碼上快樂

相關內容    簡體    繁體

spring security控制權限的幾種方法

本文轉載自   查看原文   2012-04-02 08:38   53464    spring

spring security控制權限的幾種方法

分類: spring security 2012-02-11 10:38 99人閱讀 評論(0) 收藏 舉報

使用Spring Security3的四種方法概述

    那么在Spring Security3的使用中,有4種方法:

    一種是全部利用配置文件,將用戶、權限、資源(url)硬編碼在xml文件中,已經實現過,並經過驗證;

    二種是用戶和權限用數據庫存儲,而資源(url)和權限的對應采用硬編碼配置,目前這種方式已經實現,並經過驗證。

    三種是細分角色和權限,並將用戶、角色、權限和資源均采用數據庫存儲,並且自定義過濾器,代替原有的FilterSecurityInterceptor過濾器,
    並分別實現AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,並在配置文件中進行相應配置。
    目前這種方式已經實現,並經過驗證。

    四是修改spring security的源代碼,主要是修改InvocationSecurityMetadataSourceService和UserDetailsService兩個類。
    前者是將配置文件或數據庫中存儲的資源(url)提取出來加工成為url和權限列表的Map供Security使用,后者提取用戶名和權限組成一個完整的 (UserDetails)User對象,該對象可以提供用戶的詳細信息供AuthentationManager進行認證與授權使用。
    該方法理論上可行,但是比較暴力,也沒有時間實現,未驗證,以后再研究。

    說明一下,我目前調通的環境為: java1.6 + struts2.1.6 + spring3.0.1 + hibernate3.3.1 + spring security3.0.2 + oracle9i + weblogic10.3,
    順便提一下,目前(2011-4-2)serutity的最新版本為3.1,比較穩定的版本為3.0.5和2.0.6。

    當然在進行spring security3的下面4種方法介紹之前,先假定SSH2的環境已經配置完畢,進入正常開發的過程,並且已經導入
    spring security3.0.2的5個jar包,分別為:
    spring-security-acl-3.0.2.RELEASE.jar
    spring-security-config-3.0.2.RELEASE.jar
    spring-security-core-3.0.2.RELEASE.jar
    spring-security-taglibs-3.0.2.RELEASE.jar
    spring-security-web-3.0.2.RELEASE.jar
    當然還有其他相關的jar包,在此不再贅述。


第一種方法

    第一種方法比較簡單,可參考Spring Security自帶的例子spring-security-samples-tutorial-3.0.2.RELEASE。
這里給出下載網址:http://www.springsource.com/download/community?sid=1087087,不過在下載之前必須填寫相應的用戶信息,才允許下載。各種版本號的均可以下載。

    在spring-security-samples-tutorial-3.0.2.RELEASE的例子里,硬編碼的配置請參見applicationContext-security.xml文件中的內容。
    里面配置了用戶名、經過MD5加密后的密碼密文、相關的權限,以及與權相對應的訪問資源(URL)。還有對於Session超時時的處理。
    特別是因為版本號為3.0.2,因此還增加了對表達式的配置演示,具體內容請參見該例子。

    當然你最好運行起該例子來,感受一下,你可以直接將下載下來的解壓縮后的文件夾中找到spring-security-samples- tutorial-3.0.2.RELEASE.war文件,然后拷貝到Tomcat的安裝目錄下的\webapps文件夾下,然后運行Tomcat的服 務器,服務器在啟動過程中,會自動解開該war文件,在IE內輸入http://localhost:8080/webapps/spring-security-samples-tutorial-3.0.2.RELEASE 就可以運行該系統了。在此不再贅述。

第二種方法

    第二種方法的代碼如下:

    使用到的兩個表,用戶表和權限表的SQL語句。將用戶和權限以數據庫進行存儲。

 

[sql] view plain copy
  1. create table USERS(  
  2.   USERNAME   VARCHAR2(50) not null,  
  3.   PASSWORD   VARCHAR2(50) not null,  
  4.   ENABLED    NUMBER(1) not null,  
  5.   USERNAMECN VARCHAR2(50),  
  6.   primary key( username )  
  7. )  
  8.   
  9. create table AUTHORITIES(  
  10.   USERNAME  VARCHAR2(50) not null,  
  11.   AUTHORITY VARCHAR2(50) not null  
  12. )  

-- 外鍵使用戶和權限相聯。

 

 

[sql] view plain copy
  1. Create/Recreate primaryunique and foreign key constraints   
  2. alter table AUTHORITIES  
  3. add constraint FK_AUTHORITIES_USERS foreign key (USERNAME)  
  4. references USERS (USERNAME);  


可插入幾條數據做為試驗,首先插入用戶:

 

 

[sql] view plain copy
  1. insert into users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)  
  2. values ('lxb''c7d3f4c857bc8c145d6e5d40c1bf23d9', 1, '登錄用戶''AAAHmhAALAAAAAOAAA');  
  3.   
  4. insert into users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)  
  5. values ('admin''ceb4f32325eda6142bd65215f4c0f371', 1, '系統管理員''AAAHmhAALAAAAAPAAA');  
  6.   
  7. insert into users (USERNAME, PASSWORD, ENABLED, USERNAMECN, ROWID)  
  8. values ('user''47a733d60998c719cf3526ae7d106d13', 1, '普通用戶''AAAHmhAALAAAAAPAAB');  

再插入角色:

 

 

[sql] view plain copy
  1. insert into authorities (USERNAME, AUTHORITY, ROWID)  
  2. values ('admin''ROLE_PLATFORMADMIN''AAAHmjAALAAAAAgAAA');  
  3.   
  4. insert into authorities (USERNAME, AUTHORITY, ROWID)  
  5. values ('admin''ROLE_SYSADMIN''AAAHmjAALAAAAAgAAB');  
  6.   
  7. insert into authorities (USERNAME, AUTHORITY, ROWID)  
  8. values ('lxb''ROLE_LOGIN''AAAHmjAALAAAAAeAAA');  
  9.   
  10. insert into authorities (USERNAME, AUTHORITY, ROWID)  
  11. values ('lxb''ROLE_LOGINTOWELCOME''AAAHmjAALAAAAAeAAB');  
  12.   
  13. insert into authorities (USERNAME, AUTHORITY, ROWID)  
  14. values ('user''ROLE_USER''AAAHmjAALAAAAAgAAC');  

 

第二種方法之密碼加密

    可能要有人要問,用戶表里面的密碼是如何取得的呢?這個密碼是通過MD5進行加密過的,並且以用戶名做為了鹽值,最后就成為32位數字這個 樣子,這個你可以參見下面applicationContext-Security.xml中的password-encoder和salt- source的配置就會明白。
    那么在spring security3中是如何加密的呢?當我們設置了pawwrod-encoder和salt-source之后,Spring Security3會根據配置,采用相匹配的加密算法(比如設置了MD5加密算法)再加上salt-source進行加密,形成32位數字的密文。
    比如用戶名為yew,密碼為yew1234,鹽值為用戶名yew。那么最后加密的明文為“yew1234{yew}”,密文就為“8fe2657d1599dba8e78a7a0bda8651bb”。

    我們在試驗過程中,通常喜歡先將幾個常用的用戶及密碼插入數據庫進行試驗,這種情況下如何得到該用戶的密碼密文呢?
    不妨試試我這個辦法,假設,用戶名為user,密碼明文為user369,而且在配置文件里面設置了以MD5作為加密算法,並以用戶名做為鹽值。
    那么你可以首先將各個信息組合成待加密的密碼明文, 應是 密碼明文 + { + 鹽值 + }, 那么很明顯,上述user的密碼明文應當是:

    user369{user}

    拿上述的字串拷貝到 http://www.51240.com/md5jiami/ 網頁上的輸入框里,點擊加密按鈕,下面即可生成32位數字的密碼密文。

    哈哈,屢試不爽啊。這個方法要謹慎使用,一般人我不告訴他。


第二種方法之相關配置

    將權限及資源(URL或Action)的關系配置在xml文件中,並且配置與Spring Security3相關的其他配置:

    1、applicationContext-Security.xml代碼

[html] view plain copy
  1. <b:beans xmlns="http://www.springframework.org/schema/security"  
  2.  xmlns:b="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  3.  xsi:schemaLocation="http://www.springframework.org/schema/beans   
  4.  http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  5.     http://www.springframework.org/schema/security   
  6.     http://www.springframework.org/schema/security/spring-security-3.0.xsd">  
  7.   
  8.  <http auto-config="true" access-denied-page="/accessDenied.jsp">  
  9.   <!-- 不要過濾圖片等靜態資源,其中**代表可以跨越目錄,*不可以跨越目錄。 -->  
  10.   <intercept-url pattern="/**/*.jpg" filters="none" />  
  11.   <intercept-url pattern="/**/*.png" filters="none" />  
  12.   <intercept-url pattern="/**/*.gif" filters="none" />  
  13.   <intercept-url pattern="/**/*.css" filters="none" />  
  14.   <intercept-url pattern="/**/*.js" filters="none" />  
  15.   <!-- 登錄頁面和忘記密碼頁面不過濾 -->  
  16.   <intercept-url pattern="/login.jsp" filters="none" />  
  17.   <intercept-url pattern="/jsp/forgotpassword.jsp"   filters="none" />   
  18.   
  19.    <!-- 下面是對Action配置。表示具有訪問/unitsManager資源的用戶必須具有ROLE_PLATFORMADMIN的權限。  
  20.                       當用戶登錄時,SS3將用戶的所有權限從數據庫中提取出來,形成列表。 當用戶訪問該資源時,SS3將  
  21.                       登錄用戶的權限列表提出來跟下面配置的權限進行比對,若有,則允許訪問,若沒有,則給出AccessDeniedException。-->  
  22.   <intercept-url pattern="/unitsManager"   access="ROLE_PLATFORMADMIN" />  
  23.   <intercept-url pattern="/usersManager"  access="ROLE_PLATFORMADMIN" />  
  24.   
  25.   <intercept-url pattern="/horizontalQuery"  access="ROLE_PLATFORMADMIN" />  
  26.      
  27.   <intercept-url pattern="/verticalQuery"    access="ROLE_PLATFORMADMIN" />  
  28.     
  29.   <form-login login-page="/login.jsp"  authentication-failure-url="/login.jsp?error=true"   default-target-url="/index.jsp" />  
  30.   
  31.   <!-- "記住我"功能,采用持久化策略(將用戶的登錄信息存放在數據庫表中) -->  
  32.   <remember-me data-source-ref="dataSource" />  
  33.     
  34.   <!-- 檢測失效的sessionId,超時時定位到另外一個URL -->  
  35.   <session-management invalid-session-url="/sessionTimeout.jsp" />  
  36.     
  37.  </http>  
  38.   
  39.  <!-- 注意能夠為authentication-manager 設置alias別名  -->  
  40.  <authentication-manager alias="authenticationManager">  
  41.       <authentication-provider user-service-ref="userDetailsManager">  
  42.            <password-encoder ref="passwordEncoder">  
  43.                 <!-- 用戶名做為鹽值 -->  
  44.                 <salt-source user-property="username" />  
  45.            </password-encoder>  
  46.       </authentication-provider>  
  47.  </authentication-manager>  
  48.   
  49. </b:beans>  

