现在很多企业和开发团队都使用了SSH2（Struts 2 +Spring 2.5 +Hibernate）框架来进行开发，  我们或许已经习惯了强大的Spring Framework 全局配置管理，不可否认，Sping是一个很优秀的开源框架，但是由于Spring3.0版本后强大的的注解式bean的诞生，Spring MVC框架这匹黑马正悄然杀起，但今天Spring MVC不是主角，今天我和大家分享一个同样隶属于SpringSource 的安全框架——Spring Security， 下面的基于Spring MVC给大家分享一下Spring Security  的使用。虽然对它的接触时间不长，参考了一些网上朋友的做法，但也按照我的理解把这个框架介绍介绍，不是很专业，还请大家不要介意 。

我们知道，Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。用户认证指的是验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个资源来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。

首先，我们看web.xml

Java代码  

1. <?xml version="1.0" encoding="UTF-8"?>
2. <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
3. xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
4. http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
5. <!-- 编码统一最好放最上面，最先加载，防止乱码-->
6. <filter>
7. <filter-name>Set Character Encoding</filter-name>
8. <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
9. <init-param>
10. <param-name>encoding</param-name>
11. <param-value>UTF-8</param-value>
12. </init-param>
13. <init-param>
14. <param-name>forceEncoding</param-name>
15. <param-value>true</param-value><!-- 强制进行转码 -->
16. </init-param>
17. </filter>
18. <filter-mapping>
19. <filter-name>Set Character Encoding</filter-name>
20. <url-pattern>/*</url-pattern>
21. </filter-mapping>
22. <!-- 然后接着是SpringSecurity必须的filter 优先配置，让SpringSecurity先加载，防止SpringSecurity拦截失效-->
23. <filter>
24. <filter-name>springSecurityFilterChain</filter-name>
25. <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
26. </filter>
27. <filter-mapping>
28. <filter-name>springSecurityFilterChain</filter-name>
29. <url-pattern>/*</url-pattern>
30. </filter-mapping>
31. <welcome-file-list>
32. <welcome-file>index.jsp</welcome-file>
33. </welcome-file-list>
34. <!--
35. spring需要加载的配置文件
36. -->
37. <context-param>
38. <param-name>contextConfigLocation</param-name>
39. <param-value>
40. WEB-INF/classes/applicationContext.xml,
41. WEB-INF/spring3-servlet.xml,
42. WEB-INF/spring-security.xml
43. </param-value>
44. </context-param>
45. <listener>
46. <listener-class>
47. <!--     所以，要在web.xml下面配置好监听，让服务器启动时就初始化改类，可以得到request   -->
48. org.springframework.web.context.request.RequestContextListener
49. </listener-class>
50. </listener>
51. <listener>
52. <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
53. </listener>
54. <!--
55. 默认所对应的配置文件是WEB-INF下的{servlet-name}-servlet.xml，这里便是：spring3-servlet.xml
56. -->
57. <servlet>
58. <servlet-name>spring3</servlet-name>
59. <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
60. <load-on-startup>1</load-on-startup>
61. </servlet>
62. <servlet-mapping>
63. <servlet-name>spring3</servlet-name>
64. <!--
65. 这里可以用 / 但不能用 /*
66. ，拦截了所有请求会导致静态资源无法访问，所以要在spring3-servlet.xml中配置mvc:resources
67. -->
68. <url-pattern>/</url-pattern>
69. </servlet-mapping>
70. </web-app>

注释已经写了挺多，还是稍微解释一下要注意的地方，一个是UTF-8编码转换，这个最好加在最前面，让它先生效，我在调试的时候就出过这种情况，web.xml里的其他配置都正常生效了，但是编码死活不行，一中文就乱码，郁闷了老半天，然后突发奇想，是不是web.xml里先声明的配置先生效，后声明的后生效？接着实践，果然不出我所料，把编码转换加在前面，一切正常。。。。我那个晕。。。

