由于ss2的demo配置太过简单，要想在项目中应用的话必须进行相应扩展，这里简单写一下简单的扩展方法。

xml头中引入security命名空间

1. <beans xmlns="http://www.springframework.org/schema/beans"  
2.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
3.     xmlns:security="http://www.springframework.org/schema/security"  
4.     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd  
5.             http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.xsd"  
6.     default-lazy-init="true">  

 

 然后是启用ss2默认配置的一段代码

1. <!--  
2.     2.0新增的命名空间，使得配置简化了很多  
3.     auto-config 自动使用默认的配置  
4.     access-denied-page 指定访问未授权页面时显示的页面  
5. -->  
6. <security:http auto-config="true" access-denied-page="/accessDenied.html">  
7.     <security:anonymous granted-authority="BASIC" />  
8. </security:http>  

  这段代码作用是以ss2的默认配置方式加入1.0时需要手工配置的AuthenticationProcessingFilter等多个必须配置的filter，详细可参考1.0配置和2.0参考手册。

auto-config="true" 表示使用ss2自动配置

access-denied-page="/accessDenied.html"表示拒绝访问时显示的页面

<security:anonymous granted-authority="BASIC" />表示匿名权限的authority为BASIC

 

ss对权限的管理分为认证和授权两部分，先看认证

1. <!--  
2.     负责认证处理的filter 
3. -->  
4. <bean id="authenticationProcessingFilter"  
5.     class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter">  
6.     <!-- 此行说明此filter会覆盖ss2默认配置的filter，before 被覆盖filter的别名 -->  
7.     <security:custom-filter before="AUTHENTICATION_PROCESSING_FILTER" />  
8.     <!-- 认证管理器 -->  
9.     <property name="authenticationManager" ref="authenticationManager" />  
10.     <!-- 认证失败后跳转到的页面，/spring_security_login是ss2默认的登录入口 -->  
11.     <property name="authenticationFailureUrl"  
12.         value="/spring_security_login" />  
13.     <!-- 认证成功后跳转到的页面 -->  
14.     <property name="defaultTargetUrl" value="/index.html" />  
15. </bean>  

 这是负责认证处理的filter，中间custom-filter一行意思是将filter放在默认配置中别名为AUTHENTICATION_PROCESSING_FILTER的filter前边，即负责认证的filter（别名列表参照参考手册）。

按官方的说法，如果需要用自定义的filter覆盖默认filter，则应该将security:http标签的auto-config属性改为false，这样的话就需要增加很多手动配置项。我试了下，不改false也可以，只是运行期间会出现一个warn信息“Possible error: Filters at position 2 and 3 are both instances of xxxx”，意思是filter串中有两个相同类型的filter。

另：在2.0.2中可以使用position代替before，真正的覆盖默认filter。但是有个bug，如果使用默认登录入口的话，还是会调用默认filter，必须连登录入口一并改掉。

 

其引用的authenticationManager

1. <!--  
2.     认证管理器  
3.     根据用户名和密码，使用多个provider进行认证  
4.     认证成功会生成一个Authentication，否则抛出AuthenticationException  
5. -->  
6. <bean id="authenticationManager"  
7.     class="org.springframework.security.providers.ProviderManager">  
8.     <property name="providers">  
9.         <list>  
10.             <ref local="daoAuthenticationProvider" />  
11.         </list>  
12.     </property>  
13. </bean>  

 认证管理器通过多个provider实现基于用户名和密码的认证，多个provider中只要有一个认证成功，即成功。

 

这里只使用了一个daoPorvider

1. <!--  
2.     认证的provider  
3.     userDetailsService 根据用户名获取用户信息  
4.     userCache ehcache缓存user信息。  
5. -->  
6. <bean id="daoAuthenticationProvider"  
7.     class="org.springframework.security.providers.dao.DaoAuthenticationProvider">  
8.     <property name="userDetailsService" ref="userDetailsService" />  
9.     <property name="userCache" ref="userCache" />  
10. </bean>  

