luckarecs
luckarecs

spring security验证流程

工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring security了,虽然很有名,但是关于这方面的资料并不是很多,应用示例就更少了。还好有中文的官方文档与http://www.family168.com/bbs/发布的简要教程,因此学起来不至于太困难。然后参照了一篇downpour写的spring security文章,因此勉强熟悉了spring security的应用开发,但是基本只停留在勉强会用的基础之上,而且还花了本人不少时间,在一个项目的运用中,自己更是差点没下得了台,惊出了一身冷汗。当时的感觉spring security就是个垃圾东西,运用很复杂,哪怕是做一个只拦截路径的权限系统,也要经过很多步骤。现在熟悉了它的一些流程后,虽然不知道这样的实现方式是否是最合理的,但是的确也有它的道理。现在利用放假期间,可以静下心来,理解一些以前让自己迷惑的东西了。downpour牛人的那篇文章讲得很好,以至于本人着实花了点时间才把它完全熟悉,当前自己以前对acegi并不熟悉。熟悉了那篇文章后,还是有些地方让自己不太理解,其中之一就是spring security是怎样完成用户角色权限验证的。下面就对这人问题进行简单的介绍: 

首先这篇文章是基于downpour那篇文章的,其地址为: 
http://www.iteye.com/topic/319965  

最先着手就是配置文件,这也是整个spring security最重要的入口点:  

  
  
 
  ............  
  
 
  <!--  处理国际化信息 -->  
  
 
  <beans:bean id="authenticationManager"  
  
 
  class="org.springframework.security.providers.ProviderManager">  
  
 
  <beans:property name="messageSource" ref="messageSource" />  
  
 
  </beans:bean>  
  
 
  
 
  <beans:bean id="messageSource"  
  
 
  class="org.springframework.context.support.ReloadableResourceBundleMessageSource">  
  
 
  <beans:property name="basename"  
  
 
  value="classpath:org/springframework/security/messages_zh_CN" />  
  
 
  </beans:bean>  
  
 
  
 
  <authentication-provider user-service-ref="securityManager">  
  
 
  <password-encoder hash="md5" />  
  
 
  </authentication-provider>  
  
 
  
 
  <!-- AffirmativeBased表示只要有一个Voter通过权限要求,就可以访问 -->  
  
 
  <beans:bean id="accessDecisionManager"  
  
 
  class="org.springframework.security.vote.AffirmativeBased">  
  
 
  <!-- 是否允许所有的投票者弃权,如果为false,表示如果所有的投票者弃权,就禁止访问 -->  
  
 
  <beans:property name="allowIfAllAbstainDecisions"  
  
 
  value="false" />  
  
 
  <beans:property name="decisionVoters">  
  
 
  <beans:list>  
  
 
  <!-- RoleVoter默认角色名称都要以ROLE_开头,否则不会被计入权限控制,如果要修改前缀,可以通过对rolePrefix属性进行修改 -->  
  
 
  <beans:bean class="org.springframework.security.vote.RoleVoter" />  
  
 
  <beans:bean class="org.springframework.security.vote.AuthenticatedVoter" />  
  
 
  </beans:list>  
  
 
  </beans:property>  
  
 
  </beans:bean>  
  
 
  
 
  <beans:bean id="resourceSecurityInterceptor"  
  
 
  class="org.springframework.security.intercept.web.FilterSecurityInterceptor">  
  
 
  <beans:property name="authenticationManager" ref="authenticationManager" />  
  
 
  <beans:property name="accessDecisionManager" ref="accessDecisionManager" />  
  
 
  <beans:property name="objectDefinitionSource"  
  
 
  ref="secureResourceFilterInvocationDefinitionSource" />  
  
 
  <!-- 每次请求都进行检查,如果设为true,则只第一次检查,默认为true -->  
  
 
  <beans:property name="observeOncePerRequest" value="false" />  
  
 
  <custom-filter after="LAST" />  
  
 
  </beans:bean>  
  
 
  
 
  <beans:bean id="secureResourceFilterInvocationDefinitionSource"  
  
 
  class="com.javaeye.sample.security.interceptor.SecureResourceFilterInvocationDefinitionSource" />  
  
 
  .... 
 

上面的“accessDecisionManager”就是切入点,首先需要说明的是,在验证用户是否能通过验证时,spring security提供了三种策略,分别对应那个策略类: 
UnanimousBased.java 只要有一个Voter不能完全通过权限要求,就禁止访问。 
AffirmativeBased.java只要有一个Voter可以通过权限要求,就可以访问。 
ConsensusBased.java只要通过的Voter比禁止的Voter数目多就可以访问了。 

在此说一点,ConsensusBased这个类有点特别,如果通过的票数与禁止的票数相同怎么办? 
这个类有个allowIfEqualGrantedDeniedDecisions属性,默认为true,关键代码:  

  
  
 
  if ((grant == deny) && (grant != 0)) {  
  
 
              if (this.allowIfEqualGrantedDeniedDecisions) {  
  
 
                  return;  
  
 
              } else {  
  
 
                  throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",  
  
 
                          "Access is denied"));  
  
 
              }  
  
 
          } 
 

上面的代码表示如果allowIfEqualGrantedDeniedDecisions为true而且通过的票数不为0就授权访问。 

在提供好验证策略以后,继续关注其是怎么进行验证的。在上面的XML文件中,accessDescisionManager有个allowIfAllAbstainDecisions属性,这个属性的默认值为false,作用见注释处。现在主要关注的是其decisionVoters属性,中文的理解就是投票,RoleVoter.java 主要作用就是完成角色的投票验证,需要注意的是,它验证的角色,名称必须以ROLE_开头,当然这也可以通过配置文件改变,如:  

  
  
 
  <bean id="roleVoter" class="org.springframework.security.vote.RoleVoter">  
  
 
      <property name="rolePrefix" value="AUTH_"/>  
  
 
  </bean> 
 

至于RoleVoter是如何完成验证的呆会再说,先回顾一下com.javaeye.sample.security.interceptor.SecureResourceFilterInvocationDefinitionSource:  

  
  
 
  .....  
  
 
      public ConfigAttributeDefinition getAttributes(Object filter) throws IllegalArgumentException {  
  
 
           
  
 
          FilterInvocation filterInvocation = (FilterInvocation) filter;  
  
 
          String requestURI = filterInvocation.getRequestUrl();  
  
