在Spring中集成Acegi 2.x安全框架

2023-12-13 17:32
文章标签 java 安全 spring 框架 集成 acegi

本文主要是介绍在Spring中集成Acegi 2.x安全框架,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

  Acegi是基于Spring的一个开源的安全认证框架,现在的最新版本是Spring Security 2.0。新版本增加了许多新的特性:新特性包括简化的配置,并增加了新的功能,包括OpenID、NTLM、JSR 250注解、AspectJ切入点(pointcut)支持、域ACL增强、RESTful URI授权、组、分级角色、用户管理API、数据库支持的“remember me”,portlet认证、其他语言、Web Flow 2.0支持、Spring IDE可视化及自动完成、通过Spring Web Services 1.5提供的增强WSS支持等等。其中,最明显的就是配置文件的简化。

      1.x版本需要配置一个过滤器链以及各个过滤器对应的bean,各个过滤器一般有先后顺序,顺序颠倒了会出现一些意想不到的异常,无疑增加了配置的复杂性。在2.x版本中,框架将过滤器链和各个过滤器的先后顺序作了固化,以降低配置的复杂性、减少配置出错的机率。

      下面将详细介绍Spring Security 2.0的配置。

 

      一、在web.xml中的配置

          

Xml代码 收藏代码
  1. <filter>  
  2.      <filter-name>securityFilter</filter-name>  
  3.      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  4.      <init-param>  
  5.             <param-name>targetBeanName</param-name>  
  6.             <param-value>springSecurityFilterChain</param-value>  
  7.      </init-param>  
  8. </filter>  
  9.   
  10. <filter-mapping>  
  11.      <filter-name>securityFilter</filter-name>     
  12.      <url-pattern>/*</url-pattern>     
  13. </filter-mapping>  
  14. <!-- 当过滤器的名称不是springSecurityFilterChain时,需要配置targetBeanName参数,参数值为springSecurityFilterChain -->  

 

    二、在security.xml中的配置

        1、namespace的引用

Xml代码 收藏代码
  1. <b:beans xmlns="http://www.springframework.org/schema/security"  
  2.     xmlns:b="http://www.springframework.org/schema/beans"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  4.     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd  
  5.                         http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">  

        2、http节点的配置

   

Xml代码 收藏代码
  1. <http auto-config="true" lowercase-comparisons="false" path-type="ant" access-denied-page="/accessDenied.jsp" access-decision-manager-ref="accessDecisionManager">  
  2.         <intercept-url pattern="/index.jsp*" access="ROLE_ANONYMOUS"/>  
  3.         <intercept-url pattern="/logout.jsp*" access="ROLE_ANONYMOUS"/>  
  4.         <intercept-url pattern="/accessDenied.jsp*" access="ROLE_ANONYMOUS"/>  
  5.   
  6.         <intercept-url pattern="/**/*.jsp*" access="ADMIN,SYS_MANAGER"/>          
  7.         <intercept-url pattern="/**/*.htm*" access="ADMIN,SYS_MANAGER"/>  
  8.         <intercept-url pattern="/**/*.html*" access="ADMIN,SYS_MANAGER"/>  
  9.         <intercept-url pattern="/**/*.action*" access="ADMIN,SYS_MANAGER"/>  
  10.         <intercept-url pattern="/**/*.ftl*" access="ADMIN,SYS_MANAGER"/>  
  11.   
  12.         <form-login login-page="/index.jsp" always-use-default-target="true" login-processing-url="/j_security_check" authentication-failure-url="/index.jsp?login_error=1" default-target-url="/main.action"/>  
  13.         <concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false"/>  
  14.         <logout logout-url="/j_security_logout" logout-success-url="/index.jsp" invalidate-session="true"/>  
  15. </http>  

      说明:

           lowercase-comparisons:表示URL比较前先转为小写。
           path-type:表示使用Apache Ant的匹配模式。

          access-denied-page:访问拒绝时转向的页面。

          access-decision-manager-ref:指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。

 

          login-page:指定登录页面。
          login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为:/j_spring_security_check。
         authentication-failure-url:指定了身份验证失败时跳转到的页面。
         default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
         always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。

 

         logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。
         logout-success-url:退出系统后转向的URL。
         invalidate-session:指定在退出系统时是否要销毁Session。

 

         max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。

         exception-if-maximum-exceeded: 默认为false,此值表示:用户第二次登录时,前一次的登录信息都被清空。
          当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。

 

      3、自定义访问决策管理器的配置

Java代码 收藏代码
  1. <b:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">  
  2.      <b:property name="allowIfAllAbstainDecisions" value="false"/><!-- 设定是否允许 “没人反对就通过” 的投票策略 -->  
  3.      <b:property name="decisionVoters"><!-- 投票者 -->  
  4.           <b:list>  
  5.                <b:bean class="org.springframework.security.vote.RoleVoter">  
  6.                     <b:property name="rolePrefix" value=""/><!-- 投票者支持的权限前缀,默认是“ROLE_” -->  
  7.                </b:bean>  
  8.            </b:list>  
  9.      </b:property>  
  10. </b:bean>  

    说明:

          Acegi提供三种投票通过策略的实现:
                1、AffirmativeBased(至少一个投票者同意方可通过)
                2、ConsensusBased(多数投票者同意方可通过)
                3、UnanimousBased(所有投票者同意方可通过)