 

userDetailsService：根据登录的用户名获取一个UserDetails，即代表一个用户的实体对象。

1. <!-- 通过dao查询用户信息 -->  
2. <bean id="userDetailsService"  
3.     class="org.catspaw.ss2test1.security.UserDetailsSerivceImpl">  
4.     <property name="userDao" ref="userDao" />  
5. </bean>  

 

 UserDetailsSerivceImpl代码

1. package org.catspaw.ss2test1.security;  
2.   
3. import org.catspaw.ss2test1.dao.UserDao;  
4. import org.springframework.dao.DataAccessException;  
5. import org.springframework.security.userdetails.UserDetails;  
6. import org.springframework.security.userdetails.UserDetailsService;  
7. import org.springframework.security.userdetails.UsernameNotFoundException;  
8.   
9. /** 
10.  * 获取UserDetails 
11.  * 使用UserDao查询User 
12.  *  
13.  * @author 孙宁振 
14.  * 
15.  */  
16. public class UserDetailsSerivceImpl implements UserDetailsService {  
17.   
18.     private UserDao userDao;  
19.   
20.     public UserDao getUserDao() {  
21.         return userDao;  
22.     }  
23.   
24.     public void setUserDao(UserDao userDao) {  
25.         this.userDao = userDao;  
26.     }  
27.   
28.     public UserDetails loadUserByUsername(String username)  
29.             throws UsernameNotFoundException, DataAccessException {  
30.         return userDao.findByUsername(username);  
31.     }  
32. }  

 

 UserDao实现（接口省略）

1. package org.catspaw.ss2test1.dao.hibernate;  
2.   
3. import java.util.List;  
4. import org.catspaw.ss2test1.dao.UserDao;  
5. import org.catspaw.ss2test1.model.User;  
6. import org.hibernate.criterion.DetachedCriteria;  
7. import org.hibernate.criterion.Expression;  
8. import org.springframework.orm.hibernate3.support.HibernateDaoSupport;  
9.   
10. /** 
11.  * 查询User 
12.  *  
13.  * @author 孙宁振 
14.  * 
15.  */  
16. public class UserDaoHibernate extends HibernateDaoSupport implements UserDao {  
17.   
18.     public User get(String id) {  
19.         return (User) getHibernateTemplate().get(User.class, id);  
20.     }  
21.   
22.     @SuppressWarnings("unchecked")  
23.     public User findByUsername(String username) {  
24.         DetachedCriteria dc = DetachedCriteria.forClass(User.class);  
25.         dc.add(Expression.eq("username", username));  
26.         List<User> list = getHibernateTemplate().findByCriteria(dc);  
27.         if (!list.isEmpty()) {  
28.             return list.get(0);  
29.         }  
30.         return null;  
31.     }  
32. }  

 