 
          Map<String, String> urlAuthorities = this.getUrlAuthorities(filterInvocation);  
  
 
           
  
 
          String grantedAuthorities = null;  
  
 
          for(Iterator<Map.Entry<String, String>> iter = urlAuthorities.entrySet().iterator(); iter.hasNext();) {  
  
 
              Map.Entry<String, String> entry = iter.next();  
  
 
               
  
 
              //url表示从资源表取出的值,在这里代表的是相应的URL  
  
 
              String url = entry.getKey();  
  
 
               
  
 
              //这段代码表示数据库内的需要验证的资源URL与当前请求的URL相匹配时进行验证  
  
 
              if(urlMatcher.pathMatchesUrl(url, requestURI)) {  
  
 
              //grantedAuthorities表示每个资源对应的角色,如果有多个角色,则以','隔开  
  
 
                  grantedAuthorities = entry.getValue();  
  
 
                  break;  
  
 
              }  
  
 
          }  
  
 
           
  
 
          if(grantedAuthorities != null) {  
  
 
              ConfigAttributeEditor configAttrEditor = new ConfigAttributeEditor();  
  
 
              configAttrEditor.setAsText(grantedAuthorities);  
  
 
              return (ConfigAttributeDefinition) configAttrEditor.getValue();  
  
 
          }  
  
 
          return null;  
  
 
      }  
  
 
  .... 
 

虽然不重要,但是还是有必要引用一下: 

引用
 
处于继承树顶端的AbstractSecurityInterceptor有三个实现类: 

FilterSecurityInterceptor,负责处理FilterInvocation,实现对URL资源的拦截。 
MethodSecurityInterceptor,负责处理MethodInvocation,实现对方法调用的拦截。 
AspectJSecurityInterceptor,负责处理JoinPoint,主要也是用于对方法调用的拦截。 

为了限制用户访问被保护资源,Spring Security提供了一套元数据,用于定义被保护资源的访问权限,这套元数据主要体现为ConfigAttribute和ConfigAttributeDefinition。每个ConfigAttribute中只包含一个字符串,而一个ConfigAttributeDefinition中可以包含多个ConfigAttribute。对于系统来说,每个被保护资源都将对应一个ConfigAttributeDefinition,这个ConfigAttributeDefinition中包含的多个ConfigAttribute就是访问该资源所需的权限。 

实际应用中,ConfigAttributeDefinition会保存在ObjectDefinitionSource中,这是一个主要接口,FilterSecurityInterceptor所需的DefaultFilterInvocationDefinitionSource和MethodSecurityInterceptor所需的MethodDefinitionAttributes都实现了这个接口。ObjectDefinitionSource可以看做是Spring Security中权限配置的源头,框架内部所有的验证组件都是从ObjectDefintionSource中获得数据,来对被保护资源进行权限控制的。 

为了从xml中将用户配置的访问权限转换成ObjectDefinitionSource类型的对象,Spring Security专门扩展了Spring中提供的PropertyEditor实现了ConfigAttributeEditor,它可以把以逗号分隔的一系列字符串转换成包含多个ConfigAttribute的ConfigAttributeDefintion对象。 

"ROLE_ADMIN,ROLE_USER" 

↓ 

ConfigAttributeDefinition 
  ConfigAttribute["ROLE_ADMIN"] 
  ConfigAttribute["ROLE_USER"] 
        
对于FilterSecurityInterceptor来说,最终生成的就是一个包含了url pattern和ConfigAttributeConfiguration的ObjectDefinitionSource。 


<intercept-url pattern="/admin.jsp" access="ROLE_ADMIN,ROLE_USER" /> 

↓ 

                    ConfigAttributeDefinition 
"/admin.jsp"   →     ConfigAttribute["ROLE_ADMIN"] 
                      ConfigAttribute["ROLE_USER"] 
        
换而言之,无论我们将权限配置的原始数据保存在什么地方,只要最终可以将其转换为ObjectDefintionSource就可以提供给验证组件进行调用,实现权限控制。 

 

当时一直不明白这个getAttributes到底拿来做什么的。下面一步步进行追终,通过配置文件可知,这个类首先会到org.springframework.security.intercept.web.FilterSecurityInterceptor这个类中,这个类有个主要的方法:  

  
  
 
  public void invoke(FilterInvocation fi) throws IOException, ServletException {  
  
 
          if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)  
  
 
              && observeOncePerRequest) {  
  
 
              // filter already applied to this request and user wants us to observce  
  
 
              // once-per-request handling, so don't re-do security checking  
  
 
              fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  
  
 
          } else {  
  
 
              // first time this request being called, so perform security checking  
  
 
              if (fi.getRequest() != null) {  
  
 
                  fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);  
  
 
              }  
  
 
  
 
              InterceptorStatusToken token = super.beforeInvocation(fi);  
  
 
  
 
              try {  
  
 
                  fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  
  
 
              } finally {  
  
 
                  super.afterInvocation(token, null);  
  
 
              }  
  
 
          }  
  
 
      } 
 

在此有两点需要说明,首先是observeOncePerRequest属性,一般情况下保持其默认的true,文档上有说:  

  
  
 
  /***  
  
 
  Indicates whether once-per-request handling will be observed. By default this is <code>true</code>,meaning the <code>FilterSecurityInterceptor</code> will only execute once-per-request. Sometimes users may wishit to execute more than once per request, such as when JSP forwards are being used and filter security is desired on each included fragment of the HTTP request.  
  
 
  */ 
 

其次我们需要关注的重点是FilterSecurityInterceptor的超类AbstractSecurityInterceptor的beforeInvocation方法,下面贴出这个类中我们最需要关注的代码:  

  
  
 
  protected InterceptorStatusToken beforeInvocation(Object object) {  
  
 
          Assert.notNull(object, "Object was null");  
  
 
  
 
          if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {  
  
 
              throw new IllegalArgumentException("Security invocation attempted for object "  
  
 
                      + object.getClass().getName()  
  
 
                      + " but AbstractSecurityInterceptor only configured to support secure objects of type: "  
  
 
                      + getSecureObjectClass());  
  
 
          }  
  
 
  
 
          ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);  
  
 
  
 
          if (attr == null) {  
  
 
              if (rejectPublicInvocations) {  
  
 
                  throw new IllegalArgumentException(  
  
 
                          "No public invocations are allowed via this AbstractSecurityInterceptor. "  
  
 
                                  + "This indicates a configuration error because the "  
  
