Главная
Блог разработчиков phpBB
 
+ 17 предустановленных модов
+ SEO-оптимизация форума
+ авторизация через соц. сети
+ защита от спама

Короткий обзор Spring Security

Anna | 3.06.2014 | нет комментариев
Итак, драгоценный програюзер, предлагаю тебе разглядеть такие аспекты Spring Security как:

  • Ключевые объекты контекста Spring Security.
  • Процесс аутентификации в Spring Security.
  • Подключение собственно самого Spring Security к плану.


Spring Security это Java/JavaEE framework, предоставляющий механизмы построения систем аутентификации и авторизации, а также другие вероятности обеспечения безопасности для корпоративных приложений, сделанных с поддержкой Spring Framework. План был начат Беном Алексом (Ben Alex) в конце 2003 года под именем «Acegi Security», 1-й релиз вышел в 2004 году. Позднее план был поглощён Spring’ом и стал его официальным дочерним планом. Впервой публично представлен под новым именем Spring Security 2.0.0 в апреле 2008 года.

Ключевые объекты контекста Spring Security:

  • SecurityContextHolder, в нем содержится информация о нынешнем контексте безопасности приложения, тот, что включает в себя подробную информацию о пользователе(Principal) работающем в реальное время с приложением. По умолчанию SecurityContextHolder используетThreadLocal для хранения такой информации, что обозначает, что контекст безопасности неизменно доступен для способов исполняющихся в том же самом потоке. Для того что бы изменить тактику хранения этой информации дозволено воспользоваться статическим способом класса SecurityContextHolder.setStrategyName(String strategy). Больше детально SecurityContextHolder
  • SecurityContext, содержит объект Authentication и в случае необходимости информацию системы безопасности, связанную с запросом от пользователя.
  • Authentication представляет пользователя (Principal) с точки зрения Spring Security.
  • GrantedAuthority отражает разрешения выданные пользователю в масштабе каждого приложения, такие разрешения (как правило именуются «роли»), скажем ROLE_ANONYMOUS, ROLE_USER, ROLE_ADMIN.
  • UserDetails предоставляет нужную информацию для построения объекта Authentication из DAO объектов приложения либо других источников данных системы безопасности. Объект UserDetailsсодержит имя пользователя, пароль, флаги: isAccountNonExpired, isAccountNonLocked, isCredentialsNonExpired, isEnabled и Collection — прав (ролей) пользователя.
  • UserDetailsService, применяется Дабы сделать UserDetails объект путем реализации исключительного способа этого интерфейса
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; 
    

    Разрешает получить из источника данных объект пользователя и сформировать из него объект UserDetails тот, что будет применяться контекстом Spring Security.

Аутентификация

(1) Пользователю будет предложено войти в систему предоставив имя (логин либо email) и пароль. Имя пользователя и пароль объединяются в экземпляр класса UsernamePasswordAuthenticationToken(экземпляр интерфейса Authentication) позже чего он передается экземпляру AuthenticationManager для проверки.

(2) В случае если пароль не соответствует имени пользователя будет выброшено исключение BadCredentialsException с сообщением “Bad Credentials”.

(3) Если аутентификация прошла удачно возвращает всецело заполненный экземпляр Authentication.

(4) Для пользователя устанавливается контекст безопасности путем вызова способа SecurityContextHolder.getContext().setAuthentication(…), куда передается объект тот, что вернул AuthenticationManager.

Подключение поддержки Security для SpringFramework приложения:

1. pom.xml

<properties> 
       <spring.version>3.1.4.RELEASE</spring.version> 
</properties> 
<!-- Spring Security --> 
<dependency> 
       <groupId>org.springframework.security</groupId> 
       <artifactId>spring-security-core</artifactId>           
<version>${spring.version}</version> 
</dependency>   
<dependency> 
       <groupId>org.springframework.security</groupId> 
        <artifactId>spring-security-web</artifactId>           
<version>${spring.version}</version> 
</dependency> 
<dependency> 
        <groupId>org.springframework.security</groupId> 
       <artifactId>spring-security-config</artifactId>           
<version>${spring.version}</version> 
</dependency>

