在認識Spring Security之前,所有的權限驗證邏輯都混雜在業務邏輯中,用戶的每個操作以前可能都需要對用戶是否有進行該項操作的權限進行判斷,來達到認證授權的目的。類似這樣的權限驗證邏輯代碼被分散在系統的許多地方,難以維護。AOP(Aspect OrientedProgramming)和Spring Security爲我們的應用程序很好的解決了此類問題,正如系統日誌,事務管理等這些系統級的服務一樣,我們應該將它作爲系統一個單獨的”切面”進行管理,以達到業務邏輯與系統級的服務真正分離的目的,Spring Security將系統的安全邏輯從業務中分離出來。
本文代碼運行環境:
JDK6.0
spring-framework-2.5.4
spring-security-2.0.0
JavaEE5
Web容器:
Apache Tomcat6.0
IDE工具:
Eclipse3.3+MyEclipse6.5
操作系統:
Linux(Fedora 8)
這只是我個人的學習總結而已,還請高手們指出本文的不足之處。
一 Spring Security 簡介
這裏提到的Spring Security也就是被大家廣爲熟悉的Acegi Security,2007年底Acegi Security正式成爲Spring Portfolio項目,並更名爲Spring Security。Spring Security是一個能夠爲基於Spring的企業應用系統提供描述性安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC(依賴注入,也稱控制反轉)和AOP(面向切面編程)功能,爲應用系統提供聲明式的安全訪問控制功能,減少了爲企業系統安全控制編寫大量重複代碼的工作。
通過在許多項目中實踐應用以及社區的貢獻,如今的Spring Security已經成爲Spring Framework下最成熟的安全系統,它爲我們提供了強大而靈活的企業級安全服務,如:
Ø 認證授權機制
Ø Web資源訪問控制
Ø 業務方法調用訪問控制
Ø 領域對象訪問控制Access Control List(ACL)
Ø 單點登錄(Central Authentication Service)
Ø X509認證
Ø 信道安全(Channel Security)管理等功能
當保護Web資源時,Spring Security使用Servlet 過濾器來攔截Http請求進行身份驗證並強制安全性,以確保WEB資源被安全的訪問。如下圖是Spring
Security的主要組件圖(摘自《Spring in Action》):
圖1 Spring Security的基本組件
無論是保護WEB資源還是保護業務方法或者領域對象,Spring Security都的通過上圖中的組件來完成的。本文主要闡述如何使用Spring Security對WEB應用程序的資源進行安全訪問控制,並通過一個簡單的實例來對Spring Security提供的各種過濾器的功能和配置方法進行描述。
二 保護Web資源
Spring Security提供了很多的過濾器,它們攔截Servlet請求,並將這些請求轉交給認證處理過濾器和訪問決策過濾器進行處理,並強制安全性,認證用戶身份和用戶權限以達到保護Web資源的目的。對於Web資源我們大約可以只用6個過濾器來保護我們的應用系統,下表列出了這些安全過濾器的名稱作用以及它們在系統中的執行順序:
|
過 濾 器 |
作 用 |
|
通道處理過濾器 |
確保請求是在安全通道(HTTP和HTTPS)之上傳輸的 |
|
認證處理過濾器 |
接受認證請求,並將它們轉交給認證管理器進行身份驗證 |
|
CAS處理過濾器 |
接受CAS服務票據,驗證Yale CAS(單點登錄)是否已經對用戶進行了認證 |
|
HTTP基本授權過濾器 |
處理使用HTTP基本認證的身份驗證請求 |
|
集成過濾器 |
處理認證信息在請求間的存儲(比如在HTTP會話中) |
|
安全強制過濾器 |
確保用戶己經認證,並且滿足訪問一個受保護Web資源的權限需求 |
接下來,通過一個實例來說明它們的具體使用方法和如何在Spring中進行配置。
1 建立Spring Security項目
首先在MyEclipse中創建一個Web Project,並使用MyEclipse工具導入Spring項目的依賴JAR包,並生成默認的,這裏暫時不會用到這個文件,本文只是通過一個簡單的實例來說明如何配置使用Spring Security,不會涉及到數據庫,而是使用一個用戶屬性(users.properties)文件來保存用戶信息(包括用戶名,密碼及相應的權限),但在實際的項目中,我們很少會這樣做,而是應該把用戶信息存在數據庫中,下一篇文章中將會詳細介紹並用到這個文件來配置Hibernate,這裏我們保留它。
現在還需要爲項目導入Spring Security的JAR包,它沒有包括在Spring Framework中,你可以從http://www.springframework.org/download/下載,並將spring-security-core-2.0.0.jar(這是核心代碼庫)和spring-security-core-tiger-2.0.0.jar(和annotation有關的,比如使用註解對方法進行安全訪問控制,在下一篇中會用到)拷貝到項目的lib目錄下,其中也包括兩個實例(tutorial和contacts),並且兩個實例中都包括瞭如何使用Spring 2.0的命名空間來配置Spring Security,無論你對Spring 2.0命名空間的使用是否瞭解,它將使我們的配置文件大大縮短,簡化開發,提高生產效率。到此,我們的Spring Security項目就建好了,項目目錄結構如下圖所示:
圖2 項目目錄結構
2 配置web.xml
Spring Security使用一組過濾器鏈來對用戶進行身份驗證和授權。首先,在web.xml文件中添加FilterToBeanProxy過濾器配置:
2 <filter-name>springSecurityFilterChain</filter-name>
3 <filter-class>