2、applicationContext.service.xml:

 

[html] view plain copy
  1. <beans xmlns="http://www.springframework.org/schema/beans"  
  2.  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
  3.  xmlns:util="http://www.springframework.org/schema/util"  
  4.  xmlns:jee="http://www.springframework.org/schema/jee"   
  5.  xmlns:aop="http://www.springframework.org/schema/aop"  
  6.  xmlns:tx="http://www.springframework.org/schema/tx"   
  7.  xmlns:context="http://www.springframework.org/schema/context"  
  8.  xsi:schemaLocation="http://www.springframework.org/schema/beans  
  9.  http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  10.    http://www.springframework.org/schema/aop   
  11.    http://www.springframework.org/schema/aop/spring-aop-3.0.xsd  
  12.    http://www.springframework.org/schema/tx  
  13.    http://www.springframework.org/schema/tx/spring-tx-3.0.xsd  
  14.    http://www.springframework.org/schema/jee  
  15.    http://www.springframework.org/schema/jee/spring-jee-3.0.xsd  
  16.    http://www.springframework.org/schema/context  
  17.    http://www.springframework.org/schema/context/spring-context-3.0.xsd  
  18.    http://www.springframework.org/schema/util   
  19.    http://www.springframework.org/schema/util/spring-util-3.0.xsd">  
  20.    
  21.  <!-- 定義上下文返回的消息的國際化。 -->  
  22.  <bean id="messageSource"  
  23.   class="org.springframework.context.support.ReloadableResourceBundleMessageSource">  
  24.   <property name="basename"  
  25.    value="classpath:org/springframework/security/messages_zh_CN"/>  
  26.  </bean>  
  27.   
  28.  <!--   事件監聽:實現了 ApplicationListener監聽接口,包括AuthenticationCredentialsNotFoundEvent 事件,  
  29.   AuthorizationFailureEvent事件,AuthorizedEvent事件, PublicInvocationEvent事件 -->  
  30.  <bean  class="org.springframework.security.authentication.event.LoggerListener" />  
  31.   
  32.  <!-- 用戶的密碼加密或解密 -->  
  33.  <bean id="passwordEncoder"  
  34.   class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />  
  35.   
  36.   
  37.  <!-- 用戶詳細信息管理 : 數據源、用戶緩存、啟用用戶組功能。  -->  
  38.  <bean id="userDetailsManager"  
  39.   class="org.springframework.security.provisioning.JdbcUserDetailsManager">  
  40.   <property name="dataSource" ref="dataSource" />  
  41.   <property name="userCache" ref="userCache" />  
  42.  </bean>   
  43.    
  44.  <bean id="userCache"  
  45.   class="org.springframework.security.core.userdetails.cache.EhCacheBasedUserCache">  
  46.   <property name="cache" ref="userEhCache" />  
  47.  </bean>   
  48.    
  49.    
  50.  <bean id="userEhCache" class="org.springframework.cache.ehcache.EhCacheFactoryBean">  
  51.   <property name="cacheName" value="userCache" />  
  52.   <property name="cacheManager" ref="cacheManager" />  
  53.  </bean>  
  54.    
  55.  <!-- 緩存用戶管理 -->  
  56.  <bean id="cacheManager"  
  57.   class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" />  
  58.     
  59.   
  60.  <!-- spring security自帶的與權限有關的數據讀寫Jdbc模板 -->  
  61.  <bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate">  
  62.   <property name="dataSource" ref="dataSource" />  
  63.  </bean>  
  64.   
  65. </beans>  

3、web.xml:

 

 

[html] view plain copy
  1. <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"  
  2.  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  3.  xsi:schemaLocation="http://java.sun.com/xml/ns/javaee   
  4.   http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">  
  5.   
  6.   
  7.  <!-- 設置log4j存放Log文件位置(通過spring統一進行管理) -->  
  8.  <context-param>  
  9.   <param-name>webAppRootKey</param-name>  
  10.   <param-value>log.root</param-value>  
  11.  </context-param>  
  12.   
  13.  <!-- 加載log4j的配置文件 -->  
  14.  <context-param>  
  15.   <param-name>log4jConfigLocation</param-name>  
  16.   <param-value>classpath:/log4j.properties</param-value>  
  17.  </context-param>  
  18.   
  19.  <!--Spring默認刷新Log4j配置文件的間隔,單位為millisecond-->  
  20.  <context-param>  
  21.   <param-name>log4jRefreshInterval</param-name>  
  22.   <param-value>60000</param-value>  
  23.  </context-param>  
  24.   
  25.  <!--Spring用於log4j初始化的監聽器-->  
  26.  <listener>  
  27.   <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>  
  28.  </listener>  
  29.   
  30.  <!--  
  31.   加載Spring XML配置文件,Spring安全配置及各類資源文件,暫不加  
  32.   /WEB-INF/applicationContext-security.xml,  
  33.  -->  
  34.  <context-param>  
  35.   <param-name>contextConfigLocation</param-name>  
  36.   <param-value>  
  37.            /WEB-INF/applicationContext*.xml,  
  38.            classpath*:applicationContext.xml  
  39.         </param-value>  
  40.  </context-param>  
  41.   
  42.  <!--spring監聽器的配置,用於在啟動Web容器時,自動裝配ApplicationContext的配置信息-->  
  43.  <listener>  
  44.   <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
  45.  </listener>  
  46.   
  47.  <!-- 使用Spring中的過濾器解決在請求和應答中的中文亂碼問題 -->  
  48.  <filter>  
  49.   <filter-name>characterEncodingFilter</filter-name>  
  50.   <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>  
  51.   <init-param>  
  52.    <param-name>encoding</param-name>  
  53.    <param-value>gbk</param-value>  
  54.   </init-param>  
  55.   <init-param>  
  56.    <!--強制轉換編碼(request和response均適用) -->  
  57.    <param-name>ForceEncoding</param-name>  
  58.    <param-value>true</param-value>  
  59.   </init-param>  
  60.  </filter>  
  61.   
  62.  <filter-mapping>  
  63.   <filter-name>characterEncodingFilter</filter-name>  
  64.   <url-pattern>/*</url-pattern>  
  65.  </filter-mapping>  
  66.   
  67.    
  68.  <!-- Spring Secutiry3.0.2的過濾器鏈配置  -->  
  69.  <filter>  
  70.   <filter-name>springSecurityFilterChain</filter-name>  
  71.   <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
  72.  </filter>  
  73.   
  74.  <filter-mapping>  
  75.   <filter-name>springSecurityFilterChain</filter-name>  
  76.   <url-pattern>/*</url-pattern>  
  77.  </filter-mapping>  
  78.   
  79.    
  80.     <!-- 配置Struts2的FilterDispathcer的Filter -->  
  81.     <filter>  
  82.         <filter-name>struts2</filter-name>  
  83.         <filter-class>  
  84.          org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter  
  85.         </filter-class>          
  86.     </filter>  
  87.   
  88.  <!-- struts2用以處理用戶Web請求的路徑模式-->  
  89.     <filter-mapping>  
  90.         <filter-name>struts2</filter-name>  
  91.         <url-pattern>/*</url-pattern>  
  92.     </filter-mapping>  
  93.       
  94.      
  95.    
  96.  <!-- 避免亂碼問題 -->  
  97.  <filter>  
  98.         <filter-name>struts-cleanup</filter-name>  
  99.         <filter-class>  
  100.             org.apache.struts2.dispatcher.ActionContextCleanUp  
  101.         </filter-class>  
  102.     </filter>  
  103.       
  104.     <filter-mapping>  
  105.         <filter-name>struts-cleanup</filter-name>  
  106.         <url-pattern>/*</url-pattern>  
  107.     </filter-mapping>  
  108.       
  109.     <!-- Spring刷新Interceptor防止內存泄漏  -->  
  110.     <listener>  
  111.      <listener-class>  
  112.      org.springframework.web.util.IntrospectorCleanupListener  
  113.      </listener-class>  
  114.     </listener>  
  115.    
  116.   
  117.  <!-- 設置session 超時時間為20分鍾  -->  
  118.  <session-config>  
  119.   <session-timeout>20</session-timeout>  
  120.  </session-config>  
  121.   
  122.  <!--系統歡迎頁面-->  
  123.  <welcome-file-list>  
  124.   <welcome-file>login.jsp</welcome-file>  
  125.  </welcome-file-list>  
  126.   
  127. </web-app>  
 令人欣喜的是,整個Security配置過程中,除了建立數據庫和編寫配置文件之外,不需要編寫任何的代碼。怎么樣? 有點意思吧!

 

 

第二種方法中遇見的問題

    當然,首次使用Spring serutiry,在整合的過程中,我還是遇見了不少問題,當然有些問題比如找不到類呀,包呀,和框架的整合呀等問題不作為談論的重點。主要還是探討Spring Security的配置和注意事項的問題。

    我在其中碰到的對我印象最深的問題是,當完全配置好之后,重啟Web服務器,卻發現Spring Security不能攔截任何的URL了,這使我感到驚詫,因為在去年時,我已經將該框架搭建完成,在當時正是使用的該種方法,並且在試驗是否能夠攔截 jsp文件時進行了確認是沒有問題的。

    接下來我又整理了一下applicationContext-security.xml的文件才發現, 除了不需要進行檢測的圖片及登錄頁面之外,沒有對任何的資源和權限之間的對應關系進行配置,參見下面的代碼:

[html] view plain copy
  1. <http auto-config="true" access-denied-page="/accessDenied.jsp">  
  2.   <!-- 不要過濾圖片等靜態資源,其中**代表可以跨越目錄,*不可以跨越目錄。 -->  
  3.   <intercept-url pattern="/**/*.jpg" filters="none" />  
  4.   <intercept-url pattern="/**/*.png" filters="none" />  
  5.   <intercept-url pattern="/**/*.gif" filters="none" />  
  6.   <intercept-url pattern="/**/*.css" filters="none" />  
  7.   <intercept-url pattern="/**/*.js" filters="none" />  
  8.   <!-- 登錄頁面和忘記密碼頁面不過濾 -->  
  9.   <intercept-url pattern="/login.jsp" filters="none" />  
  10.   <intercept-url pattern="/jsp/forgotpassword.jsp" filters="none" />   
  11.   
  12.              <!-- 下面是對Struts2的Action請求時的配置。注意在前面加/,否則不會被SS3進行攔截驗證。  
  13.                   表示具有訪問/unitsManager資源的用戶必須具有ROLE_PLATFORMADMIN的權限。  
  14.                   當用戶登錄時,SS3將用戶的所有權限從數據庫中提取出來,形成列表。 當用戶訪問該資源時,  
  15.                   SS3將登錄用戶的權限列表提出來跟下面配置的權限進行比對,若有,則允許訪問,若沒有,  
  16.                   則給出AccessDeniedException。   
  17.   <intercept-url pattern="/unitsManager"  access="ROLE_PLATFORMADMIN" />  
  18.   <intercept-url pattern="/usersManager"  access="ROLE_PLATFORMADMIN" />  
  19.   <intercept-url pattern="/horizontalQuery" access="ROLE_PLATFORMADMIN" />   
  20.   <intercept-url pattern="/verticalQuery"  access="ROLE_PLATFORMADMIN" />   -->  
  21.     
  22.   <form-login login-page="/login.jsp"   
  23.    authentication-failure-url="/login.jsp?error=true"  
  24.    default-target-url="/index.jsp" />  
  25.   
  26.   <!-- "記住我"功能,采用持久化策略(將用戶的登錄信息存放在數據庫表中) -->  
  27.   <remember-me data-source-ref="dataSource" />  
  28.     
  29.   <!-- 檢測失效的sessionId,超時時定位到另外一個URL -->  
  30.   <session-management invalid-session-url="/sessionTimeout.jsp" />  
  31.     
  32.  </http>  

 這樣一來,spring security3就會認為根本不需要對任何的URL或Action進行檢測(注意上面代碼中被注釋掉的4條配置)。 哈哈,當時這個問題深深動搖了我對Spring security的信心,花費了這么多天的精力,卻是這樣的結果,當時就在考慮是否有更好的替代品。有點崩潰啊。 還好,深深地求知欲和征服欲讓我堅持下來了。
    哈哈,這算不算Spring Security的一個Bug呢?沒有任何的權限與資源的配置,就認為登錄后的用戶具有訪問任何資源的權限,說起來有點可怕哈。

    當然,當我將上述代碼中被注釋的4條配置放開后,Spring security奇跡般的恢復了活力。

    接下來實現了jsp型URL的攔截之后,我又遇見了不能攔截action的情況,不過經過多次的配置和重啟服務試驗,終於發現,在配置 Action與權限時,一定要在Action的路徑前面加“/”斜杠,否則,Spring Security就會對該請求的URL熟視無睹,無視它的存在,即使你在Action的前后加上*號進行匹配也不會起任何作用,哈哈,不禁慨嘆 Spring Security的牛脾氣。


第二種方法BTW

    順便提一下子,Spring Security3需要配置的過濾器是雙重的,首先在web.xml中配置一個過濾器代理,參見上述web.xml中的springSecurityFilterChain配置。
    我們通常設置過濾的url模式為/*,就是說任何的url訪問都要進行過濾,工作量有點大哈。當然我們可以為之設置不同的過濾url模式,比 如.action、.do、.jsp等。這樣的話,遇到.action或.jsp或.do結尾的url訪問,Spring Security就會突然站出來打截,若是其他的訪問,Spring Security就會揮一揮手,瀟灑地讓你路過。
所以說,這個過濾器主要對大的方面進行攔截,一些細小的活兒,還是要交給第二重過濾器。 就是說,這第一重過濾器是個總代理,他威武地管理着一個過濾器鏈。

    那么這第二重過濾器的配置,就是那些所謂的過濾器鏈,分別包括“記住我”、“登錄”、“注銷”、“url訪問”等的過濾器,這個過濾器依順 序排開,形成一個過濾鏈條。具體攔截我們明細Url的是一個叫做FilterInterCeptor的伙計,我認為這個家伙是在整個過濾器鏈條中是最重要 的一個,因為我們登錄系統之后,要訪問的任何資源都必須經得他的同意。 那么這第二重鏈條就設置在applicationContext-security.xml文件中的<http>元素下面。
    什么,你看不到? 忘記告訴你了,從spring security2開始,就使用了命名空間,若你在<http>中設置了auto="true",Spring Security就會在服務啟動時自動加載
所有的過濾器鏈,省事了吧!

 

第三種方法

    當然,spring security3畢竟是西方國家的東西,以英文為主,使用習慣和文化的差異共存,況且為了適應大多數Web應用的權限管理,作者將Spring Security3打造的精簡而靈活。精簡指Spring Security3對用戶和權限的表設計的非常簡單,並且沒有采用數據庫來管理資源(URL)。這樣的話,對於我們國人用戶來說,是個很大的遺憾,這個遺 憾甚至能夠影響到我們對安全框架的選型。你想啊,在國內大多數項目中,均設置了比較復雜的權限控制,一般就會涉及到用戶、角色、權限、資源4張表,若要加 上4張表之間的對應關系表3張,得有7張表才行。

    得7張表才行,但是Spring Security3才給我們提供了2張最簡潔的表,這足以不能完成國人用戶的項目應用。那么在對Spring Security3一無所知的情況下,
我們很容易就會放棄對該安全框架的選型。

    還好,Spring Security3提供了靈活的擴展方法。具體應該擴展哪些類呢? 或者到底Spring Security3工作的流程如何,你不妨參看下面一篇文章,就會獲得
一些啟示,網址為:http://www.blogjava.net/youxia/archive/2008/12/07/244883.html , 哈哈,謝謝分享。

    還有一個地址很有價值, http://wenku.baidu.com/view/4ec7e324ccbff121dd368364.html ,我就參考着上面的介紹擴展了4個類。

    不過我得提一下,原文的作者為了考驗你的耐性和自信心,故意在代碼里面賣了幾點小小的關子,因此若是完全按照作者的原文代碼裝配起來的權限 系統,是不會那么順利地工作的,天下似乎真是沒有不花費力氣的午餐!在裝配完成后,我也是經過九九八十一難的折磨,在用戶、角色、權限、資源的
“天下黃河九曲十八彎”里面盤旋迂回,終於到達了成功的彼岸。至此才對Spring Security有了更深層次的理解,更加佩服作者的良苦用心。 哈哈。

     並擴展了User類以增加其相關的各類其他信息(如Email,職務,所在單位id等)。


相關的代碼如下(包含5個關鍵類):