 
                                  + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");  
  
 
              }  
  
 
  
 
              if (logger.isDebugEnabled()) {  
  
 
                  logger.debug("Public object - authentication not attempted");  
  
 
              }  
  
 
  
 
              publishEvent(new PublicInvocationEvent(object));  
  
 
  
 
              return null; // no further work post-invocation  
  
 
          }  
  
 
  
 
          if (logger.isDebugEnabled()) {  
  
 
              logger.debug("Secure object: " + object + "; ConfigAttributes: " + attr);  
  
 
          }  
  
 
  
 
          if (SecurityContextHolder.getContext().getAuthentication() == null) {  
  
 
              credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",  
  
 
                      "An Authentication object was not found in the SecurityContext"), object, attr);  
  
 
          }  
  
 
  
 
          Authentication authenticated = authenticateIfRequired();  
  
 
  
 
          // Attempt authorization  
  
 
          try {  
  
 
              this.accessDecisionManager.decide(authenticated, object, attr);  
  
 
          }  
  
 
          catch (AccessDeniedException accessDeniedException) {  
  
 
              AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,  
  
 
                      accessDeniedException);  
  
 
              publishEvent(event);  
  
 
  
 
              throw accessDeniedException;  
  
 
          }  
  
 
  
 
          if (logger.isDebugEnabled()) {  
  
 
              logger.debug("Authorization successful");  
  
 
          }  
  
 
  
 
          AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);  
  
 
          publishEvent(event);  
  
 
  
 
          // Attempt to run as a different user  
  
 
          Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);  
  
 
  
 
          if (runAs == null) {  
  
 
              if (logger.isDebugEnabled()) {  
  
 
                  logger.debug("RunAsManager did not change Authentication object");  
  
 
              }  
  
 
  
 
              // no further work post-invocation  
  
 
              return new InterceptorStatusToken(authenticated, false, attr, object);  
  
 
          } else {  
  
 
              if (logger.isDebugEnabled()) {  
  
 
                  logger.debug("Switching to RunAs Authentication: " + runAs);  
  
 
              }  
  
 
  
 
              SecurityContextHolder.getContext().setAuthentication(runAs);  
  
 
  
 
              // revert to token.Authenticated post-invocation  
  
 
              return new InterceptorStatusToken(authenticated, true, attr, object);  
  
 
          }  
  
 
      }  
  
 
  
 
      /**  
  
 
       * Checks the current authentication token and passes it to the AuthenticationManager if  
  
 
       * {@link org.springframework.security.Authentication#isAuthenticated()} returns false or the property  
  
 
       * <tt>alwaysReauthenticate</tt> has been set to true.  
  
 
       *  
  
 
       * @return an authenticated <tt>Authentication</tt> object.  
  
 
       */  
  
 
      private Authentication authenticateIfRequired() {  
  
 
          Authentication authentication = SecurityContextHolder.getContext().getAuthentication();  
  
 
  
 
          if (authentication.isAuthenticated() && !alwaysReauthenticate) {  
  
 
              if (logger.isDebugEnabled()) {  
  
 
                  logger.debug("Previously Authenticated: " + authentication);  
  
 
              }  
  
 
  
 
              return authentication;  
  
 
          } 
 

上面的代码首先关注其中的一行代码:  

  
  
 
  ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object); 
 

不错,这行代码就是SecureResourceFilterInvocationDefinitionSource存在的主要目的,它主要提供URL与ROLE这两个东西,至于需要验证的用户来源,上面有句代码:  
  
  
 
  Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); 
 

众所周知,用户登陆成功后,可以通过:  

  
  
 
  (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 
 

上面的代码可以获取当前登陆的用户的基本信息,所以验证时需要它也很自然的。既然所需要的东西都具备了,下面就讲讲该怎么验证的问题了。在上面的AbstractSecurityInterceptor内,有句代码:  
  
  
 
  this.accessDecisionManager.decide(authenticated, object, attr); 
 

上面这个accessDecisionManager就是最开始讲的那个accessDecisionManager,终于回到原来的问题上了,由于上面的配置文件中使用了AffirmativeBased投票策略,下面就直接进入此类的decide方法:  
  
  
 
  public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)  
  
 
          throws AccessDeniedException {  
  
 
          Iterator iter = this.getDecisionVoters().iterator();  
  
 
          int deny = 0;  
  
 
  
 
          while (iter.hasNext()) {  
  
 
              AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();  
  
 
              int result = voter.vote(authentication, object, config);  
  
 
  
 
              switch (result) {  
  
 
              case AccessDecisionVoter.ACCESS_GRANTED:  
  
 
                  return;  
  
 
  
 
              case AccessDecisionVoter.ACCESS_DENIED:  
  
 
                  deny++;  
  
 
  
 
                  break;  
  
 
  
 
              default:  
  
 
                  break;  
  
 
              }  
  
 
          }  
  
 
  
 
          if (deny > 0) {  
  
 
              throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",  
  
 
                      "Access is denied"));  
  
 
          }  
  
 
  
 
          // To get this far, every AccessDecisionVoter abstained  
  
 
          checkAllowIfAllAbstainDecisions();  
  
 
      } 
 

这个方法主要有三个作用,第一作用就是完成投票,第二就是验证,从上面的switch与if语句可以看出,只要有一个投票者赞成,就直接返回,验证通过。如果没有一个投票者赞成(弃权)而且有人反对,deny++,到if(deny>0)时扔出异常,最后禁止访问。最后一句  

  
  
 
  //到这步时,所有的投票者都弃权了  
  
 
  // To get this far, every AccessDecisionVoter abstained  
  
 
          checkAllowIfAllAbstainDecisions(); 
 

这就到了allowIfAllAbstainDecisions属性起作用的时候了。下面就来讲讲AffirmativeBased中用到的投票类RoleVoter,这个类主要工作就是完成投票工作,然后将结果反馈给AffirmativeBased,下面列出RoleVoter的代码:  

  
  
 
  public class RoleVoter implements AccessDecisionVoter {  
  
 
      //~ Instance fields ================================================================================================ 
  
 
  
 
      private String rolePrefix = "ROLE_";  
  
 
  
 
      //~ Methods ======================================================================================================== 
  
 
  
 
      public String getRolePrefix() {  
  
 
          return rolePrefix;  
  
 
      }  
  
 
  
 
      /**  
  
 
       * Allows the default role prefix of <code>ROLE_</code> to be overridden.  
  
