【免费】SpringSecurity学习总结资源-CSDN文库

共2个文件

doc：2个

Spring

Security

需积分: 0 73 浏览量 2009-07-02 11:18:46 上传评论收藏 67KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

Spring Security.rar （2个子文件）

Spring Security

Spring Security学习总结二.doc 71KB

Spring Security学习总结一.doc 157KB

SpringSecurity 学习总结一

在认识 Spring Security 之前，所有的权限验证逻辑都混杂在业务逻辑中，用户的每个操

作以前可能都需要对用户是否有进行该项操作的权限进行判断，来达到认证授权的目的。

类似这样的权限验证逻辑代码被分散在系统的许多地方，难以维护。AOP（Aspect

Oriented Programming）和 Spring Security 为我们的应用程序很好的解决了此类问题，

正如系统日志，事务管理等这些系统级的服务一样，我们应该将它作为系统一个单独的“切

面”进行管理，以达到业务逻辑与系统级的服务真正分离的目的，Spring Security 将系统

的安全逻辑从业务中分离出来。



本文代码运行环境：

 JDK6.0

 spring-framework-2.5.4

 spring-security-2.0.0

 JavaEE5

 Web 容器：

 Apache Tomcat6.0

 IDE 工具：

 Eclipse3.3+MyEclipse6.5

 操作系统：

 Linux（Fedora 8）

 这只是我个人的学习总结而已，还请高手们指出本文的不足之处。

 一 Spring Security 简介

 这里提到的 Spring Security 也就是被大家广为熟悉的 Acegi Security，2007 年底

Acegi Security 正式成为 Spring Portfolio 项目，并更名为 Spring Security.Spring

Security 是一个能够为基于 Spring 的企业应用系统提供描述性安全访问控制解决方案的

安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean，充分利用了 Spring

IoC（依赖注入，也称控制反转）和 AOP（面向切面编程）功能，为应用系统提供声明式

的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

 通过在许多项目中实践应用以及社区的贡献，如今的 Spring Security 已经

成为 Spring Framework 下最成熟的安全系统，它为我们提供了强大而灵活的

企业级安全服务，如：

  认证授权机制

  Web 资源访问控制

  业务方法调用访问控制

  领域对象访问控制 Access Control List（ACL）

  单点登录（Central Authentication Service）

  X509 认证

  信道安全（Channel Security）管理等功能

 当保护 Web 资源时，Spring Security 使用 Servlet 过滤器来拦截 Http 请

求进行身份验证并强制安全性，以确保 WEB 资源被安全的访问。如下图是

Spring Security 的主要组件图（摘自《Spring in Action》）：

 图 1 Spring Security 的基本组件

 无论是保护 WEB 资源还是保护业务方法或者领域对象，Spring Security

都的通过上图中的组件来完成的。本文主要阐述如何使用 Spring Security 对

WEB 应用程序的资源进行安全访问控制，并通过一个简单的实例来对 Spring

Security 提供的各种过滤器的功能和配置方法进行描述。

二保护 Web 资源

 Spring Security 提供了很多的过滤器，它们拦截 Servlet 请求，并将这些请求转交给认证

处理过滤器和访问决策过滤器进行处理，并强制安全性，认证用户身份和用户权限以达到

保护 Web 资源的目的。对于 Web 资源我们大约可以只用 6 个过滤器来保护我们的应用系统，

下表列出了这些安全过滤器的名称作用以及它们在系统中的执行顺序：

过滤器作用

通道处理过滤器确保请求是在安全通道（HTTP 和 HTTPS）之上传输的

认证处理过滤器接受认证请求，并将它们转交给认证管理器进行身份验证

CAS 处理过滤器接受 CAS 服务票据，验证 Yale CAS（单点登录）是否已经对用户进行了认证

HTTP 基本授权过滤器处理使用 HTTP 基本认证的身份验证请求

集成过滤器处理认证信息在请求间的存储（比如在 HTTP 会话中）

安全强制过滤器确保用户己经认证，并且满足访问一个受保护 Web 资源的权限需求

 接下来，通过一个实例来说明它们的具体使用方法和如何在 Spring 中进行

配置。

 1 建立 Spring Security 项目

 首先在 MyEclipse 中创建一个 Web Project，并使用 MyEclipse 工具导入