4 org.springframework.security.util.FilterToBeanProxy
5 </filter-class>
6 <init-param>
7 <param-name>targetClass</param-name>
8 <param-value>
9 org.springframework.security.util.FilterChainProxy
10 </param-value>
11 </init-param>
12 </filter>
13
org.springframework.security.util.FilterToBeanProxy實現了Filter接口,它通過調用WebapplicationContextUtils類的getWebApplicationnContext(servletContext)方法來獲取Spring的應用上下文句柄,並通過getBean(beanName)方法來獲取Spring受管Bean的對象,即這裏targetClass參數配置的Bean,並通過調用FilterChain
Proxy的init()方法來啓動Spring
Security過濾器鏈進行各種身份驗證和授權服務(FilterChainProxy類也是實現了Filter接口),從而將過濾功能委託給Spring的FilterChainProxy受管Bean(它維護着一個處理驗證和授權的過濾器列表,列表中的過濾器按照一定的順序執行並完成認證過程),這樣即簡化了web.xml文件的配置,又能充分利用Spring的IoC功能來完成這些過濾器執行所需要的其它資源的注入。
當用戶發出請求,過濾器需要根據web.xml配置的請求映射地址來攔截用戶請求,這時Spring Security開始工作,它會驗證你的身份以及當前請求的資源是否與你擁有的權限相符,從而達到保護Web資源的功能,下面是本例所要過濾的用戶請求地址:
2
3 <filter-name>springSecurityFilterChain</filter-name>
4
5 <url-pattern>/j_spring_security_check</url-pattern>
6
7 </filter-mapping>
8
9 <filter-mapping>
10
11 <filter-name>springSecurityFilterChain</filter-name>
12
13 <url-pattern>/*</url-pattern>
14
15 </filter-mapping>
| 提示: /j_spring_security_check是Spring Security默認的進行表單驗證的過濾地址,你也可以修改爲別的名稱,但是需要和 applicationContext-security.xml中相對應,當然還會涉及到其它一些默認值(可能是一個成員變量,也可能是別的請 求地址),在下文我們將看到,建議你在閱讀此文的同時,應該參照Spring Security項目的源代碼,便於你更好的理解。 |
3 配置applicationContext-security.xml
3.1 FilterChainProxy過濾器鏈
FilterChainProxy會按順序來調用一組filter,使這些filter即能完成驗證授權的本質工作,又能享用Spring Ioc的功能來方便的得到其它依賴的資源。FilterChainProxy配置如下:
class="org.springframework.security.util.FilterChainProxy">
2 <property name="filterInvocationDefinitionSource">
3 <value><![CDATA[
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
4 PATTERN_TYPE_APACHE_ANT
/**=httpSessionContextIntegrationFilter,logoutFilter,
5 authenticationProcessingFilter,securityContextHolderAwareRequestFilter,
6 rememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,
7 filterSecurityInterceptor
8 ]]></value>
9 </property>
10 </bean>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 定義URL在匹配之前必須先轉爲小寫,PATTERN_TYPE_APACHE_ANT 定義了使用Apache ant的匹配模式,/**定義的將等號後面的過濾器應用在那些URL上,這裏使用全部URL過濾,每個過濾器之間都適用逗號分隔,它們按照一定的順序排列。
| 提示: 特別需要注意的是,即使你配置了系統提供的所有過濾器,這個過濾器鏈會很長,但是千萬不要使用換行,否則它們不會正常工作, 容器甚至不能正常啓動。 |
下面根據FilterChainProxy的配置來介紹各個過濾器的配置,各個過濾器的執行順序如以上配置。
首先是通道處理過濾器,如果你需要使用HTTPS,這裏我們就使用HTTP進行傳輸,所以不需要配置通道處理過濾器,然後是集成過濾器,配置如下:
2
3 class="org.springframework.security.context.HttpSessionContextIntegrationFilter"/>
httpSessionContextIntegrationFilter是集成過濾器的一個實現,在用戶的一個請求過程中,用戶的認證信息通過SecurityContextHolder(使用ThreadLoacl實現)進行傳遞的,所有的過濾器都是通過SecurityContextHolder來獲取用戶的認證信息,從而在一次請求中所有過濾器都能共享Authentication(認證),減少了HttpRequest參數的傳送,下面的代碼是從安全上下文的獲取Authentication對象的方法:
