springsecurity的一些资料----下载不扣分，回帖加1分，童叟无欺，欢迎下载资源-CSDN文库

共4个文件

doc：4个

spring

security

Acegi

需积分: 3 130 浏览量 2009-08-25 09:54:17 上传评论收藏 81KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

security.rar （4个子文件）

004.doc 66KB

001.doc 72KB

003.doc 66KB

002.doc 44KB

第1章一个简单的 HelloWorld

Spring Security 中可以使用 Acegi-1.x 时代的普通配置方式，也可以使用从

2.0 时代才出现的命名空间配置方式，实际上这两者实现的功能是完全一致的，

只是新的命名空间配置方式可以把原来需要几百行的配置压缩成短短的几十行。

我们的教程中都会使用命名空间的方式进行配置，凡事务求最简。

1.1.配置过滤器

为了在项目中使用 Spring Security 控制权限，首先要在 web.xml 中配置过

滤器，这样我们就可以控制对这个项目的每个请求了。

<lter>

<lter-name>springSecurityFilterChain</lter-name>

<lter-

class>org.springframework.web.lter.DelegatingFilterProxy</lter-

class>

</lter>

<lter-mapping>

<lter-name>springSecurityFilterChain</lter-name>

<url-pattern>/*</url-pattern>

</lter-mapping>

所有的用户在访问项目之前，都要先通过 Spring Security 的检测，这从第一

时间把没有授权的请求排除在系统之外，保证系统资源的安全。关于过滤器配

置的更多讲解可以参考 http://www.family168.com/tutorial/jsp/html/jsp-

ch-07.html#jsp-ch-07-03-01。

1.2.使用命名空间

在 applicationContext.xml 中使用 Spring Security 提供的命名空间进行配

置。

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans

xmlns="http://www.springframework.org/schema/security"

xmlns:beans="http://www.springframework.org/schema/beans"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/bean

http://www.springframework.org/schema/beans/spring-beans-

2.0.xsd

http://www.springframework.org/schema/security

http://www.springframework.org/schema/security/spring-security-

2.0.4.xsd">

<intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />

<intercept-url pattern="/**" access="ROLE_USER" />

</http>

<authentication-provider>

<user-service>

<user name="admin" password="admin"

authorities="ROLE_USER, ROLE_ADMIN" />

<user name="user" password="user"

