spring security总结.docVIP

Spring security安全管理包括俩大部分，1，认证，2授权 1：认证 认证的认证方法定义在一个接口中：AuthenticationProvider 这个接口定义了认证方法：Authentication authenticate(Authentication authentication)，要求认证传入参数类型是：Authentication类型， Authentication也是一个接口，该接口定义了认证相关的信息，如下： GrantedAuthority[] getAuthorities(); 权限主体拥有的权限，用户认证后权限实体将拥有一个保存了一系列GrantedAuthority对象的数组，之后可以用于进行验证用户是否可以访问系统中被保护资源。GrantedAuthority接口内只有一个方法getAuthority()，它的返回值是一个字符串，这个字符串用来标识系统中的某一权限。(这个字符串通常是ROLE_ADMIN,或者ROLE_USER),因为：类GrantedAuthorityImpl实现接口GrantedAuthority,并实现方法String getAuthority()， 该实现类里面返回的权限是字符串Role_ADMIN等其他 Object getCredentials(); 获得权限主体的凭证，此凭证应该可以唯一标示权限主体。默认情况下，凭证是用户的登录密码 Object getDetails(); 获得验证请求有关的附加信息。默认情况下，附加信息是WebAuthenticationDetails的一个实例，其中保存了客户端ip和sessionid Object getPrincipal(); 获得权限主体。默认情况下，权限主体是一个实现了UserDetails接口的对象。 其中UserDetails接口定义如下： GrantedAuthority[] getAuthorities(); 返回授予该user的权限String getPassword(); 返回被用来认证该用户的密码String getUsername(); 返回被用来认证该用户的用户名boolean isAccountNonExpired(); 指出用户的账号是否过期的账号不能被认证，识别boolean isAccountNonLocked(); 指出用户是否被锁定，被锁定的用户不能通过认证。boolean isCredentialsNonExpired(); 指出用户的密码是否过期，也就是说判断该用户的密码是否正确。无效的密码将被组织通过认证。boolean isEnabled(); 指出用户是否被禁用，禁用的用户不能通过认证。AuthenticationProvider，而这个接口类又有不同的实现，所以在spring security中很多中认证机制： 一：匿名用户认证： class AnonymousAuthenticationProvider，该类提供了匿名用户登陆的认证方式, class RememberMeAuthenticationProvider,该类提供了自动登陆认证方式， class RemoteAuthenticationProvider，该类提供了远程认证方式 class DaoAuthenticationProvider，该类实现form表单认证方式， class LdapAuthenticationProvider ，该类实现了Ldap认证方式， 等等，还有其他认证不是很常用，我们这里主要的认证方式就后面这俩个认证方式。 我们这里主要谈谈Ldap认证即LdapAuthenticationProvider： LdapAuthenticationProvider是AuthenticationProvider的ldap认证方式的实现。 而在LdapAuthenticationProvider内部有是使用了不同的认证方式的，它有两个实现，分别对应于LDAP的两种认证方式：bind(BindAuthenticator)和password compare(PasswordComparisonAuthenticator)。Spring Security缺省的schema配置使用的是bind认证。如果使用password compare方式认证，需要指定如何获取口令。 LDAP的俩种认证方式定义在一个接口中，这个接口是： interface LdapAuthenticator，它只提供了一个认证方法： DirContextOperations authenticate(Authentication authentication); 不用多说，一看就明白。 Spring Security在认证成功后，将票据