2
3 Authentication authentication = context.getAuthentication();
但是,ThreadLoacl不能跨越多個請求存在,所以,集成過濾器在請求開始時從Http會話中取出用戶認證信息並創建一個SecurityContextHolder將Authentication對象保存在其中,在請求結束之後,在從SecurityContextHolder中獲取Authentication對象並將其放回Http會話中,共下次請求使用,從而達到了跨越多個請求的目的。集成過濾器還有其它的實現,可以參考相關文檔。
| 提示: 集成過濾器必須在其它過濾器之前被使用。 |
logoutFilter(退出過濾器) ,退出登錄操作:
2
3 class="org.springframework.security.ui.logout.LogoutFilter">
4
5 <constructor-arg value="/index.jsp"/>
6
7 <constructor-arg>
8
9 <list>
10
11 <!-- 實現了LogoutHandler接口(logout方法) -->
12
13 <ref bean="rememberMeServices"/>
14
15 <bean class="org.springframework.security.ui.logout.SecurityContextLogoutHandler"/>
16
17 </list>
18
19 </constructor-arg>
20
21 </bean>
LogoutFilter的構造函數需要兩個參數,第一個是退出系統後系統跳轉到的URL,第二個是一個LogoutHandler類型的數組,這個數組裏的對象都實現了LogoutHandler接口,並實現了它的logout方法,用戶在發送退出請求後,會一次執行LogoutHandler數組的對象並調用它們的 logout方法進行一些後續的清理操作,主要是從SecurityContextHolder對象中清楚所有用戶的認證信息(Authentication對象),將用戶的會話對象設爲無效,這些都時由SecurityContextLogoutHandler來完成。LogoutFilter還會清除Cookie記錄,它由另外一個Bean來完成(RememberMeServices)。
<ref bean="rememberMeServices"/>標記指向了我們另外配置的一個Bean:
class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices"
2 p:key="springsecurity"
3 p:userDetailsService-ref="userDetailsService"/>
TokenBasedRememberMeServices繼承自系統的AbstractRememberMeServices抽象類(實現了RememberMeServices和 LogoutHandler兩個接口), RememberMeServices接口的loginSuccess方法負責在用戶成功登錄之後將用戶的認證信息存入Cookie中,這個類在後續的過濾器執行過程中也會被用到。
另一個userDetailsService屬性也是指向了我們配置的Bean, 它負責從數據庫中讀取用戶的信息,這個類的詳細配置將在後面的部分詳細介紹,這裏只是簡單的認識一下。
過濾器鏈的下個配置的過濾器是authenticationProcessingFilter(認證過程過濾器),我們使用它來處理表單認證,當接受到與filterProcessesUrl所定義相同的請求時它開始工作:
2
3 class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter"
4
5 p:authenticationManager-ref="authenticationManager"
6 p:authenticationFailureUrl="/login.jsp?login_error=1"
7 p:defaultTargetUrl="/default.jsp"
8 p:filterProcessesUrl="/j_spring_security_check"
9 p:rememberMeServices-ref="rememberMeServices"/>
下面列出了認證過程過濾器配置中各個屬性的功能:
1.authenticationManager 認證管理器
2.authenticationFailureUrl 定義登錄失敗時轉向的頁面
3.defaultTargetUrl 定義登錄成功時轉向的頁面
4.filterProcessesUrl 定義登錄請求的地址(在web.xml中配置過)
5.rememberMeServices 在驗證成功後添加cookie信息
這裏也用到了rememberMeServices,如果用戶認證成功,將調用RememberMeServices的loginSuccess方法將用戶認證信息寫入Cookie中,這裏也可以看到使用IoC的好處。
決定用戶是否有權限訪問受保護資源的第一步就是要確定用戶的身份,最常用的方式就是用戶提供一個用戶名和密碼以確認用戶的身份是否合法,這一步就是由認證過程過濾器調用authenticationManager(認證管理器)來完成的。org.springframework.security.AuthenticationManager接口定義了一個authenticate方法,它使用Authentication作爲入口參數(只包含用戶名和密碼),並在驗證成功後返回一個完整的Authentication對象(包含用戶的權限信息GrantedAuthority數組對象),authenticationProcessingFilter(認證過程過濾器)會將這個完整的Authentication對象存入SecurityContext中,如果認證失敗會拋出一個AuthenticationException並跳轉到authenticationFailureUrl 定義的URL。認證管理其配置如下:
