security' uri='http://www.springframework.org/ 
   security/tags' %> 
   

< 
   security:authorize>是一个流程控制标签,能够在满足特定安全需求的条件下显示它的内容体。它有三个互斥的参数: 
   
 ifAllGranted——是一个由逗号分隔的权限列表,用户必须拥有所有列出的权限时显示; 
   
 ifAnyGranted——是一个由逗号分隔的权限列表,用户必须至少拥有其中的一个权限时才能显示; 
   
 ifNotGranted——是一个由逗号分隔的权限列表,用户未拥有所有列出的权限时才能显示。 
   
< 
   security:authentication>获得属性的值比如要获得用户名可以这么写: 
   
< 
   security:authentication property="principal.username"></ 
   security:authentication>


他有三个属性,property是必须的,另外scope和var,var定义一个变量,scope定义var存在的范围



例子:



有时需要在页面显示用户名,或者根据用户角色显示或者不显示一些内容。这需要使用到spring security提供的标签库。


在页面中引入标签库:

 

< 
     %@ taglib  
     prefix 
     ="sec" 
      uri 
     ="http://www.springframework.org/security/tags" 
      % 
     >

使用标签库的示例:


< 
     sec:authentication  
     property 
     ="principal" 
      var 
     ="authentication" 
     /> 
     < 
     sec:authorize  
     ifAllGranted 
     ="ROLE_USER" 
     >可以访问 
     </ 
     sec:authorize 
     > 用户名:${authentication.username } 
     < 
     br  
     />
 
   

     前台 ROLE_ANONYMOUS表示匿名用户 
   
 
   

     在配置文件中可以设置页面进入的权限 
   
 
   

     <intercept-url pattern="/Homepage.*" access="ROLE_ADMIN,IS_AUTHENTICATED_ANONYMOUSLY"/> 
   
 
   

     IS_AUTHENTICATED_ANONYMOUSLY允许匿名用户进入 
   
 
   

     IS_AUTHENTICATED_FULLY 允许登录用户进入 
   
 
   

     IS_AUTHENTICATED_REMEMBERED 允许登录用户和rememberMe用户进入 
   
 
   

     IS_AUTHENTICATED_FULLY:是则满足以下情况返回通过: **.既不是RememberMeAuthentication也不是AnonymousAuthenticationToken的实例 IS_AUTHENTICATED_REMEMBERED:是则满足以下任一情况返回通过: a*.Authentication是RememberMeAuthenticationToken的实例 b*.既不是RememberMeAuthentication也不是AnonymousAuthenticationToken的实例 IS_AUTHENTICATED_ANONYMOUSLY:是则满足以下任一情况返回通过: a*.Authentication是AnonymousAuthenticationToken的实例 b*.既不是RememberMeAuthentication也不是AnonymousAuthenticationToken的实例 c*.Authentication是RememberMeAuthenticationToken的实例



<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

2.标签 目前共有三个标签    


<sec:authorize></sec:authorize>      
<sec:authentication property=""></sec:authentication>
<sec:accesscontrollist hasPermission="" domainObject=""></sec:accesscontrollist>

    2.1、authorize标签 这个标签用来决定它的内容是否会被执行.


<sec:authorize access="hasRole('supervisor')">
    This content will only be visible to users who have
    the "supervisor" authority in their list of GrantedAuthoritys.
</sec:authorize>

显示一个特定的链接,如果用户允许点击它.


<sec:authorize url="/admin">
    This content will only be visible to users who are authorized to send requests to the "/admin" URL.
</sec:authorize>

2.2、authentication标签 这个标签允许访问当前的Authentication 对象, 保存在安全上下文中。 比如,如果Authentication 的principal 属性是Spring Security 的UserDetails 对象的一个实例, 就要使用


<sec:authentication property="principal.username" />

来渲染当前用户的名称。


当然,它不必使用JSP 标签来实现这些功能,一些人更愿意在视图中保持逻辑越少越好。你可以在你的MVC 控制器中访问Authentication 对象( 通过调用 SecurityContextHolder.getContext().getAuthentication()) 然后直接在模型中添加数据,来渲染视图。


2.3、accesscontrollist标签 这个标签纸在使用Spring Security ACL 模块时才可以使用。它检测一个用逗号分隔的特 定领域对象的需要权限列表。如果当前用户拥有这些权限的任何一个,标签内容就会被执行。 否则,就会被略过。


