`
huttoncs
  • 浏览: 199120 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

spring security2配置文件学习小结

 
阅读更多

内容 转自 spring security2配置文件学习小结

 

1.applicationContext-security的配置 
使用命名空间,主要分为3个部分: 
a. <http>注册过滤器链,配置表单登陆,注销等 
b. 注册自定义的安全认证管理器 
c. 注册自定义的授权过滤器 

2.<http> 
a. <http>元素会创建一个FilterChainProxy和filter使用的bean。以前常常出现的因为filter顺序不正确产生的问题不会再出现了,现在这些过滤器的位置都是预定义好的。 
b. auto-config = true(默认为false) 
== 
<http> 
    <intercept-url pattern="/**" access="ROLE_USER" /> 
    <form-login /> 
    <anonymous /> 
    <http-basic /> 
    <logout /> 
    <remember-me /> 
</http> 
c. access-decision-manager-ref属性可以自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。例如: 

<!-- 访问投票管理 -->
 <b:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
  <b:property name="decisionVoters">
   <b:list>
    <b:bean class="org.springframework.security.vote.RoleVoter">
     <b:property name="rolePrefix" value="" />
    </b:bean>
   </b:list>
  </b:property>
 </b:bean>

 


3.安全认证 
a. <authentication-manager alias="XX"/>为AuthenticationManager注册一个别名,然后你可以application context的其他地方使用这个名字 
b. <authentication-provider>元素会创建一个DaoAuthenticationProvider bean;一个ProviderManager bean通常是由命名空间过程系统创建的, DaoAuthenticationProvider自动注册到它上面 
c. <user-service>元素会创建一个InMemoryDaoImpl。 
d. 使用<custom-authentication-provider>元素可以为ProviderManager注册另外的AuthenticationProvider bean 

4.http/intercept-url 
a. <intercept-url pattern="/XX" access="ROLE_XXX" />定义了对某个资源的访问需要某个角色的权限 
b. 对于在http/intercept-url中没有进行定义的URL,将会默认使用系统内置的过滤器链进行权限认证(就是说无须认证和授权就能访问了); 
c. 若使用了pattern="/*" 则一般情况下要配置匿名认证过滤器--登陆页面也被保护的话则会陷入死循环中. 
d. 由于一般情况下资源对应的权限都配置在数据库的资源权限表中,所以这个元素一般情况下没用 
e. 如果数据库中的资源权限表中不存在该资源记录,那么匿名认证过滤器实际上时不需要的. 

5.<security:custom-filter> 
a. <security:custom-filter position="XXX"/>会使用自定义的过滤器替换(position)某个过滤器,但是有3个不能替换:HttpSessionContextIntegrationFilter, ExceptionTranslationFilter, FilterSecurityInterceptor.但是可以使用before或after 
b. 除了使用position外,还可以使用before,after加入自定义的过滤器,还有的关键字包括first,last代表这个过滤器链的头和尾 

6.数据库的资源权限表中应该只保存.action的记录,把所有受保护的jsp页面放到/WEB-INF文件夹下,外部的用户就无法访问了,/WEB-INF下的JSP只能通过Servlet的转发访问。

分享到:
| 使用HttpURLConnection向服务器发送post和 ...
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    spring security 配置文件小结(逐步深化到url级别)

    NULL 博文链接:https://whp0731.iteye.com/blog/453796

    spring security 参考手册中文版

    Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...

    详细使用SpringSecurity

    环境搭建,进行最简单的配置。 第 II 部分 “保护web篇”。谈谈对url的权限控制。 第 III 部分 “内部机制篇”。对方法调用进行权限控制。 第 IV 部分 “ACL篇”。实现ACL(Access Control List)。 第 V 部分 ...

    Spring攻略PDF版

     1.5 使用配置文件配置容器   1.5.1 问题描述   1.5.2 解决方案   1.5.3 实现方法   1.6 小结   第2章 Spring简介   2.1 Spring Framework   2.1.1 Spring的模块介绍   2.1.2 ...

    Spring攻略中文版PDF

     1.5 使用配置文件配置容器   1.5.1 问题描述   1.5.2 解决方案   1.5.3 实现方法   1.6 小结   第2章 Spring简介   2.1 Spring Framework   2.1.1 Spring的模块介绍   2.1.2 ...

    Spring攻略英文版(附带源码)

     1.5 使用配置文件配置容器   1.5.1 问题描述   1.5.2 解决方案   1.5.3 实现方法   1.6 小结   第2章 Spring简介   2.1 Spring Framework   2.1.1 Spring的模块介绍   2.1.2 Spring的...