2
3 class="org.springframework.security.providers.ProviderManager"
4 p:sessionController-ref="concurrentSessionController">
5 <property name="providers">
6 <list>
7 <ref bean="daoAuthenticationProvider"/>
8 <bean
9
10 class="org.springframework.security.providers.anonymous.AnonymousAuthenticationProvider"
11 p:key="springsecurity"/>
12 <bean
13
14 class="org.springframework.security.providers.rememberme.RememberMeAuthenticationProvider"
15 p:key="springsecurity"/>
16 </list>
17 </property>
18 </bean>
正如在配置中看到的一樣,系統使用org.springframework.security.providers.ProviderManager(提供者管理器)類作爲認證管理器的一個實現,事實上這個類是繼承自實現了AuthenticationManager接口的AbstractAuthenticationManager類。需要注意的是ProviderManager(提供者管理器)自己並不實現身份驗證,而是把這項工作交給了多個認證提供者(提供者集合)或者說的多個認證來源。
| 提示: Spring Security爲我們提供的所有認證提供者實現都是org.springframework.security.providers .AuthenticationProvider 接口的實現類,它們都實現了此接口的authenticate方法,如果你正在看源代碼,會發現這個authenticate方法事實上和Authe nticationManager(認證管理器)接口的authenticate方法完全一樣。 |
providers屬性定義了提供者管理器的集合,ProviderManager(提供者管理器)逐一遍歷這個認證提供者的集合並調用提供者的authenticate方法,如果一個提供者認證失敗會嘗試另外一個提供者直到某一個認證提供者能夠成功的驗證該用戶的身份,以保證獲取不同來源的身份認證。下面表格列出了系統提供的一些認證提供者:
|
提 供 者 |
作 用 |
|
DaoAuthenticationProvider |
從數據庫中讀取用戶信息驗證身份 |
|
AnonymousAuthenticationProvider |
匿名用戶身份認證 |
|
RememberMeAuthenticationProvider |
已存cookie中的用戶信息身份認證 |
|
AuthByAdapterProvider |
使用容器的適配器驗證身份 |
|
CasAuthenticationProvider |
根據Yale中心認證服務驗證身份, 用於實現單點登陸 |
|
JaasAuthenticationProvider |
從JASS登陸配置中獲取用戶信息驗證身份 |
|
RemoteAuthenticationProvider |
根據遠程服務驗證用戶身份 |
|
RunAsImplAuthenticationProvider |
對身份已被管理器替換的用戶進行驗證 |
|
X509AuthenticationProvider |
從X509認證中獲取用戶信息驗證身份 |
|
TestingAuthenticationProvider |
單元測試時使用 |
從上面的表中可以看出,系統爲我們提供了不同的認證提供者,每個認證提供者會對自己指定的證明信息進行認證,如DaoAuthenticationProvider僅對UsernamePasswordAuthenticationToken這個證明信息進行認證。
在實際項目中,用戶的身份和權限信息可能存儲在不同的安全系統中(如數據庫,LDAP服務器,CA中心)。
作爲程序員,我們可以根據需要選擇不同的AuthenticationProvider(認證提供者)來對自己的系統提供認證服務。
這裏我們着重介紹DaoAuthenticationProvider,它從數據庫中讀取用戶信息驗證身份,配置如下:
class="org.springframework.security.providers.dao.DaoAuthenticationProvider"
2 p:passwordEncoder-ref="passwordEncoder"
3 p:userDetailsService-ref="userDetailsService"/>
4 <bean id="passwordEncoder"
5 class="org.springframework.security.providers.encoding.Md5PasswordEncoder"/>
還記得前面配置的RememberMeServices嗎?它也有一個和DaoAuthenticationProvider同樣的屬性userDetailsService,這是系統提供的一個接口(org.springframework.security.userdetails.UserDetailsService),在這裏我們把它單獨提出來進行介紹。
首先我們需要了解Spring Security爲我們提供的另外一個重要的組件,org.springframework.security.userdetails .UserDetails接口,它代表一個應用系統的用戶,該接口定義與用戶安全信息相關的方法:
String getUsername():獲取用戶名;