User实体，直接实现了UserDetails

1. package org.catspaw.ss2test1.model;  
2.   
3. import java.util.ArrayList;  
4. import java.util.List;  
5. import java.util.Set;  
6. import javax.persistence.Entity;  
7. import javax.persistence.Id;  
8. import javax.persistence.JoinColumn;  
9. import javax.persistence.JoinTable;  
10. import javax.persistence.ManyToMany;  
11. import javax.persistence.Transient;  
12. import org.springframework.security.GrantedAuthority;  
13. import org.springframework.security.GrantedAuthorityImpl;  
14. import org.springframework.security.userdetails.UserDetails;  
15.   
16. /** 
17.  * 用户 
18.  * 实现了UserDetails 
19.  * 与Resource多对多关联 
20.  *  
21.  * @author 孙宁振 
22.  * 
23.  */  
24. @Entity  
25. public class User implements UserDetails {  
26.   
27.     private String      id;  
28.     private String      username;  
29.     private String      password;  
30.     private Set<Resource> resources;  
31.   
32.     @Id  
33.     public String getId() {  
34.         return id;  
35.     }  
36.   
37.     public String getPassword() {  
38.         return password;  
39.     }  
40.   
41.     public String getUsername() {  
42.         return username;  
43.     }  
44.   
45.     @ManyToMany(targetEntity = Resource.class)  
46.     @JoinTable(name = "user_resource", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "resource_id"))  
47.     public Set<Resource> getResources() {  
48.         return resources;  
49.     }  
50.   
51.     @Transient  
52.     public GrantedAuthority[] getAuthorities() {  
53.         Set<Resource> resources = getResources();  
54.         List<GrantedAuthority> grandtedAuthorities = new ArrayList<GrantedAuthority>(  
55.                 resources.size());  
56.         for (Resource resource : resources) {  
57.             String authority = resource.getAuthority();  
58.             grandtedAuthorities.add(new GrantedAuthorityImpl(authority));  
59.         }  
60.         return grandtedAuthorities.toArray(new GrantedAuthority[0]);  
61.     }  
62.   
63.     @Transient  
64.     public boolean isAccountNonExpired() {  
65.         return true;  
66.     }  
67.   
68.     @Transient  
69.     public boolean isAccountNonLocked() {  
70.         return true;  
71.     }  
72.   
73.     @Transient  
74.     public boolean isCredentialsNonExpired() {  
75.         return true;  
76.     }  
77.   
78.     @Transient  
79.     public boolean isEnabled() {  
80.         return true;  
81.     }  
82.   
83.     public void setId(String id) {  
84.         this.id = id;  
85.     }  
86.   
87.     public void setPassword(String password) {  
88.         this.password = password;  
89.     }  
90.   
91.     public void setUsername(String username) {  
92.         this.username = username;  
93.     }  
94.   
95.     public void setResources(Set<Resource> resources) {  
96.         this.resources = resources;  
97.     }  
98. }  

 

 userCache缓存，都是使用的spring提供的实现。

1. <bean id="userCache"  
2.     class="org.springframework.security.providers.dao.cache.EhCacheBasedUserCache">  
3.     <property name="cache" ref="userCacheBacked" />  
4. </bean>  
5. <bean id="userCacheBacked"  
6.     class="org.springframework.cache.ehcache.EhCacheFactoryBean">  
7.     <property name="cacheManager" ref="cacheManager" />  
8.     <property name="cacheName" value="myUserCache" />  
9. </bean>  
10. <bean id="cacheManager"  
11.     class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">  
12.     <property name="configLocation" value="classpath:ehcache-security.xml" />  
13. </bean>  

 ehcache-security.xml

1. <?xml version="1.0" encoding="UTF-8"?>  
2. <ehcache>  
3.     <diskStore path="java.io.tmpdir/ehcache-security" />  
4.     <defaultCache maxElementsInMemory="10000" eternal="false"  
5.         timeToIdleSeconds="120" timeToLiveSeconds="120" overflowToDisk="true"  
6.         diskPersistent="false" diskExpiryThreadIntervalSeconds="120" />  
7.     <!-- security cache-->  
8.     <cache name="myUserCache" maxElementsInMemory="10000" eternal="false"  
9.         overflowToDisk="true" timeToIdleSeconds="1200" timeToLiveSeconds="7200"  
10.         diskPersistent="false" diskExpiryThreadIntervalSeconds="120" />          
11. </ehcache>  

 至此认证部分结束，下面是授权部分。

 

 filterSecurityInterceptor，虽然名叫interceptor，实际上是个filter，负责针对要访问的资源进行用户授权，同样也是覆盖默认实现。

1. <!--  
2.     负责授权的filter，检查Authentication所授予的权限是否可以访问被访问的资源 
3. -->  
4. <bean id="filterSecurityInterceptor"  
5.     class="org.springframework.security.intercept.web.FilterSecurityInterceptor">  
6.     <security:custom-filter before="FILTER_SECURITY_INTERCEPTOR" />  
7.     <property name="authenticationManager" ref="authenticationManager" />  
8.     <property name="accessDecisionManager" ref="accessDecisionManager" />  
9.     <!-- 获取访问被访问的资源所需要的权限（authority） -->  
10.     <property name="objectDefinitionSource"  
11.         ref="databaseFilterInvocationDefinitionSource" />  
12. </bean>  