2. web.xml

<filter> 
   <filter-name>springSecurityFilterChain</filter-name> 
   <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
</filter> 
<filter-mapping> 
   <filter-name>springSecurityFilterChain</filter-name> 
   <url-pattern>/*</url-pattern> 
</filter-mapping>

Ну и безусловно же сам файл с настройкой security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"          
      xmlns:beans="http://www.springframework.org/schema/beans"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
            xsi:schemaLocation="http://www.springframework.org/schema/beans 

http://www.springframework.org/schema/beans/spring-beans-3.0.xsd


http://www.springframework.org/schema/security

                 http://www.springframework.org/schema/security/spring-security-3.0.xsd"> 

<http access-denied-page="/error403.jsp"> 
   <intercept-url pattern="/index*" access="ROLE_USER,ROLE_ANONYMOUS"/> 
   <intercept-url pattern="/add*" access="ROLE_USER"/> 
   <intercept-url pattern="/delete/*" access="ROLE_ADMIN"/> 
   <form-login login-page="/login.jsp" default-target-url="/index" authentication-failure-url="/login.jsp?error=true"/> 
   <logout logout-url="/logout" logout-success-url="/index"/> 
   <anonymous username="guest" granted-authority="ROLE_ANONYMOUS"/> 
   <remember-me/> 
</http> 

<authentication-manager> 
   <authentication-provider> 
      <user-service> 
         <user name="admin" password="pass" authorities="ROLE_ADMIN,ROLE_USER"/> 
         <user name="user1" password="1111" authorities="ROLE_USER"/> 
         <user name="user2" password="2222" disabled="true" authorities="ROLE_USER"/>    
      </user-service> 
   </authentication-provider> 
</authentication-manager> 
</beans:beans> 

Пояснение к коду security.xml:
Подразумевается что на странице login.jsp есть форма с action=”/j_spring_security_check” в которой содержаться input’ы для имени и пароля с name=«j_username» и name=«j_password», а также checkbox c name=”_spring_security_remember_me”. Это всё особые значения которые требует Spring Security напротив параметры легко не будут передаваться в контекст безопасности. Позже удачного прохождения аутентификации пользователь будет перенаправлен на страницу /index где теснее используются правила авторизации.

На url /index* доступ могут иметь пользователи с правами ROLE_USER, а также гости (все подключения которые не прошли аутентификацию получают имя guest и права ROLE_ANONYMOUS).
Доступ к url /add* имеют только пользователи с правами ROLE_USER Доступ к url /delete* только пользователи с правами ROLE_ADMIN

В примере пользователи хранятся списком в .xml файле т.е. сопоставление UsernamePasswordAuthenticationToken будет производиться с этими данными. Для того Дабы сопоставлять с пользователями в базе данных, необходимо реализовать способ loadUserByUsername интерфейса UserDetailsService и указать в <authentication-provider user-service-ref=«userDetailsService» > ссылку на bean вашей реализации UserDetailsService. Также может осуществляться проверка хешированных паролей:

<authentication-manager>  
   <authentication-provider>  
      <password-encoder hash="sha"/>  
      <user-service>  
         <user name="jimi" password="d7e6351eaa13189a5a3641bab846c8e8c69ba39f" authorities="ROLE_USER, ROLE_ADMIN" />  
         <user name="bob" password="4e7421b1b8765d8f9406d87e7cc6aa784c4ab97f" authorities="ROLE_USER" /> 
      </user-service>  
   </authentication-provider>  
</authentication-manager> 

<password-encoder hash="sha">  
       <salt-source user-property="username"/>  
</password-encoder> 

На этом всё. Подробней тут:
(1) Документация
(2) Пример приложения

Источник: programmingmaster.ru

Оставить комментарий
Форум phpBB, русская поддержка форума phpBB
Рейтинг@Mail.ru 2008 - 2017 © BB3x.ru - русская поддержка форума phpBB