 
       * May be set to an empty value, although this is usually not desirable.  
  
 
       *  
  
 
       * @param rolePrefix the new prefix  
  
 
       */  
  
 
      public void setRolePrefix(String rolePrefix) {  
  
 
          this.rolePrefix = rolePrefix;  
  
 
      }  
  
 
  
 
      public boolean supports(ConfigAttribute attribute) {  
  
 
          if ((attribute.getAttribute() != null) && attribute.getAttribute().startsWith(getRolePrefix())) {  
  
 
              return true;  
  
 
          }  
  
 
          else {  
  
 
              return false;  
  
 
          }  
  
 
      }  
  
 
  
 
      /**  
  
 
       * This implementation supports any type of class, because it does not query  
  
 
       * the presented secure object.  
  
 
       *  
  
 
       * @param clazz the secure object  
  
 
       *  
  
 
       * @return always <code>true</code>  
  
 
       */  
  
 
      public boolean supports(Class clazz) {  
  
 
          return true;  
  
 
      }  
  
 
  
 
      public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {  
  
 
          int result = ACCESS_ABSTAIN;  
  
 
          Iterator iter = config.getConfigAttributes().iterator();  
  
 
          GrantedAuthority[] authorities = extractAuthorities(authentication);         
  
 
  
 
          while (iter.hasNext()) {  
  
 
              ConfigAttribute attribute = (ConfigAttribute) iter.next();  
  
 
  
 
              if (this.supports(attribute)) {  
  
 
                  result = ACCESS_DENIED;  
  
 
  
 
                  // Attempt to find a matching granted authority  
  
 
                  for (int i = 0; i < authorities.length; i++) {  
  
 
                      if (attribute.getAttribute().equals(authorities[i].getAuthority())) {  
  
 
                          return ACCESS_GRANTED;  
  
 
                      }  
  
 
                  }  
  
 
              }  
  
 
          }  
  
 
  
 
          return result;  
  
 
      }  
  
 
       
  
 
      GrantedAuthority[] extractAuthorities(Authentication authentication) {  
  
 
      return authentication.getAuthorities();  
  
 
      } 
 

这个类中最重要的代码就是这句:  

  
  
 
  if (attribute.getAttribute().equals(authorities[i].getAuthority())) {  
  
 
                          return ACCESS_GRANTED;  
  
 
                      } 
 

这句代码的意思就是把SecureResourceFilterInvocationDefinitionSource传入的角色名称与SecurityContextHolder.getContext().getAuthentication()传入的用户所拥有的角色的角色名称相比较,如果相等则通过验证。 

在配置文件中还用到了一个投票类AuthenticatedVoter,这个类与RoleVoter属于同级,RoleVoter用来验证角色,那AutherticatedVoter又是用来干什么的呢? 
这个类完整代码:  

  
  
 
  public class AuthenticatedVoter implements AccessDecisionVoter {  
  
 
      //~ Static fields/initializers =====================================================================================  
  
 
  
 
      public static final String IS_AUTHENTICATED_FULLY = "IS_AUTHENTICATED_FULLY";  
  
 
      public static final String IS_AUTHENTICATED_REMEMBERED = "IS_AUTHENTICATED_REMEMBERED";  
  
 
      public static final String IS_AUTHENTICATED_ANONYMOUSLY = "IS_AUTHENTICATED_ANONYMOUSLY";  
  
 
      //~ Instance fields ================================================================================================ 
  
 
  
 
      private AuthenticationTrustResolver authenticationTrustResolver = new AuthenticationTrustResolverImpl();  
  
 
  
 
      //~ Methods ======================================================================================================== 
  
 
  
 
      private boolean isFullyAuthenticated(Authentication authentication) {  
  
 
          return (!authenticationTrustResolver.isAnonymous(authentication)  
  
 
          && !authenticationTrustResolver.isRememberMe(authentication));  
  
 
      }  
  
 
  
 
      public void setAuthenticationTrustResolver(AuthenticationTrustResolver authenticationTrustResolver) {  
  
 
          Assert.notNull(authenticationTrustResolver, "AuthenticationTrustResolver cannot be set to null");  
  
 
          this.authenticationTrustResolver = authenticationTrustResolver;  
  
 
      }  
  
 
  
 
      public boolean supports(ConfigAttribute attribute) {  
  
 
          if ((attribute.getAttribute() != null)  
  
 
              && (IS_AUTHENTICATED_FULLY.equals(attribute.getAttribute())  
  
 
              || IS_AUTHENTICATED_REMEMBERED.equals(attribute.getAttribute())  
  
 
              || IS_AUTHENTICATED_ANONYMOUSLY.equals(attribute.getAttribute()))) {  
  
 
              return true;  
  
 
          } else {  
  
 
              return false;  
  
 
          }  
  
 
      }  
  
 
  
 
      /**  
  
 
       * This implementation supports any type of class, because it does not query the presented secure object.  
  
 
       *  
  
 
       * @param clazz the secure object  
  
 
       *  
  
 
       * @return always <code>true</code>  
  
 
       */  
  
 
      public boolean supports(Class clazz) {  
  
 
          return true;  
  
 
      }  
  
 
  
 
      public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {  
  
 
          int result = ACCESS_ABSTAIN;  
  
 
          Iterator iter = config.getConfigAttributes().iterator();  
  
 
  
 
          while (iter.hasNext()) {  
  
 
              ConfigAttribute attribute = (ConfigAttribute) iter.next();  
  
 
  
 
              if (this.supports(attribute)) {  
  
 
                  result = ACCESS_DENIED;  
  
 
  
 
                  if (IS_AUTHENTICATED_FULLY.equals(attribute.getAttribute())) {  
  
 
                      if (isFullyAuthenticated(authentication)) {  
  
 
                          return ACCESS_GRANTED;  
  
 
                      }  
  
 
                  }  
  
 
  
 
                  if (IS_AUTHENTICATED_REMEMBERED.equals(attribute.getAttribute())) {  
  
 
                      if (authenticationTrustResolver.isRememberMe(authentication)  
  
 
                          || isFullyAuthenticated(authentication)) {  
  
 
                          return ACCESS_GRANTED;  
  
 
                      }  
  
 
                  }  
  
 
  
 
                  if (IS_AUTHENTICATED_ANONYMOUSLY.equals(attribute.getAttribute())) {  
  
 
                      if (authenticationTrustResolver.isAnonymous(authentication) || isFullyAuthenticated(authentication)  
  
