在認識Spring
Security之前,所有的權限驗證邏輯都混雜在業務邏輯中,用戶的每個操作以前可能都需要對用戶是否有進行該項操作的權限進行判斷,來達到認證授權的
目的。類似這樣的權限驗證邏輯代碼被分散在系統的許多地方,難以維護。AOP(Aspect Oriented
Programming)和Spring
Security為我們的應用程序很好的解決了此類問題,正如系統日志,事務管理等這些系統級的服務一樣,我們應該將它作為系統一個單獨的“切面”進行管
理,以達到業務邏輯與系統級的服務真正分離的目的,Spring Security將系統的
安全邏輯從業務中分離出來。
本文代碼運行環境:
JDK6.0
spring-framework-2.5.4
spring-security-2.0.0
JavaEE5
Web容器:
Apache Tomcat6.0
IDE工具:
Eclipse3.3+MyEclipse6.5
操作系統:
Linux(Fedora 8)
這只是我個人的學習總結而已,還請高手們指出本文的不足之處。
一 Spring Security 簡介
這里提到的Spring Security也就是被大家廣為熟悉的Acegi Security,2007年底Acegi
Security正式成為Spring Portfolio項目,并更名為Spring Security.Spring
Security是一個能夠為基于Spring的企業應用系統提供描述性安全訪
問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring
IoC(依賴注入,也稱控制反轉)和AOP(面向切面編程)功能,為應用系統提供聲明式的安全訪問控制功能,減少了為企業系統安全控制編寫大量重復代碼的
工作。
通過在許多項目中實踐應用以及社區的貢獻,如今的Spring Security已經成為Spring Framework下最成熟的安全系統,它為我們提供了強大而靈活的企業級安全服務,如:
Ø 認證授權機制
Ø Web資源訪問控制
Ø 業務方法調用訪問控制
Ø 領域對象訪問控制Access Control List(ACL)
Ø 單點登錄(Central Authentication Service)
Ø X509認證
Ø 信道安全(Channel Security)管理等功能
當保護Web資源時,Spring Security使用Servlet 過濾器來攔截Http請求進行身份驗證并強制安全性,以確保WEB資源被安全的訪問。如下圖是Spring Security的主要組件圖(摘自《Spring in Action》):
圖1 Spring Security的基本組件
無論是保護WEB資源還是保護業務方法或者領域對象,Spring
Security都的通過上圖中的組件來完成的。本文主要闡述如何使用Spring
Security對WEB應用程序的資源進行安全訪問控制,并通過一個簡單的實例來對Spring
Security提供的各種過濾器的功能和配置方法進行描述。
二 保護Web資源
Spring
Security提供了很多的過濾器,它們攔截Servlet請求,并將這些請求轉交給認證處理過濾器和訪問決策過濾器進行處理,并強制安全性,認證用戶
身份和用戶權限以達到保護Web資源的目的。對于Web資源我們大約可以只用6個過濾器來保護我們的應用系統,下表列出了這些安全過濾器的名稱作用以及它
們在系統中的執行順序:
|
過 濾 器
|
作 用
|
|
通道處理過濾器
|
確保請求是在安全通道(HTTP和HTTPS)之上傳輸的
|
|
認證處理過濾器
|
接受認證請求,并將它們轉交給認證管理器進行身份驗證
|
|
CAS處理過濾器
|
接受CAS服務票據,驗證Yale CAS(單點登錄)是否已經對用戶進行了認證
|
|
HTTP基本授權過濾器
|
處理使用HTTP基本認證的身份驗證請求
|
|
集成過濾器
|
處理認證信息在請求間的存儲(比如在HTTP會話中)
|
|
安全強制過濾器
|
確保用戶己經認證,并且滿足訪問一個受保護Web資源的權限需求
|
接下來,通過一個實例來說明它們的具體使用方法和如何在Spring中進行配置。
1 建立Spring Security項目
首先在MyEclipse中創建一個Web
Project,并使用MyEclipse工具導入Spring項目的依賴JAR包,并生成默認的,這里暫時不會用到這個文件,本文只是通過一個簡單的實
例來說明如何配置使用Spring
Security,不會涉及到數據庫,而是使用一個用戶屬性(users.properties)文件來保存用戶信息(包括用戶名,密碼及相應的權限),
但在實際的項目中,我們很少會這樣做,而是應該把用戶信息存在數據庫中,下一篇文章中將會詳細介紹并用到這個文件來配置Hibernate,這里我們保留
它。
現在還需要為項目導入Spring Security的JAR包,它沒有包括在Spring Framework中,你可以從http://www.springframework.org/download/下載,
并將spring-security-core-2.0.0.jar(這是核心代碼庫)和spring-security-core-tiger-
2.0.0.jar(和annotation有關的,比如使用注解對方法進行安全訪問控制,在下一篇中會用到)拷貝到項目的lib目錄下,其中也包括兩個
實例(tutorial和contacts),并且兩個實例中都包括了如何使用Spring 2.0的命名空間來配置Spring
Security,無論你對Spring
2.0命名空間的使用是否了解,它將使我們的配置文件大大縮短,簡化開發,提高生產效率。到此,我們的Spring
Security項目就建好了,項目目錄結構如下圖所示:
圖2 項目目錄結構
2 配置web.xml
Spring Security使用一組過濾器鏈來對用戶進行身份驗證和授權。首先,在web.xml文件中添加FilterToBeanProxy過濾器配置:
1 <filter>
2 <filter-name>springSecurityFilterChain</filter-name>
3 <filter-class>
4 org.springframework.security.util.FilterToBeanProxy
5 </filter-class>
6 <init-param>
