SpringSecurity3配置及原理简介

阅读更多

SpringSecurity3的核心类有三种 
1.URL过滤器或方法拦截器：用来拦截URL或者方法资源对其进行验证，其抽象基类为AbstractSecurityInterceptor
2.资源权限获取器：用来取得访问某个URL或者方法所需要的权限，接口为SecurityMetadataSource 
3.访问决策器：用来决定用户是否拥有访问权限的关键类，其接口为AccessDecisionManager。 

调用顺序为：AbstractSecurityInterceptor调用SecurityMetadataSource取得资源的所有可访问权限，然后再调用AccessDecisionManager来实现决策，确定用户是否有权限访问该资源。 

SecurityMetadataSource包括MethodSecurityMetadataSource和FilterInvocationSecurityMetadataSource，分别对应方法和URL资源。 

你也可以完全自定义自己的过滤器、资源权限获取器、访问决策器，下面给出完整的springsecurity3的配置文件：

"1.0" encoding="UTF-8"?>

"http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.0.xsd">

    "loggerListener" class="org.springframework.security.authentication.event.LoggerListener" />

    "true" access-denied-page="/403.jsp">
        "/css/**" filters="none" />
        "/images/**" filters="none" />
        "/js/**" filters="none" />
        "/403.jsp" filters="none" />
        "/" filters="none" />
        "/login.jsp" filters="none" />
        "/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/finance/index.do?listId=CONSUMPTION&page.rowCount=10" />
        "/login.jsp"/>



            "1" error-if-maximum-exceeded="true" />



        "FILTER_SECURITY_INTERCEPTOR" ref="urlSecurityFilter" />



    "urlSecurityFilter" class="com.maxjay.main.system.web.filter.UrlSecurityInterceptorFilter">
        "authenticationManager" ref="authenticationManager" />
        "accessDecisionManager" ref="securityAccessDecisionManager" />
        "securityMetadataSource" ref="urlSecurityMetadataSource" />



    "authenticationManager">
        "userService">

其中userService实现了UserDetailsService用来与自己的用户表进行适配，UrlSecurityInterceptorFilter继承了AbstractSecurityInterceptor并实现了Filter接口，urlSecurityMetadataSource实现了FilterInvocationSecurityMetadataSource接口，securityAccessDecisionManager实现了AccessDecisionManager接口，它们都通过spring的注解声明为容器的一个对象，所以在配置文件中才能直接引用。 

springsecurity3有提供了几个已经实现好的访问决策器，其抽象类为AbstractAccessDecisionManager，它使用投票机制(AccessDecisionVoter)来确定用户有没有权限访问某资源，其实现类有三个： 
AffirmativeBased：只要有一个投票器通过即审核通过 
ConsensusBased：只有当赞成票>反对票时 审核才会通过 
UnanimousBased：只要有一个投票器反对，审核就不通过 
你可以直接使用该抽象类的实现类，其配置如下： 

"accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">

        "allowIfAllAbstainDecisions" value="false"/>

        "decisionVoters">

                class="org.springframework.security.access.vote.RoleVoter"/>
                class="org.springframework.security.access.vote.AuthenticatedVoter"/>