摘要:
目录 1.1 准备工作 1.2 表功能介绍 1.2.1 表acl_sid 1.2.2 表acl_class 1.2.3 表acl_object_identity 1.2.4 表acl_entry 1.3 Acl主要接口 1.4 配置AclService 1.4.1 配置DataSource 1.4. 阅读全文
摘要:
目录 1.1 authorize 1.2 authentication 1.3 accesscontrollist Spring Security也有对Jsp标签的支持的标签库。其中一共定义了三个标签:authorize、authentication和accesscontrollist。其中auth 阅读全文
摘要:
目录 1.1 intercept-methods定义方法权限控制 1.2 使用pointcut定义方法权限控制 1.3 使用注解定义方法权限控制 1.3.1 JSR-250注解 1.3.2 @Secured注解 1.3.3 支持表达式的注解 1.4 方法权限控制的拦截器 1.4.1 MethodSe 阅读全文
摘要:
目录 1.1 通过表达式控制URL权限 1.2 通过表达式控制方法权限 1.2.1 使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2 使用@PreFilter和@PostFilter进行过滤 1.3 使用hasPermission表达式 Spring Securi 阅读全文
摘要:
目录 1.1 权限 1.2 调用前的处理 1.2.1 AccessDecisionManager 1.2.2 基于投票的AccessDecisionManager实现 1.3 调用后的处理 1.4 角色的继承 1.1 权限 所有的Authentication实现类都保存了一个GrantedAutho 阅读全文
摘要:
目录 1.1 Spring Security的AOP Advice思想 1.2 AbstractSecurityInterceptor 1.2.1 ConfigAttribute 1.2.2 RunAsManager 1.2.3 AfterInvocationManager Spring Secur 阅读全文
摘要:
1.1 检测session超时 1.2 concurrency-control 1.3 session 固定攻击保护 Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。 1.1 检测session超时 Spring 阅读全文
摘要:
目录 1.1 概述 1.2 基于简单加密token的方法 1.3 基于持久化token的方法 1.4 Remember-Me相关接口和实现类 1.4.1 TokenBasedRememberMeServices 1.4.2 PersistentTokenBasedRememberMeServices 阅读全文
摘要:
目录 1.1 配置 1.2 AuthenticationTrustResolver 对于匿名访问的用户,Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中,这就是所谓的匿名认证。这样在以后进行 阅读全文
摘要:
要实现退出登录的功能我们需要在http元素下定义logout元素,这样Spring Security将自动为我们添加用于处理退出登录的过滤器LogoutFilter到FilterChain。当我们指定了http元素的auto-config属性为true时logout定义是会自动配置的,此时我们默认退 阅读全文
摘要:
目录 1.1 Filter顺序 1.2 添加Filter到FilterChain 1.3 DelegatingFilterProxy 1.4 FilterChainProxy 1.5 Spring Security定义好的核心Filter 1.5.1 FilterSecurityIntercepto 阅读全文
摘要:
目录 1.1 指定拦截的url 1.2 指定访问权限 1.3 指定访问协议 1.4 指定请求方法 1.1 指定拦截的url 通过pattern指定当前intercept-url定义应当作用于哪些url。 <security:intercept-url pattern="/**" access="RO 阅读全文
摘要:
Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类,CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetai 阅读全文
摘要:
目录 1.1 用户信息从数据库获取 1.1.1 使用jdbc-user-service获取 1.1.2 直接使用JdbcDaoImpl 1.2 PasswordEncoder 1.2.1 使用内置的PasswordEncoder 1.2.2 使用自定义的PasswordEncoder 认证是由Aut 阅读全文
摘要:
Spring Security支持将展现给终端用户看的异常信息本地化,这些信息包括认证失败、访问被拒绝等。而对于展现给开发者看的异常信息和日志信息(如配置错误)则是不能够进行本地化的,它们是以英文硬编码在Spring Security的代码中的。在Spring-Security-core-xxx.j 阅读全文
摘要:
目录 1.1 认证过程 1.2 Web应用的认证过程 1.2.1 ExceptionTranslationFilter 1.2.2 在request之间共享SecurityContext 1.1 认证过程 1、用户使用用户名和密码进行登录。 2、Spring Security将获取到的用户名和密码封 阅读全文
摘要:
目录 1.1 Authentication 1.2 SecurityContextHolder 1.3 AuthenticationManager和AuthenticationProvider 1.3.1 认证成功后清除凭证 1.4 UserDetailsService 1.4.1 JdbcDaoI 阅读全文
摘要:
目录 1.1 form-login元素介绍 1.1.1 使用自定义登录页面 1.1.2 指定登录后的页面 1.1.3 指定登录失败后的页面 1.2 http-basic 1.1 form-login元素介绍 http元素下的form-login元素是用来定义表单登录信息的。当我们什么属性都不指定的时 阅读全文
摘要:
首先我们为Spring Security专门建立一个Spring的配置文件,该文件就专门用来作为Spring Security的配置。使用Spring Security我们需要引入Spring Security的NameSpace。 <beans xmlns="http://www.springfr 阅读全文