[java] view plain copy
  1. /* 
  2.  * @(#) MyFilterSecurityInterceptor.java  2011-3-23 上午07:53:03 
  3.  * 
  4.  * Copyright 2011 by Sparta  
  5.  */  
  6.   
  7. package avatar.base.security;  
  8.   
  9. import java.io.IOException;  
  10.   
  11. import javax.servlet.Filter;  
  12. import javax.servlet.FilterChain;  
  13. import javax.servlet.FilterConfig;  
  14. import javax.servlet.ServletException;  
  15. import javax.servlet.ServletRequest;  
  16. import javax.servlet.ServletResponse;  
  17.   
  18. import org.springframework.security.access.SecurityMetadataSource;  
  19. import org.springframework.security.access.intercept.AbstractSecurityInterceptor;  
  20. import org.springframework.security.access.intercept.InterceptorStatusToken;  
  21. import org.springframework.security.web.FilterInvocation;  
  22. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;  
  23.   
  24. /** *//** 
  25.  * 該過濾器的主要作用就是通過spring著名的IoC生成securityMetadataSource。 
  26.  * securityMetadataSource相當於本包中自定義的MyInvocationSecurityMetadataSourceService。 
  27.  * 該MyInvocationSecurityMetadataSourceService的作用提從數據庫提取權限和資源,裝配到HashMap中, 
  28.  * 供Spring Security使用,用於權限校驗。 
  29.  * @author sparta 11/3/29 
  30.  * 
  31.  */  
  32.   
  33. public class MyFilterSecurityInterceptor   
  34.  extends AbstractSecurityInterceptor  
  35.  implements Filter{  
  36.    
  37.   
  38.  private FilterInvocationSecurityMetadataSource securityMetadataSource;  
  39.    
  40.  public void doFilter( ServletRequest request, ServletResponse response, FilterChain chain)  
  41.  throws IOException, ServletException{  
  42.     
  43.   FilterInvocation fi = new FilterInvocation( request, response, chain );  
  44.   invoke(fi);  
  45.     
  46.  }  
  47.    
  48.  public FilterInvocationSecurityMetadataSource getSecurityMetadataSource(){  
  49.   return this.securityMetadataSource;  
  50.  }  
  51.    
  52.  public Class<? extends Object> getSecureObjectClass(){  
  53.   return FilterInvocation.class;  
  54.  }  
  55.   
  56.    
  57.  public void invoke( FilterInvocation fi ) throws IOException, ServletException{  
  58.     
  59.   InterceptorStatusToken  token = super.beforeInvocation(fi);  
  60.     
  61.   try{  
  62.    fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  
  63.   }finally{  
  64.    super.afterInvocation(token, null);  
  65.   }  
  66.     
  67.  }  
  68.     
  69.    
  70.  @Override  
  71.  public SecurityMetadataSource obtainSecurityMetadataSource(){  
  72.   return this.securityMetadataSource;  
  73.  }  
  74.    
  75.    
  76.  public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource securityMetadataSource){  
  77.   this.securityMetadataSource = securityMetadataSource;  
  78.  }  
  79.    
  80.    
  81.  public void destroy(){  
  82.     
  83.  }  
  84.    
  85.  public void init( FilterConfig filterconfig ) throws ServletException{  
  86.     
  87.  }  
  88.    
  89.    
  90. }  
  91.   
  92.    
  93.   
  94. /**//* 
  95.  * @(#) MyInvocationSecurityMetadataSourceService.java  2011-3-23 下午02:58:29 
  96.  * 
  97.  * Copyright 2011 by Sparta  
  98.  */  
  99.   
  100. package avatar.base.security;  
  101.   
  102. import java.util.ArrayList;  
  103. import java.util.Collection;  
  104. import java.util.HashMap;  
  105. import java.util.Iterator;  
  106. import java.util.List;  
  107. import java.util.Map;  
  108.   
  109. import org.hibernate.Session;  
  110. import org.hibernate.SessionFactory;  
  111. import org.springframework.beans.factory.annotation.Autowired;  
  112. import org.springframework.context.ApplicationContext;  
  113. import org.springframework.context.support.ClassPathXmlApplicationContext;  
  114. import org.springframework.security.access.ConfigAttribute;  
  115. import org.springframework.security.access.SecurityConfig;  
  116. import org.springframework.security.core.GrantedAuthority;  
  117. import org.springframework.security.core.context.SecurityContextHolder;  
  118. import org.springframework.security.core.userdetails.UserDetails;  
  119. import org.springframework.security.web.FilterInvocation;  
  120. import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;  
  121. import org.springframework.security.web.util.AntUrlPathMatcher;  
  122. import org.springframework.security.web.util.UrlMatcher;  
  123. import org.springframework.stereotype.Service;  
  124.   
  125. import avatar.base.security.dao.PubAuthoritiesResourcesHome;  
  126.   
  127. /** *//** 
  128.  * 最核心的地方,就是提供某個資源對應的權限定義,即getAttributes方法返回的結果。 此類在初始化時,應該取到所有資源及其對應角色的定義。 
  129.  *  
  130.  */  
  131. @Service  
  132. public class MyInvocationSecurityMetadataSourceService implements  
  133.   FilterInvocationSecurityMetadataSource {  
  134.   
  135.  @Autowired  
  136.  private PubAuthoritiesResourcesHome pubAuthoritiesResourcesHome;  
  137.   
  138.  private UrlMatcher urlMatcher = new AntUrlPathMatcher();  
  139.   
  140.  private static Map<String, Collection<ConfigAttribute>> resourceMap = null;  
  141.   
  142.  public MyInvocationSecurityMetadataSourceService() {  
  143.   loadResourceDefine();  
  144.  }  
  145.   
  146.  private void loadResourceDefine() {  
  147.   ApplicationContext context = new ClassPathXmlApplicationContext(  
  148.     "classpath:applicationContext.xml");  
  149.   
  150.   SessionFactory sessionFactory = (SessionFactory) context  
  151.     .getBean("sessionFactory");  
  152.   
  153.   Session session = sessionFactory.openSession();  
  154.   
  155.   String username = "";  
  156.   String sql = "";  
  157.   
  158.   // 在Web服務器啟動時,提取系統中的所有權限。  
  159.   sql = "select authority_name from pub_authorities";  
  160.   
  161.   List<String> query = session.createSQLQuery(sql).list();  
  162.   
  163.   /**//* 
  164.    * 應當是資源為key, 權限為value。 資源通常為url, 權限就是那些以ROLE_為前綴的角色。 一個資源可以由多個權限來訪問。 
  165.    * sparta 
  166.    */  
  167.   resourceMap = new HashMap<String, Collection<ConfigAttribute>>();  
  168.   
  169.   for (String auth : query) {  
  170.    ConfigAttribute ca = new SecurityConfig(auth);  
  171.   
  172.    List<String> query1 = session  
  173.      .createSQLQuery(  
  174.        "select b.resource_string "  
  175.          + "from Pub_Authorities_Resources a, Pub_Resources b, "  
  176.          + "Pub_authorities c where a.resource_id = b.resource_id "  
  177.          + "and a.authority_id=c.authority_id and c.Authority_name='"  
  178.          + auth + "'").list();  
  179.   
  180.    for (String res : query1) {  
  181.     String url = res;  
  182.       
  183.     /**//* 
  184.      * 判斷資源文件和權限的對應關系,如果已經存在相關的資源url,則要通過該url為key提取出權限集合,將權限增加到權限集合中。 
  185.      * sparta 
  186.      */  
  187.     if (resourceMap.containsKey(url)) {  
  188.   
  189.      Collection<ConfigAttribute> value = resourceMap.get(url);  
  190.      value.add(ca);  
  191.      resourceMap.put(url, value);  
  192.     } else {  
  193.      Collection<ConfigAttribute> atts = new ArrayList<ConfigAttribute>();  
  194.      atts.add(ca);  
  195.      resourceMap.put(url, atts);  
  196.     }  
  197.   
  198.    }  
  199.   
  200.   }  
  201.   
  202.  }  
  203.   
  204.  @Override  
  205.  public Collection<ConfigAttribute> getAllConfigAttributes() {  
  206.   
  207.   return null;  
  208.  }  
  209.   
  210.  // 根據URL,找到相關的權限配置。  
  211.  @Override  
  212.  public Collection<ConfigAttribute> getAttributes(Object object)  
  213.    throws IllegalArgumentException {  
  214.   
  215.   // object 是一個URL,被用戶請求的url。  
  216.   String url = ((FilterInvocation) object).getRequestUrl();  
  217.     
  218.         int firstQuestionMarkIndex = url.indexOf("?");  
  219.   