Spring 项目的依赖 JAR 包，并生成默认的，这里暂时不会用到这个文件，本文

只是通过一个简单的实例来说明如何配置使用 Spring Security，不会涉及到

数据库，而是使用一个用户属性（users.properties）文件来保存用户信息

（包括用户名，密码及相应的权限），但在实际的项目中，我们很少会这样做，

而是应该把用户信息存在数据库中，下一篇文章中将会详细介绍并用到这个文

件来配置 Hibernate，这里我们保留它。

 现在还需要为项目导入 Spring Security 的 JAR 包，它没有包括在 Spring

Framework 中，你可以从 http://www.springframework.org/download/

下载，并将 spring-security-core-2.0.0.jar（这是核心代码库）和 spring-

security-core-tiger- 2.0.0.jar（和 annotation 有关的，比如使用注解对方

法进行安全访问控制，在下一篇中会用到）拷贝到项目的 lib 目录下，其中也包

括两个实例（tutorial 和 contacts），并且两个实例中都包括了如何使用

Spring 2.0 的命名空间来配置 Spring Security，无论你对 Spring 2.0 命名

空间的使用是否了解，它将使我们的配置文件大大缩短，简化开发，提高生产

效率。到此，我们的 Spring Security 项目就建好了，项目目录结构如下图所

示：

 图 2 项目目录结构

 2 配置 web.xml

 Spring Security 使用一组过滤器链来对用户进行身份验证和授权。首先，

在 web.xml 文件中添加 FilterToBeanProxy 过滤器配置：

1<?lter>

2  <?lter-name>springSecurityFilterChain</?lter-name>

3  <?lter-class>

4   org.springframework.security.util.FilterToBeanProxy

5  </?lter-class>

6  <init-param>

7    <param-name>targetClass</param-name>

8  <param-value>

9     org.springframework.security.util.FilterChainProxy

10  </param-value>

11  </init-param>

12 </?lter>

 org.springframework.security.util.FilterToBeanProxy 实现了 Filter 接

口，它通过调用 WebapplicationContextUtils 类的

getWebApplicationnContext（servletContext）方法来获取 Spring 的应

用上下文句柄，并通过 getBean（beanName）方法来获取 Spring 受管

Bean 的对象，即这里 targetClass 参数配置的 Bean，并通过调用

FilterChain Proxy 的 init（）方法来启动 Spring Security 过滤器链进行各种

身份验证和授权服务（FilterChainProxy 类也是实现了 Filter 接口），从而将

过滤功能委托给 Spring 的 FilterChainProxy 受管 Bean（它维护着一个处理

验证和授权的过滤器列表，列表中的过滤器按照一定的顺序执行并完成认证过

程），这样即简化了 web.xml 文件的配置，又能充分利用 Spring 的 IoC 功能

来完成这些过滤器执行所需要的其它资源的注入。

 当用户发出请求，过滤器需要根据 web.xml 配置的请求映射地址来拦截用

户请求，这时 Spring Security 开始工作，它会验证你的身份以及当前请求的

资源是否与你拥有的权限相符，从而达到保护 Web 资源的功能，下面是本例

所要过滤的用户请求地址：

1<?lter-mapping>

2

3<?lter-name>springSecurityFilterChain</?lter-name>

4

5<url-pattern>/j_spring_security_check</url-pattern>

6

7</?lter-mapping>

8

9<?lter-mapping>

10

11<?lter-name>springSecurityFilterChain</?lter-name>

12

13<url-pattern>/*</url-pattern>

14

15 </?lter-mapping>

3 配置 applicationContext-security.xml

 3.1 FilterChainProxy 过滤器链

 FilterChainProxy 会按顺序来调用一组 ?lter，使这些 ?lter 即能完成验证

授权的本质工作，又能享用 Spring Ioc 的功能来方便的得到其它依赖的资源。

FilterChainProxy 配置如下：

1<beanid="?lterChainProxy"