 

 accessDecisionManager，授权管理器，通过多个voter投票判定是否授权，有多种决策机制实现（一票通过，半数通过，一票否决等），具体原理参见参考手册，这里使用的AffirmativeBased是一票通过制，即有一个voter投赞成票就授权。voter会取出当前登录用户的UserDetails的所有authority，与所访问url所对应的authority进行匹配，有相同就通过。

1. <!--  
2.     经过投票机制来决定是否可以访问某一资源  
3.     allowIfAllAbstainDecisions为false时如果有一个或以上的decisionVoters投票通过,则授权通过  
4.     其他可选的决策机制：  
5.     ConsensusBased  
6.     UnanimousBased  
7. -->  
8. <bean id="accessDecisionManager"  
9.     class="org.springframework.security.vote.AffirmativeBased">  
10.     <property name="decisionVoters">  
11.         <list>  
12.             <bean class="org.springframework.security.vote.RoleVoter">  
13.                 <property name="rolePrefix" value="" />  
14.             </bean>  
15.         </list>  
16.     </property>  
17. </bean>  

 

objectDefinitionSource，获得访问资源所必须具有的权限（authority）。这里和UserDetails的getAuthorities方法刚好相反。

1. <!-- 获取访问被访问的资源所需要的权限（authority），以ConfigAttributeDefinition形式返回 -->  
2. <bean id="databaseFilterInvocationDefinitionSource"  
3.     class="org.springframework.security.intercept.web.DefaultFilterInvocationDefinitionSource">  
4.     <!-- 匹配url的matcher -->  
5.     <constructor-arg type="org.springframework.security.util.UrlMatcher"  
6.         ref="antUrlPathMatcher" />  
7.     <!-- url对应authority的map -->  
8.     <constructor-arg type="java.util.LinkedHashMap" ref="requestMap" />  
9. </bean>  
10. <!--ant path风格的匹配器-->  
11. <bean id="antUrlPathMatcher"  
12.     class="org.springframework.security.util.AntUrlPathMatcher" />  

 

requestMapFactoryBean，实现Spring的FactoryBean接口

这里在容器初始化时就查询所有url和authority的对应关系，保存为一个map，在认证操作时遍历这个map

1. package org.catspaw.ss2test1.security;  
2.   
3. import java.util.LinkedHashMap;  
4. import java.util.List;  
5. import org.catspaw.ss2test1.dao.ResourceDao;  
6. import org.catspaw.ss2test1.model.Resource;  
7. import org.springframework.beans.factory.FactoryBean;  
8. import org.springframework.security.ConfigAttribute;  
9. import org.springframework.security.ConfigAttributeDefinition;  
10. import org.springframework.security.SecurityConfig;  
11. import org.springframework.security.intercept.web.RequestKey;  
12.   
13. /** 
14.  * 产生一个map，包含所有url:authority的映射 
15.  * key是resourceString（ant表达式，表示一个url集合）（如果是restful风格的应用，则key是url和method） 
16.  * value是访问这些url所需要的权限（authority） 
17.  * 用于设置databaseFilterInvocationDefinitionSource中的requestMap 
18.  *  
19.  * @author 孙宁振 
20.  * 
21.  */  
22. public class RequestMapFactoryBean implements FactoryBean {  
23.   
24.     private ResourceDao                                       resourceDao;  
25.     private LinkedHashMap<RequestKey, ConfigAttributeDefinition> requestMap;  
26.   
27.     public void init() {  
28.         requestMap = new LinkedHashMap<RequestKey, ConfigAttributeDefinition>();  
29.         List<Resource> resources = resourceDao.findAll();  
30.         for (Resource resource : resources) {  
31.             RequestKey key = new RequestKey(resource.getResourceString());//如果是restful风格的应用，则构造方法的参数应该是url和method  
32.             ConfigAttribute attribute = new SecurityConfig(resource  
33.                     .getAuthority());  
34.             ConfigAttributeDefinition definition = new ConfigAttributeDefinition(  
35.                     attribute);  
36.             requestMap.put(key, definition);  
37.         }  
38.     }  
39.   
40.     public Object getObject() throws Exception {  
41.         if (requestMap == null) {  
42.             init();  
43.         }  
44.         return requestMap;  
45.     }  
46.   
47.     public Class getObjectType() {  
48.         return LinkedHashMap.class;  
49.     }  
50.   
51.     public boolean isSingleton() {  
52.         return true;  
53.     }  
54.   
55.     public void setResourceDao(ResourceDao resourceDao) {  
56.         this.resourceDao = resourceDao;  
57.     }  
58. }  