  220.         if (firstQuestionMarkIndex != -1) {  
  221.             url = url.substring(0, firstQuestionMarkIndex);  
  222.         }  
  223.   
  224.   Iterator<String> ite = resourceMap.keySet().iterator();  
  225.   
  226.   while (ite.hasNext()) {  
  227.    String resURL = ite.next();  
  228.      
  229.    if (urlMatcher.pathMatchesUrl(url, resURL)) {  
  230.   
  231.     return resourceMap.get(resURL);  
  232.    }  
  233.   }  
  234.   
  235.   return null;  
  236.  }  
  237.   
  238.  @Override  
  239.  public boolean supports(Class<?> arg0) {  
  240.   
  241.   return true;  
  242.  }  
  243.   
  244. }  
  245.   
  246.   
  247. /**//* 
  248.  * @(#) MyUserDetailsService.java  2011-3-23 上午09:04:31 
  249.  * 
  250.  * Copyright 2011 by Sparta  
  251.  */  
  252.   
  253. package avatar.base.security;  
  254.   
  255.   
  256. import java.util.ArrayList;  
  257. import java.util.Collection;  
  258.   
  259.   
  260. import javax.sql.DataSource;  
  261.   
  262.   
  263. import org.springframework.beans.factory.annotation.Autowired;  
  264. import org.springframework.dao.DataAccessException;  
  265. import org.springframework.security.core.GrantedAuthority;  
  266. import org.springframework.security.core.userdetails.User;  
  267. import org.springframework.security.core.userdetails.UserCache;  
  268. import org.springframework.security.core.userdetails.UserDetails;  
  269. import org.springframework.security.core.userdetails.UserDetailsService;  
  270. import org.springframework.security.core.userdetails.UsernameNotFoundException;  
  271. import org.springframework.stereotype.Service;  
  272.   
  273. import avatar.base.security.dao.PubAuthoritiesResourcesHome;  
  274. import avatar.base.security.dao.PubUsersHome;  
  275.   
  276.   
  277. /** *//** 
  278.  *該類的主要作用是為Spring Security提供一個經過用戶認證后的UserDetails。 
  279.  *該UserDetails包括用戶名、密碼、是否可用、是否過期等信息。 
  280.  *sparta 11/3/29 
  281.  */  
  282. @Service  
  283. public class MyUserDetailsService implements UserDetailsService {  
  284.   
  285.  @Autowired  
  286.  private PubUsersHome pubUsersHome;  
  287.    
  288.  @Autowired  
  289.  private PubAuthoritiesResourcesHome pubAuthoritiesResourcesHome;  
  290.    
  291.  @Autowired  
  292.  private DataSource dataSource;  
  293.    
  294.  @Autowired  
  295.  private UserCache userCache;  
  296.   
  297.  @Override  
  298.  public UserDetails loadUserByUsername(String username)  
  299.    throws UsernameNotFoundException, DataAccessException {  
  300.     
  301.   Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();  
  302.     
  303.     
  304.   //得到用戶的權限  
  305.   auths = pubUsersHome.loadUserAuthoritiesByName( username );  
  306.     
  307.   String password = null;  
  308.     
  309.   //取得用戶的密碼  
  310.   password = pubUsersHome.getPasswordByUsername( username );    
  311.      
  312.   return new User( username, password, true""truetruetrue, auths);  
  313.  }  
  314.     
  315.  //set PubUsersHome  
  316.  public void setPubUsersHome( PubUsersHome pubUsersHome ){  
  317.   this.pubUsersHome = pubUsersHome;  
  318.     
  319.  }  
  320.    
  321.  public PubUsersHome getPubUsersHome(){  
  322.   return pubUsersHome;  
  323.  }  
  324.    
  325.    
  326.  //set PubAuthoritiesResourcesHome  
  327.  public void setPubAuthoritiesResourcesHome( PubAuthoritiesResourcesHome pubAuthoritiesResourcesHome ){  
  328.   this.pubAuthoritiesResourcesHome = pubAuthoritiesResourcesHome;  
  329.     
  330.  }  
  331.    
  332.  public PubAuthoritiesResourcesHome getPubAuthoritiesResourcesHome(){  
  333.   return pubAuthoritiesResourcesHome;  
  334.     
  335.  }  
  336.    
  337.  //set DataSource  
  338.  public void setDataSource( DataSource dataSource ){  
  339.   this.dataSource = dataSource;  
  340.  }  
  341.    
  342.  public DataSource getDataSource(){  
  343.   return dataSource;  
  344.  }  
  345.    
  346.  //設置用戶緩存功能。  
  347.     public void setUserCache(UserCache userCache) {  
  348.         this.userCache = userCache;  
  349.     }  
  350.       
  351.     public UserCache getUserCache(){  
  352.      return this.userCache;  
  353.     }  
  354.    
  355. }  
  356.   
  357. /**//* 
  358.  * @(#) MyAccessDecisionManager.java  2011-3-23 下午04:41:12 
  359.  * 
  360.  * Copyright 2011 by Sparta  
  361.  */  
  362.   
  363. package avatar.base.security;  
  364.   
  365. import java.util.Collection;  
  366. import java.util.Iterator;  
  367.   
  368. import org.springframework.security.access.AccessDecisionManager;  
  369. import org.springframework.security.access.AccessDeniedException;  
  370. import org.springframework.security.access.ConfigAttribute;  
  371. import org.springframework.security.access.SecurityConfig;  
  372. import org.springframework.security.authentication.InsufficientAuthenticationException;  
  373. import org.springframework.security.core.Authentication;  
  374. import org.springframework.security.core.GrantedAuthority;  
  375.   
  376. /** *//** 
  377.  *AccessdecisionManager在Spring security中是很重要的。 
  378.  * 
  379.  *在驗證部分簡略提過了,所有的Authentication實現需要保存在一個GrantedAuthority對象數組中。  
  380.  *這就是賦予給主體的權限。 GrantedAuthority對象通過AuthenticationManager 
  381.  *保存到 Authentication對象里,然后從AccessDecisionManager讀出來,進行授權判斷。  
  382.  * 
  383.  *Spring Security提供了一些攔截器,來控制對安全對象的訪問權限,例如方法調用或web請求。  
  384.  *一個是否允許執行調用的預調用決定,是由AccessDecisionManager實現的。  
  385.  *這個 AccessDecisionManager 被AbstractSecurityInterceptor調用, 
  386.  *它用來作最終訪問控制的決定。 這個AccessDecisionManager接口包含三個方法:  
  387.  * 
  388.  void decide(Authentication authentication, Object secureObject, 
  389.     List<ConfigAttributeDefinition> config) throws AccessDeniedException; 
  390.  boolean supports(ConfigAttribute attribute); 
  391.  boolean supports(Class clazz); 
  392.   
  393.   從第一個方法可以看出來,AccessDecisionManager使用方法參數傳遞所有信息,這好像在認證評估時進行決定。  
  394.   特別是,在真實的安全方法期望調用的時候,傳遞安全Object啟用那些參數。  
  395.   比如,讓我們假設安全對象是一個MethodInvocation。  
  396.   很容易為任何Customer參數查詢MethodInvocation, 
  397.   然后在AccessDecisionManager里實現一些有序的安全邏輯,來確認主體是否允許在那個客戶上操作。  
  398.   如果訪問被拒絕,實現將拋出一個AccessDeniedException異常。 
  399.  
  400.   這個 supports(ConfigAttribute) 方法在啟動的時候被 
  401.   AbstractSecurityInterceptor調用,來決定AccessDecisionManager 
  402.   是否可以執行傳遞ConfigAttribute。  
  403.   supports(Class)方法被安全攔截器實現調用, 
  404.   包含安全攔截器將顯示的AccessDecisionManager支持安全對象的類型。 
  405.  */  
  406. public class MyAccessDecisionManager implements AccessDecisionManager {  
  407.    
  408.  public void decide( Authentication authentication, Object object,   
  409.    Collection<ConfigAttribute> configAttributes)   
  410.   throws AccessDeniedException, InsufficientAuthenticationException{  
  411.     
  412.   if( configAttributes == null ) {  
  413.    return ;  
  414.   }  
  415.     
  416.   Iterator<ConfigAttribute> ite = configAttributes.iterator();  
  417.     
  418.   while( ite.hasNext()){  
  419.      
  420.    ConfigAttribute ca = ite.next();  
  421.    String needRole = ((SecurityConfig)ca).getAttribute();  
  422.      
  423.    //ga 為用戶所被賦予的權限。 needRole 為訪問相應的資源應該具有的權限。  
  424.    for( GrantedAuthority ga: authentication.getAuthorities()){  
  425.       
  426.     if(needRole.trim().equals(ga.getAuthority().trim())){  
  427.   
  428.      return;  
  429.     }  
  430.       
  431.    }  
  432.      
  433.   }  
  434.     
  435.   throw new AccessDeniedException("");  
  436.     
  437.  }  
  438.    
  439.  public boolean supports( ConfigAttribute attribute ){  
  440.     
  441.   return true;  
  442.   
  443.  }  
  444.    
  445.  public boolean supports(Class<?> clazz){  
  446.   return true;  
  447.   
  448.  }  
  449.    
  450.   
  451. }  

