<beans
xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd ">
<!--
<http>:
配置http元素时, spring创建一个名为"springSecurityFilterChain"的FilterChainProxy类型bean, 并且
在FilterChainProxy内部使用http元素中的配置来创建一个filter chain; 从spring security 3.1开始, 额外的
http元素可以用来增加额外的filter chain, 一个应用可以配置多个http, 每个http元素生成一个filter chain,
这些filter chain按声明的顺序注入FilterChainProxy中; 在处理外部request时, 按声明的顺序使用FilterChainProxy中的
filter chain 对request进行验证处理, 直到认证通过或者认证失败抛出异常.
在filter chain中, 一些核心的filters总是由spring自动创建, 其他filter的创建则依赖于http的属性和子元素的配置,
它们都将在filter stack中创建, filter stack中标准filter的位置总是固定的, 所有需要注入AuthenticationManager的filter
都会自动注入 一个由 namespace 创建的AuthenticationManager内部实例.
每个http namespace block 总是会自动创建核心的SecurityContextPersistenceFilter, ExceptionTranslationFilter
FilterSecurityInterceptor; 它们的位置是固定的, 并且不能被取代.
<http> Attributes: http元素中的属性用于控制核心filter的一些属性.
access-decision-manager-ref: 可选的属性, 配置AccessDecisionManager, 用来进行http request授权; 缺省
使用AffirmativeBased实现和RoleVoter, AuthenticatedVoter投票器.
authentication-manager-ref: 配置当前http元素的filter chain使用的AuthenticationManager.
auto-config: 设置为true时自动注册login-form, basic authentication 和 logout服务; 缺省是false, 不推荐使用该配置,
应该使用明确的相应元素进行配置,以免造成混乱.
create-session: 缺省是ifRequired, 只在需要时创建session; always表示如果不存在session,spring 会主动创建;
never表示从不创建,但会使用应用自己创建的session; stateless表示spring 从不创建而且session会忽略权限验证.
disable-url-rewriting: 缺省为true, 阻止在返回客户端的URL上添加sessionID, 客户端必须开启支持cookie.
entry-point-ref: 通常被设置为AuthenticationEntryPoint, 用来指定authentication的入口点, 改写该属性以使用自定义的入口.
once-per-request: 配置FilterSecurityInterceptor的observeOncePerRequest属性, 缺省是true.
pattern: 当前http元素的对应filter chain需要处理的request url, 依赖于 request-matcher的配置; 如果没有配置, 所有的request都将匹配,
最具体的pattern 应该放置在最前面.
request-matcher: FilterChainProxy中当前http元素对应的filter chain 和子元素intercept-url 创建的bean使用的RequestMatcher,
用来匹配request; 选项有ant, regex和ciregex(大小写不敏感), 分别使用AntPathRequestMatcher, RegexRequestMatcher, 每个
intercept-url都可以使用自己的pattern和method属性创建独立的RequestMatcher实例.
realm: basic authentication使用的 realm 名称, 必须与BasicAuthenticationEntryPoint的realmName 属性一致.
security: 设置为none, 映射一个空的filter chain, 表示spring security对pattern匹配的request url失效.
security-context-repository-ref: 注入自定义的SecurityContextRepository 到 SecurityContextPersistenceFilter.
servlet-api-provision: 缺省是true, 添加SecurityContextHolderAwareRequestFilter 到filter stack中以支持相应版本的
HttpServletRequest安全接口, 如isUserInRole() 和 getPrincipal().
use-expressions: 缺省是true, 激活时可以在access属性中使用表达式配置 EL-expressions.
-->
<!-- http 子元素 -->
<!--
<access-denied-handler>: 配置ExceptionTranslationFilter使用的AccessDeniedHandler和errorPage属性.
error-page: 当已验证的用户请求一个没有访问权限的资源时,redirect to 访问拒绝提示页面.
ref: 指向一个AccessDeniedHandler 类型的bean.
-->
<!--
<anonymous>: 添加一个AnonymousAuthenticationFilter到 filter stack中, 并将AnonymousAuthenticationProvider
注入ProviderManager的AuthenticationProvider列表中, 以支持对AnonymousAuthenticationToken的认证,
http元素的使用默认就会启用对匿名认证的支持, 使用access属性值 IS_AUTHENTICATED_ANONYMOUSLY表示需要匿名认证.