7 <param-name>targetClass</param-name>
8 <param-value>
9 org.springframework.security.util.FilterChainProxy
10 </param-value>
11 </init-param>
12 </filter>
13
org.springframework.security.util.FilterToBeanProxy實現了Filter接口,它通過調用
WebapplicationContextUtils類的getWebApplicationnContext(servletContext)方法來
獲取Spring的應用上下文句柄,并通過getBean(beanName)方法來獲取Spring受管Bean的對象,即這里targetClass
參數配置的Bean,并通過調用FilterChain Proxy的init()方法來啟動Spring
Security過濾器鏈進行各種身份驗證和授權服務(FilterChainProxy類也是實現了Filter接口),從而將過濾功能委托給
Spring的FilterChainProxy受管Bean(它維護著一個處理驗證和授權的過濾器列表,列表中的過濾器按照一定的順序執行并完成認證過
程),這樣即簡化了web.xml文件的配置,又能充分利用 Spring的IoC功能來完成這些過濾器執行所需要的其它資源的注入。
當用戶發出請求,過濾器需要根據web.xml配置的請求映射地址來攔截用戶請求,這時Spring Security開始工作,它會驗證你的身份以及當前請求的資源是否與你擁有的權限相符,從而達到保護Web資源的功能,下面是本例所要過濾的用戶請求地址:
1 <filter-mapping>
2
3 <filter-name>springSecurityFilterChain</filter-name>
4
5 <url-pattern>/j_spring_security_check</url-pattern>
6
7 </filter-mapping>
8
9 <filter-mapping>
10
11 <filter-name>springSecurityFilterChain</filter-name>
12
13 <url-pattern>/*</url-pattern>
14
15 </filter-mapping>
提示:
/j_spring_security_check是Spring Security默認的進行表單驗證的過濾地址,你也可以修改為別的名稱,但是需要和
applicationContext-security.xml中相對應,當然還會涉及到其它一些默認值(可能是一個成員變量,也可能是別的請
求地址),在下文我們將看到,建議你在閱讀此文的同時,應該參照Spring Security項目的源代碼,便于你更好的理解。
|
3 配置applicationContext-security.xml
3.1 FilterChainProxy過濾器鏈
FilterChainProxy會按順序來調用一組filter,使這些filter即能完成驗證授權的本質工作,又能享用Spring Ioc的功能來方便的得到其它依賴的資源。FilterChainProxy配置如下:
1 <bean id="filterChainProxy"
class="org.springframework.security.util.FilterChainProxy">
2 <property name="filterInvocationDefinitionSource">
3 <value><![CDATA[
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
4 PATTERN_TYPE_APACHE_ANT
/**=httpSessionContextIntegrationFilter,logoutFilter,
5 authenticationProcessingFilter,securityContextHolderAwareRequestFilter,
6 rememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,
7 filterSecurityInterceptor
8 ]]></value>
9 </property>
10 </bean>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
定義URL在匹配之前必須先轉為小寫,PATTERN_TYPE_APACHE_ANT 定義了使用Apache
ant的匹配模式,/**定義的將等號后面的過濾器應用在那些URL上,這里使用全部URL過濾,每個過濾器之間都適用逗號分隔,它們按照一定的順序排
列。
提示:
特別需要注意的是,即使你配置了系統提供的所有過濾器,這個過濾器鏈會很長,但是千萬不要使用換行,否則它們不會正常工作,
容器甚至不能正常啟動。 |
|
下面根據FilterChainProxy的配置來介紹各個過濾器的配置,各個過濾器的執行順序如以上配置。
首先是通道處理過濾器,如果你需要使用HTTPS,這里我們就使用HTTP進行傳輸,所以不需要配置通道處理過濾器,然后是集成過濾器,配置如下:
1 <bean id="httpSessionContextIntegrationFilter"
2
3 class="org.springframework.security.context.HttpSessionContextIntegrationFilter"/>
httpSessionContextIntegrationFilter是集成過濾器的一個實現,在用戶的一個請求過程中,用戶的認證信息通過
SecurityContextHolder(使用ThreadLoacl實現)進行傳遞的,所有的過濾器都是通過
SecurityContextHolder來獲取用戶的認證信息,從而在一次請求中所有過濾器都能共享Authentication(認證),減少了
HttpRequest參數的傳送,下面的代碼是從安全上下文的獲取Authentication對象的方法:
1 SecurityContext context = SecurityContextHolder.getContext();
2
