使用命名空間,主要分為3個部分:
a. 註冊過濾器鏈,配置表單登陸,登出等
b. 註冊自定義的安全認證管理器
c. 註冊自定義的授權過濾器
2.
a. 元素會建立乙個filterchainproxy和filter使用的bean。以前常常出現的因為filter順序不正確產生的問題不會再出現了,現在這些過濾器的位置都是預定義好的。
b. auto-config = true(預設為false)
==
c. access-decision-manager-ref屬性可以自定義的訪問策略管理器。當系統角色名的字首不是預設的role_時,需要自定義訪問策略管理器。
3.安全認證
b. 元素會建立乙個daoauthenticationprovider bean;乙個providermanager bean通常是由命名空間過程系統建立的, daoauthenticationprovider自動註冊到它上面
c. 元素會建立乙個inmemorydaoimpl。
d. 使用元素可以為providermanager註冊另外的authenticationprovider bean
a. 定義了對某個資源的訪問需要某個角色的許可權
b. 對於在http/intercept-url中沒有進行定義的url,將會預設使用系統內建的過濾器鏈進行許可權認證(就是說無須認證和授權就能訪問了);
c. 若使用了pattern="/*" 則一般情況下要配置匿名認證過濾器--登陸頁面也被保護的話則會陷入死迴圈中.
d. 由於一般情況下資源對應的許可權都配置在資料庫的資源許可權表中,所以這個元素一般情況下沒用
e. 如果資料庫中的資源許可權表中不存在該資源記錄,那麼匿名認證過濾器實際上時不需要的.
5.
a. 會使用自定義的過濾器替換(position)某個過濾器,但是有3個不能替換:httpsessioncontextintegrationfilter, exceptiontranslationfilter, filtersecurityinterceptor.但是可以使用before或after
b. 除了使用position外,還可以使用before,after加入自定義的過濾器,還有的關鍵字包括first,last代表這個過濾器鏈的頭和尾
6.資料庫的資源許可權表中應該只儲存.action的記錄,把所有受保護的jsp頁面放到/web-inf資料夾下,外部的使用者就無法訪問了,/web-inf下的jsp只能通過servlet的**訪問。
Spring security2 登入例子1
因為最近工作壓力沒那麼大,所以操了一些時間來做了一些spring security2例子,本文將對spring security2技術以例子方式進行介紹,主要就是實現過程,至於各種運用場景大家就自己去研究。如下是我做的第乙個簡單的例子,希望對初學者有一定的幫助。一 匯入如下圖的包。二 在web.xm...
spring security 安全框架
本文 http itblood.com spring security security framework.html 安全常識 acegi介紹 以宣告式方式為基於spring的web應用新增認證和授權控制 acegi體系結構 認證管理器 訪問控制管理器。認證 authenticationproce...
SpringSecurity認證流程
在之前的文章 springboot spring security 基本使用及個性化登入配置 中對springsecurity進行了簡單的使用介紹,基本上都是對於介面的介紹以及功能的實現。這一篇文章嘗試從原始碼的角度來上對使用者認證流程做乙個簡單的分析。在具體分析之前,我們可以先看看springse...