AnonymousAuthenticationToken将作为一个Authentication的实例存放在SecurityContextHolder中; filter chain运行到
AnonymousAuthenticationFilter时, 如果SecurityContextHolder中持有的Authentication还是空的, 则AnonymousAuthenticationFilter
将创建一个AnonymousAuthenticationToken并存放在SecurityContextHolder中. AnonymousAuthenticationToken的认证是
在AbstractSecurityInterceptor中的beforeInvocation()方法中进行的.
enabled: 随着namespace http元素的创建, anonymous authentication的能力自动激活,如果想要关闭anonymous验证, 可以使用这个属性.
granted-authority: 缺省是ROLE_ANONYMOUS, 设置赋予anonymous request的授权,用于随后的authorization decisions.
username: 缺省是anonymousUser, 设置赋予anonymous request的principal用户名, 一般用于日志和核查.
key: 在AnonymousAuthenticationProvider和AnonymousAuthenticationFilter之间共享, 它们必须保持一致, AnonymousAuthenticationProvider
将使用本身拥有的key与传入的AnonymousAuthenticationToken的key作比较, 相同则认为可以进行认证, 否则将抛出异常BadCredentialsException.
-->
<!--
<csrf>: 为应用增加Cross Site Request Forger (CSRF) 保护.
disabled: 缺省是false(打开CSRF), 可选的属性, 用于关闭CSRF保护.
token-repository-ref: 设置CsrfTokenRepository, 缺省是HttpSessionCsrfTokenRepository.
request-matcher-ref: 设置RequestMatcher用于决定是否对当前request进行CSRF保护, 缺省是除了"GET", "TRACE", "HEAD", "OPTIONS"的
任何http method进行保护.
-->
<!--
<custom-filter>: 用于增加一个filter到filter chain中, 该元素不会创建任何bean, 它只用于选择application context 中定义的javax.servlet.Filter
类型的bean, 并把它放置在spring security维护的filter chain的特定位置上.
before: custom-filter 在 filter chain中的位置紧挨在before指定的标准filter之前.
position: custom-filter 在filter chain中的精确位置, 用于替换标准的filter.
after: custom-filter 在 filter chain中的位置紧挨在after指定的标准filter之后, 该特性只被高级开发者使用.
ref: 指向Filter类型的spring bean.
-->
<!--
<form-login>: 添加UsernamePasswordAuthenticationFilter 到filter stack中, 并为应用增加LoginUrlAuthenticationEntryPoint 用于提供验证入口,
该入口总是优先于由namespace创建的入口, 如果不提供任何属性, 会自动为/login 请求生成一个login page.
default-target-url: 缺省是根目录"/", 对应UsernamePasswordAuthenticationFilter的defaultTargetUrl属性, 通常设置为home page.
always-use-default-target: 缺省是false, 设置为true表示通过验证后总是转向default-target-url指定的页面, 对应UsernamePasswordAuthenticationFilter
的alwaysUseDefaultTargetUrl属性.
authentication-details-source-ref: 指向AuthenticationDetailsSource.
authentication-failure-handler-ref: 可以作为authentication-failure-url的替代, 提供验证失败后的导航流程的完全控制, 指向AuthenticationFailureHandler类型bean.
authentication-failure-url: 缺省是"/login?error", 定义验证失败时转向的url, 对应UsernamePasswordAuthenticationFilter的authenticationFailureUrl属性.
authentication-success-handler-ref: 可以作为default-target-url 和 always-use-default-target的替代, 提供验证成功后的导航流程的完全控制,
指向AuthenticationSuccessHandler 类型bean, 缺省使用SavedRequestAwareAuthenticationSuccessHandler并注入 default-target-url.
login-page: 缺省是"/login", 用于呈现登录页面的url, 对应 LoginUrlAuthenticationEntryPoint的 loginFormUrl属性.
login-processing-url: 缺省是"/login", 用于处理登录请求, 对应 UsernamePasswordAuthenticationFilter的 filterProcessesUrl属性.
password-parameter: 缺省"password", request parameter 的参数名, 表示password.
username-parameter: 缺省"username", request parameter 的参数名, 表示username.
-->
<!--
<http-basic>: 添加BasicAuthenticationFilter 和 BasicAuthenticationEntryPoint配置.
authentication-details-source-ref: 指向AuthenticationDetailsSource类型bean, 用于authentication filter.
entry-point-ref: 指向AuthenticationEntryPoint类型bean, 用于BasicAuthenticationFilter.
-->
<!--
<intercept-url>: 定义应用关注的URL patterns 并配置如何处理这些url, 它被用来构建FilterSecurityInterceptor使用的FilterInvocationSecurityMetadataSource,
也负责配置ChannelProcessingFilter, 如果特定的url需要使用https访问.
the most specific matches patterns should come first and the most general should come last.
access: 使用分号分隔的security属性列表(rolename), 保存在FilterInvocationSecurityMetadataSource 中.
method: HTTP Method, 不指定时匹配任何Method, 结合pattern对request进行匹配, 优先匹配Method.
pattern: 定义url path, 依赖于http元素的request-matcher 属性, 缺省使用ant 路径语法.
requires-channel: http, https 和any. 使用该属性时, ChannelProcessingFilter 被加入filter stack, 它的依赖属性也会被加入application Context.