3 Authentication authentication = context.getAuthentication();
但是,ThreadLoacl不能跨越多個請求存在,所以,集成過濾器在請求開始時從Http會話中取出用戶認證信息并創建一個
SecurityContextHolder將Authentication對象保存在其中,在請求結束之后,在從
SecurityContextHolder中獲取Authentication對象并將其放回Http會話中,共下次請求使用,從而達到了跨越多個請求
的目的。集成過濾器還有其它的實現,可以參考相關文檔。
logoutFilter(退出過濾器) ,退出登錄操作:
1 <bean id="logoutFilter"
2
3 class="org.springframework.security.ui.logout.LogoutFilter">
4
5 <constructor-arg value="/index.jsp"/>
6
7 <constructor-arg>
8
9 <list>
10
11 <!-- 實現了LogoutHandler接口(logout方法) -->
12
13 <ref bean="rememberMeServices"/>
14
15 <bean class="org.springframework.security.ui.logout.SecurityContextLogoutHandler"/>
16
17 </list>
18
19 </constructor-arg>
20
21 </bean>
a
LogoutFilter的構造函數需要兩個參數,第一個是退出系統后系統跳轉到的URL,第二個是一個LogoutHandler類型的數組,這
個數組里的對象都實現了LogoutHandler接口,并實現了它的logout方法,用戶在發送退出請求后,會一次執行LogoutHandler數
組的對象并調用它們的
logout方法進行一些后續的清理操作,主要是從SecurityContextHolder對象中清楚所有用戶的認證信息
(Authentication對象),將用戶的會話對象設為無效,這些都時由SecurityContextLogoutHandler來完成。
LogoutFilter還會清除Cookie記錄,它由另外一個Bean來完成(RememberMeServices)。
<ref bean="rememberMeServices"/>標記指向了我們另外配置的一個Bean:
1 <bean id="rememberMeServices"
class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices"
2 p:key="springsecurity"
3 p:userDetailsService-ref="userDetailsService"/>
TokenBasedRememberMeServices繼承自系統的AbstractRememberMeServices抽象類(實現了
RememberMeServices和 LogoutHandler兩個接口),
RememberMeServices接口的loginSuccess方法負責在用戶成功登錄之后將用戶的認證信息存入Cookie中,這個類在后續的過
濾器執行過程中也會被用到。
另一個userDetailsService屬性也是指向了我們配置的Bean, 它負責從數據庫中讀取用戶的信息,這個類的詳細配置將在后面的部分詳細介紹,這里只是簡單的認識一下。
過濾器鏈的下個配置的過濾器是authenticationProcessingFilter(認證過程過濾器),我們使用它來處理表單認證,當接受到與filterProcessesUrl所定義相同的請求時它開始工作:
1 <bean id="authenticationProcessingFilter"
2
3 class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter"
4
5 p:authenticationManager-ref="authenticationManager"
6 p:authenticationFailureUrl="/login.jsp?login_error=1"
7 p:defaultTargetUrl="/default.jsp"
8 p:filterProcessesUrl="/j_spring_security_check"
9 p:rememberMeServices-ref="rememberMeServices"/>
下面列出了認證過程過濾器配置中各個屬性的功能:
1.authenticationManager 認證管理器
2.authenticationFailureUrl 定義登錄失敗時轉向的頁面
3.defaultTargetUrl 定義登錄成功時轉向的頁面
4.filterProcessesUrl 定義登錄請求的地址(在web.xml中配置過)
5.rememberMeServices 在驗證成功后添加cookie信息
這里也用到了rememberMeServices,如果用戶認證成功,將調用RememberMeServices的loginSuccess方法將用戶認證信息寫入Cookie中,這里也可以看到使用IoC的好處。
決定用戶是否有權限訪問受保護資源的第一步就是要確定用戶的身份,最常用的方式就是用戶提供一個用戶名和密碼以確認用戶的身份是否合法,這一步就是由認證
過程過濾器調用authenticationManager(認證管理器)來完成的。
org.springframework.security.AuthenticationManager接口定義了一個authenticate方法,
它使用Authentication作為入口參數(只包含用戶名和密碼),并在驗證成功后返回一個完整的Authentication對象(包含用戶的權
限信息GrantedAuthority數組對象),authenticationProcessingFilter(認證過程過濾器)會將這個完整的
Authentication對象存入SecurityContext中,如果認證失敗會拋出一個AuthenticationException并跳轉
到authenticationFailureUrl 定義的URL.認證管理其配置如下:
1 <bean id="authenticationManager"
2
3 class="org.springframework.security.providers.ProviderManager"
4 p:sessionController-ref="concurrentSessionController">
5 <property name="providers">
6 <list>
7 <ref bean="daoAuthenticationProvider"/>
8 <bean
9
10 class="org.springframework.security.providers.anonymous.AnonymousAuthenticationProvider"
11 p:key="springsecurity"/>
12 <bean
13
14 class="org.springframework.security.providers.rememberme.RememberMeAuthenticationProvider"
15 p:key="springsecurity"/>
16 </list>
17 </property>
18 </bean>
正如在配置中看到的一樣,系統使用org.springframework.security.providers.ProviderManager(提
供者管理器)類作為認證管理器的一個實現,事實上這個類是繼承自實現了AuthenticationManager接口的
AbstractAuthenticationManager類。需要注意的是ProviderManager(提供者管理器)自己并不實現身份驗證,而
是把這項工作交給了多個認證提供者(提供者集合)或者說的多個認證來源。
提示:
Spring Security為我們提供的所有認證提供者實現都是org.springframework.security.providers .AuthenticationProvider
接口的實現類,它們都實現了此接口的authenticate方法,如果你正在看源代碼,會發現這個authenticate方法事實上和Authe
nticationManager(認證管理器)接口的authenticate方法完全一樣。 |
|
providers屬性定義了提供者管理器的集合,ProviderManager(提供者管理器)逐一遍歷這個認證提供者的集合并調用提供者的
authenticate方法,如果一個提供者認證失敗會嘗試另外一個提供者直到某一個認證提供者能夠成功的驗證該用戶的身份,以保證獲取不同來源的身份
認證。下面表格列出了系統提供的一些認證提供者:
|
提 供 者
|
作 用
|
|
DaoAuthenticationProvider
|
從數據庫中讀取用戶信息驗證身份
|
|
AnonymousAuthenticationProvider
|
匿名用戶身份認證
|
|
RememberMeAuthenticationProvider
|
已存cookie中的用戶信息身份認證
|
|
AuthByAdapterProvider
|
使用容器的適配器驗證身份
|
|
CasAuthenticationProvider
|
根據Yale中心認證服務驗證身份, 用于實現單點登陸
|
|
JaasAuthenticationProvider
|
從JASS登陸配置中獲取用戶信息驗證身份
|
|
RemoteAuthenticationProvider
|
根據遠程服務驗證用戶身份
|
|
RunAsImplAuthenticationProvider
|
對身份已被管理器替換的用戶進行驗證
|
|
X509AuthenticationProvider
|
從X509認證中獲取用戶信息驗證身份
|
|
TestingAuthenticationProvider
|
單元測試時使用
|
a
從上面的表中可以看出,系統為我們提供了不同的認證提供者,每個認證提供者會對自己指定的證明信息進行認證,如DaoAuthenticationProvider僅對UsernamePasswordAuthenticationToken這個證明信息進行認證。
在實際項目中,用戶的身份和權限信息可能存儲在不同的安全系統中(如數據庫,LDAP服務器,CA中心)。
作為程序員,我們可以根據需要選擇不同的AuthenticationProvider(認證提供者)來對自己的系統提供認證服務。
這里我們著重介紹DaoAuthenticationProvider,它從數據庫中讀取用戶信息驗證身份,配置如下:
1 <bean id="daoAuthenticationProvider"
class="org.springframework.security.providers.dao.DaoAuthenticationProvider"
2 p:passwordEncoder-ref="passwordEncoder"
3 p:userDetailsService-ref="userDetailsService"/>
4 <bean id="passwordEncoder"
5 class="org.springframework.security.providers.encoding.Md5PasswordEncoder"/>
還記得前面配置的RememberMeServices嗎?它也有一個和DaoAuthenticationProvider同樣的屬性
userDetailsService,這是系統提供的一個接口
(org.springframework.security.userdetails.UserDetailsService),在這里我們把它單獨提
出來進行介紹。
首先我們需要了解Spring
Security為我們提供的另外一個重要的組件,org.springframework.security.userdetails
.UserDetails接口,它代表一個應用系統的用戶,該接口定義與用戶安全信息相關的方法:
String getUsername():獲取用戶名;
String getPassword():獲取密碼;
boolean isAccountNonExpired():用戶帳號是否過期;
boolean isAccountNonLocked():用戶帳號是否鎖定;