數據庫的SQL及預置數據:

 

[sql] view plain copy
  1. prompt PL/SQL Developer import file  
  2. prompt Created on 2011年6月1日 by Administrator  
  3. set feedback off  
  4. set define off  
  5. prompt Creating SYS_AUTHORITIES  
  6. create table SYS_AUTHORITIES  
  7. (  
  8.   AUTHORITY_ID   VARCHAR2(32) not null,  
  9.   AUTHORITY_NAME VARCHAR2(40),  
  10.   AUTHORITY_DESC VARCHAR2(100),  
  11.   ENABLED        NUMBER(1),  
  12.   ISSYS          NUMBER(1),  
  13.   MODULE         VARCHAR2(4)  
  14. )  
  15. tablespace SCJD  
  16.   pctfree 10  
  17.   initrans 1  
  18.   maxtrans 255  
  19.   storage  
  20.   (  
  21.     initial 64K  
  22.     minextents 1  
  23.     maxextents unlimited  
  24.   );  
  25. comment on table SYS_AUTHORITIES  
  26.   is '權限表';  
  27. comment on column SYS_AUTHORITIES.MODULE  
  28.   is '所屬的子系統,比如平台里面包括10個系統,分別為成本、作業、集輸等。';  
  29. alter table SYS_AUTHORITIES  
  30.   add constraint PK_PUB_AUTHORITIES primary key (AUTHORITY_ID)  
  31.   using index   
  32.   tablespace SCJD  
  33.   pctfree 10  
  34.   initrans 2  
  35.   maxtrans 255  
  36.   storage  
  37.   (  
  38.     initial 64K  
  39.     minextents 1  
  40.     maxextents unlimited  
  41.   );  
  42.   
  43. prompt Creating SYS_RESOURCES  
  44. create table SYS_RESOURCES  
  45. (  
  46.   RESOURCE_ID     VARCHAR2(32) not null,  
  47.   RESOURCE_NAME   VARCHAR2(100),  
  48.   RESOURCE_DESC   VARCHAR2(100),  
  49.   RESOURCE_TYPE   VARCHAR2(40),  
  50.   RESOURCE_STRING VARCHAR2(200),  
  51.   PRIORITY        NUMBER(1),  
  52.   ENABLED         NUMBER(1),  
  53.   ISSYS           NUMBER(1),  
  54.   MODULE          VARCHAR2(4)  
  55. )  
  56. tablespace SCJD  
  57.   pctfree 10  
  58.   initrans 1  
  59.   maxtrans 255  
  60.   storage  
  61.   (  
  62.     initial 64K  
  63.     minextents 1  
  64.     maxextents unlimited  
  65.   );  
  66. comment on table SYS_RESOURCES  
  67.   is '資源表';  
  68. comment on column SYS_RESOURCES.PRIORITY  
  69.   is '(暫不用,保留)';  
  70. comment on column SYS_RESOURCES.MODULE  
  71.   is '所屬的子系統,比如平台里面包括10個系統,分別為成本、作業、集輸等。 (暫不用,保留)';  
  72. alter table SYS_RESOURCES  
  73.   add constraint PK_PUB_RESOURCES primary key (RESOURCE_ID)  
  74.   using index   
  75.   tablespace SCJD  
  76.   pctfree 10  
  77.   initrans 2  
  78.   maxtrans 255  
  79.   storage  
  80.   (  
  81.     initial 64K  
  82.     minextents 1  
  83.     maxextents unlimited  
  84.   );  
  85.   
  86. prompt Creating SYS_AUTHORITIES_RESOURCES  
  87. create table SYS_AUTHORITIES_RESOURCES  
  88. (  
  89.   ID           NUMBER(13) not null,  
  90.   AUTHORITY_ID VARCHAR2(32),  
  91.   RESOURCE_ID  VARCHAR2(32),  
  92.   ENABLED      NUMBER(1)  
  93. )  
  94. tablespace SCJD  
  95.   pctfree 10  
  96.   initrans 1  
  97.   maxtrans 255  
  98.   storage  
  99.   (  
  100.     initial 64K  
  101.     minextents 1  
  102.     maxextents unlimited  
  103.   );  
  104. comment on table SYS_AUTHORITIES_RESOURCES  
  105.   is '權限資源表';  
  106. alter table SYS_AUTHORITIES_RESOURCES  
  107.   add constraint PK_PUB_AUTHORITIES_RE primary key (ID)  
  108.   using index   
  109.   tablespace SCJD  
  110.   pctfree 10  
  111.   initrans 2  
  112.   maxtrans 255  
  113.   storage  
  114.   (  
  115.     initial 64K  
  116.     minextents 1  
  117.     maxextents unlimited  
  118.   );  
  119. alter table SYS_AUTHORITIES_RESOURCES  
  120.   add constraint FK_PUB_AUTHORITIES_RE_AU foreign key (AUTHORITY_ID)  
  121.   references SYS_AUTHORITIES (AUTHORITY_ID);  
  122. alter table SYS_AUTHORITIES_RESOURCES  
  123.   add constraint FK_PUB_AUTHORITIES_RE_RE foreign key (RESOURCE_ID)  
  124.   references SYS_RESOURCES (RESOURCE_ID);  
  125.   
  126. prompt Creating SYS_ROLES  
  127. create table SYS_ROLES  
  128. (  
  129.   ROLE_ID   VARCHAR2(32) not null,  
  130.   ROLE_NAME VARCHAR2(40),  
  131.   ROLE_DESC VARCHAR2(100),  
  132.   ENABLED   NUMBER(1),  
  133.   ISSYS     NUMBER(1),  
  134.   MODULE    VARCHAR2(4)  
  135. )  
  136. tablespace SCJD  
  137.   pctfree 10  
  138.   initrans 1  
  139.   maxtrans 255  
  140.   storage  
  141.   (  
  142.     initial 64K  
  143.     minextents 1  
  144.     maxextents unlimited  
  145.   );  
  146. comment on table SYS_ROLES  
  147.   is '角色表';  
  148. comment on column SYS_ROLES.MODULE  
  149.   is '所屬的子系統,比如平台里面包括10個系統,分別為成本、作業、集輸等。';  
  150. alter table SYS_ROLES  
  151.   add constraint PK_PUB_ROLES primary key (ROLE_ID)  
  152.   using index   
  153.   tablespace SCJD  
  154.   pctfree 10  
  155.   initrans 2  
  156.   maxtrans 255  
  157.   storage  
  158.   (  
  159.     initial 64K  
  160.     minextents 1  
  161.     maxextents unlimited  
  162.   );  
  163.   
  164. prompt Creating SYS_ROLES_AUTHORITIES  
  165. create table SYS_ROLES_AUTHORITIES  
  166. (  
  167.   ID           NUMBER(13) not null,  
  168.   ROLE_ID      VARCHAR2(32),  
  169.   AUTHORITY_ID VARCHAR2(32),  
  170.   ENABLED      NUMBER(1)  
  171. )  
  172. tablespace SCJD  
  173.   pctfree 10  
  174.   initrans 1  
  175.   maxtrans 255  
  176.   storage  
  177.   (  
  178.     initial 64K  
  179.     minextents 1  
  180.     maxextents unlimited  
  181.   );  
  182. comment on table SYS_ROLES_AUTHORITIES  
  183.   is '角色權限表';  
  184. alter table SYS_ROLES_AUTHORITIES  
  185.   add constraint PK_PUB_ROLES_AUTHORITY primary key (ID)  
  186.   using index   
  187.   tablespace SCJD  
  188.   pctfree 10  
  189.   initrans 2  
  190.   maxtrans 255  
  191.   storage  
  192.   (  
  193.     initial 64K  
  194.     minextents 1  
  195.     maxextents unlimited  
  196.   );  
  197. alter table SYS_ROLES_AUTHORITIES  
  198.   add constraint FK_PUB_ROLES_AUTHORITIES_AU foreign key (AUTHORITY_ID)  
  199.   references SYS_AUTHORITIES (AUTHORITY_ID);  
  200. alter table SYS_ROLES_AUTHORITIES  
  201.   add constraint FK_PUB_ROLES_AUTHORITIES_ROLES foreign key (ROLE_ID)  
  202.   references SYS_ROLES (ROLE_ID);  
  203.   
  204. prompt Creating SYS_USERS  
  205. create table SYS_USERS  
  206. (  
  207.   USER_ID       VARCHAR2(32) not null,  
  208.   USER_ACCOUNT  VARCHAR2(30),  
  209.   USER_NAME     VARCHAR2(40),  
  210.   USER_PASSWORD VARCHAR2(100),  
  211.   USER_DESC     VARCHAR2(100),  
  212.   ENABLED       NUMBER(1),  
  213.   ISSYS         NUMBER(1),  
  214.   USER_DEPT     VARCHAR2(20),  
  215.   USER_DUTY     VARCHAR2(10),  
  216.   SUB_SYSTEM    VARCHAR2(30)  
  217. )  
  218. tablespace SCJD  
  219.   pctfree 10  
  220.   initrans 1  
  221.   maxtrans 255  
  222.   storage  
  223.   (  
  224.     initial 64K  
  225.     minextents 1  
  226.     maxextents unlimited  
  227.   );  
  228. comment on table SYS_USERS  
  229.   is '用戶表';  
  230. comment on column SYS_USERS.USER_PASSWORD  
  231.   is '該密碼是經加鹽值加密的,格式為password{username}。 比如用戶的密碼為user,用戶名為user,那么通過MD5進行加密的串為: user{user}';  
  232. comment on column SYS_USERS.ISSYS  
  233.   is '是否是超級用戶';  
  234. comment on column SYS_USERS.USER_DEPT  
  235.   is '所在單位';  
  236. comment on column SYS_USERS.USER_DUTY  
  237.   is '經理或主任';  
  238. comment on column SYS_USERS.SUB_SYSTEM  
  239.   is '該用戶所負責的各子系統,可多個,中間用逗號分隔。(目前暫未用,作為保留字段)';  
  240. alter table SYS_USERS  
  241.   add constraint PK_PUB_USERS primary key (USER_ID)  
  242.   using index   
  243.   tablespace SCJD  
  244.   pctfree 10  
  245.   initrans 2  
  246.   maxtrans 255  
  247.   storage  
  248.   (  
  249.     initial 64K  
  250.     minextents 1  
  251.     maxextents unlimited  
  252.   );  
  253.   
  254. prompt Creating SYS_USERS_ROLES  
  255. create table SYS_USERS_ROLES  
  256. (  
  257.   ID      NUMBER(13) not null,  
  258.   USER_ID VARCHAR2(32),  
  259.   ROLE_ID VARCHAR2(32),  
  260.   ENABLED NUMBER(1)  
  261. )  
  262. tablespace SCJD  
  263.   pctfree 10  
  264.   initrans 1  
  265.   maxtrans 255  
  266.   storage  
  267.   (  
  268.     initial 64K  
  269.     minextents 1  
  270.     maxextents unlimited  
  271.   );  
  272. comment on table SYS_USERS_ROLES  
  273.   is '用戶角色表';  
  274. alter table SYS_USERS_ROLES  
  275.   add constraint PK_PUB_USERS_ROLES primary key (ID)  
  276.   using index   
  277.   tablespace SCJD  
  278.   pctfree 10  
  279.   initrans 2  
  280.   maxtrans 255  
  281.   storage  
  282.   (  
  283.     initial 64K  
  284.     minextents 1  
  285.     maxextents unlimited  
  286.   );  
  287. alter table SYS_USERS_ROLES  
  288.   add constraint FK_USERS_ROLES_ROLES foreign key (ROLE_ID)  
  289.   references SYS_ROLES (ROLE_ID);  
  290. alter table SYS_USERS_ROLES  
  291.   add constraint FK_USERS_ROLES_USERS foreign key (USER_ID)  
  292.   references SYS_USERS (USER_ID);  
  293.   
  294. prompt Disabling triggers for SYS_AUTHORITIES  
  295. alter table SYS_AUTHORITIES disable all triggers;  
  296. prompt Disabling triggers for SYS_RESOURCES  
  297. alter table SYS_RESOURCES disable all triggers;  
  298. prompt Disabling triggers for SYS_AUTHORITIES_RESOURCES  
  299. alter table SYS_AUTHORITIES_RESOURCES disable all triggers;  
  300. prompt Disabling triggers for SYS_ROLES  
  301. alter table SYS_ROLES disable all triggers;  
  302. prompt Disabling triggers for SYS_ROLES_AUTHORITIES  
  303. alter table SYS_ROLES_AUTHORITIES disable all triggers;  
  304. prompt Disabling triggers for SYS_USERS  
  305. alter table SYS_USERS disable all triggers;  
  306. prompt Disabling triggers for SYS_USERS_ROLES  
  307. alter table SYS_USERS_ROLES disable all triggers;  
  308. prompt Disabling foreign key constraints for SYS_AUTHORITIES_RESOURCES  
  309. alter table SYS_AUTHORITIES_RESOURCES disable constraint FK_PUB_AUTHORITIES_RE_AU;  
  310. alter table SYS_AUTHORITIES_RESOURCES disable constraint FK_PUB_AUTHORITIES_RE_RE;  
  311. prompt Disabling foreign key constraints for SYS_ROLES_AUTHORITIES  
  312. alter table SYS_ROLES_AUTHORITIES disable constraint FK_PUB_ROLES_AUTHORITIES_AU;  
  313. alter table SYS_ROLES_AUTHORITIES disable constraint FK_PUB_ROLES_AUTHORITIES_ROLES;  
  314. prompt Disabling foreign key constraints for SYS_USERS_ROLES  
  315. alter table SYS_USERS_ROLES disable constraint FK_USERS_ROLES_ROLES;  
  316. alter table SYS_USERS_ROLES disable constraint FK_USERS_ROLES_USERS;  
  317. prompt Deleting SYS_USERS_ROLES  
  318. delete from SYS_USERS_ROLES;  
  319. commit;  
  320. prompt Deleting SYS_USERS  
  321. delete from SYS_USERS;  
  322. commit;  
  323. prompt Deleting SYS_ROLES_AUTHORITIES  
  324. delete from SYS_ROLES_AUTHORITIES;  
  325. commit;  
  326. prompt Deleting SYS_ROLES  
  327. delete from SYS_ROLES;  
  328. commit;  
  329. prompt Deleting SYS_AUTHORITIES_RESOURCES  
  330. delete from SYS_AUTHORITIES_RESOURCES;  
  331. commit;  
  332. prompt Deleting SYS_RESOURCES  
  333. delete from SYS_RESOURCES;  
  334. commit;  
  335. prompt Deleting SYS_AUTHORITIES  
  336. delete from SYS_AUTHORITIES;  
  337. commit;  
  338. prompt Loading SYS_AUTHORITIES  
  339. insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)  
  340. values ('1303910437484''AUTH_xxx''xxx'nullnull'01');  
  341. insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)  
  342. values ('AUTH_LOGIN4''AUTH_LOGIN''登錄', 1, 0, '01');  
  343. insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)  
