目錄

• 1. 需要在spring-security.xml中配置驗(yàn)證過濾器，來取代spring-security.xml的默認(rèn)過濾器
• 2. 配置securityMetadataSource，可以通過url來獲取角色名稱
• 3. 配置決策器：roleAccessDecisionManager
• 4. 在配置文件中，修改默認(rèn)過濾器，將xml方式配置的權(quán)限去掉，改用數(shù)據(jù)庫
• 5. 圖解spring-security整個流程

完整代碼見附件

1. 需要在spring-security.xml中配置驗(yàn)證過濾器，來取代spring-security.xml的默認(rèn)過濾器

spring-security中需要配置驗(yàn)證過濾器來實(shí)現(xiàn)整個攔截的過程，其中需要配置一下三個來實(shí)現(xiàn)。

authenticationManager:在配置用戶名和角色的時候，已經(jīng)配置過了。
accessDecisionManager:用來判斷url是否有權(quán)限
securityMetadataSource:可以通過url得到角色名稱

<!-- 配置 驗(yàn)證過濾器, 此過濾器取代系統(tǒng)的XML權(quán)限過濾 , 此過濾器配置完畢之后存放到 系統(tǒng)缺省的過濾鏈中--> <bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor"><!-- 需要認(rèn)證管理器, 通過它可以獲取 管理員已經(jīng)擁有的角色信息 ，由于id已經(jīng)被org.springframework.security.authenticationManager默認(rèn)了。不能更改，所以用別名--><property name="authenticationManager" ref="authenticationManager"></property><!-- 決策器 --><property name="accessDecisionManager" ref="roleAccessDecisionManager" /> <!-- 配置urlService ，security可以通過url得到角色名稱 --><property name="securityMetadataSource" ref="urlService" /> </bean>

2. 配置securityMetadataSource，可以通過url來獲取角色名稱

package com.hp.service.impl;import java.util.Collection; import java.util.HashSet; import java.util.Set;import javax.annotation.Resource;import org.springframework.security.access.ConfigAttribute; import org.springframework.security.web.FilterInvocation; import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource; import org.springframework.stereotype.Service;import com.hp.dao.UrlDao; import com.hp.model.Role; import com.hp.model.Url; import com.hp.service.UrlService;/*** 通過URL地址獲取相應(yīng)權(quán)限然后在獲取相應(yīng)的角色集合* * 需要實(shí)現(xiàn)FilterInvocationSecurityMetadataSource接口* * @author baojulin**/ @Service("urlService") public class UrlServiceImpl implements UrlService, FilterInvocationSecurityMetadataSource {@Resourceprivate UrlDao urlDao;@Overridepublic Url getRoleByUrl(String url) {return urlDao.getRoleByUrl(url);}/*** 此方法就是通過url地址獲取 角色信息的方法*/@Overridepublic Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {// 獲取當(dāng)前的URL地址System.out.println("object的類型為:" + object.getClass());FilterInvocation filterInvocation = (FilterInvocation) object;String url = filterInvocation.getRequestUrl();System.out.println("訪問的URL地址為(包括參數(shù)):" + url);url = filterInvocation.getRequest().getServletPath();System.out.println("訪問的URL地址為:" + url);Url urlObject = getRoleByUrl(url); //調(diào)用自己實(shí)現(xiàn)的方法來urlSystem.out.println("urlObject:" + urlObject);if (urlObject != null && urlObject.getPrivilege() != null) {Set<Role> roles = urlObject.getPrivilege().getRoles();Collection<ConfigAttribute> c = new HashSet<ConfigAttribute>();c.addAll(roles);return c; // 將privilege中的roles改為Collection<ConfigAttribute>，role需要實(shí)現(xiàn)ConfigAttribute接口} else {// 如果返回為null則說明此url地址不需要相應(yīng)的角色就可以訪問, 這樣Security會放行return null;}}@Overridepublic Collection<ConfigAttribute> getAllConfigAttributes() {// TODO Auto-generated method stubreturn null;}/*** 如果為真則說明支持當(dāng)前格式類型,才會到上面的 getAttributes 方法中*/@Overridepublic boolean supports(Class<?> clazz) {// TODO Auto-generated method stub// 需要返回true表示支持return true;}}

urlDao中的實(shí)現(xiàn)

