDE.md)。常用命令包括交互模式(claude)、一次性任务(claude -p)和继续对话(claude -c)。其代理式架构能深度理解代码上下文,显著提升开发效率,特别适合处理复杂或重复性任务
STM32+MAX7219数码管模块显示程序 SPI接口
最新发布
12-02
提供了基于STM32F4xx系列的MAX7219数码管模块显示程序,通过SPI串行总线进行通信,使用库函数进行编程。经过实际测试,该程序能够正常驱动数码管进行显示。 特点 基于STM32F4xx系列MCU 使用SPI串行总线通信 采用库函数编程 实测能正常驱动MAX7219数码管模块显示
基于大疆M100无人机平台的自主导航与智能决策系统开发项目_该项目专注于在复杂动态环境中实现无人机的实时障碍物感知与规避以及高效全局与局部路径规划算法的集成与优化核心内容包括利.zip
12-02
基于大疆M100无人机平台的自主导航与智能决策系统开发项目_该项目专注于在复杂动态环境中实现无人机的实时障碍物感知与规避以及高效全局与局部路径规划算法的集成与优化核心内容包括利.zip
Turbo 码编码及解码仿真程序(Matlab)
12-02
Turbo 码编码及解码仿真程序(Matlab)
深入探究Spring Websocket的整合与应用
在2014年8月6日,有关于Spring Websocket整合的一个里程碑式的事件,作者“gisredevelopment”发布了国内首个对Spring Websocket整合的详细说明,并提供免费答疑支持,以便于其它开发者在遇到技术问题时能够得到帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值