基于Spring Securityweb应用安全控制研究与实现.docVIP

基于Spring Securityweb应用安全控制研究与实现 　　摘要：针对web应用安全控制问题，提出了一种基于Spring Security开源的安全框架的解决方案，分别从web应用中的用户认证和授权两个方面实现对web应用安全的控制，从而提高web应用的安全性。 　　关键词：web应用 Spring Security 安全 访问控制 　　0 引言 　　Web应用作为一种开放式的服务平台，其无时无刻不在面临非法访问者的访问或者攻击，同时也面临内部用户的非法操作，使得存储在Web应用中的数据时刻可能被窃取和破坏的危险。这就需要我们提供一定的安全控制规则来确保Web应用的安全。然而在系统实施Web应用安全控制的时候，主要有：基于Web容器的安全认证。基于第三方插件的安全认证。独立开发的安全认证。对于第一种方式，它是传统的安全认证方式，对具体的Web服务器依赖强，移植代价高。对于第二种方式，不依赖具体的Web服务器，灵活性强，但受自身功能限制，因此，插件选取很关键。对于第三种方式，其将代码耦合到相应的业务逻辑中，增加维护的难度，降低了开发效率，不便调试。从灵活性、易用性、功能和投入等方面考虑，第二种方式是一种比较理想的方式。如在J2EE平台比较流行的开源框架Spring Security，其提供了描述性安全访问控制解决方案。本文通过对Spring Security安全框架的工作原理进行简单的剖析并展示如何将Spring Security安全框架应用到我们具体的Web应用中。 　　1 Spring Security简介 　　如引言所阐述的，Web应用的安全控制主要包括外部和内部两个方面。在安全控制的时候需要从以下几个方面考虑：能够认证合法的用户、能够对Web 请求进行安全保护、能够对业务层面的方法进行安全保护、能够做到对实体级别的保护等四个方面，而这四方面概括起来则分为两部分用户认证和用户授权。用户认证是指证某个用户是否为系统中的合法主体，即用户是否能够访问该Web应用，用户认证一般通过验证用户名和密码来完成认证。用户授权指的是验证用户在访问过程中是否有权限执行某个操作。 　　Spring是一款轻量级的开源框架，采用Java语言实现的[1]。Spring Security是基于Spring的安全框架，其充分运用了Spring中的依赖注入（DI，Dependency Injection）和面向切面（AOP ，Aspect Oriented Programming）技术，使得开发者可以通过XML配置文件以无侵入式的方式快速的将其部署到已有或者新的Web应用中。它提供了认证、授权、访问控制、会话管理等多种功能，用于加强任何Java应用的安全，但最常用于基于Web的应用。在Web安全控制的两个部分，Spring Security分别提供了多种实现方式。在用户认证部分，Spring Security提供了包括HTTP基本认证、HTTP表单认证、HTTP摘要认证、OpenId和LDAP等主流的认证方式。在用户授权部分，Spring Security提供了基于角色的访问控制和访问控制列表（Access Control List，ACL），可以实现领域对象的细粒度控制[2]。 　　1.1 Spring Security原理 　　Spring Security 框架的主要组成部分是： 安全代理、认证管理、访问决策管理、运行身份管理和调用后管理等[3]。其对访问对象的整体控制流程框架如图1所示： 　　图1 Spring Security访问控制流程框架 　　（1）安全代理 　　安全代理的主要作用是拦截所用用户的请求，并协调其他安全管理器实现安全控制。它的配置方式是在Web.xml中配置DelegatingFilterProxy实例，DelegatingFilterProxy负责的是将HTTP请求委派给实现java.util.logging.Filter接口的Spring Bean。 　　（2）认证管理 　　确定用户的身份和凭证。其配置是在Spring Security提供的XML标签中配置，为认证配置相应的认证方式，同时在配置中为认证方式配置认证的凭证。 　　（3）访问控制决策管理 　　关于是否允许用户访问应用中的一个资源做决策。它的工作原理是通过访问控制决策管理器中的投票者对访问控制决策投票，投票者可以投票赞成授权、弃权或者拒绝访问资源。 　　（4）运行时身份管理 　　确人当前的主体和凭证的授权在保护资源的权限变化适应。 　　（5）调用后管理 　　确认主体和凭证的权限是否被允许查看保护的资源返回的数据。 　　2 Spring Security在应用中的部署和环境的设置 　　如Spring Securi