SpringSecurity3安全權限管理手册(最新).doc

Spring Security 3.0 安全权限管理手册 参考文献： 1、中的spring security权限管理手册。 2、spring security3.0权限管理手册 3、spring的相关资料。 本文档内容仅仅作为公司权限管理资料用，对于企业来说，权限管理将是系统中的非常重要的一个模块，权限的设计也是参考相关资料进行整理和补充。系统将通过数据库进行管理用户权限。 权限管理搭建要的问题： 1、区分Authentication（验证）与 Authorization（授权） 验证 这个用户是谁？ 用户身份可靠吗？ 授权 某用户A是否可以访问资源R 某用户A是否可以执行M操作 某用户A是否可以对资源R执行M操作 2、SS中的验证特点 支持多种验证方式 支持多种加密格式 支持组件的扩展和替换 可以本地化输出信息 3、SS中的授权特点 支持多种仲裁方式 支持组件的扩展和替换 支持对页面访问、方法访问、对象访问的授权。 4、SS核心安全实现 Web安全 通过配置Servlet Filter激活SS中的过滤器链 实现Session一致性验证 实现免登陆验证（Remember-Me验证） 提供一系列标签库进行页面元素的安全控制 方法安全 通过AOP模式实现安全代理 Web安全与方法安全均可以使用表达式语言定义访问规则 5、配置SS 配置Web.xml，应用安全过滤器 配置Spring，验证与授权部分 在web页面中获取用户身份 在web页面中应用安全标签库 实现方法级安全 6、配置web.xml 7、Spring配置文件中设置命名空间 8、通过数据库验证用户身份 9、完善web页面验证规则 10、自定义验证配置 11、本地化消息输出（国际化） 根据公司项目的开发要求和集合spring security3.0功能，公司将通过数据库进行对用户身份验证和授权，系统将建立5个基础表进行对权利的管理。 第一部分 数据库设计 1、表设计 表1：用户表（pub_users） 字段 类型 含义 备注 1 User_Id Vchar(32) 用户id PK 2 user_account Vchar(30) 登陆用户名(登陆号) 3 User_name Vchar(40) 用户姓名 4 user_Password Vchar(100) 用户密码 5 Enabled Int 是否被禁用 6 isSys Int 是否是超级用户 0非1是 7 user_DESc Vchar(100) 描述 说明：pub_users表中的登录名和密码用来控制用户的登录。 表2：权限表（pub_authorities） 字段 类型 含义 备注 1 authority_Id Vchar(32) 权限id PK 2 Authority_name Vchar(40) 权限名称 3 Authority_DESc Vchar(100) 权限描述 4 Enabled Int 是否被禁用 5 isSys Int 是否是超级权限 0非1是 说明：pub_authorities表中描述的是系统拥有哪些权限，如果要详细分类，可以将一个url定义一个权限，那样就能对所有资源进行管理。 表3：角色表（pub_roles） 字段 类型 含义 备注 1 role_Id Vchar(32) 角色id PK 2 role_name Vchar(100) 角色名称 3 role_DESc Vchar(100) 角色描述 4 Enabled Int 是否被禁用 5 isSys Int 是否是超级权限 0非1是 说明：pub_roles表中描述的是系统按用户分类或按照功能模块分类，将系统进行整合归类管理。 表4：资源表（pub_resources） 字段 类型 含义 备注 1 resource_Id Vchar(32) 资源id PK 2 resource_name Vchar(100) 资源名称 3 resource _type Vchar(40) 资源类型 url、method 4 priority int 资源优先权 5 resource _string Vchar(200) 资源链接 6 resource_DESc Vchar(100) 资源描述 7 Enabled Int 是否被禁用 8 isSys Int 是否是超级权限 0非1是 说明：pub_roles表中描述的是系统需要保护的资源及（url或方法）。 以上四个表是权限管理的基础表（用户表、权限表、角色表、资源表）。 表5：用户角色连接表(pub_users_roles) 序号 字段 类型 含义 备注 1 Id I