String getPassword():獲取密碼;
boolean isAccountNonExpired():用戶帳號是否過期;
boolean isAccountNonLocked():用戶帳號是否鎖定;
boolean isCredentialsNonExpired():用戶的憑證是否過期;
boolean isEnabled():用戶是否處於激活狀態。
當以上任何一個判斷用戶狀態的方法都返回false時,用戶憑證就被視爲無效。UserDetails接口還定義了獲取用戶權限信息的getAuthorities()方法,該方法返回一個GrantedAuthority[]數組對象,GrantedAuthority是用戶權限信息對象,這個對象中定義了一個獲取用戶權限描述信息的getAuthority()方法。
UserDetails即可從數據庫中返回,也可以從其它如LDAP中返回,這取決與你的系統中使用什麼來存儲用戶信息和權限以及相應的認證提供者。這裏我們只重點介紹DaoAuthenticationProvider(從數據庫中獲取用戶認證信息的提供者),本人水平有限,在項目中還沒有機會用到其它提供者。說到這裏,這個封裝了用戶詳細信息的UserDetails該從哪兒獲取呢?這就是我們接下來要介紹的UserDetailsService接口,這個接口中只定義了唯一的UserDetails
loadUserByUsername(String username)方法,它通過用戶名來獲取整個UserDetails對
象。
看到這裏你可能會有些糊塗,因爲前面提到的Authentication對象中也存放了用戶的認證信息,需要注意Authentication對象纔是Spring Security使用的進行安全訪問控制用戶信息安全對象。實際上,Authentication對象有未認證和已認證兩種狀態,在作爲參數傳入認證管理器(AuthenticationManager)的authenticate方法時,是一個未認證的對象,它從客戶端獲取用戶的身份信息(如用戶名,密碼),可以是從一個登錄頁面,也可以從Cookie中獲取,並由系統自動構造成一個Authentication對象。而這裏提到的UserDetails代表一個用戶安全信息的源(從數據庫,LDAP服務器,CA中心返回),Spring Security要做的就是將這個未認證的Authentication對象和UserDetails進行匹配,成功後將UserDetails中的用戶權限信息拷貝到Authentication中組成一個完整的Authentication對象,共其它組件共享。
這樣,我們就可以在系統中獲取用戶的相關信息了,需要使用到Authentication對象定義的Object getPrincipal()方法,這個方法返回一個Object類型的對象,通常可以將它轉換爲UserDetails,從而可以獲取用戶名,密碼以及權限等信息。代碼如下:
2
3 GrantedAuthority[] authority = details.getAuthorities();
前面介紹了DaoAuthenticationProvider,它可以從數據庫中讀取用戶信息,同樣也可以從一個用戶屬性文件中讀取,下一篇文章中我們在介紹如何從數據庫中讀取用戶信息,當然還會涉及到更深入的東西,比如根據自己系統的需要自定義UserDetails和UserDetailsService,這個只是讓你對整個系統有個簡單的瞭解,所以我們使用用戶屬性文件(users.properties)來存儲用戶信息:
2
3 user1=user1,ROLE_USER
4
5 user2=user2,ROLE_USER
6
7 user3=user3,disabled,ROLE_USER
配置userDetailsService:
2
3 class="org.springframework.security.userdetails.memory.InMemoryDaoImpl">
4 <property name="userProperties">
5 <bean class="org.springframework.beans.factory.config.PropertiesFactoryBean"
6 p:location="/WEB-INF/users.properties"/>
7 </property>
8 </bean>
InMemoryDaoImpl類是UserDetailsService接口的一個實現,它從屬性文件裏讀取用戶信息,Spring Security使用一個屬性編輯器將用戶信息爲我們組織成一個org.springframework.security.userdetails.memory.UserMap類的對象,我們也可以直接爲它提供一個用戶權限信息的列表,詳見applicationContext-security.xml配置文件。
UserMap字符串的每一行都用鍵值對的形式表示,前面是用戶名,然後是等號,後面是賦予該用戶的密碼/權限等信息,它們使用逗號隔開。比如:
定義了一個名爲admin的用戶登錄密碼爲admin,該用戶擁有ROLE_SUPERVISOR權限,再如users.properties文件中配置的名爲user3的用戶登錄密碼爲user3,該用戶擁有ROLE_USER權限,disabled定義該用戶不可用,爲被激活(UserDetails 的isEnabled方法)。
即使是系統的開發者或者說是最終用戶,都不應該看到系統中有明文的密碼。所以,Spring Security考慮的還是很周到的,爲我們提供的密碼加密的功能。正如你在Dao認證提供者(DaoAuthenticationProvider)中看到的,passwordEncoder屬性配置的就是一個密碼加密程序(密碼編碼器)。這裏我們使用MD5加密,可以看
配置文件中的scott用戶,你還能看出他的密碼是什麼嗎?當然這裏只是演示功能,其它用戶還是沒有改變,你可以自己試試。系統爲我們提供了一些常用的密碼編碼器(這些編碼器都位於org.springframework.security.providers.encoding包下):
