使用Spring Security3四种方法概述.docxVIP

?使用Spring Security3的四种方法概述2012-08-08 22:18?808人阅读?评论(0)?收藏?举报securityspringuserresourcesnullmodule? 那么在Spring Security3的使用中，有4种方法：????一种是全部利用配置文件，将用户、权限、资源(url)硬编码在xml文件中，已经实现过，并经过验证；????二种是用户和权限用数据库存储，而资源(url)和权限的对应采用硬编码配置，目前这种方式已经实现，并经过验证。????三种是细分角色和权限，并将用户、角色、权限和资源均采用数据库存储，并且自定义过滤器，代替原有的FilterSecurityInterceptor过滤器，??? 并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService，并在配置文件中进行相应配置。??? 目前这种方式已经实现，并经过验证。????四是修改spring security的源代码，主要是修改InvocationSecurityMetadataSourceService和UserDetailsService两个类。??? 前者是将配置文件或数据库中存储的资源(url)提取出来加工成为url和权限列表的Map供Security使用，后者提取用户名和权限组成一个完整的(UserDetails)User对象，该对象可以提供用户的详细信息供AuthentationManager进行认证与授权使用。??? 该方法理论上可行，但是比较暴力，也没有时间实现，未验证，以后再研究。????说明一下，我目前调通的环境为： java1.6 + struts2.1.6 + spring3.0.1 + hibernate3.3.1 + spring security3.0.2 + oracle9i + weblogic10.3，????顺便提一下，目前（2011-4-2）serutity的最新版本为3.1，比较稳定的版本为3.0.5和2.0.6。????当然在进行spring security3的下面4种方法介绍之前，先假定SSH2的环境已经配置完毕，进入正常开发的过程，并且已经导入????spring security3.0.2的5个jar包，分别为：????spring-security-acl-3.0.2.RELEASE.jar????spring-security-config-3.0.2.RELEASE.jar????spring-security-core-3.0.2.RELEASE.jar????spring-security-taglibs-3.0.2.RELEASE.jar????spring-security-web-3.0.2.RELEASE.jar????当然还有其他相关的jar包，在此不再赘述。第一种方法????第一种方法比较简单，可参考Spring Security自带的例子spring-security-samples-tutorial-3.0.2.RELEASE。这里给出下载网址：/download/community?sid=1087087，不过在下载之前必须填写相应的用户信息，才允许下载。各种版本号的均可以下载。????在spring-security-samples-tutorial-3.0.2.RELEASE的例子里，硬编码的配置请参见applicationContext-security.xml文件中的内容。????里面配置了用户名、经过MD5加密后的密码密文、相关的权限，以及与权相对应的访问资源（URL）。还有对于Session超时时的处理。????特别是因为版本号为3.0.2，因此还增加了对表达式的配置演示，具体内容请参见该例子。????当然你最好运行起该例子来，感受一下，你可以直接将下载下来的解压缩后的文件夹中找到spring-security-samples-tutorial-3.0.2.RELEASE.war文件，然后拷贝到Tomcat的安装目录下的\webapps文件夹下，然后运行Tomcat的服务器，服务器在启动过程中，会自动解开该war文件，在IE内输入http://localhost:8080/webapps/spring-security-samples-tutorial-3.0.2.RELEASE?就可以运行该系统了。在此不再赘述。第二种方法????第二种方法的代码如下：????使用到的两个表，用户表和权限表的SQL语句。将用户和权限以数据库进行存储。?create?table?USERS(??USERNAME???VARCHAR2(50