关于Spirng MVC的就不说了，那些数据访问、业务和控制层那些的东东就自个研究去了吧。。这不是今天的重点。

接着是spring-security.xml

Java代码  

1. <?xml version="1.0" encoding="UTF-8"?>
2. <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
3. xmlns:security="http://www.springframework.org/schema/security"
4. xsi:schemaLocation="http://www.springframework.org/schema/beans
5. http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
6. http://www.springframework.org/schema/security
7. http://www.springframework.org/schema/security/spring-security-3.0.xsd">
8. <!--  Spring-Security 的配置 -->
9. <!--
10. 注意use-expressions=true.表示开启表达式,否则表达式将不可用. see:http://www.family168.com/tutorial/springsecurity3/html/el-access.html
11. -->
12. <security:http auto-config="true" use-expressions="false" access-denied-page="/user/login_failure.html">
13. <!--允许所有人访问-->
14. <!--     <security:intercept-url pattern="/**" access="permitAll" />-->
15. <!--允许ROLE_ADMIN权限访问-->
16. <security:intercept-url pattern="/user/findAll.html" access="ROLE_ADMIN" />
17. <!--允许ROLE_ADMIN权限访问-->
18. <security:intercept-url pattern="/user/**" access="ROLE_ADMIN" />
19. <!--允许ROLE_USER权限访问-->
20. <security:intercept-url pattern="/success.jsp" access="ROLE_USER,ROLE_ADMIN" />
21. <!--允许IS_AUTHENTICATED_ANONYMOUSLY匿名访问-->
22. <security:intercept-url pattern="/anonymously.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />
23. <!-- filters="none"  不过滤这些资源-->
24. <security:intercept-url pattern="/js/**" filters="none" />
25. <security:intercept-url pattern="/index.jsp" filters="none" />
26. <!-- login-page:默认指定的登录页面. authentication-failure-url:出错后跳转页面. default-target-url:成功登陆后跳转页面 -->
27. <security:form-login login-page="/index.jsp" authentication-failure-url="/user/login_failure.html"
28. default-target-url="/success.jsp" />
29. <!--
30. invalidate-session：指定在退出系统时是否要销毁Session。logout-success-url：退出系统后转向的URL。logout-url：指定了用于响应退出系统请求的URL。其默认值为：/j_spring_security_logout。
31. -->
32. <security:logout invalidate-session="true" logout-success-url="/index.jsp" logout-url="/j_spring_security_logout" />
33. <!--
34. max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。exception-if-maximum-exceeded:
35. 默认为false，此值表示：用户第二次登录时，前一次的登录信息都被清空。当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。
36. -->
37. <security:session-management>
38. <security:concurrency-control error-if-maximum-exceeded="true" max-sessions="1" />
39. </security:session-management>
40. </security:http>
41. <!-- 指定一个自定义的authentication-manager :customUserDetailsService -->
42. <security:authentication-manager>
43. <security:authentication-provider user-service-ref="customUserDetailsService">
44. <security:password-encoder ref="passwordEncoder" />
45. </security:authentication-provider>
46. </security:authentication-manager>
47. <!-- 对密码进行MD5编码 -->
48. <bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
49. <!--
50. 通过 customUserDetailsService,Spring会控制用户的访问级别.
51. 也可以理解成:以后我们和数据库操作就是通过customUserDetailsService来进行关联.
52. -->
53. <bean id="customUserDetailsService" class="org.yzsoft.springmvcdemo.util.CustomUserDetailsService" />
54. <!-- 自定义登陆错误提示，可以取出mymessages.properties的国际化消息-->
55. <bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
56. <property name="basename" value="classpath:org/yzsoft/springmvcdemo/mymessages" />
57. </bean>
58. <bean id="localeResolver" class="org.springframework.web.servlet.i18n.AcceptHeaderLocaleResolver" />
59. </beans>

Java代码  

1. <security:intercept-url pattern="/findAll.html" access="hasRole('ROLE_ADMIN')" />
2. <security:intercept-url pattern="/user/**" access="hasRole('ROLE_ADMIN')" />
3. <security:intercept-url pattern="/anonymously.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY" />

Java代码  

1. <security:form-login login-page="/index.jsp" authentication-failure-url="/user/login_failure.html"default-target-url="/user/findAll.html" />
2. <security:logout invalidate-session="true" logout-success-url="/index.jsp" logout-url="/user/login_failure.html" />

Java代码  

1. <security:session-management>
2. <security:concurrency-control error-if-maximum-exceeded="true" max-sessions="1" />
3. </security:session-management>

Java代码  

1. <security:authentication-manager>
2. <security:authentication-provider user-service-ref="customUserDetailsService">
3. <security:password-encoder ref="passwordEncoder" />
4. </security:authentication-provider>
5. </security:authentication-manager>
6. <!-- 对密码进行MD5编码 -->
7. <bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
8. <bean id="customUserDetailsService" class="org.yzsoft.springmvcdemo.util.CustomUserDetailsService" />