 
                          || authenticationTrustResolver.isRememberMe(authentication)) {  
  
 
                          return ACCESS_GRANTED;  
  
 
                      }  
  
 
                  }  
  
 
              }  
  
 
          }  
  
 
  
 
          return result;  
  
 
      } 
 

作用见下面引用: 
引用
 
AuthenticatedVoter用于判断ConfigAttribute上是否拥有IS_AUTHENTICATED_FULLY,IS_AUTHENTICATED_REMEMBERED或IS_AUTHENTICATED_ANONYMOUSLY之类的配置。 
如果配置为IS_AUTHENTICATED_FULLY,那么只有AuthenticationTrustResolver的isAnonymous()和isRememberMe()都返回false时才能通过验证。 
如果配置为IS_AUTHENTICATED_REMEMBERED,那么会在AuthenticationTrustResolver的isAnonymous()返回false时通过验证。 
如果配置为IS_AUTHENTICATED_ANONYMOUSLY,就可以在AuthenticationTrustResolver的isAnonymous()和isRememberMe()两个方法返回任意值时都可以通过验证。 
 

其中上面引用中的ConfigAttribute就是指SecureResourceFilterInvocationDefinitionSource的getAttributes()方法中ConfigAttributeDefinition中的ConfigAttribute,downpour的文章只是传入了ROLE_USER,ROLE_ADMIN等内容,要想让AuthenticatedVoter有用武之地,可以传入 
IS_AUTHENTICATED_FULLY、IS_AUTHENTICATED_REMEMBERED、IS_AUTHENTICATED_ANONYMOUSLY中的值。 

需要注意的是AffirmativeBased中遍历的投票者是要分先后的,也就是说RoleVoter在AuthenticatedVoter前面的话,会先进行RoleVoter验证,如果RoleVoter投票未通过,再进行了AuthenticatedVoter投票。 

这样spring security的验证流程就基本清楚了,当然这篇文章也还是有些地方讲得不完善,以事有时间再来修改。

你可能感兴趣的:(spring-security)