-->
<!--
<logout>: 增加LogoutFilter 到filter stack, LogoutFilter使用SecurityContextLogoutHandler和CookieClearingLogoutHandler进行logout相应的配置处理.
delete-cookies: logout 时要删除的cookie 名称列表, 用分号分隔, 对应CookieClearingLogoutHandler的cookiesToClear属性.
invalidate-session: 缺省是true, 表示logout时session.invalidate(), 对应SecurityContextLogoutHandler的invalidateHttpSession属性.
logout-success-url: 缺省是<form-login-login-page>/?logout (比如 /login?logout), logout成功后转向的页面, 设置该属性会将
SimpleRedirectInvalidSessionStrategy 注入SessionManagementFilter中, 当一个invalid session ID 被提交时, SimpleRedirectInvalidSessionStrategy
会被调用, 并将request redirect to 配置的 URL.
logout-url: 缺省是"/logout", 用于处理logout请求.
success-handler-ref: 指向LogoutSuccessHandler 类型bean, 用于控制logout后的导航.
-->
<!--
<port-mappings>: 缺省PortMapperImpl 实例被加入配置中, 用来重定向http和https URLs. 每个<port-mapping> 子元素定义一对http:https端口.
缺省的映射是80:43 和 8080:8443.
<port-mapping>: http和https属性用于设置相应的端口.
-->
<!--
<remember-me>: 添加RememberMeAuthenticationFilter 到filter stack中, 应该被配置为TokenBasedRememberMeServices, PersistentTokenBasedRememberMeServices
或者一个自定义的RememberMeServices 实现.
authentication-success-handler-ref: 如果需要自定义的导航, 设置AuthenticationSuccessHandler 类型bean, 对应RememberMeAuthenticationFilter的
authenticationSuccessHandler 属性.
data-source-ref: 指向DataSource bean, 如果配置该属性, 则使用PersistentTokenBasedRememberMeServices 并自动注入JdbcTokenRepositoryImpl.
remember-me-parameter: 缺省是"remember-me", request parameter的参数名, 对应AbstractRememberMeServices的parameter属性.
remember-me-cookie: 缺省是"remember-me", 设置存储remember-me token的cookie名称, 对应AbstractRememberMeServices的cookieName属性.
key: 必须被设置成唯一的值, 如果没有设置, 将使用随机产生的安全值.
services-alias: 设置内部使用的RememberMeServices 的别名, 以供application Context中的其他bean使用.
services-ref: 指向一个RememberMeServices 实现的id, 如果使用了logout filter, 还需要实现LogoutHandler.
token-repository-ref: 配置PersistentTokenBasedRememberMeServices使用的PersistentTokenRepository, 也可以使用自定义的PersistentTokenRepository 实现.
token-validity-seconds: 缺省是2周, 设置remember-me cookie的有效时间, 对应AbstractRememberMeServices的tokenValiditySeconds属性.
use-secure-cookie: 缺省是true, 推荐remember-me cookie应该通过https提交, 对应AbstractRememberMeServices的useSecureCookie 属性.
user-service-ref: RememberMeServices 实现 需要访问UserDetailsService, 如果application context中只有一个配置的bean, namespace创建时会自动
选择该bean, 如果定义了多个UserDetailsService, 则使用该属性明确的指定一个bean的id.
-->
<!--
<request-cache>: ExceptionTranslationFilter在调用AuthenticationEntryPoint之前用来保存request 信息的RequestCache, 为了在验证成功后重新转向该request.
ref: 指向RequestCache类型bean.
-->
<!--
<session-management>: session管理的功能是通过添加 SessionManagementFilter 到filter stack中实现的.
invalid-session-url: 设置该属性会将 SimpleRedirectInvalidSessionStrategy 注入SessionManagementFilter中, 当一个invalid session ID 被提交时,
SimpleRedirectInvalidSessionStrategy会 被调用, 并将request redirect to 配置的 URL.
session-authentication-error-url: 设置当SessionAuthenticationStrategy 抛出异常时的错误页面, 如果没有设置, 返回unauthorized (401) error code
到客户端, 该属性不适用在form-login验证期间遇到的错误, form-login优先使用自己的authentication-failure-url.
session-authentication-strategy-ref: 注入SessionManagementFilter使用 的SessionAuthenticationStrategy.
session-fixation-protection: 设置session固态攻击保护策略, 当session-fixation-protection触发时会导致在application context中传播
SessionFixationProtectionEvent事件, 同时会导致javax.servlet.http.HttpSessionIdListener 通知.
none:不做任何保护,保留原始的session
newSession:创建新的session, 不复制session数据(spring security相关的数据会被复制)
migrateSession:创建新的session, 并复制所有的session数据,servlet3.0容器及更低版本中的默认选项
changeSessionId:不创建新的session, 使用容器提供的session固态攻击保护策略(HttpServletRequest#changeSessionId()), servlet3.1版本容器中的默认选项,
在servlet3.1以下版本的容器中指定该选项会抛出异常.