/*** 通過URL地址獲取相應(yīng)權(quán)限然后在獲取相應(yīng)的角色集合*/@Overridepublic Url getRoleByUrl(String url) {String hql = "FROM Url u JOIN FETCH u.privilege up JOIN FETCH up.roles WHERE u.url=:url";Session session = sessionFactory.openSession();return (Url) session.createQuery(hql).setString("url", url).uniqueResult();}

3. 配置決策器：roleAccessDecisionManager

package com.hp.service.impl;import java.util.Collection;import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; import org.springframework.security.access.AccessDecisionManager; import org.springframework.security.access.AccessDeniedException; import org.springframework.security.access.ConfigAttribute; import org.springframework.security.authentication.InsufficientAuthenticationException; import org.springframework.security.core.Authentication; import org.springframework.security.core.GrantedAuthority; import org.springframework.stereotype.Service;/*** 此類是決策器： 用來對 用戶應(yīng)有的角色,與URL地址可以訪問的角色進(jìn)行對比,如果不匹配則拋出異常* * @author baojulin**/ @Service("roleAccessDecisionManager") public class RoleAccessDecisionManager implements AccessDecisionManager {protected final Log logger = LogFactory.getLog(RoleAccessDecisionManager.class);/*** 決策方法： 如果方法執(zhí)行完畢沒有拋出異常,則說明可以放行, 否則拋出異常 AccessDeniedException*/@Overridepublic void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {// System.out.println("---------------decide------------------");// 如果登陸成功,則信息會存儲在Authorities中Collection<? extends GrantedAuthority> myRoles = authentication.getAuthorities();// 如果前面的 getAttributes() 返回非空,則返回的數(shù)據(jù)做為形參傳入, 如果返回為null 則不會進(jìn)入decide() 直接放行// System.out.println("myRole:" + myRoles);// System.out.println("sysRole:" + configAttributes);for (GrantedAuthority myRole : myRoles) {// 當(dāng)前登錄的角色for (ConfigAttribute urlRoles : configAttributes) {// 前臺傳入的url的角色，UrlDaoImpl.getAttributes獲得的if (myRole.getAuthority().equals(urlRoles.getAttribute())) {// 說明此URL地址符合權(quán)限,可以放行return;}}}// System.out.println("-----權(quán)限驗(yàn)證失敗------");logger.error("-----權(quán)限驗(yàn)證失敗------");throw new AccessDeniedException("權(quán)限越界！");}/*** 返回true表示支持*/@Overridepublic boolean supports(ConfigAttribute attribute) {// System.out.println("public boolean supports(ConfigAttribute attribute)");return true;}/*** 返回true表示支持*/@Overridepublic boolean supports(Class<?> clazz) {// System.out.println("public boolean supports(Class<?> clazz)");return true;}}

4. 在配置文件中，修改默認(rèn)過濾器，將xml方式配置的權(quán)限去掉，改用數(shù)據(jù)庫

<security:http auto-config="false" use-expressions="true" access-denied-page="/login.jsp?error=access-denied-page"><!-- xml配置,配置的 pattern="/admin/**" 表示需要登錄才能訪問，而登錄的角色為ROLE_ADMIN<security:intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" /><security:intercept-url pattern="/user/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" /> --><!-- 增加權(quán)限過濾器,采用數(shù)據(jù)庫方式獲取權(quán)限 --><security:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/><!-- 默認(rèn)登錄地址：j_spring_security_check --><security:form-login default-target-url="/index.jsp" username-parameter="username"password-parameter="password"authentication-failure-url="/login.jsp?error=authentication-failure-url"login-page="/login.jsp"/><!-- 注銷也是由,Security框架來實(shí)現(xiàn),LogoutFilter ,默認(rèn)地址j_spring_security_logout --><security:logout logout-success-url="/login.jsp"/></security:http>

5. 圖解spring-security整個流程

百度云鏈接：http://pan.baidu.com/s/1cBTdb4 密碼：pjzk

轉(zhuǎn)載于:https://www.cnblogs.com/linhp/p/5817054.html

總結(jié)

以上是生活随笔為你收集整理的Spring-Security (学习记录四)--配置权限过滤器,采用数据库方式获取权限的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。