【JavaWeb】Spring+SpringMVC+MyBatis+SpringSecurity+EhCache+JCaptcha 完整Web基礎框架（四）

SpringSecurity（1）

---

其實啊，這部分我是最不想寫的，因為最麻煩的也是這部分，真的是非常非常的麻煩。關於SpringSecurity的配置，讓我折騰了好半天，網上的配置方式一大把，但總有一些功能不完全，版本不是最新等等的問題在，所以幾乎沒有一個教程，是可以整個貫通的。當然我的意思不是說那些不好，那些也不錯，但就對於我來說，還不夠全面。另外，SpringSecurity的替代品是shiro，據說，兩者的區別在於，前者涵蓋的范圍更廣，但前者也相對學習成本更高。又因為SpringSecurity是Spring家族的成員之一，所以在Spring框架下應用的話，可以做到非常高度的自定義，算是非常靈活的安全框架，就是配置起來，真心復雜。

 

SpringSecurity的配置文件

---

目錄：resource/config/spring，文件名：applicationContext-security.xml

<?xml version="1.0" encoding="UTF-8" ?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:sec="http://www.springframework.org/schema/security"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
          http://www.springframework.org/schema/beans/spring-beans-4.1.xsd
          http://www.springframework.org/schema/aop
          http://www.springframework.org/schema/aop/spring-aop.xsd
          http://www.springframework.org/schema/security
          http://www.springframework.org/schema/security/spring-security.xsd">

    <!--過濾資源 start-->
    <!--不進行攔截的靜態資源-->
    <sec:http pattern="/css/*" security="none"/>
    <sec:http pattern="/images/*" security="none"/>
    <sec:http pattern="/images/**" security="none"/>
    <sec:http pattern="/js/*" security="none"/>
    <sec:http pattern="/fonts/*" security="none"/>
    <!--不進行攔截的頁面-->
    <sec:http pattern="/WEB-INF/views/index.jsp" security="none"/>
    <!--<sec:http pattern="WEB-INF/views/login.jsp" security="none"/>-->
    <!--過濾資源 end-->

    <!--權限配置及自定義登錄界面 start-->
    <sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager">
        <sec:form-login
                login-page="/user/login"
                login-processing-url="/login.do"
                authentication-success-handler-ref="loginController"
                authentication-failure-handler-ref="loginController"/>
        <!--登出-->
        <sec:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/"/>
        <!--session管理及單點登錄-->
        <sec:session-management session-authentication-strategy-ref="concurrentSessionControlStrategy"/>
        <!--資源攔截器配置-->
        <sec:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
        <sec:custom-filter ref="concurrencyFilter" position="CONCURRENT_SESSION_FILTER"/>
    </sec:http>

    <!--自定義驗證結果控制器-->
    <bean id="loginController" class="com.magic.rent.controller.LoginAuthenticationController">
        <property name="successURL" value="/user/home"/>
        <property name="failURL" value="/user/login"/>
        <property name="attrName" value="loginResult"/>
        <property name="byForward" value="false"/>
        <property name="userInfo" value="userInfo"/>
    </bean>

    <sec:authentication-manager alias="myAuthenticationManager">
        <sec:authentication-provider ref="daoAuthenticationProvider"/>
    </sec:authentication-manager>


    <!--權限查詢服務-->
    <bean id="cachingUserDetailsService"
          class="org.springframework.security.config.authentication.CachingUserDetailsService">
        <constructor-arg name="delegate" ref="webUserDetailsService"/>
        <property name="userCache">
            <bean class="org.springframework.security.core.userdetails.cache.EhCacheBasedUserCache">
                <property name="cache" ref="userEhCacheFactory"/>
            </bean>
        </property>
    </bean>

    <bean id="daoAuthenticationProvider"
          class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
        <property name="messageSource" ref="messageSource"/>
        <property name="passwordEncoder" ref="messageDigestPasswordEncoder"/>
        <property name="userDetailsService" ref="cachingUserDetailsService"/>
        <property name="saltSource" ref="saltSource"/>
        <property name="hideUserNotFoundExceptions" value="false"/>
    </bean>