  • Spring-Security(二)OAuth2认证详解(持续更新) lbmydream springcloud架构spring探析springjava后端
    SpringSecurity&Oauth2系列:SpringSecurity(一)源码分析及认证流程SpringSecurity(二)OAuth2认证详解及自定义异常处理文章目录1、OAuth2.0简介1.1OAuth2.0相关名词解释1.2四种授权模式1.3、OAuth2框架1.4OAuth2.0客户端提供功能2、OAuth2.0认证服务2.1SpringSecurityOAuth2提供的程序实
  • spring-security中重写WebSecurityConfigurerAdapter问题 梦Y spring
    继承WebSecurityConfigurerAdapter重写里面的方法,运行一直报这个错误,有没有知道的,指点指点昨天出现这个问题,我查了很多资料都没解决,于是我将WebSecurityConfigurerAdapter这个类的所有方法重写了重新运行错误没有了,我也不是很清楚,网上看了很多的,都只是重写需要的,我这里需要全部重写才可以,有知道欢迎告知我要做的是security用接口的形式请求登
  • Spring Security 自定义SecurityContextRepository zhaoll98k SpringSecurityspringspring-security
    spring-security官网对AuthenticationPersistenceandSessionManagement相关的介绍中提到有关CustomizingWheretheAuthenticationIsStored(自定义认证存储位置)的相关内容,内容中提到可以把已验证的身份信息存储在缓存或数据库中以便进行水平扩展。针对此内容我们来实现一个基于缓存的认证存储。没有基于数据库存储是因为
  • spring-security SecurityContextHolder zhaoll98k SpringSecurityspringsecurityspring
    翻译版本【spring-security6.2.1】SecurityContextHolderSecurityContextHolderSpringSecurity身份验证模型的核心是SecurityContextHolder。它包含SecurityContext。SecurityContextHolder是SpringSecurity存储身份验证详细信息的地方。SpringSecurity并不关
  • Springboot整合Spring-security 李白爱耍酷 springjava
    Springboot整合spring-security1.创建springboot项目2.引入相关依赖。spring-boot-starter-securitymysql-connector-javapersistence-api(mybaits注解支持)spring-security-corespring-boot-starter-thymeleaf//springboot对thymeleaf的
  • spring - security 权限控制 staHuri JAVA
    spring-security文档&源码官方文档本文源码依赖本文在spring-boot中运行,org.springframework.bootspring-boot-starter-security简单案例MVCconfigpackagecom.huifer.security.config;importorg.springframework.context.annotation.Configur
  • spring-security登录和权限管理 有梦想的搬砖者 javaspringsecutiryidea+spring
    springsecurityspringsecurity主要的两个功能是认证和授权认证的大概流程:UsernamepasswordAuthenticationFilter(自定义usernamepassword拦截器)UserDetailService(查询用户密码的service接口)Userdetails(用户类接口)AuthenticationProvide(为认证管理器Authentica
  • spring-security authentication persistence zhaoll98k SpringSecurityspringspring-security
    翻译版本【spring-security6.2.1】persistencePersistingAuthentication用户第一次请求受保护的资源时,系统会提示他们输入凭据。提示输入凭据的最常见方法之一是将用户重定向到登录页面。未经身份验证的用户请求受保护的资源的HTTP交换可能如下所示:例1。未经认证的用户请求受保护的资源:GET/HTTP/1.1Host:example.comCookie:
  • spring-security 默认登录页面 Chengdu.S SpringSecurityspringspringsecurity
    SpringSecurity是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何产生的呢?spring-security默认登录页面版本信息项目搭建步骤源码解析过滤器处理具体分析开启Trace级别日志重定向到/login流程图流程图说明版本信息内容版本JDK17sprin
  • spring-security 过滤器链初始化以及执行过程分析-Servelt Chengdu.S SpringSecurityspringspringsecurity
    spring-security架构-Servlet版本信息JavaWebServletservlet处理http请求过程-Tomcat容器SpringSecurity过滤器链如何注册?DelegatingFilterProxy、FilterChainProxy、SecurityFilterChain执行流程图SpringBootweb项目默认使用的是servlet处理请求的,本章介绍spring-
  • 前端获取Spring-Security用户信息 JayMeWangGL
    方式1:在前端通过el表达式获取:${sessionScope.SPRING_SECURITY_CONTEXT.authentication.principal.username}方式2:在前端通过使用security标签直接获取:IDEA会自动提示property为username,这样使用会报错,请自己加上“principal.”
  • Spring-Security mywaya2333 Springsecrunityspring数据库java
    SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了SpringIoC,DI(控制反转InversionofControl,DI:DependencyInjection依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控
  • 若依用户端与管理端认证分离 白僧 python开发语言
    环境:若依项目将spring-boot升级到3版本,权限效验为spring-security需求:用户端与管理端,或者前台与后台认证分离,两套登录认证体系,两套token。SecurityConfig.java修改放行app//放行app端的验证.requestMatchers("/app/**").permitAll()添加sa-tokencn.dev33sa-token-spring-boot
  • Redis反序列化的一次问题 曾大浩 redis数据库springboot
    redis反序列化的一次问题1.问题描述springboot+redis不少用,但是一直没遇到什么问题,直接代码拷贝上去就用了。这次结合spring-security,将自定义的spring-security的UserDetails接口的实现类SecurityUser,反序列化取出时报错。org.springframework.data.redis.serializer.Serialization
  • springboot整合spring-security(权限框架) 豆豆的java之旅 springboot整合java前端spring
    一.准备工作1.创建maven工程创建导入jar包org.springframework.bootspring-boot-starter-parent2.2.3.RELEASEorg.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-starter-thymeleaforg.springfr
  • SpringBoot-SpringSecurity flash20230513 springboot
    SpringSecurity中文文档:https://springdoc.cn/spring-security/Thymeleaf:https://www.thymeleaf.org/依赖org.thymeleaf.extrasthymeleaf-extras-springsecurity43.0.4.RELEASE-->org.springframework.bootspring-boot-st
  • SpringBoot整合Spring-Security 认证篇(保姆级教程) 剽悍一小兔 springspringbootjava
    本文项目基于以下教程的代码版本:https://javaxbfs.blog.csdn.net/article/details/135195636代码仓库:https://gitee.com/skyblue0678/springboot-demo为了跟shiro区别开,新建了一个分支:目录1、友善问候一下SpringSecurity⭐2、POM依赖3、登录⭐4、根据账号从DB中获取用户实体5、校验密
  • 微服务注册与发现——Eureka star-1331 微服务eureka架构
    文章目录Eureka使用引用配置启动类标记访问微服务注册微服务工程添加引用增加配置启动类增加注解启动服务注册EurekaServer集群部署修改配置文件启动多个eureka实例微服务注册到多个eureka实例为EurekaServer添加用户认证引入spring-security配置关闭security的csrf,否则client无法注册client注册Eureka自我保护模式常见问题1、Cann
  • OAuth 2.0 入门指南:掌握授权码模式 远见阁 javaspringboot