<concurrency-control>: 增加session并发管理, 限制一个用户拥有的活跃session数量, ConcurrentSessionFilter 加入filter stack, SessionManagementFilter
会使用ConcurrentSessionControlAuthenticationStrategy, 如果已经定义了form-login 元素, ConcurrentSessionControlAuthenticationStrategy也会被注入
创建的authentication filter中, ConcurrentSessionControlAuthenticationStrategy会创建SessionRegistry (SessionRegistryImpl) 实例.
error-if-maximum-exceeded: 缺省为false, 会expired最初的SessionInformation, 设置为true时, 当尝试超出设定的session限制时,抛出SessionAuthenticationException.
expired-url: 当error-if-maximum-exceeded为false时,应该设置该属性, 被并发控制器标记为expired的session应该被重定向到该url, 如果不设置,
则直接将expired提示信息写入response.
max-sessions: -1表示不限制, 对应ConcurrentSessionControlAuthenticationStrategy的maximumSessions 属性.
session-registry-alias: 为内部的SessionRegistry创建别名, 可以在application Context中的其他bean使用,通常作为管理接口.
session-registry-ref: 设置自定义的SessionRegistry 实现, 其他并发控制的bean会直接使用该属性指定的bean.
-->
<!-- **代表可以跨越目录, *不可以跨越目录. -->
<security:http pattern="/resources/**" security="none" />
<security:http pattern="/*.html" security="none" />
<!-- 默认auto-config="false",设置auto-config="true"时,自动注册form-login、basic authentication、logout。
默认use-expressions="true" 需要使用表达式hasRole('ROLE_USER') -->
<security:http use-expressions="false">
<!-- 设置没有访问权限时转向的提示页面 -->
<security:access-denied-handler error-page="/accessDenied.html" />
<!-- 设置匿名用户可以访问的url -->
<security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
<!-- 设置相应角色可以访问的url -->
<security:intercept-url pattern="/security/**" access="ROLE_ADMIN" />
<security:intercept-url pattern="/**" access="ROLE_USER" />
<!-- 设置自定义的登录页面和登录后的缺省home主页
login-page不设置时,spring自动使用"/login"。
default-target-url不设置时,登录成功后转向登录之前的请求url,如果没有则指向根目录"/"。
always-use-default-target="true"登录成功后始终转向default-target-url。
authentication-failure-url设置登录失败时转向的页面,如果不设置spring会自动转向"/login?error"。 -->
<security:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1"
default-target-url="/" always-use-default-target="true" />
<!-- 默认invalidate-session="true"在logout时使session失效,logout-success-url设置logout成功后转向的页面-->
<security:logout logout-success-url="/logout.html" invalidate-session="true"/>
<!-- data-source-ref="dataSource"使用数据库持久化remember me标记 -->
<security:remember-me data-source-ref="dataSource" user-service-ref="userDetailsService" />
<!-- <security:session-management session-authentication-strategy-ref="sessionAuthenticationStrategy"/> -->
<security:session-management invalid-session-url="/invalidSession.html">
<security:concurrency-control max-sessions="1" session-registry-alias="sessionRegistry" />
</security:session-management>
</security:http>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider user-service-ref="userDetailsService">
<security:password-encoder ref="bcryptEncoder"/>
</security:authentication-provider>
</security:authentication-manager>
<bean id="bcryptEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
<!-- 配置UserDetailsService实现,可以使用自定义的UserDetailsService实现获得数据库的用户信息UserDetails -->
<bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
<property name="dataSource" ref="dataSource" />
<property name="usersByUsernameQuery"
value="SELECT username, password, enable FROM user WHERE username=?" />
<property name="authoritiesByUsernameQuery"
value="SELECT u.username as username, r.rolename as rolename
FROM user u
JOIN user_group ug ON u.id=ug.user_id
JOIN groups g ON ug.group_id=g.id
JOIN group_role gr ON g.id=gr.group_id
JOIN role r ON gr.role_id=r.id
WHERE u.username=?" />
</bean>
</beans>
本文详细解析Spring Security配置文件的各个元素及其属性,包括http元素的配置、匿名登录、表单登录、登出、记住我等功能配置。此外还介绍了自定义登录页面、访问控制、会话管理和并发控制等内容。
扫一扫
2604
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