    <!--MD5加密鹽值-->
    <bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource">
        <property name="userPropertyToUse" value="username"/>
    </bean>

    <!--決策管理器 start-->
    <bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
        <constructor-arg name="decisionVoters">
            <list>
                <ref bean="roleVoter"/>
                <ref bean="authenticatedVoter"/>
            </list>
        </constructor-arg>
        <property name="messageSource" ref="messageSource"/>
    </bean>
    <bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
        <property name="rolePrefix" value="ROLE_"/>
    </bean>
    <bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter"/>
    <!--決策管理器 end-->

    <!--資源攔截器 start-->
    <bean id="filterSecurityInterceptor"
          class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
        <property name="accessDecisionManager" ref="accessDecisionManager"/>
        <property name="authenticationManager" ref="myAuthenticationManager"/>
        <property name="securityMetadataSource" ref="resourceSecurityMetadataSource"/>
    </bean>

    <!--方法攔截器 start-->
    <bean id="methodSecurityInterceptor"
          class="org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor">
        <property name="accessDecisionManager" ref="accessDecisionManager"/>
        <property name="authenticationManager" ref="myAuthenticationManager"/>
        <property name="securityMetadataSource" ref="methodSecurityMetadataSource"/>
    </bean>
    <aop:config>
        <aop:advisor advice-ref="methodSecurityInterceptor" pointcut="execution(* com.magic.rent.service.*.*(..))"
                     order="1"/>
    </aop:config>
    <!--方法攔截器 end-->

    <!--session管理器 start-->
    <bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
        <constructor-arg name="sessionRegistry" ref="sessionRegistry"/>
        <constructor-arg name="expiredUrl" value="/user/timeout"/>
    </bean>

    <bean id="concurrentSessionControlStrategy"
          class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">
        <constructor-arg name="sessionRegistry" ref="sessionRegistry"/>
        <property name="maximumSessions" value="1"/>
    </bean>

    <bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl"/>
    <!--session管理器 end-->
</beans>

來吧，簡單的，從頭到尾的解釋一下。

首先呢，最先看到的應該是過濾資源的配置：

    <!--過濾資源 start-->
    <!--不進行攔截的靜態資源-->
    <sec:http pattern="/css/*" security="none"/>
    <sec:http pattern="/images/*" security="none"/>
    <sec:http pattern="/images/**" security="none"/>
    <sec:http pattern="/js/*" security="none"/>
    <sec:http pattern="/fonts/*" security="none"/>
    <!--不進行攔截的頁面-->
    <sec:http pattern="/WEB-INF/views/index.jsp" security="none"/>
    <!--過濾資源 end-->

這些pattern意味着這些資源，不進行安全過濾，即在訪問這些資源的時候，不需要進行Security的權限驗證，舉一個例子：在以“webapp”為根目錄的情況下，css文件夾下的任何文件被訪問將不進行安全驗證，即任何用戶都可以毫無顧忌的直接訪問這些資源。

　　接下來的配置，相當重要，是整個框架的核心部分，如果不理解這部分，將無法好好使用這個框架。

 <!--權限配置及自定義登錄界面 start-->
    <sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager">
        <sec:form-login
                login-page="/user/login"
                login-processing-url="/login.do"
                authentication-success-handler-ref="loginController"
                authentication-failure-handler-ref="loginController"/>
        <!--登出-->
        <sec:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/"/>
        <!--session管理及單點登錄-->
        <sec:session-management session-authentication-strategy-ref="concurrentSessionControlStrategy"/>
        <!--資源攔截器配置-->
        <sec:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
        <sec:custom-filter ref="concurrencyFilter" position="CONCURRENT_SESSION_FILTER"/>
    </sec:http>