    一、授权码模式(1)spring-security-oauth2从2.4.x版本开始,@EnableAuthorizationServer注解就弃用过时了(2)当前演示Demo版本:springboot的1.5.x版本与spring-security-oauth2的2.3.8.RELEASE整合,如果使用springboot2.x.x版本是不兼容的,程序会报错。(3)spring-security
  • Springboot 整合SpringSecurity实现账号密码+手机验证码登陆 枫林wan Springbootjavaspringbootjava安全
    Springboot整合SpringSecurity实现账号密码+手机验证码登陆示例说明版本示例安装Spring-security介绍为什么不用shiroSpring-Security做用户认证、授权CSRF跨站请求伪造防护iframe嵌入提升用户、编码体验更多SpringSecurity是Spring提供安全管理框架。核心内容包含认证、授权、攻击防护。实际上SpringSecurity已经发展了
  • 【个人版】SpringBoot下Spring-Security核心概念解读【一】 苏南(src) spring-securityspringbootspring-security
    SpringBoot+Spring-Security+FilterChainProxySpring-Security全局导读:1、Security核心类设计2、HttpSecurity结构和执行流程解读3、Spring-Security个人落地篇背景:凡项目内存在与外部系统交互,基本安全校验少不了。因项目规模与框架发展原因,历史项目中很多时候直接在Filter中完成安全校验(HandlerInte
  • 【个人版】SpringBoot下Spring-Security自定义落地篇【三】 苏南(src) spring-securityspringbootspring-security
    背景:前两篇文章将spring-security的设计架构、核心类、配置及构建过程基本过了一遍,其实很偏理论,如果对源码不感兴趣或项目使用不深,基本可以忽略,毕竟完全理解可能也不会用到,时间长也忘掉了。但是如果你想对代码进行微调,或者写出自己想要的设计效果,那么读一读还是很有必要,毕竟开发过程就是一个学习的过程。本篇是在参考遍地继承WebSecurityConfigurerAdapter的方案上,
  • 【个人版】SpringBoot下Spring-Security核心概念解读【二】 苏南(src) spring-securityspringbootspring-security
    Spring-Security+HttpSecuritySpring-Security全局导读:1、Security核心类设计2、HttpSecurity结构和执行流程解读3、Spring-Security个人落地篇背景:Spring-Security框架的核心架构上一篇已经概述,展示其执行流程及逻辑,但是和我们实际使用有点差距,相信大家在使用此框架时,肯定被以下代码迷惑过:@Configurat
  • security实现多种登录方式 1 Eugene03 servletjavaspring
    Security多种方式登录1.Security介绍官网链接:https://docs.spring.io/spring-security/reference/5.7.6/servlet/architecture.html2.Security自定义拦截器实现多种登录方式1.账户密码登录1.自定义MyUsernamePasswordFilter/***2023/2/26**@authorcyh*10
  • Spring-Security登录认证授权原理 IT职业与自媒体思考
    spring-security源码下载地址:https://github.com/spring-projects/spring-securitySpring-Security源码解读:1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:(1)可以看到它默认的登录请求url是"/log
  • 简单的使用SpringBoot整合SpringSecurity 爱笑男孩424 springbootjavaspring
    spring-security简介Spring-Security是针对Spring项目的安全框架,也是Spring-Boot底层安全模块默认的技术类型,他可以实现强大的Web安全控制,对于安全控制,提供身份验证,授权和针对常见攻击的保护。它具有对保护命令式和反应式应用程序保护的一流支持,是保护基于Spring的应用程序的事实标准。我们仅需要引入spring-boot-start-security模
  • 2020-11-07 git tag使用 四线码农
    新增tagv1.0.0gittag-av1.0.0-m"集成登录和权限一起的包,sso使用spring-security,对应的admin版本tag也是v1.0.0"推送到remotegitpushorigin--tags删除tagsgittag-dv0.1.0远端删除gitpushorigin:refs/tags/checkouttaggittag列出所有taggitcheckout这时可以未该
  • Feign接口内部调用进行权限校验 zrx林夕 springCloudspringjava
    在目前微服务的体系下,我们服务url的访问有两种,一种是从网关(gateway,zuul)路由进来,还有一种就是通过feign接口内部调用,那么结合spring-security就存在以下几种场景:1.外部请求从gateway访问,需要鉴权(任何CURD的操作).这是目前最常见的方式,用户正常登录提供token访问接口,我们不再需要做其他处理.2.外部请求从gateway访问,不需要鉴权(eg:刷
  • (二十七)ATP应用测试平台——基于mybatisplus和aop切面实现数据权限隔离的案例实战 北溟溟 ATP应用测试平台#springbootspringboot
    前言在实际项目开发中,我们经常会用到俩种权限,一种是功能权限,一种是数据权限。功能权限主要是用来限制用户的操作,而数据权限是限制用户能查看到哪些数据。功能权限我们可以使用流行的框架shiro或者spring-security实现,本节内容不做介绍。关于数据权限,我们可以根据项目的需求逐个在查询条件处添加,这也是最容易想到的方案。本节内容我们提供一种更加灵活和低耦合的方式实现数据权限过滤。核心思想就
  • Spring-Security基础知识如门 没时间喽 JAVAspringjava后端
    基本概念什么是认证进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。系统为什么要认证?认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。认证:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资
  • 解读Servlet原理篇二---GenericServlet与HttpServlet 周凡杨 javaHttpServlet源理GenericService源码
    在上一篇《解读Servlet原理篇一》中提到,要实现javax.servlet.Servlet接口(即写自己的Servlet应用),你可以写一个继承自javax.servlet.GenericServletr的generic Servlet ,也可以写一个继承自java.servlet.http.HttpServlet的HTTP Servlet(这就是为什么我们自定义的Servlet通常是exte
  • MySQL性能优化 bijian1013 数据库mysql
            性能优化是通过某些有效的方法来提高MySQL的运行速度,减少占用的磁盘空间。性能优化包含很多方面,例如优化查询速度,优化更新速度和优化MySQL服务器等。本文介绍方法的主要有:         a.优化查询         b.优化数据库结构  
  • ThreadPool定时重试 dai_lm javaThreadPoolthreadtimertimertask
    项目需要当某事件触发时,执行http请求任务,失败时需要有重试机制,并根据失败次数的增加,重试间隔也相应增加,任务可能并发。 由于是耗时任务,首先考虑的就是用线程来实现,并且为了节约资源,因而选择线程池。 为了解决不定间隔的重试,选择Timer和TimerTask来完成 package threadpool; public class ThreadPoolTest {
  • Oracle 查看数据库的连接情况 周凡杨 sqloracle 连接
    首先要说的是,不同版本数据库提供的系统表会有不同,你可以根据数据字典查看该版本数据库所提供的表。 select * from dict where table_name like '%SESSION%'; 就可以查出一些表,然后根据这些表就可以获得会话信息 select sid,serial#,status,username,schemaname,osuser,terminal,ma
  • 类的继承 朱辉辉33 java
    类的继承可以提高代码的重用行,减少冗余代码;还能提高代码的扩展性。Java继承的关键字是extends 格式:public class 类名(子类)extends 类名(父类){ } 子类可以继承到父类所有的属性和普通方法,但不能继承构造方法。且子类可以直接使用父类的public和 protected属性,但要使用private属性仍需通过调用。 子类的方法可以重写,但必须和父类的返回值类
  • android 悬浮窗特效 肆无忌惮_ android
    最近在开发项目的时候需要做一个悬浮层的动画,类似于支付宝掉钱动画。但是区别在于,需求是浮出一个窗口,之后边缩放边位移至屏幕右下角标签处。效果图如下:   一开始考虑用自定义View来做。后来发现开线程让其移动很卡,ListView+动画也没法精确定位到目标点。   后来想利用Dialog的dismiss动画来完成。   自定义一个Dialog后,在styl
  • hadoop伪分布式搭建 林鹤霄 hadoop
    要修改4个文件    1: vim hadoop-env.sh  第九行    2: vim core-site.xml            <configuration>     &n
  • gdb调试命令 aigo gdb
    原文:http://blog.csdn.net/hanchaoman/article/details/5517362   一、GDB常用命令简介   r run 运行.程序还没有运行前使用 c             cuntinue 
  • Socket编程的HelloWorld实例 alleni123 socket