PlaintextPasswordEncoder(默認)——不對密碼進行編碼,直接返回未經改變的密碼;
Md4PasswordEncoder ——對密碼進行消息摘要(MD4)編碼;
Md5PasswordEncoder ——對密碼進行消息摘要(MD5)編碼;
ShaPasswordEncoder ——對密碼進行安全哈希算法(SHA)編碼。
你可以根據需要選擇合適的密碼編碼器,你也可以設置編碼器的種子源(salt source)。一個種子源爲編碼提供種子(salt),或者稱編碼的密鑰,這裏不再贅述。
這裏附加介紹了不少東西,希望你還沒有忘記在AuthenticationManager(認證管理器)中還配置了一個名爲sessionController的Bean,這個Bean可以阻止用戶在進行了一次成功登錄以後在進行一次成功的登錄。在applicationContext-security.xml配置文件添加sessionController的配置:
2
3 class="org.springframework.security.concurrent.ConcurrentSessionControllerImpl"
4 p:maximumSessions="1"
5 p:exceptionIfMaximumExceeded="true"
6 p:sessionRegistry-ref="sessionRegistry"/>
7 <bean id="sessionRegistry"
8
9 class="org.springframework.security.concurrent.SessionRegistryImpl"/>
maximumSessions屬性配置了只允許同一個用戶登錄系統一次,exceptionIfMaximumExceeded屬性配置了在進行第二次登錄是是否讓第一次登錄失效。這裏設置爲true不允許第二次登錄。要讓此功能生效,我們還需要在web.xml文件中添加一個監聽器,以讓Spring Security能獲取Session的生命週期事件,配置如下:
2 <listener-class>
3 org.springframework.security.ui.session.HttpSessionEventPublisher
4 </listener-class>
5 </listener>
HttpSessionEventPublisher類實現javax.servlet.http.HttpSessionListener接口,在Session被創建的時候通過調用ApplicationContext的publishEvent(ApplicationEvent event)發佈HttpSessionCreatedEvent類型的事件,HttpSessionCreatedEvent類繼承自org.springframework.context.ApplicationEvent類的子類HttpSessionApplicationEvent抽象類。
concurrentSessionController使用sessionRegistry來完成對發佈的Session的生命週期事件的處理,org.springframework.security.concurrent.SessionRegistryImpl(實現了SessionRegistry接口), SessionRegistryImpl類還實現了Spring Framework 的事件監聽org.springframework.context.ApplicationListener接口,並實現了該接口定義的onApplicationEvent(ApplicationEvent event)方法用於處理ApplicationEvent類型的事件,如果你瞭解Spring Framework的事件處理,那麼這裏你應該可以很好的理解。
認證管理器到此介紹完畢了,認證過程過濾器也介紹完了,接下來我們繼續介紹過濾器鏈的下一個過濾器
securityContextHolderAwareRequestFilter:
2 class="org.springframework.security.wrapper.SecurityContextHolderAwareRequestFilter"/>
這個過濾器使用裝飾模式(Decorate Model),裝飾的HttpServletRequest對象。其Wapper是ServletRequest包裝類HttpServletRequestWrapper的子類(如SavedRequestAwareWrapper或SecurityContextHolderAwareRequestWrapper),附上獲取用戶權限信息,request參數,headers 和 cookies 的方法。
rememberMeProcessingFilter過濾器配置:
<bean id="rememberMeProcessingFilter"
class="org.springframework.security.ui.rememberme.RememberMeProcessingFilter"
p:authenticationManager-ref="authenticationManager"
p:rememberMeServices-ref="rememberMeServices"/>
當SecurityContextHolder中不存在Authentication用戶授權信息時,rememberMeProcessingFilter就會調用rememberMeServices 的autoLogin()方法從cookie中獲取用戶信息自動登錄。
anonymousProcessingFilter過濾器配置:
2 class="org.springframework.security.providers.anonymous.AnonymousProcessingFilter"
3 p:key="springsecurity"
4 p:userAttribute="anonymousUser,ROLE_ANONYMOUS"/>