  class="org.springframework.security.util.FilterChainProxy">

2<propertyname="?lterInvocationDe?nitionSource">

3<value><![CDATA[

    CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON

4 PATTERN_TYPE_APACHE_ANT

    /**=httpSessionContextIntegrationFilter,logoutFilter,

5 authenticationProcessingFilter,securityContextHolderAwareRequestFilter,

6 rememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,

7 ?lterSecurityInterceptor

8]]></value>

9</property>

10</bean>

 CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 定义 URL

在匹配之前必须先转为小写，PATTERN_TYPE_APACHE_ANT 定义了使用

Apache ant 的匹配模式，/**定义的将等号后面的过滤器应用在那些 URL 上，

这里使用全部 URL 过滤，每个过滤器之间都适用逗号分隔，它们按照一定的顺

序排列。



提示：

特别需要注意的是，即使你配置了系统提供的所有过滤器，这个过滤器链会

很长，但是千万不要使用换行，否则它们不会正常工作，

容器甚至不能正常启动。



 下面根据 FilterChainProxy 的配置来介绍各个过滤器的配置，各个过滤器

的执行顺序如以上配置。

 首先是通道处理过滤器，如果你需要使用 HTTPS，这里我们就使用 HTTP

进行传输，所以不需要配置通道处理过滤器，然后是集成过滤器，配置如下：

1<beanid="httpSessionContextIntegrationFilter"

2

3class="org.springframework.security.context.HttpSessionContextIntegrationFilter"/>

 httpSessionContextIntegrationFilter 是集成过滤器的一个实现，在用户

的一个请求过程中，用户的认证信息通过 SecurityContextHolder（使用

ThreadLoacl 实现）进行传递的，所有的过滤器都是通过

SecurityContextHolder 来获取用户的认证信息，从而在一次请求中所有过滤

器都能共享 Authentication（认证），减少了 HttpRequest 参数的传送，下

面的代码是从安全上下文的获取 Authentication 对象的方法：

1SecurityContextcontext=SecurityContextHolder.getContext()；

2

3Authenticationauthentication=context.getAuthentication();

 但是，ThreadLoacl 不能跨越多个请求存在，所以，集成过滤器在请求开始

时从 Http 会话中取出用户认证信息并创建一个 SecurityContextHolder 将

Authentication 对象保存在其中，在请求结束之后，在从

SecurityContextHolder 中获取 Authentication 对象并将其放回 Http 会话

中，共下次请求使用，从而达到了跨越多个请求的目的。集成过滤器还有其它

的实现，可以参考相关文档。

提示：

集成过滤器必须在其它过滤器之前被使用。



 logoutFilter（退出过滤器），退出登录操作：

1<beanid="logoutFilter"

2

3class="org.springframework.security.ui.logout.LogoutFilter">

4

5<constructor-argvalue="/index.jsp"/>

6

评论收藏

内容反馈

qingzhe2008

粉丝: 21
资源: 11

Spring Security学习总结

Spring Security学习总结

Spring Security学习总结一

Spring_Security_学习总结

SpringSecurity学习总结源代码

Spring Security学习总结二

Spring Security 学习总结1_3

spring security 学习总结文档

SpringSecurity学习总结一.pdf

Spring Security学习总结2_2

Spring Security学习笔记（一）

Spring Security 学习(8)

Spring-Security深度学习

springsecurity：Spring安全学习总结

spring security3.0所需要的最精简的jar包

spring security 阶段总结: mvc + hibernate +mysql 实现的例子

关于一个新手的SpringSecurity入门总结

SpringSecurity.txt

Spring Security tutorial 学习笔记（一）

Spring_Security权限管理_学习笔记

Spring Security OAuth2.0学习笔记.zip

Spring-Security-study:springSecurity框架学习

最详细Spring Security学习资料（源码）

Spring-security学习ppt

29、SpringSecurity权限控制.pdf

JavaSourceCodeLearning:Java流行框架源码分析：Spring源码，SpringBoot源码，SpringAOP源码，SpringSecurity源码，SpringSecurity OAuth2源码，JDK源码，Netty

Shiro+Spring Security学习文档

Spring Security oAuth学习之Hello World

最新资源