 

ResourceDao实现（接口省略）

1. package org.catspaw.ss2test1.dao.hibernate;  
2.   
3. import java.util.List;  
4. import org.catspaw.ss2test1.dao.ResourceDao;  
5. import org.catspaw.ss2test1.model.Resource;  
6. import org.hibernate.criterion.DetachedCriteria;  
7. import org.hibernate.criterion.Order;  
8. import org.springframework.orm.hibernate3.support.HibernateDaoSupport;  
9.   
10. public class ResourceDaoHibernate extends HibernateDaoSupport implements  
11.         ResourceDao {  
12.   
13.     @SuppressWarnings("unchecked")  
14.     public List<Resource> findAll() {  
15.         DetachedCriteria criteria = DetachedCriteria.forClass(Resource.class);  
16.         criteria.addOrder(Order.desc("resourceString"));  
17.         return getHibernateTemplate().findByCriteria(criteria);  
18.     }  
19. }  

 

Resource实体

1. package org.catspaw.ss2test1.model;  
2.   
3. import java.io.Serializable;  
4. import java.util.Set;  
5. import javax.persistence.Entity;  
6. import javax.persistence.Id;  
7. import javax.persistence.ManyToMany;  
8.   
9. /** 
10.  * 资源 
11.  * 与User多对多关联 
12.  *  
13.  * @author 孙宁振 
14.  * 
15.  */  
16. @Entity  
17. public class Resource implements Serializable {  
18.   
19.     private String  id;  
20.     private String  authority;    //ss中权限的标识符  
21.     private String  resourceString; //ant表达式，表示一个url集合  
22.     private Set<User> users;  
23.   
24.     @Id  
25.     public String getId() {  
26.         return id;  
27.     }  
28.   
29.     public String getAuthority() {  
30.         return authority;  
31.     }  
32.   
33.     public String getResourceString() {  
34.         return resourceString;  
35.     }  
36.   
37.     @ManyToMany(targetEntity = User.class, mappedBy = "resources")  
38.     public Set<User> getUsers() {  
39.         return users;  
40.     }  
41.   
42.     public void setId(String id) {  
43.         this.id = id;  
44.     }  
45.   
46.     public void setResourceString(String resourceString) {  
47.         this.resourceString = resourceString;  
48.     }  
49.   
50.     public void setUsers(Set<User> users) {  
51.         this.users = users;  
52.     }  
53.   
54.     public void setAuthority(String authority) {  
55.         this.authority = authority;  
56.     }  
57. }  

 