    Spring Security3 张卫滨(译)

    实现Spring Security的XML配置文件.......................................................................... 19 添加Spring DelegatingFilterProxy到web.xml文件...............................................

    spring boot 全面的样例代码

    - [Spring Boot Actuator监控端点小结](http://blog.didispace.com/spring-boot-actuator-1/) - [在传统Spring应用中使用spring-boot-actuator模块提供监控端点]...

    Spring攻略(第二版 中文高清版).part2

    第5章 Spring Security 164 5.1 加强URL访问安全 165 5.1.1 问题 165 5.1.2 解决方案 165 5.1.3 工作原理 166 5.2 登录到Web应用 175 5.2.1 问题 175 5.2.2 解决方案 175 5.2.3 工作原理 175 5.3...

    Spring in Action(第二版 中文高清版).part2

    第一部分 Spring的核心 第1章 开始Spring之旅 1.1 Spring是什么 1.2 开始Spring之旅 1.3 理解依赖注入 1.3.1 依赖注入 1.3.2 DI应用 1.3.3 企业级应用中的依赖注入 1.4 应用AOP ...B.4 小结

    Spring in Action(第2版)中文版

    目录 第一部分spring的核心 第1章开始spring之旅 1.1spring是什么 1.2开始spring之旅 1.3理解依赖注入 ...1.5小结 ...第2章基本bean装配 ...2.6小结 ...3.5.3配置属性的外在化 ...3.7小结 ...4.6小结 ...b.4小结

    springboot学习

    chapter2-1-1:配置文件详解:自定义属性、随机数、多环境配置等 chapter2-1-2:2.0 新特性(一):配置绑定全解析 chapter2-2-1:2.0 新特性(二):新增事件ApplicationStartedEvent Web开发 chapter3-1-1:构建一...

    Spring攻略(第二版 中文高清版).part1

    第5章 Spring Security 164 5.1 加强URL访问安全 165 5.1.1 问题 165 5.1.2 解决方案 165 5.1.3 工作原理 166 5.2 登录到Web应用 175 5.2.1 问题 175 5.2.2 解决方案 175 5.2.3 工作原理 175 5.3...

    Spring in Action(第二版 中文高清版).part1

    第一部分 Spring的核心 第1章 开始Spring之旅 1.1 Spring是什么 1.2 开始Spring之旅 1.3 理解依赖注入 1.3.1 依赖注入 1.3.2 DI应用 1.3.3 企业级应用中的依赖注入 1.4 应用AOP ...B.4 小结

    springFramework:它总结了研究spring框架的内容。

    它总结了研究spring框架的内容。 参考链接 基础 基础 申请 0. Spring基础 :pencil: [数据库编程] :pushpin: :pencil: [Spring Web表单] 1.建立一个Spring开发环境 依赖注入:请参阅Kong店编码阶段的视频 ...

    sales-order-system:Spring Web MVC + JPA + Hibernate + JSP + JSTL应用程序

    销售订单系统 项目不再得到积极维护,请参阅: 目录 概括 这是一个非常小的全栈Web应用程序,仅用作示例,仅用于演示...可以在Spring的application-security.xml配置文件中找到一些示例凭证。 运行单元测试 mvn test

    基于SpringBoot+Vue的CSGO赛事管理系统(源码+部署说明+系统介绍+源码解释).zip

    后端技术栈:SpringBoot + SpringSecurity + MyBatis + MySQL 系统功能: 1.登录注册:用户可以通过注册页面进行注册,注册完成后可以登录系统,也可以通过第三方登录进行操作。 2.首页展示:首页展示赛事信息、...

    HRAts:HRAts是一个开源项目,创建该项目是为了支持招聘流程,支持公司的业务流程

    设置摘要在Java 7,PostgreSQL 9.1,Spring 4.1.6,Spring Security 3.2.7和AngularJS 1.3.15上运行配置它需要的是一个数据库连接和电子邮件服务器,应用程序将从该数据库和电子邮件服务器发送注册令牌依存关系需要...

    asp.net知识库

    C#静态成员和方法的学习小结 C#中结构与类的区别 C#中 const 和 readonly 的区别 利用自定义属性,定义枚举值的详细文本 Web标准和ASP.NET - 第一部分 XHTML介绍 在ASP.NET页面中推荐使用覆写(Override)而不是事件...

    java面试题以及技巧

    │ Struts配置文件详解.txt │ 上海税友.txt │ 上海税友软件 面试题.doc │ 公司培训文档-混淆的基本概念.doc │ 基本算法.doc │ 孙卫琴精通struts.基于MVC的.java.web设计与开发.pdf │ 学习Struts提供的和Form...

Magicbox
Global site tag (gtag.js) - Google Analytics