<sec:accesscontrollist hasPermission="1,2" domainObject="${someObject}">
    This will be shown if the user has either of the permissions
    represented by the values "1" or "2" on the given object.
</sec:accesscontrollist>





applicationContext_security.xml

 

 

<?xml version="1.0" encoding="UTF-8"?>
<b:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:b="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/security 
    http://www.springframework.org/schema/security/spring-security-3.0.xsd">
	<http auto-config="true" access-denied-page="/accessDenied.jsp">
		<!-- 不要过滤图片等静态资源  filters="none"-->
		<intercept-url pattern="/**/*.jpg" filters="none" />
		<intercept-url pattern="/**/*.png" filters="none" />
		<intercept-url pattern="/**/*.gif" filters="none" />
		<intercept-url pattern="/**/*.css" filters="none" />
		<intercept-url pattern="/**/*.js" filters="none" />
		
		<!-- 登陆页和忘记密码或注册等不需要过滤的页面 -->
		<intercept-url pattern="/login.jsp" filters="none" />
		<intercept-url pattern="/jsp/forgotpassword.jsp"
			filters="none" />

		<form-login login-page="/login.jsp"
			authentication-failure-url="/login.jsp?error=true"
			default-target-url="/index.jsp" />
		
		<logout logout-success-url="/login.jsp" />

		<!-- "记住我"功能,采用持久化策略(将用户的登录信息存放在数据库表中)需要创建一张persistent_logins 表 
		<remember-me data-source-ref="dataSource" />

		--><!-- 检测失效的sessionId,超时时定位到另外一个URL -->
		<session-management invalid-session-url="/sessionTimeout.jsp" />

		<!--
			增加一个自定义的filter,放在FILTER_SECURITY_INTERCEPTOR之前,实现用户、角色、权限、资源的数据库管理。
		-->
		<custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR" />
	</http>

	<!--
		一个自定义的filter
		必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性。
	-->
	<b:bean id="myFilter" class="org.joshua.ss.MyFilterSecurityInterceptor">
		<b:property name="authenticationManager" ref="authenticationManager" />
		<b:property name="accessDecisionManager" ref="myAccessDecisionManager" />
		<b:property name="securityMetadataSource" ref="mySecurityMetadataSource" />
	</b:bean>

	<!-- 注意能够为authentication-manager 设置alias别名  -->
	<authentication-manager alias="authenticationManager">
		<authentication-provider user-service-ref="myUserDetailService"><!--
			 <password-encoder hash="md5" />
		--></authentication-provider>
	</authentication-manager>

	<b:bean id="myUserDetailService" class="org.joshua.ss.MyUserDetailService" />

	<!-- 访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源。11/3/23 -->
	<b:bean id="myAccessDecisionManager"
		class="org.joshua.ss.MyAccessDecisionManager">
	</b:bean>  

	<!-- 资源源数据定义,将所有的资源和权限对应关系建立起来,即定义某一资源可以被哪些角色去访问。11/3/23 -->
	<b:bean id="mySecurityMetadataSource"
		class="org.joshua.ss.MyInvocationSecurityMetadataSource">
	</b:bean> 

</b:beans>
dbConfig.properties

 

 

jdbc.user=scott
jdbc.pwd=snail
jdbc.url=jdbc\:oracle\:thin\:@localhost\:1521\:oracle
jdbc.driver=oracle.jdbc.driver.OracleDriver
ehcache.xml 没有深入的研究,暂且搁置

 

 

<?xml version="1.0" encoding="UTF-8" ?>
<ehcache>
	<diskStore path="user.dir"></diskStore>
	<defaultCache 
	maxElementsInMemory="10000"
	eternal="false"
	timeToIdleSeconds="120"
	timeToLiveSeconds="120"
	overflowToDisk="true" />
</ehcache>

如果只是想从页面上显示当前登陆的用户名,可以直接使用Spring Security提供的taglib。

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %> <div>username : <sec:authentication property="name"/></div>         如果想在程序中获得当前登陆用户对应的对象。
UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext()     .getAuthentication()     .getPrincipal();         如果想获得当前登陆用户所拥有的所有权限。
GrantedAuthority[] authorities = userDetails.getAuthorities();