authorities="ROLE_USER" />

</user-service>

</authentication-provider>

</beans:beans>

声明在 xml 中使用 Spring Security 提供的命名空间。

http 部分配置如何拦截用户请求。auto-cong='true'将自动配置几种常

用的权限控制机制，包括 form, anonymous, rememberMe。

我们利用 intercept-url 来判断用户需要具有何种权限才能访问对应的 url

资源，可以在 pattern 中指定一个特定的 url 资源，也可以使用通配符指定

一组类似的 url 资源。例子中定义的两个 intercepter-url，第一个用来控

制对/admin.jsp 的访问，第二个使用了通配符/**，说明它将控制对系统中

所有 url 资源的访问。

在实际使用中，Spring Security 采用的是一种就近原则，就是说当用户

访问的 url 资源满足多个 intercepter-url 时，系统将使用第一个符合条件

的 intercept-url 进行权限控制。在我们这个例子中就是，当用户访问/

admin.jsp 时，虽然两个 intercept-url 都满足要求，但因为第一个

intercept-url 排在上面，所以 Spring Security 会使用第一个 intercept-

url 中的配置处理对/admin.jsp 的请求，也就是说，只有那些拥有了

ROLE_ADMIN 权限的用户才能访问/admin.jsp。

access 指定的权限部分比较有趣，大家可以注意到这些权限标示符都是以

ROLE_开头的，实际上这与 Spring Security 中的 Voter 机制有着千丝万

缕的联系，只有包含了特定前缀的字符串才会被 Spring Security 处理。

目前来说我们只需要记住这一点就可以了，在教程以后的部分中我们会详

细讲解 Voter 的内容。

user-service 中定义了两个用户，admin 和 user。为了简便起见，我们

使用明文定义了两个用户对应的密码，这只是为了当前演示的方便，之后

的例子中我们会使用 Spring Security 提供的加密方式，避免用户密码被

他人窃取。

最最重要的部分是 authorities，这里定义了这个用户登陆之后将会拥有的

权限，它与上面 intercept-url 中定义的权限内容一一对应。每个用户可以

同时拥有多个权限，例子中的 admin 用户就拥有 ROLE_ADMIN 和

ROLE_USER 两种权限，这使得 admin 用户在登陆之后可以访问

ROLE_ADMIN 和 ROLE_USER 允许访问的所有资源。

与之对应的是，user 用户就只拥有 ROLE_USER 权限，所以他只能访问

ROLE_USER 允许访问的资源，而不能访问 ROLE_ADMIN 允许访问的资

源。

1.3.完善整个项目

因为 Spring Security 是建立在 Spring 的基础之上的，所以 web.xml 中除了

需要配置我们刚刚提到的过滤器，还要加上加载 Spring 的相关配置。最终得

到的 web.xml 看起来像是这样：

<?xml version="1.0" encoding="UTF-8"?>

<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee

http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

<context-param>

<param-name>contextCongLocation</param-name>

<param-value>classpath:applicationContext*.xml</param-

value>

</context-param>

<lter>

<lter-name>springSecurityFilterChain</lter-name>

评论收藏

内容反馈

Star_of_Java

粉丝: 13
资源: 137

spring security 的一些资料----下载不扣分，回帖加1分，童叟无欺，欢迎下载

最新资源

spring security 的一些资料----下载不扣分，回帖加1分，童叟无欺，欢迎下载

memcached学习资料----下载不扣分，回帖加1分，欢迎下载，童叟无欺

苹果树下留言板--JSP----下载不扣分，回帖加1分，欢迎下载，童叟无欺

很全面的jbpm 的中文文档----下载不扣分，回帖加1分，欢迎下载，童叟无欺

Junit In Action 学习笔记----下载不扣分，回帖加1分，童叟无欺，欢迎下载

spring-security-crypto-5.5.2-API文档-中文版.zip

spring-security-core-5.3.9.RELEASE-API文档-中文版.zip

spring-security-core-5.5.2-API文档-中文版.zip

spring-security-core-5.2.0.RELEASE-API文档-中文版.zip

struts1 文件上传源码----下载不扣分，回帖加1分，欢迎下载，童叟无欺

苹果树下留言板--PHP----下载不扣分，回帖加1分，欢迎下载，童叟无欺

jira4.0破解.rar----下载不扣分，回帖加1分，欢迎下载，童叟无欺

中国电信某系统数据字典----下载不扣分，回帖加1分，童叟无欺，欢迎下载

Java版山寨星际----下载不扣分，回帖加1分，欢迎下载，童叟无欺

spring-security-crypto-5.6.1-API文档-中文版.zip

spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip

spring-security-rsa-1.0.10.RELEASE-API文档-中文版.zip

spring-security-web-5.6.1-API文档-中文版.zip

spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip

javascript调试代码----下载不扣分，回帖加1分，欢迎下载，童叟无欺

jprofiler windows 6.0.2 ----下载不扣分，回帖加1分，欢迎下载，童叟无欺

TipLite 轻量级的Ext 提示----下载不扣分，回帖加1分，欢迎下载，童叟无欺

一个漂亮的进度条代码----下载不扣分，回帖加1分，欢迎下载，童叟无欺

JAVA线程、线程池资料----下载不扣分，回帖加1分，欢迎下载，童叟无欺

spring-security-web-5.2.0.RELEASE-API文档-中文版.zip

spring-security-web-5.0.7.RELEASE-API文档-中文版.zip

spring-security-rsa-1.0.10.RELEASE-API文档-中英对照版.zip

spring-security-core-5.6.1-API文档-中英对照版.zip

spring-security-core-5.6.1-API文档-中文版.zip

最新资源