Java代码  

1. package org.yzsoft.springmvcdemo.util;
2. import java.util.ArrayList;
3. import java.util.Collection;
4. import java.util.List;
5. import org.apache.log4j.Logger;
6. import org.springframework.beans.factory.annotation.Autowired;
7. import org.springframework.dao.DataAccessException;
8. import org.springframework.security.core.GrantedAuthority;
9. import org.springframework.security.core.authority.GrantedAuthorityImpl;
10. import org.springframework.security.core.userdetails.User;
11. import org.springframework.security.core.userdetails.UserDetails;
12. import org.springframework.security.core.userdetails.UserDetailsService;
13. import org.springframework.security.core.userdetails.UsernameNotFoundException;
14. import org.yzsoft.springmvcdemo.serviceimpl.UsersServiceImpl;
15. import org.yzsoft.springmvcdemo.vo.TUsers;
16. /**
17. * 一个自定义的类用来和数据库进行操作. 即以后我们要通过数据库保存权限.则需要我们继承UserDetailsService
18. *
19. * @author
20. *
21. */
22. public class CustomUserDetailsService implements UserDetailsService {
23. protected static Logger logger = Logger.getLogger("service");//log4j，不用解释了吧。。
24. @Autowired
25. private UsersServiceImpl usersService;
26. public UsersServiceImpl getUsersService() {
27. return usersService;
28. }
29. public void setUsersService(UsersServiceImpl usersService) {
30. this.usersService = usersService;
31. }
32. public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException, DataAccessException {
33. UserDetails user = null;
34. try {
35. // 搜索数据库以匹配用户登录名.
36. // 我们可以通过dao使用Hibernate来访问数据库
37. System.out.println(username + "   用户页面输入的用户名");
38. TUsers tusers = this.usersService.findByUsername(username);
39. System.out.println(tusers.getUsername() + "   数据库取出的用户名");
40. // Populate the Spring User object with details from the dbUser
41. // Here we just pass the username, password, and access level
42. // getAuthorities() will translate the access level to the correct
43. // role type
44. // 用户名、密码、是否启用、是否被锁定、是否过期、权限
45. user = new User(tusers.getUsername(), tusers.getPassword().toLowerCase(), true, true, true, true, getAuthorities(Integer.parseInt(tusers.getRole())));
46. } catch (Exception e) {
47. logger.error("用户信息错误！");
48. throw new UsernameNotFoundException("异常处理：检索用户信息未通过！");
49. }
50. return user;
51. }
52. /**
53. * 获得访问角色权限列表
54. *
55. * @param access
56. * @return
57. */
58. public Collection<GrantedAuthority> getAuthorities(Integer role) {
59. System.out.println("取得的权限是  :" + role);
60. List<GrantedAuthority> authList = new ArrayList<GrantedAuthority>();
61. // 所有的用户默认拥有ROLE_USER权限
62. if (role == 0) {
63. System.out.println("普通用户");
64. logger.debug("取得普通用户权限-->");
65. authList.add(new GrantedAuthorityImpl("ROLE_USERS"));
66. }
67. // 如果参数role为1.则拥有ROLE_ADMIN权限
68. if (role == 1) {
69. logger.debug("取得ADMIN用户权限-->");
70. authList.add(new GrantedAuthorityImpl("ROLE_ADMIN"));
71. }
72. System.out.println(authList.size()+"  权限列表长度");
73. return authList;
74. }
75. }

Java代码  

1. TUsers tusers = this.usersService.findByUsername(username);
2. user = new User(tusers.getUsername(), tusers.getPassword().toLowerCase(), true, true, true, true, getAuthorities(Integer.parseInt(tusers.getRole())));

Java代码  

1. <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
2. <%
3. String path = request.getContextPath();
4. String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
5. %>
6. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
7. <html>
8. <head>
9. <base href="<%=basePath%>">
10. <title>My JSP 'index.jsp' starting page</title>
11. <meta http-equiv="pragma" content="no-cache">
12. <meta http-equiv="cache-control" content="no-cache">
13. <meta http-equiv="expires" content="0">
14. <meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
15. <meta http-equiv="description" content="This is my page">
16. </head>
17. <body>
18. 用户登陆 <br>
19. ${SPRING_SECURITY_LAST_EXCEPTION.message}
20. <form action="j_spring_security_check" method="post">
21. USERNAME:<input type="text" name="j_username" value="${sessionScope['SPRING_SECURITY_LAST_USERNAME']}" /><br/>
22. PASSWORD:<input type="password" name="j_password" value="" /><br/>
23. <input type="checkbox" name="_spring_security_remember_me" />两周之内不必登陆(这个功能没有做的)<br/>
24. <input type="submit">
25. </form>
26. </body>
27. </html>