boolean isCredentialsNonExpired():用戶的憑證是否過期;
boolean isEnabled():用戶是否處于激活狀態。
當以上任何一個判斷用戶狀態的方法都返回false時,用戶憑證就被視為無效。UserDetails接口還定義了獲取用戶權限信息的
getAuthorities()方法,該方法返回一個GrantedAuthority[]數組對象,GrantedAuthority是用戶權限信息
對象,這個對象中定義了一個獲取用戶權限描述信息的getAuthority()方法。
UserDetails即可從數據庫中返回,也可以從其它如LDAP中返回,這取決與你的系統中使用什么來存儲用戶信息和權限以及相應的認證提供者。這里
我們只重點介紹DaoAuthenticationProvider(從數據庫中獲取用戶認證信息的提供者),本人水平有限,在項目中還沒有機會用到其它
提供者。說到這里,這個封裝了用戶詳細信息的UserDetails該從哪兒獲取呢?這就是我們接下來要介紹的UserDetailsService接
口,這個接口中只定義了唯一的UserDetails loadUserByUsername(String
username)方法,它通過用戶名來獲取整個UserDetails對象。
看到這里你可能會有些糊涂,因為前面提到的Authentication對象中也存放了用戶的認證信息,需要注意Authentication對象才是
Spring
Security使用的進行安全訪問控制用戶信息安全對象。實際上,Authentication對象有未認證和已認證兩種狀態,在作為參數傳入認證管理
器(AuthenticationManager)的authenticate方法時,是一個未認證的對象,它從客戶端獲取用戶的身份信息(如用戶名,密
碼),可以是從一個登錄頁面,也可以從Cookie中獲取,并由系統自動構造成一個Authentication對象。而這里提到的
UserDetails代表一個用戶安全信息的源(從數據庫,LDAP服務器,CA
中心返回),Spring
Security要做的就是將這個未認證的Authentication對象和UserDetails進行匹配,成功后將UserDetails中的用戶
權限信息拷貝到Authentication中組成一個完整的Authentication對象,共其它組件共享。
這樣,我們就可以在系統中獲取用戶的相關信息了,需要使用到Authentication對象定義的Object
getPrincipal()方法,這個方法返回一個Object類型的對象,通常可以將它轉換為UserDetails,從而可以獲取用戶名,密碼以及
權限等信息。代碼如下:
1 UserDetails details = (UserDetails)authentication.getPrincipal();
2
3 GrantedAuthority[] authority = details.getAuthorities();
前面介紹了DaoAuthenticationProvider,它可以從數據庫中讀取用戶信息,同樣也可以從一個用戶屬性文件中讀取,下一篇文章中我們
在介紹如何從數據庫中讀取用戶信息,當然還會涉及到更深入的東西,比如根據自己系統的需要自定義UserDetails和
UserDetailsService,這個只是讓你對整個系統有個簡單的了解,所以我們使用用戶屬性文件(users.properties)來存儲用
戶信息:
1 admin=admin,ROLE_SUPERVISOR
2
3 user1=user1,ROLE_USER
4
5 user2=user2,ROLE_USER
6
7 user3=user3,disabled,ROLE_USER
配置userDetailsService:
1 <bean id="userDetailsService"
2
3 class="org.springframework.security.userdetails.memory.InMemoryDaoImpl">
4 <property name="userProperties">
5 <bean class="org.springframework.beans.factory.config.PropertiesFactoryBean"
6 p:location="/WEB-INF/users.properties"/>
7 </property>
8 </bean>
InMemoryDaoImpl類是UserDetailsService接口的一個實現,它從屬性文件里讀取用戶信息,Spring
Security使用一個屬性編輯器將用戶信息為我們組織成一個
org.springframework.security.userdetails.memory.UserMap類的對象,我們也可以直接為它提供一
個用戶權限信息的列表,詳見applicationContext-security.xml配置文件。
UserMap字符串的每一行都用鍵值對的形式表示,前面是用戶名,然后是等號,后面是賦予該用戶的密碼/權限等信息,它們使用逗號隔開。比如:
1 admin=admin,ROLE_SUPERVISOR
定義了一個名為admin的用戶登錄密碼為admin,該用戶擁有ROLE_SUPERVISOR權限,再如users.properties文件中配置
的名為user3的用戶登錄密碼為user3,該用戶擁有ROLE_USER權限,disabled定義該用戶不可用,為被激活(UserDetails
的isEnabled方法)。
即使是系統的開發者或者說是最終用戶,都不應該看到系統中有明文的密碼。所以,Spring
Security考慮的還是很周到的,為我們提供的密碼加密的功能。正如你在Dao認證提供者(DaoAuthenticationProvider)中
看到的,passwordEncoder屬性配置的就是一個密碼加密程序(密碼編碼器)。這里我們使用MD5加密,可以看配置文件中的scott用戶,你
還能看出他的密碼是什么嗎?當然這里只是演示功能,其它用戶還是沒有改變,你可以自己試試。系統為我們提供了一些常用的密碼編碼器(這些編碼器都位于
org.springframework.secu rity.providers.encoding包下):
PlaintextPasswordEncoder(默認)——不對密碼進行編碼,直接返回未經改變的密碼;
