Spring Seurity学习总结二.docVIP

Spring?Security学习总结二前一篇文章里介绍了Spring Security的一些基础知识，相信你对Spring Security的工作流程已经有了一定的了解，如果你同时在读源代码，那你应该可以认识的更深刻。在这篇文章里，我们将对Spring Security进行一些自定义的扩展，比如自定义实现UserDetailsService，保护业务方法以及如何对用户权限等信息进行动态的配置管 理。 ??? 一 自定义UserDetailsService实现 ??? UserDetailsService接口，这个接口中只定义了唯一的UserDetails loadUserByUsername（String username）方法，它通过用户名来获取整个UserDetails对象。 ??? 前一篇文章已经介绍了系统提供的默认实现方式InMemoryDaoImpl，它从配置文件中读取用户的身份信息（用户名，密码等），如果你的客户想修改 用户信息，就需要直接修改配置文件（你需要告诉用户配置文件的路径，应该在什么地方修改，如何把明文密码通过MD5加密以及如何重启服务器等）。听起来是不是很费劲啊！ ??? 在实际应用中，我们可能需要提供动态的方式来获取用户身份信息，最常用的莫过于数据库了，当然也可以是LDAP服务器等。 本文首先介绍系统提供的一个默认实现类 JdbcDaoImpl（org.springframework.security.userdetails.jdbc. JdbcDaoImpl），它通过用户名从数据库中获取用户身份信息，修改配置文件，将userDetailsService Bean的配置修改如下： 1?bean?id=userDetailsService2?class=org.springframework.security.userdetails.jdbc.JdbcDaoImpl3?p:dataSource-ref=dataSource4?p:usersByUsernameQuery=select?userName,?passWord,?enabled,?from?users?where?userName=?5?p:authoritiesByUsernameQuery=select?6?u.userName,r.roleName?from?users?u,roles?7?r,users_roles?ur?where?u.userId=ur.userId?and?8?r.roleId=ur.roleId?and?u.userName=?/ ??? JdbcDaoImpl类继承自Spring Framework的JdbcDaoSupport类并实现了UserDetailsService接口，因为从数据库中读取信息，所以首先需要一个数据 源对象，这里不在多说，这里需要重点介绍的是usersByUsernameQuery和authoritiesByUsernameQuery，属性， 它们的值都是一条SQL语句，JdbcDaoImpl类通过SQL从数据库中检索相应的信息，usersByUsernameQuery属性定义了通过用 户名检索用户信息的SQL语句，包括用户名，密码以及用户是否可用，authoritiesByUsernameQuery属性定义了通过用户名检索用户 权限信息的SQL语句，这两个属性都引用一个MappingSqlQuery（请参考Spring Framework相关资料）实例，MappingSqlQuery的mapRow（）方法将一个ResultSet（结果集）中的字段映射为一个领域对 象，Spring Security为我们提供了默认的数据库表，如下图所示（摘自《Spring in Action》）： ??? 图！——[if supportFields]——1！——[if supportFields]—— JdbcDaoImp数据库表 ??? 如果我们需要获取用户的其它信息就需要自己来扩展系统的默认实现，首先应该了解一下UserDetailsService实现的原理，还是要回到源代码，以下是JdbcDaoImpl类的部分代码： ?1?private?class?UsersByUsernameMapping?extends?MappingSqlQuery?{?3??????protected?UsersByUsernameMapping(DataSource?ds)?{?5?????????????super(ds,?usersByUsernameQuery);?7?????????????declareParameter(new?SqlParameter(Types.VARCHAR)