 最后，dao配置

1. <bean id="dataSource"  
2.     class="org.springframework.jdbc.datasource.DriverManagerDataSource">  
3.     <property name="driverClassName" value="com.mysql.jdbc.Driver" />  
4.     <property name="url" value="jdbc:mysql://localhost:3306/ss2test1" />  
5.     <property name="username" value="root" />  
6.     <property name="password" value="root" />  
7. </bean>  
8.   
9. <bean id="abstractSessionFactory" abstract="true">  
10.     <property name="dataSource" ref="dataSource" />  
11.     <property name="hibernateProperties">  
12.         <props>  
13.             <prop key="hibernate.dialect">  
14.                 org.hibernate.dialect.MySQL5InnoDBDialect  
15.             </prop>  
16.             <prop key="hibernate.show_sql">true</prop>  
17.             <prop key="hibernate.format_sql">true</prop>  
18.             <prop key="hibernate.hbm2ddl.auto">none</prop>  
19.         </props>  
20.     </property>  
21. </bean>  
22.   
23. <!-- 使用annotation方式描述的SessionFactory -->  
24. <bean id="sessionFactory"  
25.     class="org.springframework.orm.hibernate3.annotation.AnnotationSessionFactoryBean"  
26.     parent="abstractSessionFactory">  
27.     <property name="configLocation" value="classpath:hibernate.cfg.xml" />  
28. </bean>  
29.   
30. <bean id="baseDao" abstract="true">  
31.     <property name="sessionFactory" ref="sessionFactory" />  
32. </bean>  
33.   
34. <bean id="userDao"  
35.     class="org.catspaw.ss2test1.dao.hibernate.UserDaoHibernate"  
36.     parent="baseDao">  
37. </bean>  
38. <bean id="resourceDao"  
39.     class="org.catspaw.ss2test1.dao.hibernate.ResourceDaoHibernate"  
40.     parent="baseDao">  
41. </bean>  

 

hibernate配置文件 hibernate.cfg.xml

1. <?xml version='1.0' encoding='UTF-8'?>  
2. <!DOCTYPE hibernate-configuration PUBLIC  
3.           "-//Hibernate/Hibernate Configuration DTD 3.0//EN"  
4.           "http://hibernate.sourceforge.net/hibernate-configuration-3.0.dtd">  
5. <hibernate-configuration>  
6.     <session-factory>      
7.         <mapping class="org.catspaw.ss2test1.model.User"/>  
8.         <mapping class="org.catspaw.ss2test1.model.Resource"/>  
9.     </session-factory>  
10. </hibernate-configuration>  

 

 

本文只是一个最简单的示例，没有遵循rbac规范，仅仅是将user和resource关联起来，一个resource对应一个authority。也没有密码加密，cookie等功能，这些功能配置请参见参考手册。

 

在ss中，授权是以authority为基本单位的，user拥有多个authority，resource也可以拥有多个authority，在授权时只需要将user和resource的authority一一匹配即可。在实际应用中，可以在user和resource增加一层role来解耦，user-role-resource都是多对多关系，authority可以和role对应，授权时就变成了“检查用户是否具有访问某个资源所必须的角色”这一问题。

ss只提供认证和授权两个功能的实现，中间权限分配的实现由程序员负责，不管中间权限分配多么复杂，最后只要能将user和resource用authority关联起来就可以。

 

ss2常用的扩展点有以下几个：

UserDetails，表示一个用户实体，可以通过他来获得用户所具有的authority

AuthenticationProvider，用来认证一个用户Authentication，可以添加多个认证方式，比如sso

accessDecisionManager和Voter，用来对是否允许用户访问进行投票，以及投票的通过策略

objectDefinitionSource，用来获取资源和authority的对应，为用户授权提供依据。

基本上针对这三个扩展点进行相应扩展就可以满足大部分的应用需求。

2.0的整体架构和1.0相比基本没有改变，1.0时代的功能和配置方式也都可以继续使用，如果对ss2的默认配置不太放心，大可以把原来1.0的配置代码copy过来继续使用。

 

附demo 所用到的jar：spring2.0.7，hibernate3.2.5&jpa，spring-security2.0.3，ehcache1.3

数据库：mysql5，建好相应数据库后，把<prop key="hibernate.hbm2ddl.auto">none</prop>的none改为create即可在运行时自动建表 登录入口为/spring_security_login

用户名   密码 admin    admin aaa      aaa bbb      bbb