　　首先可以看到，“access-decision-manager-ref”是自定義框架的決策管理器^（1），這個決策管理器是比如，當一個資源，被配置給3個不同的權限可以訪問的時候，你可以決定，是只要擁有三個中的一個權限，就能訪問資源，還是至少擁有2個權限，還是必須滿足三個權限都擁有的情況下，才能訪問資源。這就是決策管理器，就是制定放行規則。所以我們緊接着就要配置它了，這個決策管理器的配置，是這樣的：

 

<!--決策管理器 start-->
    <bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
        <constructor-arg name="decisionVoters">
            <list>
                <ref bean="roleVoter"/>
                <ref bean="authenticatedVoter"/>
            </list>
        </constructor-arg>
        <property name="messageSource" ref="messageSource"/>
    </bean>
    <bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
        <property name="rolePrefix" value="ROLE_"/>
    </bean>
    <bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter"/>
    <!--決策管理器 end-->

 

　　值得一提的是，bean:roleVoter中，有一個屬性是”rolePrefix“，這個是用於設置角色前綴的。什么是角色前綴呢？先要解釋什么是角色。SpringSecurity這個框架，默認的規則是以角色來判斷是否有訪問權限的，當然這並不符合我們的實際情況，我們使用的時候，更喜歡的是把角色更細化一層，比如，一個角色，具有多個“權限”，然后根據“權限”來判斷是否有訪問資源的資格。如果有資格，則訪問，沒資格，則返回403無權訪問錯誤頁面（當然默認的403有點丑，大部分情況我們都會對404、500、403這些常見的錯誤頁面來去替換成我們自己編寫的頁面，這個回頭再說。）。而角色權限，就是說，當系統讀取到的一個字符串，判斷它是否為一個用於表示角色的字符串，就是根據這個前綴來判斷的，如果有心得朋友，可以查看“RoleVoter”這個類，可以發現，其實系統對rolePrefix設置了一個默認值，就是“ROLE_”，而我們在這里配置，只是我為了說明這個問題，當然我們可以通過配置Bean來修改這個前綴，不過我個人覺得這個“ROLE_”挺好的，就采用原有的了。那這邊設置了前綴，就意味着，我們以后將角色存在數據庫當中的時候，就必須給我們的角色定義這個前綴，比如我在數據庫中存一個角色為管理員：ROLE_ADMIN。如果我們沒有以約定好的前綴來定義角色，系統就會不識別，然后直接報無權限訪問。這個也可以在RoleVoter這個類中的“supports”方法中得到查證。順便說一下，框架會先調用這個supports方法，來校驗是否是符合角色前綴的定義規則，如果不符合，根本都不進入后面的對比階段，直接返回false，然后就被判定為無權訪問了。可能就有朋友會想知道從哪里看出，先執行supports這個方法的，我在測試的時候，Debug了整個流程，但是現在已經不記得了，如果有想弄清楚的朋友，可以自行Debug，反正IDEA的Debug有記錄整個執行過程，所以只需要在這個supports方法上打一個斷點，然后查看上一個步驟就能找到調用的地方。

　　接着我們繼續往下配置文件的下面看，

 

 <sec:form-login
                login-page="/user/login"
                login-processing-url="/login.do"
                authentication-success-handler-ref="loginController"
                authentication-failure-handler-ref="loginController"/>

 

　　這里呢，定義了前台頁面中，登錄表單的一些規則，

1. login-page：這個參數，配置的是登錄頁面的訪問地址，因為我們是使用了SpringMVC，所以我自定義了一個Controller用於訪問登錄頁面，而地址就是“/user/login”:
   其實就是很簡單的指向了login.jsp這個頁面，也沒有做什么其他的處理。
2. login-processing-url：這個參數呢，是當你在jsp或者html頁面中，設計登錄的表單<form>標簽時，其中action元素的地址，就是你配置的這個參數，比如：
   