Md4PasswordEncoder ——對密碼進行消息摘要(MD4)編碼;
Md5PasswordEncoder ——對密碼進行消息摘要(MD5)編碼;
ShaPasswordEncoder ——對密碼進行安全哈希算法(SHA)編碼。
你可以根據需要選擇合適的密碼編碼器,你也可以設置編碼器的種子源(salt source)。一個種子源為編碼提供種子(salt),或者稱編碼的密鑰,這里不再贅述。
這里附加介紹了不少東西,希望你還沒有忘記在AuthenticationManager(認證管理器)中還配置了一個名為
sessionController的Bean,這個Bean可以阻止用戶在進行了一次成功登錄以后在進行一次成功的登錄。在
applicationContext-security.xml配置文件添加sessionController的配置:
1 <bean id="concurrentSessionController"
2
3 class="org.springframework.security.concurrent.ConcurrentSessionControllerImpl"
4 p:maximumSessions="1"
5 p:exceptionIfMaximumExceeded="true"
6 p:sessionRegistry-ref="sessionRegistry"/>
7 <bean id="sessionRegistry"
8
9 class="org.springframework.security.concurrent.SessionRegistryImpl"/>
maximumSessions屬性配置了只允許同一個用戶登錄系統一次,exceptionIfMaximumExceeded屬性配置了在進行第二次
登錄是是否讓第一次登錄失效。這里設置為true不允許第二次登錄。要讓此功能生效,我們還需要在web.xml文件中添加一個監聽器,以讓Spring
Security能獲取Session的生命周期事件,配置如下:
1 <listener>
2 <listener-class>
3 org.springframework.security.ui.session.HttpSessionEventPublisher
4 </listener-class>
5 </listener>
HttpSessionEventPublisher類實現javax.servlet.http.HttpSessionListener接口,在
Session被創建的時候通過調用ApplicationContext的publishEvent(ApplicationEvent
event)發布HttpSessionCreatedEvent類型的事件,HttpSessionCreatedEvent類繼承自
org.springframework.context.ApplicationEvent類的子類
HttpSessionApplicationEvent抽象類。
concurrentSessionController使用sessionRegistry來完成對發布的Session的生命周期事件的處
理,org.springframework.security.concurrent.SessionRegistryImpl(實現了
SessionRegistry接口), SessionRegistryImpl類還實現了Spring Framework
的事件監聽org.springframework.context.Application
Listener接口,并實現了該接口定義的onApplicationEvent(ApplicationEvent
event)方法用于處理Applic ationEvent類型的事件,如果你了解Spring
Framework的事件處理,那么這里你應該可以很好的理解。
認證管理器到此介紹完畢了,認證過程過濾器也介紹完了,接下來我們繼續介紹過濾器鏈的下一個過濾器securityContextHolderAwareRequestFilter:
1 <bean id="securityContextHolderAwareRequestFilter"
2 class="org.springframework.security.wrapper.SecurityContextHolderAwareRequestFilter"/>
這個過濾器使用裝飾模式(Decorate
Model),裝飾的HttpServletRequest對象。其Wapper是ServletRequest包裝類
HttpServletRequestWrapper的子類(如SavedRequestAwareWrapper或
SecurityContextHolderAwareRequestWrapper),附上獲取用戶權限信息,request參數,headers
和 cookies 的方法。
rememberMeProcessingFilter過濾器配置:
<bean id="rememberMeProcessingFilter"
class="org.springframework.security.ui.rememberme.RememberMeProcessingFilter"
p:authenticationManager-ref="authenticationManager"
p:rememberMeServices-ref="rememberMeServices"/>
當SecurityContextHolder中不存在Authentication用戶授權信息
時,rememberMeProcessingFilter就會調用rememberMeServices
的autoLogin()方法從cookie中獲取用戶信息自動登錄。
anonymousProcessingFilter過濾器配置:
1 <bean id="anonymousProcessingFilter"
2 class="org.springframework.security.providers.anonymous.AnonymousProcessingFilter"
3 p:key="springsecurity"
4 p:userAttribute="anonymousUser,ROLE_ANONYMOUS"/>
