Spring-Security-2-权限配置精讲.docVIP

Spring Security基本配置 Spring Security是基于Spring的的权限认证框架，对于Spring和Acegi已经比较熟悉的同学对于之前的配置方式应该已经非常了解。接下来的例子，将向大家展示Spring Security基于schema的配置方式。  最小化配置 1. 在web.xml文件中加入Filter声明 Xml代码 !--?Spring?security?Filter?--?? filter?? ????filter-namespringSecurityFilterChain/filter-name?? ????filter-classorg.springframework.web.filter.DelegatingFilterProxy/filter-class?? /filter?? filter-mapping?? ????filter-namespringSecurityFilterChain/filter-name?? ????url-pattern/*/url-pattern?? /filter-mapping?? 这个Filter会拦截所有的URL请求，并且对这些URL请求进行Spring Security的验证。 注意，springSecurityFilterChain这个名称是由命名空间默认创建的用于处理web安全的一个内部的bean的id。所以你在你的Spring配置文件中，不应该再使用这个id作为你的bean。 与Acegi的配置不同，Acegi需要自行声明一个Spring的bean来作为Filter的实现，而使用Spring Security后，无需再额外定义bean，而是使用http元素进行配置。 2. 使用最小的http配置 Xml代码 http?auto-config=true?? ????intercept-url?pattern=/**?access=ROLE_USER?/?? /http?? 这段配置表示：我们要保护应用程序中的所有URL，只有拥有ROLE_USER角色的用户才能访问。你可以使用多个intercept- url元素为不同URL的集合定义不同的访问需求，它们会被归入一个有序队列中，每次取出最先匹配的一个元素使用。 所以你必须把期望使用的匹配条件放到最上边。 3. 配置UserDetailsService来指定用户和权限 接下来，我们来配置一个UserDetailsService来指定用户和权限： Xml代码 authentication-provider?? ????user-service?? ??????user?name=downpour?password=downpour?authorities=ROLE_USER,?ROLE_ADMIN?/?? ??????user?name=robbin?password=robbin?authorities=ROLE_USER?/?? ??????user?name=QuakeWang?password=QuakeWang?authorities=ROLE_ADMIN?/?? ????/user-service?? ??/authentication-provider?? 在这里，downpour拥有ROLE_USER和ROLE_ADMIN的权限，robbin拥有ROLE_USER权限，QuakeWang拥有ROLE_ADMIN的权限 4. 小结 有了以上的配置，你已经可以跑简单的Spring Security的应用了。只不过在这里，我们还缺乏很多基本的元素，所以我们尚不能对上面的代码进行完整性测试。 如果你具备Acegi的知识，你会发现，有很多Acegi中的元素，在Spring Security中都没有了，这些元素包括：表单和基本登录选项、密码编码器、Remember-Me认证等等。 接下来，我们就来详细剖析一下Spring Security中的这些基本元素。 剖析基本配置元素 1. 有关auto-config属性 在上面用到的auto-config属性，其实是下面这些配置的缩写： Xml代码 http?? ????intercept-url?pattern=/**?access=ROLE_USER?/?? ????form-login?/?? ????anonymous?/?? ????http-basic?/?? ????logout?/?? ????remember-me?/?? /http?? 这些元素分别与登录认证，匿名认证，基本认证，注销处理和remember-me对应。 他们拥有各自的属性，可以改变