  344. values ('AUTH_AFTERLOGINWELCOME5''AUTH_AFTERLOGINWELCOME''登錄后歡迎界面', 1, 0, '01');  
  345. insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)  
  346. values ('AUTH_XTSZ_DEPT1''AUTH_XTSZ_DEPT''單位設置', 1, 0, '01');  
  347. insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)  
  348. values ('AUTH_XTSZ_USER2''AUTH_XTSZ_USER''用戶設置、橫向查詢', 1, 0, '01');  
  349. insert into SYS_AUTHORITIES (AUTHORITY_ID, AUTHORITY_NAME, AUTHORITY_DESC, ENABLED, ISSYS, MODULE)  
  350. values ('AUTH_NODE_MGR3''AUTH_NODE_MGR''節點管理、縱向查詢', 1, 0, '01');  
  351. commit;  
  352. prompt 6 records loaded  
  353. prompt Loading SYS_RESOURCES  
  354. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  355. values ('1303909883031''ff''ff''action''b.jsp'null, 1, 0, null);  
  356. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  357. values ('1303909847687''ff1''ff1''action''b.jsp'null, 1, 0, null);  
  358. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  359. values ('node_mgr3''node_mgr''節點管理''url''/*/*/Tree.jsp'null, 1, 0, null);  
  360. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  361. values ('login4''login''登錄''url''/login.jsp'null, 1, 0, null);  
  362. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  363. values ('index5''index''登錄后歡迎頁面''url''/index.jsp'null, 1, 0, null);  
  364. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  365. values ('resources_mgr''resources_mgr''資源管理''action''/managerResource'null, 1, 0, null);  
  366. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  367. values ('horizontal_qry6''horizontal_qry''橫向查詢''action''/horizontalQuery'null, 1, 0, null);  
  368. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  369. values ('vertical_qry7''vertical_qry''縱向查詢''action''/verticalQuery'null, 1, 0, null);  
  370. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  371. values ('dep_mgr1''dep_mgr''單位管理''action''/UnitsManager'null, 1, 0, null);  
  372. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  373. values ('user_mgr2''user_mgr''用戶管理''action''/managerUser'null, 1, 0, null);  
  374. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  375. values ('authority_mgr''authority_mgr''權限管理''action''/managerAuthority'null, 1, 0, null);  
  376. insert into SYS_RESOURCES (RESOURCE_ID, RESOURCE_NAME, RESOURCE_DESC, RESOURCE_TYPE, RESOURCE_STRING, PRIORITY, ENABLED, ISSYS, MODULE)  
  377. values ('role_mgr''role_mgr''角色管理''action''/managerRole'nullnullnullnull);  
  378. commit;  
  379. prompt 12 records loaded  
  380. prompt Loading SYS_AUTHORITIES_RESOURCES  
  381. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  382. values (1, 'AUTH_AFTERLOGINWELCOME5''index5', 1);  
  383. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  384. values (2, 'AUTH_LOGIN4''login4', 1);  
  385. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  386. values (3, 'AUTH_NODE_MGR3''node_mgr3', 1);  
  387. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  388. values (4, 'AUTH_XTSZ_DEPT1''dep_mgr1', 1);  
  389. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  390. values (5, 'AUTH_XTSZ_USER2''user_mgr2', 1);  
  391. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  392. values (7, 'AUTH_XTSZ_USER2''horizontal_qry6', 1);  
  393. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  394. values (8, 'AUTH_XTSZ_DEPT1''vertical_qry7', 1);  
  395. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  396. values (12, 'AUTH_XTSZ_USER2''role_mgr', 1);  
  397. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  398. values (10, 'AUTH_XTSZ_USER2''resources_mgr', 1);  
  399. insert into SYS_AUTHORITIES_RESOURCES (ID, AUTHORITY_ID, RESOURCE_ID, ENABLED)  
  400. values (11, 'AUTH_XTSZ_USER2''authority_mgr', 1);  
  401. commit;  
  402. prompt 10 records loaded  
  403. prompt Loading SYS_ROLES  
  404. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  405. values ('1303463518765''ROLE_dd1''dd1', 1, 0, '01');  
  406. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  407. values ('1303463949640''ROLE_rr1''rr1', 1, 0, '02');  
  408. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  409. values ('ROLE_PLATFORMADMIN1''ROLE_PLATFORMADMIN''可管理整個平台的用戶、單位設置。', 1, 1, '01');  
  410. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  411. values ('ROLE_USER2''ROLE_USER''普通用戶', 1, 0, '01');  
  412. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  413. values ('ROLE_LOGINTOWELCOME4''ROLE_LOGINTOWELCOME''僅登錄到歡迎界面!', 1, 0, '01');  
  414. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  415. values ('ROLE_SYSADMIN3''ROLE_SYSADMIN''可管理本系統的用戶、單位設置。', 1, 0, '01');  
  416. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  417. values ('ROLE_WORK''ROLE_WORK''作業子系統的角色(試驗)', 1, 0, '02');  
  418. insert into SYS_ROLES (ROLE_ID, ROLE_NAME, ROLE_DESC, ENABLED, ISSYS, MODULE)  
  419. values ('ROLE_LOGIN''ROLE_LOGIN''系統登錄', 1, 0, '01');  
  420. commit;  
  421. prompt 8 records loaded  
  422. prompt Loading SYS_ROLES_AUTHORITIES  
  423. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  424. values (1, 'ROLE_LOGINTOWELCOME4''AUTH_AFTERLOGINWELCOME5', 1);  
  425. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  426. values (2, 'ROLE_PLATFORMADMIN1''AUTH_AFTERLOGINWELCOME5', 1);  
  427. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  428. values (3, 'ROLE_PLATFORMADMIN1''AUTH_LOGIN4', 1);  
  429. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  430. values (4, 'ROLE_PLATFORMADMIN1''AUTH_NODE_MGR3', 1);  
  431. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  432. values (5, 'ROLE_PLATFORMADMIN1''AUTH_XTSZ_DEPT1', 1);  
  433. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  434. values (6, 'ROLE_PLATFORMADMIN1''AUTH_XTSZ_USER2', 1);  
  435. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  436. values (7, 'ROLE_SYSADMIN3''AUTH_XTSZ_DEPT1', 1);  
  437. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  438. values (8, 'ROLE_SYSADMIN3''AUTH_XTSZ_USER2', 1);  
  439. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  440. values (9, 'ROLE_USER2''AUTH_LOGIN4', 1);  
  441. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  442. values (10, 'ROLE_LOGINTOWELCOME4''AUTH_LOGIN4', 1);  
  443. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  444. values (11, 'ROLE_USER2''AUTH_AFTERLOGINWELCOME5', 1);  
  445. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  446. values (1303463962718, '1303463949640''AUTH_LOGIN4', 1);  
  447. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  448. values (1303463972234, 'ROLE_WORK''AUTH_LOGIN4', 1);  
  449. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  450. values (1303463972235, 'ROLE_WORK''AUTH_AFTERLOGINWELCOME5', 1);  
  451. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  452. values (1303463972250, 'ROLE_WORK''AUTH_XTSZ_DEPT1', 1);  
  453. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  454. values (1303463972251, 'ROLE_WORK''AUTH_XTSZ_USER2', 1);  
  455. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  456. values (1303463972265, 'ROLE_WORK''AUTH_NODE_MGR3', 1);  
  457. insert into SYS_ROLES_AUTHORITIES (ID, ROLE_ID, AUTHORITY_ID, ENABLED)  
  458. values (1303287600015, 'ROLE_LOGIN''AUTH_LOGIN4', 1);  
  459. commit;  
  460. prompt 18 records loaded  
  461. prompt Loading SYS_USERS  
  462. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  463. values ('1304494573750''lxb''lxb''c7d3f4c857bc8c145d6e5d40c1bf23d9'null, 1, 0, '10011001'null'01');  
  464. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  465. values ('1304490737406''lxb''lxb''c7d3f4c857bc8c145d6e5d40c1bf23d9'null, 1, 0, '10011001'null'01');  
  466. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  467. values ('1304574079546''ddd''ddd''0a4f6a961276619f7f91356bcba5a746'null, 0, 0, nullnull'01');  
  468. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  469. values ('1304573363921''lxb''盧小兵''09eb37d219cfa835db40e5ab587f7082''普通僅登錄到歡迎界面!', 0, 0, '1001'null'01');  
  470. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  471. values ('1304573484515''lll''lll''47acedc22cef8c3762c21a435e262d67'null, 1, 0, '1001'null'01');  
  472. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  473. values ('admin1''admin''系統管理員''ceb4f32325eda6142bd65215f4c0f371''超級系統管理員', 1, 1, '1001'null'01');  
  474. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  475. values ('user2''user''普通用戶''47a733d60998c719cf3526ae7d106d13''普通用戶', 1, 0, '1001'null'01');  
  476. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  477. values ('sysUser3''sysUser''系統設置維護''8f0295328c34f8eedc2362e9f4a10b7e''系統設置用戶', 1, 0, '1001'null'01');  
  478. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  479. values ('lxb4''lxb''盧小兵''c7d3f4c857bc8c145d6e5d40c1bf23d9''普通僅登錄到歡迎界面!', 1, 0, '1001'null'01');  
  480. insert into SYS_USERS (USER_ID, USER_ACCOUNT, USER_NAME, USER_PASSWORD, USER_DESC, ENABLED, ISSYS, USER_DEPT, USER_DUTY, SUB_SYSTEM)  
  481. values ('1304566319625''lxb5''lx5''1abe40ed6d0da1c834586e8ecef61fe7'null, 0, 0, '10011001'null'01');  
  482. commit;  
  483. prompt 10 records loaded  
  484. prompt Loading SYS_USERS_ROLES  
  485. insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)  
  486. values (1, 'admin1''ROLE_PLATFORMADMIN1', 1);  
  487. insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)  
  488. values (2, 'sysUser3''ROLE_SYSADMIN3', 1);  
  489. insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)  
  490. values (3, 'user2''ROLE_USER2', 1);  
  491. insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)  
  492. values (4, 'lxb4''ROLE_LOGINTOWELCOME4', 1);  
  493. insert into SYS_USERS_ROLES (ID, USER_ID, ROLE_ID, ENABLED)  
  494. values (5, '1304573484515''1303463518765'null);  
  495. commit;  
  496. prompt 5 records loaded  
  497. prompt Enabling foreign key constraints for SYS_AUTHORITIES_RESOURCES  
  498. alter table SYS_AUTHORITIES_RESOURCES enable constraint FK_PUB_AUTHORITIES_RE_AU;  
  499. alter table SYS_AUTHORITIES_RESOURCES enable constraint FK_PUB_AUTHORITIES_RE_RE;  
  500. prompt Enabling foreign key constraints for SYS_ROLES_AUTHORITIES  
  501. alter table SYS_ROLES_AUTHORITIES enable constraint FK_PUB_ROLES_AUTHORITIES_AU;  
  502. alter table SYS_ROLES_AUTHORITIES enable constraint FK_PUB_ROLES_AUTHORITIES_ROLES;  
  503. prompt Enabling foreign key constraints for SYS_USERS_ROLES  
  504. alter table SYS_USERS_ROLES enable constraint FK_USERS_ROLES_ROLES;  
  505. alter table SYS_USERS_ROLES enable constraint FK_USERS_ROLES_USERS;  
  506. prompt Enabling triggers for SYS_AUTHORITIES  
  507. alter table SYS_AUTHORITIES enable all triggers;  
  508. prompt Enabling triggers for SYS_RESOURCES  
  509. alter table SYS_RESOURCES enable all triggers;  
  510. prompt Enabling triggers for SYS_AUTHORITIES_RESOURCES  
  511. alter table SYS_AUTHORITIES_RESOURCES enable all triggers;  
  512. prompt Enabling triggers for SYS_ROLES  
  513. alter table SYS_ROLES enable all triggers;  
  514. prompt Enabling triggers for SYS_ROLES_AUTHORITIES  
  515. alter table SYS_ROLES_AUTHORITIES enable all triggers;  
  516. prompt Enabling triggers for SYS_USERS  
  517. alter table SYS_USERS enable all triggers;  
  518. prompt Enabling triggers for SYS_USERS_ROLES  
  519. alter table SYS_USERS_ROLES enable all triggers;  
  520. set feedback on  
  521. set define on  
  522. prompt Done.  