如果不存在任何授權信息時,自動添加匿名用戶身份至SecurityContextHolder中,就是這里配置的userAttribute,系統為用戶分配一個ROLE_ANONYMOUS權限。
exceptionTranslationFilter(異常處理過濾器),該過濾器用來處理在系統認證授權過程中拋出的異常,主要是處理
AccessDeniedException和AuthenticationException兩個異常并根據配置跳轉到不同URL:
1 <bean id="exceptionTranslationFilter"
2 class="org.springframework.security.ui.ExceptionTranslationFilter"
3 p:accessDeniedHandler-ref="accessDeniedHandler"
4 p:authenticationEntryPoint-ref="authenticationEntryPoint"/>
5 <!-- 處理AccessDeniedException -->
6 <bean id="accessDeniedHandler"
7 class="org.springframework.security.ui.AccessDeniedHandlerImpl"
8 p:errorPage="/accessDenied.jsp"/>
9 <bean id="authenticationEntryPoint"
10 class="org.springframework.security.ui.webapp.AuthenticationProcessingFilterEntryPoint"
11 p:loginFormUrl="/login.jsp"
12 p:forceHttps="false"/>
accessDeniedHandler用于處理AccessDeniedException異常,當用戶沒有權限訪問當前請求的資源時拋出此異常,并跳轉自這里配置的/accessDenied.jsp頁面。
authenticationEntryPoint(認證入口點),這里定義了用戶登錄的頁面。系統為我們提供了3個認證入口點的實現:
|
認 證 入 口 點
|
作 用
|
|
BasicProcessingFilterEntryPoint
|
通過向瀏覽器發送一個HTTP 401(未授權)消息,由瀏覽器彈出登錄對話框,提示用戶登錄
|
|
AuthenticationProcessingFilterEntryPoint
|
將用戶重定向到一個基于HTML表單的登錄頁面
|
|
CasProcessingFilterEntryPoint
|
將用戶重定向至一個Yale CAS登錄頁面
|
這里我們使用AuthenticationProcessingFilterEntryPoint認證入口點,提供給用戶一個友好的登錄界面,只是為了給用戶更好的體驗。
filterSecurityInterceptor(過濾器安全攔截器),該過濾器首先調用認證管理器來判斷用戶是否已被成功驗證,如果沒有被驗證則重
定向到登錄界面。否則,從Authentication獲取用戶的權限信息,然后從objectDefinitionSource中獲取URL所對應的權
限,最后調用accessDecisionManager(訪問決策管理器)來判斷用戶當前擁有的權限是否與當前受保護的URL資源對應的權限匹配,如果
匹配就可以訪問該URL資源,否則將拋出AccessDeniedException異常并返回客戶端瀏覽器一個403錯誤(如果用戶定義了
accessDenied頁面則會被重定向到該頁,見:異常處理過濾器exceptionTranslationFilter中配置的
accessDeniedHandler Bean),訪問決策管理的的工作機制將在隨后更詳細介紹,這里先給出過濾器安全攔截器的配置如下:
1 <bean id="filterSecurityInterceptor"
2
3 class="org.springframework.security.intercept.web.FilterSecurityInterceptor"
4
5 p:authenticationManager-ref="authenticationManager"
6
7 p:accessDecisionManager-ref="accessDecisionManager">
8 <property name="objectDefinitionSource">
9 <value><![CDATA[
10
11 CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
12 PATTERN_TYPE_APACHE_ANT
13 /admins/**=ROLE_SUPERVISOR
14 /user/**=ROLE_USER,IS_AUTHENTICATED_REMEMBERED
15 /default.jsp=ROLE_USER,IS_AUTHENTICATED_REMEMBERED
16 /**=IS_AUTHENTICATED_ANONYMOUSLY
17 ]]></value>
18 </property>
19 </bean>
從配置可以看出來,過濾器安全攔截器用到了我們前面配置的認證管理器,過濾器安全攔截器使用authenticationManager并調用它的
providers(提供者列表)來對用戶的身份進行驗證并獲取用戶擁有的權限。如果用戶被成功認證,過濾器安全攔截器將會使用
accessDecisionManager(訪問決策管理器)來判斷已認證的用戶是否有權限訪問受保護的資源,這些受保護的資源由
objectDefinitionSource屬性定義。
訪問決策管理器(accessDecisionManager):
1 <bean id="accessDecisionManager"
2 class="org.springframework.security.vote.AffirmativeBased"
3 p:allowIfAllAbstainDecisions="false">
4 <property name="decisionVoters">
5 <list>
6 <bean class="org.springframework.security.vote.RoleVoter"/>