如果不存在任何授權信息時,自動添加匿名用戶身份至SecurityContextHolder中,就是這裏配置的userAttribute,系統爲用戶分配一個ROLE_ANONYMOUS權限。
exceptionTranslationFilter(異常處理過濾器),該過濾器用來處理在系統認證授權過程中拋出的異常,主要是處理AccessDeniedException和AuthenticationException兩個異常並根據配置跳轉到不同URL:
2 class="org.springframework.security.ui.ExceptionTranslationFilter"
3 p:accessDeniedHandler-ref="accessDeniedHandler"
4 p:authenticationEntryPoint-ref="authenticationEntryPoint"/>
5 <!-- 處理AccessDeniedException -->
6 <bean id="accessDeniedHandler"
7 class="org.springframework.security.ui.AccessDeniedHandlerImpl"
8 p:errorPage="/accessDenied.jsp"/>
9 <bean id="authenticationEntryPoint"
10 class="org.springframework.security.ui.webapp.AuthenticationProcessingFilterEntryPoint"
11 p:loginFormUrl="/login.jsp"
12 p:forceHttps="false"/>
accessDeniedHandler用於處理AccessDeniedException異常,當用戶沒有權限訪問當前請求的資源時拋出此異常,並跳轉自這裏配置的/accessDenied.jsp頁面。
authenticationEntryPoint(認證入口點),這裏定義了用戶登錄的頁面。系統爲我們提供了3個認證入口點的實現:
|
認 證 入 口 點 |
作 用 |
|
BasicProcessingFilterEntryPoint |
通過向瀏覽器發送一個HTTP 401(未授權)消息,由瀏覽器彈出登錄對話框,提示用戶登錄 |
|
AuthenticationProcessingFilterEntryPoint |
將用戶重定向到一個基於HTML表單的登錄頁面 |
|
CasProcessingFilterEntryPoint |
將用戶重定向至一個Yale CAS登錄頁面 |
這裏我們使用AuthenticationProcessingFilterEntryPoint認證入口點,提供給用戶一個友好的登錄界面,只是爲了給用戶更好的體驗。
filterSecurityInterceptor(過濾器安全攔截器),該過濾器首先調用認證管理器來判斷用戶是否已被成功驗證,如果沒有被驗證則重定向到登錄界面。否則,從Authentication獲取用戶的權限信息,然後從objectDefinitionSource中獲取URL所對應的權限,最後調用accessDecisionManager(訪問決策管理器)來判斷用戶當前擁有的權限是否與當前受保護的URL資源對應的權限匹配,如果匹配就可以訪問該URL資源,否則將拋出AccessDeniedException異常並返回客戶端瀏覽器一個403錯誤(如果用戶定義了accessDenied頁面則會被重定向到該頁,見:異常處理過濾器exceptionTranslationFilter中配置的accessDeniedHandler Bean),訪問決策管理的的工作機制將在隨後更詳細介紹,這裏先給出過濾器安全攔截器的配置如下:
2
3 class="org.springframework.security.intercept.web.FilterSecurityInterceptor"
4
5 p:authenticationManager-ref="authenticationManager"
6
7 p:accessDecisionManager-ref="accessDecisionManager">
8 <property name="objectDefinitionSource">
9 <value><![CDATA[
10
11 CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
12 PATTERN_TYPE_APACHE_ANT
13 /admins/**=ROLE_SUPERVISOR
14 /user/**=ROLE_USER,IS_AUTHENTICATED_REMEMBERED
15 /default.jsp=ROLE_USER,IS_AUTHENTICATED_REMEMBERED
16 /**=IS_AUTHENTICATED_ANONYMOUSLY
17 ]]></value>
18 </property>
19 </bean>
從配置可以看出來,過濾器安全攔截器用到了我們前面配置的認證管理器,過濾器安全攔截器使用authenticationManager並調用它的providers(提供者列表)來對用戶的身份進行驗證並獲取用戶擁有的權限。如果用戶被成功認證,過濾器安全攔截器將會使用accessDecisionManager(訪問決策管理器)來判斷已認證的用戶是否有權限訪問受保護的資源,這些受保護的資源由objectDefinitionSource屬性定義。
訪問決策管理器(accessDecisionManager):
2 class="org.springframework.security.vote.AffirmativeBased"
3 p:allowIfAllAbstainDecisions="false">
4 <property name="decisionVoters">
5 <list>
6 <bean class="org.springframework.security.vote.RoleVoter"/>
