Spring 3之MVC & Security简单整合开发（二）

阅读更多

    本文接 上一篇继续研究Spring MVC和Security的简单整合开发。但文本会略详细介绍Security的基本用法。
    现在来说Security部分。Spring Security框架是Acegi Security的升级，这个框架就是利用了多重过滤的机制对请求进行处理，将符合要求的请求放行，不符合要求的请求阻止下来，这是最大的原理。下面先来看看简单的url过滤吧。
    先写一个用于验证身份的登录页面：

<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>






	Login error.

	
	Reason:${sessionScope["SPRING_SECURITY_LAST_EXCEPTION"].message}

">

	

		
Username
		

	
	

		
Password
		

	
	

		

		
	

    做一些说明，使用Spring Security时，默认的登录验证地址是j_spring_security_check，验证的用户名是j_username，密码是j_password，对于用户名和密码我们不需要修改，使用其默认值即可，而验证路径通常我们想使用自定义地址，这就需要在security中进行配置，后面会看到，这里还会看到如果验证失败，会把失败信息打印出来，就是JSTL的c:if段的作用。下面来看最基本的Security框架作用，拦截URL请求。在board-security.xml配置如下：

    配置文件中首先是对http请求的拦截，这里使用了自动配置auto-config，那么当请求到达时，Security框架会让我们进行身份验证，我们拦截的url模式已经在其中配置出来，三个请求分别对应不同的权限，而且messageList.htm还开放了匿名访问功能，要提供匿名访问，就要配置，这里我们配置匿名用户名为guest，角色是ROLE_GUEST，这里的角色都是ROLE_开头，是Spring Security框架默认使用的，我们不用去更改，这也很清楚。首先我们启动应用，来访问唯一的匿名功能，之后我们看到如下效果：

    可以看到，现在的角色是ROLE_GUEST，那么就直接看到，没有验证身份，若我们要发布消息呢，点击Post链接，看看效果：

要求身份验证了，这就说明对url的拦截起作用了，想发布消息，权限不够了，要验证身份了，注意这里这个页面并不是我们前面写的那个页面，而是Security框架的默认验证页面，为什么没有使用我们所写的页面呢？因为我们还没有配置它啊，当然不会被识别到了。我们来看看默认的页面源码是什么样子的：

 
Login with Username and Password
 
 
 
    
User:
 
    
Password:
 
    
 
    
 
  
 

    可以看到这里的默认请求路径就是/j_spring_security_check了，不过这里我们已经可以使用我们配置的用户来登录了，之前在配置文件中的admin和user1，它们拥有的权限不同，那么我们使用user1登录，来发布消息。验证通过，出现消息输入页面：

    下面发布消息，之后能看到消息的列表了，这对ROLE_USER的角色都是可以查看的。

    没有把Author的信息打印出来，为什么？我们在这里对这个自动进行了限制，来看一下页面是怎么写的：

	
		Author
		${message.author}
	

    这里说的是拥有ROLE_ADMIN和ROLE_USER两种角色才能显示author信息，显然我们权限不够了，当然把这里修改为ifAnyGranted=”ROLE_ADMIN,ROLE_USER”就可以显示出来了，All和Any的区别嘛，很容易理解。还有一个属性是ifNotGranted，不用说你也会明白它是什么意思了，我们现在修改为ifAnyGranted=”ROLE_ADMIN,ROLE_USER”，刷新页面，就会看到如下内容了：

    其实这已经是在扩展Security框架的视图功能了，就是这么使用的，如果想了解security框架标签库其它标签，那么去参考官方文档吧，因为你已经知道该怎么去套用了。
    该试试删除功能了，当前用户角色是ROLE_USER，想删除肯定是不可以的了，那么会是怎么样的效果呢，点击Delete链接，看一下吧：

    非常不幸，被拦截下来了，HTTP 403表示没有权限，那么就对了，Security框架起作用了，这就是我们想要的效果了。
    Security框架的基本URL拦截到此就说完了，是不是很简单？下面就来定制一些操作吧，我们既然编写了自定义登录页面，得用上吧，还有Logout退出功能没用呢。下面就对这基本的配置进行第一次扩展，我们这样做：

    首先去掉auto-config，因为要定制，不让Security按它默认的执行。那么登录验证就配置吧，login-page属性配置的是登录页面，就是我们前面所写的，login-processing-url就是我们处理登录逻辑的请求地址，默认的是j_spring_security_check，前面也说过了，default_target_url就是默认的登录成功转向的目标地址，这里是消息列表页面。最后一个属性是authentication-failure-url，很明白了，就是验证失败转向的页面，这里我们附加一个参数error，页面里面也有体现，就是用它来控制失败信息的打印的。下面一个是配置退出，logout-success-url就是退出后转向的页面，这里是到登录页面，没错，退出后回到登录页面。下面来看看效果吧，修改完毕重启Jetty：

    由于去掉了匿名访问，那么直接请求messageList.htm就会为我们跳转到登录页面了，进行身份验证，此时我们输入一个错误的信息，看看能捕捉到什么：

    验证失败错误会出现Bad credentials，这里不判断是用户不存在还是密码错误，统一是登录凭据错误。输入正确的信息就可以重复上述操作了。使用admin登录成功，会出现：

    至此基本的Security拦截操作已经说完了，是不是很简单呢。当然这是测试的，真实应用中我们的用户不可能这么配置，因为都是存放在数据库中的，那么Security能不能支持数据库用户验证呢？答案是肯定的。只是需要一些扩展配置，这里Security整合了一些数据库验证的操作，要符合Security的验证模式，那么要么我们重新设计数据库，要么在原有基础之上来修改一下数据库设计。这里我们先看一下Security框架默认支持的数据库设计吧，就是它默认SQL查询语句所支持的内容。

    这两个表明是默认的，这么写Security会自己识别出来，不用我们书写SQL语句了。先来看看表设计吧，就这些信息就够Security进行验证了。

CREATE TABLE `users` (
  `USERNAME` varchar(10) NOT NULL,
  `PASSWORD` varchar(32) NOT NULL,
  `ENABLED` tinyint(1) NOT NULL,
  PRIMARY KEY (`USERNAME`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8

CREATE TABLE `authorities` (
  `USERNAME` varchar(10) NOT NULL,
  `AUTHORITY` varchar(10) NOT NULL,
  KEY `FK_USERNAME_AUTHORITY` (`USERNAME`),
  CONSTRAINT `FK_USERNAME_AUTHORITY` FOREIGN KEY (`USERNAME`) REFERENCES `users` (`USERNAME`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8

    两个表之间有一个外键的关联，是用户名关联，而且我们还进行了md5密码扩展，这也要在Security框架进行配置，在表中插入一些信息，就可以进行数据库验证了，此时Security框架的配置如下，修改认证管理器：

    这里我们配置了jdbc数据源和密码编码器，因为连MD5加密方式也是我们自定义的，这样安全系数更高。要使用自定义的加密器，别忘了编写加密器的bean。

    加密器类需要实现PasswordEncoder接口，然后编写我们自己的加密方案，加密器很简单，如下设计：

package org.ourpioneer.board.util;
import org.springframework.dao.DataAccessException;
import org.springframework.security.authentication.encoding.PasswordEncoder;
public class MD5Encoder implements PasswordEncoder {
	public String encodePassword(String origPwd, Object salt)
			throws DataAccessException {
		return MD5.getMD5ofStr(origPwd);
	}
	public boolean isPasswordValid(String encPwd, String origPwd, Object salt)
			throws DataAccessException {
		return encPwd.equals(encodePassword(origPwd, salt));
	}
}

    其中使用到的MD5加密类为：

package org.ourpioneer.board.util;
import java.security.MessageDigest;
/**
 * 标准MD5加密方法，使用java类库的security包的MessageDigest类处理 

 * 也可变为非标准MD5，请修改下面的移位算法
 * 
 * @author Nanlei
 * 
 */
public class MD5 {
	/**
	 * 获得MD5加密密码的方法
	 */
	public static String getMD5ofStr(String origString) {
		String origMD5 = null;
		try {
			MessageDigest md5 = MessageDigest.getInstance("MD5");
			byte[] result = md5.digest(origString.getBytes());
			origMD5 = byteArray2HexStr(result);
		} catch (Exception e) {
			e.printStackTrace();
		}
		return origMD5;
	}
	/**
	 * 处理字节数组得到MD5密码的方法
	 */
	private static String byteArray2HexStr(byte[] bs) {
		StringBuffer sb = new StringBuffer();
		for (byte b : bs) {
			sb.append(byte2HexStr(b));
		}
		return sb.toString();
	}
	/**
	 * 字节标准移位转十六进制方法
	 */
	private static String byte2HexStr(byte b) {
		String hexStr = null;
		int n = b;
		if (n < 0) {
			// 若需要自定义加密,请修改这个移位算法即可
			n = b & 0x7F + 128;
		}
		hexStr = Integer.toHexString(n / 16) + Integer.toHexString(n % 16);
		return hexStr.toUpperCase();
	}
	/**
	 * 提供一个MD5多次加密方法
	 */
	public static String getMD5ofStr(String origString, int times) {
		String md5 = getMD5ofStr(origString);
		for (int i = 0; i < times - 1; i++) {
			md5 = getMD5ofStr(md5);
		}
		return getMD5ofStr(md5);
	}
	/**
	 * 密码验证方法
	 */
	public static boolean verifyPassword(String inputStr, String MD5Code) {
		return getMD5ofStr(inputStr).equals(MD5Code);
	}
	/**
	 * 多次加密时的密码验证方法
	 */
	public static boolean verifyPassword(String inputStr, String MD5Code,
			int times) {
		return getMD5ofStr(inputStr, times).equals(MD5Code);
	}
	/**
	 * 提供一个测试的主函数
	 */
	public static void main(String[] args) {
		System.out.println("123:" + getMD5ofStr("123"));
		System.out.println("123456789:" + getMD5ofStr("123456789"));
		System.out.println("pioneer:" + getMD5ofStr("pioneer"));
		System.out.println("123:" + getMD5ofStr("123", 4));
	}
}

    加密工作已经准备好，之前配置的数据源是：

    别忘了加入JDBC的驱动程序，之后我们就可以使用数据库用户验证了，剩下的步骤就和前面是一样的了。
    至此我们已经了解了Security对标准设置的数据库验证的操作了， 下一篇将从非标准的数据库验证开始继续介绍Security框架。欢迎交流，希望对使用者有用。

• 
• 大小: 23.1 KB

• 
• 大小: 27.3 KB

• 
• 大小: 24.9 KB

• 
• 大小: 26.5 KB

• 
• 大小: 41.5 KB

• 
• 大小: 50.1 KB

• 
• 大小: 24.8 KB

• 
• 大小: 26.3 KB

• 
• 大小: 25.3 KB

• 
• 大小: 8.2 KB

• 查看图片附件