    public class Client { public static void main(String[] args) { Client c=new Client(); c.receiveMessage(); } public void receiveMessage(){ Socket s=null; BufferedRea
  • 线程同步和异步 百合不是茶 线程同步异步
    多线程和同步 : 如进程、线程同步,可理解为进程或线程A和B一块配合,A执行到一定程度时要依靠B的某个结果,于是停下来,示意B运行;B依言执行,再将结果给A;A再继续操作。 所谓同步,就是在发出一个功能调用时,在没有得到结果之前,该调用就不返回,同时其它线程也不能调用这个方法   多线程和异步:多线程可以做不同的事情,涉及到线程通知     &
  • JSP中文乱码分析 bijian1013 javajsp中文乱码
            在JSP的开发过程中,经常出现中文乱码的问题。         首先了解一下Java中文问题的由来:         Java的内核和class文件是基于unicode的,这使Java程序具有良好的跨平台性,但也带来了一些中文乱码问题的麻烦。原因主要有两方面,
  • js实现页面跳转重定向的几种方式 bijian1013 JavaScript重定向
            js实现页面跳转重定向有如下几种方式: 一.window.location.href <script language="javascript"type="text/javascript"> window.location.href="http://www.baidu.c
  • 【Struts2三】Struts2 Action转发类型 bit1129 struts2
     在【Struts2一】 Struts Hello World http://bit1129.iteye.com/blog/2109365中配置了一个简单的Action,配置如下   <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configurat
  • 【HBase十一】Java API操作HBase bit1129 hbase
    Admin类的主要方法注释:   1. 创建表 /** * Creates a new table. Synchronous operation. * * @param desc table descriptor for table * @throws IllegalArgumentException if the table name is res
  • nginx gzip ronin47 nginx gzip
    Nginx GZip 压缩 Nginx GZip 模块文档详见:http://wiki.nginx.org/HttpGzipModule 常用配置片段如下: gzip on; gzip_comp_level 2; # 压缩比例,比例越大,压缩时间越长。默认是1 gzip_types text/css text/javascript; # 哪些文件可以被压缩 gzip_disable &q
  • java-7.微软亚院之编程判断俩个链表是否相交 给出俩个单向链表的头指针,比如 h1 , h2 ,判断这俩个链表是否相交 bylijinnan java
    public class LinkListTest { /** * we deal with two main missions: * * A. * 1.we create two joined-List(both have no loop) * 2.whether list1 and list2 join * 3.print the join
  • Spring源码学习-JdbcTemplate batchUpdate批量操作 bylijinnan javaspring
    Spring JdbcTemplate的batch操作最后还是利用了JDBC提供的方法,Spring只是做了一下改造和封装 JDBC的batch操作: String sql = "INSERT INTO CUSTOMER " + "(CUST_ID, NAME, AGE) VALUES (?, ?, ?)";
  • [JWFD开源工作流]大规模拓扑矩阵存储结构最新进展 comsci 工作流
        生成和创建类已经完成,构造一个100万个元素的矩阵模型,存储空间只有11M大,请大家参考我在博客园上面的文档"构造下一代工作流存储结构的尝试",更加相信的设计和代码将陆续推出.........     竞争对手的能力也很强.......,我相信..你们一定能够先于我们推出大规模拓扑扫描和分析系统的....
  • base64编码和url编码 cuityang base64url
    import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.PrintWriter; import java.io.StringWriter; import java.io.UnsupportedEncodingException;
  • web应用集群Session保持 dalan_123 session
    关于使用 memcached 或redis 存储 session ,以及使用 terracotta 服务器共享。建议使用 redis,不仅仅因为它可以将缓存的内容持久化,还因为它支持的单个对象比较大,而且数据类型丰富,不只是缓存 session,还可以做其他用途,一举几得啊。1、使用 filter 方法存储这种方法比较推荐,因为它的服务器使用范围比较多,不仅限于tomcat ,而且实现的原理比较简
  • Yii 框架里数据库操作详解-[增加、查询、更新、删除的方法 'AR模式'] dcj3sjt126com 数据库
        public function getMinLimit () {        $sql = "...";        $result = yii::app()->db->createCo
  • solr StatsComponent(聚合统计) eksliang solr聚合查询solr stats
    StatsComponent 转载请出自出处:http://eksliang.iteye.com/blog/2169134 http://eksliang.iteye.com/ 一、概述        Solr可以利用StatsComponent 实现数据库的聚合统计查询,也就是min、max、avg、count、sum的功能   二、参数
  • 百度一道面试题 greemranqq 位运算百度面试寻找奇数算法bitmap 算法
    那天看朋友提了一个百度面试的题目:怎么找出{1,1,2,3,3,4,4,4,5,5,5,5}  找出出现次数为奇数的数字.   我这里复制的是原话,当然顺序是不一定的,很多拿到题目第一反应就是用map,当然可以解决,但是效率不高。   还有人觉得应该用算法xxx,我是没想到用啥算法好...!   还有觉得应该先排序...   还有觉
  • Spring之在开发中使用SpringJDBC ihuning spring
      在实际开发中使用SpringJDBC有两种方式:   1. 在Dao中添加属性JdbcTemplate并用Spring注入;     JdbcTemplate类被设计成为线程安全的,所以可以在IOC 容器中声明它的单个实例,并将这个实例注入到所有的 DAO 实例中。JdbcTemplate也利用了Java 1.5 的特定(自动装箱,泛型,可变长度
  • JSON API 1.0 核心开发者自述 | 你所不知道的那些技术细节 justjavac json
    2013年5月,Yehuda Katz 完成了JSON API(英文,中文) 技术规范的初稿。事情就发生在 RailsConf 之后,在那次会议上他和 Steve Klabnik 就 JSON 雏形的技术细节相聊甚欢。在沟通单一 Rails 服务器库—— ActiveModel::Serializers 和单一 JavaScript 客户端库——&
  • 网站项目建设流程概述 macroli 工作
    一.概念 网站项目管理就是根据特定的规范、在预算范围内、按时完成的网站开发任务。 二.需求分析 项目立项   我们接到客户的业务咨询,经过双方不断的接洽和了解,并通过基本的可行性讨论够,初步达成制作协议,这时就需要将项目立项。较好的做法是成立一个专门的项目小组,小组成员包括:项目经理,网页设计,程序员,测试员,编辑/文档等必须人员。项目实行项目经理制。 客户的需求说明书   第一步是需
  • AngularJs 三目运算 表达式判断 qiaolevip 每天进步一点点学习永无止境众观千象AngularJS
    事件回顾:由于需要修改同一个模板,里面包含2个不同的内容,第一个里面使用的时间差和第二个里面名称不一样,其他过滤器,内容都大同小异。希望杜绝If这样比较傻的来判断if-show or not,继续追究其源码。 var b = "{{", a = "}}"; this.startSymbol = function(a) {
  • Spark算子:统计RDD分区中的元素及数量 superlxw1234 sparkspark算子Spark RDD分区元素
    关键字:Spark算子、Spark RDD分区、Spark RDD分区元素数量     Spark RDD是被分区的,在生成RDD时候,一般可以指定分区的数量,如果不指定分区数量,当RDD从集合创建时候,则默认为该程序所分配到的资源的CPU核数,如果是从HDFS文件创建,默认为文件的Block数。   可以利用RDD的mapPartitionsWithInd
  • Spring 3.2.x将于2016年12月31日停止支持 wiselyman Spring 3
                  Spring 团队公布在2016年12月31日停止对Spring Framework 3.2.x(包含tomcat 6.x)的支持。在此之前spring团队将持续发布3.2.x的维护版本。          请大家及时准备及时升级到Spring
  • fis纯前端解决方案fis-pure zccst JavaScript
    作者:zccst FIS通过插件扩展可以完美的支持模块化的前端开发方案,我们通过FIS的二次封装能力,封装了一个功能完备的纯前端模块化方案pure。 1,fis-pure的安装 $ fis install -g fis-pure $ pure -v 0.1.4 2,下载demo到本地 git clone https://github.com/hefangshi/f
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他