7 <bean class="org.springframework.security.vote.AuthenticatedVoter"/>
8 </list>
9 </property>
10 </bean>
身份驗證只是Spring Security安全機制的第一步,訪問決策管理器驗證用戶是否有權限訪問相應的資源(filterSecurityInterceptor中objectDefinitionSource屬性定義的訪問URL需要的屬性信息)。
org.springframework.security.AccessDecisionManager接口定義了用于驗證用戶是否有權限訪問受保護資
源的decide方法,另一個supports方法根據受保護資源的配置屬性(即訪問這些資源所需的權限)來判斷該訪問決策管理器是否能做出針對該資源的
訪問決策。decide方法最終決定用戶有無訪問權限,如果沒有則拋出AccessDeniedException異常(面前也提到過,你應該在回過頭去
看看)。
與認證管理器類似,訪問決策管理器也不是由自己來實現訪問控制的,而是通過一組投票者來投票決定(通過調用投票者的vote方法),訪問決策管理器統計投票結果并最終完成決策工作。下表列出了系統提供的3個訪問決策管理器的實現:
|
訪問決策管理器
|
如 何 決 策
|
|
AffirmativeBased
|
當至少有一個投票者投允許訪問票時允許訪問
|
|
ConsensusBased
|
當所有投票者都投允許訪問票時允許訪問
|
|
UnanimousBased
|
當沒有投票者投拒絕訪問票時允許訪問
|
decisionVoters屬性為訪問決策管理器定義了一組進行投票工作的投票者,那么這些投票者是如何進行投票的呢?這就需要提
org.springframework.security.vote.AccessDecisionVoter接口,所有的投票者都實現了這個接口并實
現了其中的vote方法。該接口中還定義了3個int類型的常量:
int ACCESS_GRANTED = 1;(投贊成票)
int ACCESS_ABSTAIN = 0;(投棄權票)
int ACCESS_DENIED = -1; (投反對票)
每個決策投票者都返回這3個常量中一個,這取決與用戶是否有權限訪問當前請求的資源,訪問決策管理器再對這些投票結果進行統計。認證投票者的配置如上面所示。
loggerListener是一個可選項,它和我們前面配置的Bean或者過濾器沒有關系,只是監聽系統的一些事件(實現了
ApplicationListener監聽接口),被它監聽的事件包括AuthenticationCredentialsNotFoundEvent
事件,AuthorizationFailureEvent事件,AuthorizedEvent事件,PublicInvocationEvent事
件,相信你從他們的名字就能看出來是一些什么樣的事件,除非你的e文比我還差勁。loggerListener配置如下:
1 <bean id="loggerListener" class="org.springframework.security.event.authentication.LoggerListener"/>
到此,本例所涉及到的所有配置都介紹完了,在下一篇中會介紹方法安全攔截器,以及如何使用它來保護我們的方法調用,以及前面提到過的會在下一篇中介紹的,這里不在一一列出。
接下來就是JSP頁面了,首先是login.jsp:
1 <c:if test="${not empty param.login_error}">
2 登錄失敗,請重試。錯誤原因:<br/>
3 <font color="red">
4 <c:if test="${not empty SPRING_SECURITY_LAST_EXCEPTION}">
5 <c:out value="${SPRING_SECURITY_LAST_EXCEPTION}"></c:out>
6 </c:if>
7 </font>
8 </c:if>
9 <form action="<c:url value="/j_spring_security_check"/>" method="post">
10 <table>
11 <tr>
12 <td><label for="username">username:</label></td>
13 <td><input type="text" id="username" name="j_username"
value="<c:out value="${SPRING_SECURITY_LAST_USERNAME}"/>"/></td>
14 </tr>
15 <tr>
16 <td><label for="password">password:</label></td>
17 <td><input type="password" id="password" name="j_password" value=""/></td>
18 </tr>
19 <tr><td></td>
20 <td><input type="checkbox" name="_spring_security_remember_me">兩周內記住我</td>
21 </tr>
22 <tr><td colspan="2"><input type="submit" value="提交"/>
23 <input type="reset" value="重置"/></td></tr>
24 </table>
25 </form>
如果你有看源代碼,上面的某些參數,以及本文所有提及的東西你都不應該感到陌生。其它頁面也不在列出了,還有就是如何讓它運行起來,這些我相信你都能自己搞定。
附件1:linux/springsecurity.rar">springsecurity.rar(不包括JAR包)
補上使用命名空間配置實現的代碼,命名空間的詳細資料請參考Spring
Security中文參考文檔,翻譯得很好,這里就不在累述了,配置文件中也有比較詳細的注釋。另外例子中還包括了自定義
UserDetailService的實現已經如何Ehcache緩存用戶信息,詳細的信息將在下一篇中講述。
附件2:linux/springsecurity-namespace.rar">springsecurity-namespace.rar(包括部分JAR包)