 

    4、DAO身份验证提供者的配置

Java代码 收藏代码
  1. <authentication-provider user-service-ref="userDao"/>  

 

   三、登录页面

Html代码 收藏代码
  1. <form method="post" id="frmLogin" name="frmLogin" action="<s:url value="/j_security_check"/>">  
  2.      用户:<input type="text" name="j_username" id="j_username"/>  
  3.      密码:<input type="password" name="j_password" id="j_password"/>  
  4.       
  5.      <input type="submit" value="Sign In"/>  
  6. </form>  

    说明:

        1、form的action值必须与security.xml配置文件中form-login节点的login-processing-url属性值一致。

        2、用于输入用户名的input控件name必须为j_username。

        3、用于输入密码的input控件name必须为j_password。

这篇关于在Spring中集成Acegi 2.x安全框架的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/489323

相关文章

Spring Boot @RestControllerAdvice全局异常处理最佳实践

Spring Boot @RestControllerAdvice全局异常处理最佳实践

《SpringBoot@RestControllerAdvice全局异常处理最佳实践》本文详解SpringBoot中通过@RestControllerAdvice实现全局异常处理,强调代码复用、统... 目录前言一、为什么要使用全局异常处理?二、核心注解解析1. @RestControllerAdvice2
阅读更多...
Spring IoC 容器的使用详解(最新整理)

Spring IoC 容器的使用详解(最新整理)

《SpringIoC容器的使用详解(最新整理)》文章介绍了Spring框架中的应用分层思想与IoC容器原理,通过分层解耦业务逻辑、数据访问等模块,IoC容器利用@Component注解管理Bean... 目录1. 应用分层2. IoC 的介绍3. IoC 容器的使用3.1. bean 的存储3.2. 方法注
阅读更多...
Spring事务传播机制最佳实践

Spring事务传播机制最佳实践

《Spring事务传播机制最佳实践》Spring的事务传播机制为我们提供了优雅的解决方案,本文将带您深入理解这一机制,掌握不同场景下的最佳实践,感兴趣的朋友一起看看吧... 目录1. 什么是事务传播行为2. Spring支持的七种事务传播行为2.1 REQUIRED(默认)2.2 SUPPORTS2
阅读更多...
怎样通过分析GC日志来定位Java进程的内存问题

怎样通过分析GC日志来定位Java进程的内存问题

《怎样通过分析GC日志来定位Java进程的内存问题》:本文主要介绍怎样通过分析GC日志来定位Java进程的内存问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、GC 日志基础配置1. 启用详细 GC 日志2. 不同收集器的日志格式二、关键指标与分析维度1.
阅读更多...
Java进程异常故障定位及排查过程

Java进程异常故障定位及排查过程

《Java进程异常故障定位及排查过程》:本文主要介绍Java进程异常故障定位及排查过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、故障发现与初步判断1. 监控系统告警2. 日志初步分析二、核心排查工具与步骤1. 进程状态检查2. CPU 飙升问题3. 内存
阅读更多...
java中新生代和老生代的关系说明

java中新生代和老生代的关系说明

《java中新生代和老生代的关系说明》:本文主要介绍java中新生代和老生代的关系说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、内存区域划分新生代老年代二、对象生命周期与晋升流程三、新生代与老年代的协作机制1. 跨代引用处理2. 动态年龄判定3. 空间分
阅读更多...
Java设计模式---迭代器模式(Iterator)解读

Java设计模式---迭代器模式(Iterator)解读

《Java设计模式---迭代器模式(Iterator)解读》:本文主要介绍Java设计模式---迭代器模式(Iterator),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录1、迭代器(Iterator)1.1、结构1.2、常用方法1.3、本质1、解耦集合与遍历逻辑2、统一
阅读更多...
Java内存分配与JVM参数详解(推荐)

Java内存分配与JVM参数详解(推荐)

《Java内存分配与JVM参数详解(推荐)》本文详解JVM内存结构与参数调整,涵盖堆分代、元空间、GC选择及优化策略,帮助开发者提升性能、避免内存泄漏,本文给大家介绍Java内存分配与JVM参数详解,... 目录引言JVM内存结构JVM参数概述堆内存分配年轻代与老年代调整堆内存大小调整年轻代与老年代比例元空
阅读更多...
深度解析Java DTO(最新推荐)

深度解析Java DTO(最新推荐)

《深度解析JavaDTO(最新推荐)》DTO(DataTransferObject)是一种用于在不同层(如Controller层、Service层)之间传输数据的对象设计模式,其核心目的是封装数据,... 目录一、什么是DTO?DTO的核心特点:二、为什么需要DTO?(对比Entity)三、实际应用场景解析
阅读更多...
Java 线程安全与 volatile与单例模式问题及解决方案

Java 线程安全与 volatile与单例模式问题及解决方案

《Java线程安全与volatile与单例模式问题及解决方案》文章主要讲解线程安全问题的五个成因(调度随机、变量修改、非原子操作、内存可见性、指令重排序)及解决方案,强调使用volatile关键字... 目录什么是线程安全线程安全问题的产生与解决方案线程的调度是随机的多个线程对同一个变量进行修改线程的修改操
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2