 

相關配置文件:

web.xml與第一種方法同。

applicationContext-security.xml:

[html] view plain copy
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2.   
  3. <b:beans xmlns="http://www.springframework.org/schema/security"  
  4.  xmlns:b="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  5.  xsi:schemaLocation="http://www.springframework.org/schema/beans   
  6.  http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  7.     http://www.springframework.org/schema/security   
  8.     http://www.springframework.org/schema/security/spring-security-3.0.xsd">  
  9.   
  10.   
  11.  <http auto-config="true" access-denied-page="/accessDenied.jsp">  
  12.   <!-- 不要過濾圖片等靜態資源 -->  
  13.   <intercept-url pattern="/**/*.jpg" filters="none" />  
  14.   <intercept-url pattern="/**/*.png" filters="none" />  
  15.   <intercept-url pattern="/**/*.gif" filters="none" />  
  16.   <intercept-url pattern="/**/*.css" filters="none" />  
  17.   <intercept-url pattern="/**/*.js" filters="none" />  
  18.   <!-- 登錄頁面和忘記密碼頁面不過濾  -->  
  19.   <intercept-url pattern="/login.jsp" filters="none" />  
  20.   <intercept-url pattern="/jsp/forgotpassword.jsp"  
  21.    filters="none" />    
  22.     
  23.   <form-login login-page="/login.jsp"  
  24.    authentication-failure-url="/login.jsp?error=true"  
  25.    default-target-url="/index.jsp" />  
  26.   
  27.   <!-- "記住我"功能,采用持久化策略(將用戶的登錄信息存放在數據庫表中) -->  
  28.   <remember-me data-source-ref="dataSource" />  
  29.     
  30.   <!-- 檢測失效的sessionId,超時時定位到另外一個URL -->  
  31.   <session-management invalid-session-url="/sessionTimeout.jsp" />  
  32.     
  33.     
  34.   <!-- 增加一個自定義的filter,放在FILTER_SECURITY_INTERCEPTOR之前,  
  35.   實現用戶、角色、權限、資源的數據庫管理。  -->  
  36.   <custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>   
  37.     
  38.     
  39.  </http>  
  40.    
  41.    
  42.  <!-- 一個自定義的filter,必須包含authenticationManager,  
  43.   accessDecisionManager,securityMetadataSource三個屬性。  -->  
  44.  <b:bean id="myFilter"   
  45.   class="avatar.base.security.MyFilterSecurityInterceptor">  
  46.   <b:property name="authenticationManager"   
  47.    ref="authenticationManager"/>  
  48.   <b:property name="accessDecisionManager"   
  49.    ref="myAccessDecisionManager"/>  
  50.   <b:property name="securityMetadataSource"   
  51.    ref="mySecurityMetadataSource"/>  
  52.  </b:bean>  
  53.    
  54.    
  55.   
  56.  <!-- 注意能夠為authentication-manager 設置alias別名  -->  
  57.  <authentication-manager alias="authenticationManager">  
  58.   <authentication-provider user-service-ref="userDetailsManager">  
  59.    <password-encoder ref="passwordEncoder">  
  60.     <salt-source user-property="username" />  
  61.    </password-encoder>  
  62.   </authentication-provider>  
  63.  </authentication-manager>  
  64.   
  65.   
  66.  <!-- 訪問決策器,決定某個用戶具有的角色,是否有足夠的權限去訪問某個資源。 -->  
  67.  <b:bean id="myAccessDecisionManager"  
  68.   class="avatar.base.security.MyAccessDecisionManager">  
  69.  </b:bean>    
  70.   
  71.   
  72.  <!-- 資源源數據定義,將所有的資源和權限對應關系建立起來,即定義某一資源可以被哪些角色去訪問。 -->  
  73.  <b:bean id="mySecurityMetadataSource"  
  74.   class="avatar.base.security.MyInvocationSecurityMetadataSourceService">  
  75.  </b:bean>   
  76.   
  77. </b:beans>  
  78.   
  79. applicationContext-service.xml:  
  80.   
  81.    
  82.   
  83. <?xml version="1.0" encoding="UTF-8"?>  
  84.   
  85. <beans xmlns="http://www.springframework.org/schema/beans"  
  86.  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
  87.  xmlns:util="http://www.springframework.org/schema/util"  
  88.  xmlns:jee="http://www.springframework.org/schema/jee"   
  89.  xmlns:aop="http://www.springframework.org/schema/aop"  
  90.  xmlns:tx="http://www.springframework.org/schema/tx"   
  91.  xmlns:context="http://www.springframework.org/schema/context"  
  92.  xsi:schemaLocation="http://www.springframework.org/schema/beans  
  93.  http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  94.    http://www.springframework.org/schema/aop   
  95.    http://www.springframework.org/schema/aop/spring-aop-3.0.xsd  
  96.    http://www.springframework.org/schema/tx  
  97.    http://www.springframework.org/schema/tx/spring-tx-3.0.xsd  
  98.    http://www.springframework.org/schema/jee  
  99.    http://www.springframework.org/schema/jee/spring-jee-3.0.xsd  
  100.    http://www.springframework.org/schema/context  
  101.    http://www.springframework.org/schema/context/spring-context-3.0.xsd  
  102.    http://www.springframework.org/schema/util   
  103.    http://www.springframework.org/schema/util/spring-util-3.0.xsd">  
  104.   
  105.    
  106.  <!-- 定義上下文返回的消息的國際化。 -->  
  107.  <bean id="messageSource"  
  108.   class="org.springframework.context.support.ReloadableResourceBundleMessageSource">  
  109.   <property name="basename"  
  110.    value="classpath:org/springframework/security/messages_zh_CN"/>  
  111.  </bean>  
  112.   
  113.  <!--  
  114.   事件監聽:實現了 ApplicationListener監聽接口,  
  115.   包括AuthenticationCredentialsNotFoundEvent 事件,  
  116.   AuthorizationFailureEvent事件,AuthorizedEvent事件, PublicInvocationEvent事  
  117.   件。 -->  
  118.  <bean  
  119.   class="org.springframework.security.authentication.event.LoggerListener" />  
  120.   
  121.  <!-- 用戶的密碼加密或解密 -->  
  122.  <bean id="passwordEncoder"  
  123.   class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />  
  124.   
  125.      
  126.  <!-- 用戶詳細信息管理:數據源、用戶緩存(通過數據庫管理用戶、角色、權限、資源)。 -->  
  127.  <bean id="userDetailsManager" class="avatar.base.security.MyUserDetailsService">  
  128.   <property name="pubUsersHome" ref="pubUsersHome" />  
  129.   <property name="pubAuthoritiesResourcesHome" ref="pubAuthoritiesResourcesHome" />  
  130.   <property name="dataSource" ref="dataSource" />  
  131.   <property name="userCache" ref="userCache" />  
  132.  </bean>    
  133.    
  134.  <!-- 啟用用戶的緩存功能 -->  
  135.  <bean id="userCache"  
  136.   class="org.springframework.security.core.userdetails.cache.EhCacheBasedUserCache">  
  137.   <property name="cache" ref="userEhCache" />  
  138.  </bean>  
  139.    
  140.  <bean id="userEhCache" class="org.springframework.cache.ehcache.EhCacheFactoryBean">  
  141.   <property name="cacheName" value="userCache" />  
  142.   <property name="cacheManager" ref="cacheManager" />  
  143.  </bean>  
  144.    
  145.  <bean id="cacheManager"  
  146.   class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" />  
  147.   
  148.   
  149.  <!-- spring security自帶的與權限有關的數據讀寫Jdbc模板 -->  
  150.  <bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate">  
  151.   <property name="dataSource" ref="dataSource" />  
  152.  </bean>  
  153.   
  154. </beans>  

第三種方法擴展后Spring Security3.0.2的驗證和授權方法

    為了敘述的嚴謹性,這里說的是Spring Security3.0.2,而非其他版本,這是因為我只讀過Spring Security3.0.2的代碼,並且在該版本上面擴展自定義的
動態管理用戶、角色、權限和資源成功。 估計其他版本的驗證和授權方法是差不太多的,因為沒有接觸過,也不敢大膽猜測。

    在擴展后的Spring Security3.0.2中,驗證及授權的過程如下:
    1、當Web服務器啟動時,通過Web.xml中對於Spring Security的配置,加載過濾器鏈,那么在加載MyFilterSecurityInterceptor類時,會注入 MyInvocationSecurityMetadataSourceService、MyUserDetailsService、 MyAccessDecisionManager類。

    2、該MyInvocationSecurityMetadataSourceService類在執行時會提取數據庫中所有的用戶權限,形成權限列表;
並循環該權限列表,通過每個權限再從數據庫中提取出該權限所對應的資源列表,並將資源(URL)作為key,權限列表作為value,形成Map結構的數據。

    3、當用戶登錄時,AuthenticationManager進行響應,通過用戶輸入的用戶名和密碼,然后再根據用戶定義的密碼算法和鹽值等進行計算並和數據庫比對,
當正確時通過驗證。此時MyUserDetailsService進行響應,根據用戶名從數據庫中提取該用戶的權限列表,組合成UserDetails供Spring Security使用。

    4、當用戶點擊某個功能時,觸發MyAccessDecisionManager類,該類通過decide方法對用戶的資源訪問進行攔截。
用戶點擊某個功能時,實際上是請求某個URL或Action, 無論.jsp也好,.action或.do也好,在請求時無一例外的表現為URL。
還記得第2步時那個Map結構的數據嗎? 若用戶點擊了"login.action"這個URL之后,那么這個URL就跟那個Map結構的數據中的key對比,若兩者相同,
則根據該url提取出Map結構的數據中的value來,這說明:若要請求這個URL,必須具有跟這個URL相對應的權限值。這個權限有可能是一個單獨的權限,
也有可能是一個權限列表,也就是說,一個URL有可能被多種權限訪問。

    那好,我們在MyAccessDecisionManager類的decide這個方法里,將通過URL取得的權限列表進行循環,然后跟第 3步中登錄的用戶所具有的權限進行比對,若相同,則表明該用戶具有訪問該資源的權利。 不大明白吧?  簡單地說, 在數據庫中我們定義了訪問“LOGIN”這個URL必須是具有ROLE_ADMIN權限的人來訪問,那么,登錄用戶恰恰具有該ROLE_ADMIN權限, 兩者的比對過程中,就能夠返回TRUE,可以允許該用戶進行訪問。就這么簡單!

    不過在第2步的時候,一定要注意,MyInvocationSecurityMetadataSoruceService類的loadResourceDefine()方法中,形成以URL為key,權限列表為value的Map時,
要注意key和Value的對應性,避免Value的不正確對應形成重復,這樣會導致沒有權限的人也能訪問到不該訪問到的資源。
還有getAttributes()方法,要有 url.indexOf("?")這樣的判斷,要通過判斷對URL特別是Action問號之前的部分進行匹配,防止用戶請求的帶參數的URL與你數據庫中定義的URL不匹配,造成訪問拒絕!

 

第三種方法BTW

    當然,你在設計了7張表之后,那么對於這些之間相互關聯的關系內容及信息內容,就得由你來進行維護了,大約有用戶、角色、權限、資源的增刪 改查,並還需要設置用戶和角色、角色和權限、權限和資源之間的關系。可考慮分為三個菜單進行維護,用戶設置、角色設置、資源設置。 在用戶設置里分別管理用戶、用戶與角色的關系;在角色設置里管理角色、角色與權限的關系; 在資源設置里分別管理權限、權限與資源的關系等。


第四種方法

    第四種方法就是直接修改源碼以達到第三種方法的效果。

    本來准備是直接從源碼修改來的, 但是始終認為修改源碼並非終極解決之道,有違OO的精神本質,再者由於時間關系,只是對代碼進行了研究,但並沒有進行實現或驗證。只待以后時間稍稍寬松時 再做為興趣進行研究,在次不過多的講解。但據我從代碼上來看,一是將從配置文件中獲取用戶及權限的功能修改為從數據庫中提取出來;二是將從配置文件中獲取 權限和資源的對應關系修改為從數據庫中提取;三是修改User增加相關信息等。

    始終還是圍繞着JdbcDaoImpl和DefaultFilterInvocationSecurityMetadataSource還有User這3個類進行修改。
以實現從數據庫提取用戶、角色、權限和資源信息。

    有興趣的就先試試吧,等試好了告訴我一聲哈。

Spring Security的優缺點

    不可否認,Spring Security依賴於Spring的Ioc、AOP等機制,橫切開系統的業務組件,將通用的權限功能注入到業務組件內部,實現了通用功能和業務功能的無 縫整合,但又保證了通用功能和業務功能的實現上的分離,省卻了一部分工作量,這是其存在的最重要意義。

    但又不可否認,Spring Security所具有的缺乏動態資源管理的硬傷(若是能夠提供用戶、角色、權限和資源的數據庫管理,並且提供管理界面那實在是太完美了,可惜這兩樣一樣都不能實現),又令國人用戶愛恨交加。

    該何去何從,就請自己做個選擇吧!

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Spring Security控制權限 RBAC 幾種常見的控制權限模型 Spring Security(17)——基於方法的權限控制 關於Spring Security權限控制 訪問控制權限 springSecurity 基於方法權限控制@RolesAllowed @Serured @PreAuthorize 與 頁面端標簽控制權限 Java中的訪問控制權限 spring-security權限控制詳解 權限維持的幾種方法 基於RBAC的權限控制淺析(結合Spring Security)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM