2. 程式人生 > >acegi security實踐教程—訪問系統中資源前必須登陸系統

acegi security實踐教程—訪問系統中資源前必須登陸系統

阿新 發佈:2018-11-01

問題:

  處於安全形度,訪問本系統時,是需要登陸才可以訪問其下的資源。根據上篇部落格的除錯,我們發現,若其url在資料庫中沒有沒有配置其角色,則是可以直接訪問其url的。   那為了避免這種情況,我們如何改進自己的系統,進一步接近真實的企業開發呢? 概要:   這節我們將會講到匿名許可權,securitycontext中隨時都包含許可權,而不是隻有登入後才有。   進一步改進上一篇部落格中自定義objectDefinitionSource類,因為若返回null,則直接進入其url。

具體開發:
開發環境:

  MyEclispe10.7.1+tomcat6.0.37+acegi1.0.5+spring2.0+jdk1.6【其中資料庫和資料結構保持不變】 專案目錄如下:     其中readme主要用來記錄本次驗證目的

配置匿名Filter:

   
<bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
<property name="filterInvocationDefinitionSource">
<value>
PATTERN_TYPE_APACHE_ANT
/**=httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,
anonymousProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor
</value>
</property>
</bean>
    <!--匿名過濾器 -->
    <bean id="anonymousProcessingFilter" class="org.acegisecurity.providers.anonymous.AnonymousProcessingFilter">
      <!-- 其中key隨意提供一個名字即可,但是必須提供,類似使用者名稱 -->
      <property name="key" value="test"></property>
      <!-- userAttribute提供了其密碼和相應的角色 -->
      <property name="userAttribute" value="testpwd,ROLE_ANONYMOUS"></property>
    </bean>

配置原因:

  根據以往的經驗,我們還是來看其原始碼,為什麼必須提供key以及userAttribute呢?   doFilter中的:   SecurityContextHolder.getContext().setAuthentication(createAuthentication(request));   而createAuthentication程式碼如下:       protected Authentication createAuthentication(ServletRequest request) {
        Assert.isInstanceOf(HttpServletRequest.class, request,             "ServletRequest must be an instance of HttpServletRequest");         AnonymousAuthenticationToken auth = new AnonymousAuthenticationToken(key, userAttribute.getPassword(),                 userAttribute.getAuthorities());         auth.setDetails(authenticationDetailsSource.buildDetails((HttpServletRequest) request));         return auth;     }   而AnonymousAuthenticationToken程式碼:       public AnonymousAuthenticationToken(String key, Object principal, GrantedAuthority[] authorities) {         super(authorities);         if ((key == null) || ("".equals(key)) || (principal == null) || "".equals(principal) || (authorities == null)             || (authorities.length == 0)) {             throw new IllegalArgumentException("Cannot pass null or empty values to constructor");         }         this.keyHash = key.hashCode();         this.principal = principal;         setAuthenticated(true);     }   所以key、principal【密碼】、authorities 三個屬性必須配置,通過這三個屬性來new一個匿名的許可權,然後存放到securitycontext中,這樣SecurityContextHolder.getContext().getAuthentication()中的許可權不是null,而是匿名的許可權,其中角色資訊ROLE_ANONYMOUS 完善自定義objectDefinitionSource類:   若是保護資源,則返回資料庫中其對應的角色資訊;若不是保護資源,我們不返回null,否則直接進入其url,我們返回一個自定義角色資訊。       //若是保護的資源    if(matched){     //進一步查詢此url的角色許可權     String urlRole="select role from test_resource_role where url=?";     List<Map> roleList=this.jdbcTemplate.queryForList(urlRole,new Object[]{url});     return converURLRole(roleList);        }        ConfigAttributeDefinition configDefinition = new ConfigAttributeDefinition();    configDefinition.addConfigAttribute(new SecurityConfig("IS_AUTHENTICATED_FULLY"));    return configDefinition;   這樣改進後,我們再看看AbstractSecurityInterceptor中的beforeInvocation方法:

 結果講解:

 投票失敗後,則根據錯誤分類資訊,轉向不同的頁面。  另一個注意點:  若想登陸成功後一直轉到預設頁面而非訪問的目的地時,如何操作?  比如:訪問http://localhost/acegitest8/test.jsp,首先出現login.jsp頁面,若登陸成功後,你想跳轉到預設的/userinfo.jsp頁面。跳轉之後,再訪問http://localhost/acegitest8/test.jsp。  無論何種情況,只要登陸後就轉到acegi.xml預設的配置頁面。如何配置?  AuthenticationProcessingFilter中alwaysUseDefaultTargetUrl屬性預設情況為false,所以只要我們在aceg.xml配置為true即可。        <bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">           <!-- 認證管理器,然後委託給Provides -->         <property name="authenticationManager" ref="authenticationManager"/>           <!-- 認證失敗後轉向的url,包含出錯資訊的的登陸頁面 -->         <property name="authenticationFailureUrl" value="/login.jsp?login_error=1"/>           <!-- 登陸成功後轉向的url -->         <property name="defaultTargetUrl" value="/userinfo.jsp"/>           <!-- 登陸的url,這個是預設的acegi自帶的 -->         <property name="filterProcessesUrl" value="/j_acegi_security_check"/>           <!-- 永遠轉到登陸成功後預設的目的地,如上文/userinfo.jsp -->         <property name="alwaysUseDefaultTargetUrl" value="true"/>     </bean> 

相關推薦

acegi security實踐教程訪問系統資源必須登陸系統

問題:   處於安全形度,訪問本系統時,是需要登陸才可以訪問其下的資源。根據上篇部落格的除錯,我們發現,若其url在資料庫中沒有沒有配置其角色,則是可以直接訪問其url的。   那為了避免這種情況,我們如何改進自己的系統,進一步接近真實的

acegi security實踐教程資源角色資訊存到放資料庫

  回顧:   前幾篇部落格中,我們都是在acegi配置檔案中配置那些web資源需要保護,這次為了更接近企業開發,我們把web資源角色資訊都存放到資料庫中。   那既然自己設計表,那麼就需要自己重新定義 objectDefinitionSourc

acegi security實踐教程—form認證

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns= "http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSche

《Linux學習並不難》文件系統管理(3):在Linux系統創建文件系統

Linux xfs 文件系統 18.3 《Linux學習並不難》文件系統管理(3):在Linux系統中創建文件系統使用mkfs命令可以在分區上創建各種文件系統。mkfs命令本身並不執行建立文件系統的工作,而是去調用相關的程序來執行。這裏的文件系統是要指定的,比如xfs、ext4、ext3、vfa

win7系統的軟件的系統服務該如何刪除

sof 小夥伴 art cafe 成功 new 技術 delet blog 不太懂電腦的用戶可能會遇到這樣的問題,明明一個軟件卸載了,但軟件的系統服務仍在系統中,這也直接影響了系統的運行速度。為什麽會出現這樣的問題呢?其實,卸載軟件的時候我們一般也需要刪除掉軟件的系統服務。

Linux系統如何利用LVM生成系統快照,以及PE值大小的設定

LVM邏輯卷生成系統快照: 快照的目的一個是備份資訊檔案,另外是挽救我們的失誤操作導致系統崩潰;  開始用LVM生成系統快照: 實驗: 在虛擬機器裡: 先觀察我們的基礎裝置引數:(可以看到我們還120M的空間可用): 上圖可以看到我們已有的

linux如何顯示當前登陸系統使用者及其狀態

轉載自:http://www.jwzyj.com/jw/pingbandiannao/201108/3137.html linux中如何顯示當前登陸系統使用者的狀態 可以使用who查詢登陸的使用者列表,但不清楚你要查詢的狀態指哪些狀態 指的是什麼狀態? 用id,

《驗證碼識別》教程持續更新_2篇已更新完畢_可試看

轉自:http://bbs.125.la/thread-13667362-1-1.html 《驗證碼識別零起點篇》 第1課、介紹點陣圖支援庫的使用 -  準備工具:精易程式設計助手易語言 識別的一般思路 1.讀取驗證碼 2.圖片的顏色處理 3.影象的分割 4.字模

(1)Linux系統到底應該怎麼理解系統的平均負載

每次發現系統變慢時,我們通常做的第一件事,就是執行 top 或者 uptime 命令,來了解系統的負載情況。比如像下面這樣,我在命令列裡輸入了 uptime 命令,系統也隨即給出了結果。 $ uptime ​ 02:34:03 up 2 days, 20:14, 1 user, load aver

BS系統解決只能一個使用者登陸系統

 //session 當前登入的session private void checkOneLogin(HttpSession session) {      ServletContext context = session.getServletContext();     

LInux系統使用訊號量對兩個程序訪問同一資源互斥注意事項

對於同一個共享資源的訪問,在Linux系統應用程式設計中經常遇到,通過訊號量來保護共享資源,實現互斥非常重要,對於實現互斥一般有如下幾個步驟: (1):建立訊號量:呼叫 int semget(key_t key,int num,in

Linux系統有關/dev/null和/dev/zero文件說明及實踐

linux /dev/null 特殊文件 /dev/zero Linux系統中有關/dev/null和/dev/zero文件說明提示:這個題目完全可以作為一個面試題考考運維的應聘者:面試題:請解釋Linux中/dev/null和/dev/zero兩個文件的作用和區別。在類Unix操作系統中,

第7章 Android訪問網絡資源

資源 async 圖片 pcl src sync tro client span https://developer.android.google.cn/studio/index.html 範例 7-6(HttpClient與AsyncTask結合下載圖片)

Win2012R2 Hyper-V初級教程15 -- 基於Kerberos與CA證書的系統容災(

系統/運維 Windows 二、基於CA證書的HTTPS復制 ??????? 剛剛看了一下關於基於Kerberos與CA證書的系統容災(上)還是2017-08-31寫的,到現在半年過去了,懶癌太重了,一直沒有更新,從今天起將逐步更新完初級教程,希望能夠有更多的博友了解並學習微軟的虛擬化技術。前面我們說

MAC訪問控制機制在Linux系統的實現:SELinux

SELinuxSELinux全稱:Security-Enhanced Linux,安全加強的Linux;SELinux系統的本來名稱為MAC:強制訪問控制;SELinux就是MAC訪問控制機制在Linux系統中的實現; 操作系統安全等級標準(橙皮書): D級別(最低安全級別) C級別:C1,

怎樣在Win7系統搭建Web伺服器,並在區域網訪問

第一步:開啟控制面板 第二步:進入<程式> 第三步:開啟或關閉windows功能 第四步:點選展開Internet資訊服務,全部都選中 第五步:關閉防火牆,並開啟全球資訊網服務(http)

如何在Windows使用Eclipse訪問虛擬機器Linux系統的hadoop

1.將hadoop安裝包解壓到windows系統 2.給eclipse配置hadoop外掛 3.配置引數 4.將hadoop/conf下的兩個相關配置檔案(core-site.xml和mapred-site.xml)的ip全部由localhost變為虛擬機器ip,如圖 參考文章: https

linux系統docker服務和普通服務對外訪問埠不通的問題

linux系統中docker服務和普通服務對外訪問埠不通的問題   前一段時間,在一個新的centos 7.4 伺服器上執行專案,共有四個專案,因為特殊原因,兩個是通過docker 執行,另外兩個是通過nginx和tomcat 執行。   當執行起來以後,發現docker 執行的那兩

許可權控制-禁止普通登入使用者通過直輸URL方式訪問系統其它自己不具備許可權的模組

1.描述 一個普通使用者,只有單點登入的許可權,通過一些工具獲取到系統的其它模組的URL ,在位址列直接輸入,訪問,我們在一些按鈕做了一些控制,但是部分不具有操作機會的頁面還是會展現出來,不影響功能,但是也需要做優化處理 2.程式碼(JAVA) @WebFilter(u

檔案路徑最好使用正斜槓。使用反斜槓可能在unix系統訪問不到檔案。

/*** * 下載模板 */ public void downTemp() { String title="data"; String savePath = PathUtil.getP