7 <bean class="org.springframework.security.vote.AuthenticatedVoter"/>
8 </list>
9 </property>
10 </bean>
身份驗證只是Spring Security安全機制的第一步,訪問決策管理器驗證用戶是否有權限訪問相應的資源(filterSecurityInterceptor中objectDefinitionSource屬性定義的訪問URL需要的屬性信息)。
org.springframework.security.AccessDecisionManager接口定義了用於驗證用戶是否有權限訪問受保護資源的decide方法,另一個supports方法根據受保護資源的配置屬性(即訪問這些資源所需的權限)來判斷該訪問決策管理器是否能做出針對該資源的訪問決策。decide方法最終決定用戶有無訪問權限,如果沒有則拋出AccessDeniedException異常(面前也提到過,你應該在回過頭去看看)。
與認證管理器類似,訪問決策管理器也不是由自己來實現訪問控制的,而是通過一組投票者來投票決定(通過調用投票者的vote方法),訪問決策管理器統計投票結果並最終完成決策工作。下表列出了系統提供的3個訪問決策管理器的實現:
|
訪問決策管理器 |
如 何 決 策 |
|
AffirmativeBased |
當至少有一個投票者投允許訪問票時允許訪問 |
|
ConsensusBased |
當所有投票者都投允許訪問票時允許訪問 |
|
UnanimousBased |
當沒有投票者投拒絕訪問票時允許訪問 |
decisionVoters屬性爲訪問決策管理器定義了一組進行投票工作的投票者,那麼這些投票者是如何進行投票的呢?這就需要提org.springframework.security.vote.AccessDecisionVoter接口,所有的投票者都實現了這個接口並實現了其中的vote方法。該接口中還定義了3個int類型的常量:
int ACCESS_GRANTED = 1;(投贊成票)
int ACCESS_ABSTAIN = 0;(投棄權票)
int ACCESS_DENIED = -1; (投反對票)
每個決策投票者都返回這3個常量中一個,這取決與用戶是否有權限訪問當前請求的資源,訪問決策管理器再對這些投票結果進行統計。認證投票者的配置如上面所示。
loggerListener是一個可選項,它和我們前面配置的Bean或者過濾器沒有關係,只是監聽系統的一些事件(
實現了ApplicationListener監聽接口),被它監聽的事件包括AuthenticationCredentialsNotFoundEvent事件,AuthorizationFailureEvent事件,AuthorizedEvent事件,PublicInvocationEvent事件,相信你從他們的名字就能看出來是一些什麼樣的事件,除非你的e文比我還差勁。loggerListener配置如下:
到此,本例所涉及到的所有配置都介紹完了,在下一篇中會介紹方法安全攔截器,以及如何使用它來保護我們的方法調用,以及前面提到過的會在下一篇中介紹的,這裏不在一一列出。
接下來就是JSP頁面了,首先是login.jsp:
2 登錄失敗,請重試。錯誤原因:<br/>
3 <font color="red">
4 <c:if test="${not empty SPRING_SECURITY_LAST_EXCEPTION}">
5 <c:out value="${SPRING_SECURITY_LAST_EXCEPTION}"></c:out>
6 </c:if>
7 </font>
8 </c:if>
9 <form action="<c:url value="/j_spring_security_check"/>" method="post">
10 <table>
11 <tr>
12 <td><label for="username">username:</label></td>
13 <td><input type="text" id="username" name="j_username"
value="<c:out value="${SPRING_SECURITY_LAST_USERNAME}"/>"/></td>
14 </tr>
15 <tr>
16 <td><label for="password">password:</label></td>
17 <td><input type="password" id="password" name="j_password" value=""/></td>
18 </tr>
19 <tr><td></td>
20 <td><input type="checkbox" name="_spring_security_remember_me">兩週內記住我</td>
21 </tr>
22 <tr><td colspan="2"><input type="submit" value="提交"/>
23 <input type="reset" value="重置"/></td></tr>
24 </table>
25 </form>
如果你有看源代碼,上面的某些參數,以及本文所有提及的東西你都不應該感到陌生。其它頁面也不在列出了,還有就是如何讓它運行起來,這些我相信你都能自己搞定。
附件1:springsecurity.rar(不包括JAR包)
補上使用命名空間配置實現的代碼,命名空間的詳細資料請參考Spring Security中文參考文檔,翻譯得很好,這裏就不在累述了,配置文件中也有比較詳細的註釋。另外例子中還包括了自定義UserDetailService的實現已經如何Ehcache緩存用戶信息,詳細的信息將在下一篇中講述。
附件2:springsecurity-namespace.rar(包括部分JAR包)
轉自http://www.blogjava.net/redhatlinux/archive/2008/08/20/223148.html