   
3. authentication-success-handler-ref:這個參數，是定義一個當登錄驗證成功時要執行操作的控制器。
4. authentication-failure-handler-ref：這個參數，是定一個，當登錄驗證失敗時，要執行操作的控制器。
   這兩個參數，所對應的控制器，我為了簡略，就把它們合並成為一個，這個控制器怎么寫呢？實際很簡單，登錄驗證成功的控制器呢，就是一個普通的java類，去實現AuthenticationSuccessHandler這個接口的方法“onAuthenticationSuccess”，而登錄驗證失敗呢，就是實現AuthenticationFailureHandler的接口“anAuthenticationFailure”。

　　我的實現類：

 

package com.magic.rent.controller;

import com.magic.rent.pojo.SysUsers;
import com.magic.rent.service.IUserService;
import com.magic.rent.util.HttpUtil;
import com.magic.rent.util.JsonResult;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.MessageSource;
import org.springframework.context.support.MessageSourceAccessor;
import org.springframework.dao.DataAccessException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.DefaultRedirectStrategy;
import org.springframework.security.web.RedirectStrategy;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.transaction.annotation.Propagation;
import org.springframework.transaction.annotation.Transactional;
import org.springframework.util.StringUtils;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Date;
import java.util.Locale;

public class LoginAuthenticationController implements AuthenticationSuccessHandler, AuthenticationFailureHandler, InitializingBean {

    @Autowired
    private IUserService iUserService;

    private String successURL;

    private String failURL;

    private boolean byForward = false;

    private String AttrName;

    private String userInfo;

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    private static Logger logger = LoggerFactory.getLogger(LoginAuthenticationController.class);

    public void setSuccessURL(String successURL) {
        this.successURL = successURL;
    }

    public void setFailURL(String failURL) {
        this.failURL = failURL;
    }

    public void setByForward(boolean byForward) {
        this.byForward = byForward;
    }

    public void setAttrName(String attrName) {
        AttrName = attrName;
    }

    public void setUserInfo(String userInfo) {
        this.userInfo = userInfo;
    }

    @Transactional(readOnly = false, propagation = Propagation.REQUIRED, rollbackFor = {Exception.class})
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        SysUsers users;
        JsonResult jsonResult;
        try {
            users = (SysUsers) authentication.getPrincipal();
            Date date = new Date();
            users.setLastLogin(date);
            users.setLoginIp(HttpUtil.getIP(request));
            try {
                iUserService.updateUserLoginInfo(users);
            } catch (DataAccessException e) {
                logger.error("登錄異常:保存登錄數據失敗!", e);
            }
        } catch (Exception e) {
            jsonResult = JsonResult.error("用戶登錄信息保存失敗!");
            logger.error("登錄異常:用戶登錄信息保存失敗!", e);
            request.getSession().setAttribute(AttrName, jsonResult);
            return;
        }
        jsonResult = JsonResult.success("登錄驗證成功!", users);
        request.getSession().setAttribute(userInfo, jsonResult);
        httpReturn(request, response, true);
    }

    @Transactional(readOnly = false, propagation = Propagation.REQUIRED, rollbackFor = {Exception.class})
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        JsonResult jsonResult;
        logger.info("登錄失敗:請求IP地址[{}];失敗原因:{};", HttpUtil.getIP(request), exception.getMessage());
        jsonResult = JsonResult.error(exception.getMessage());
        request.getSession().setAttribute(AttrName, jsonResult);
        httpReturn(request, response, false);
    }

    public void afterPropertiesSet() throws Exception {
        if (StringUtils.isEmpty(successURL))
            throw new ExceptionInInitializerError("成功后跳轉的地址未設置!");
        if (StringUtils.isEmpty(failURL))
            throw new ExceptionInInitializerError("失敗后跳轉的地址未設置!");
        if (StringUtils.isEmpty(AttrName))
            throw new ExceptionInInitializerError("Attr的Key值未設置!");
    }

    private void httpReturn(HttpServletRequest request, HttpServletResponse response, boolean success) throws IOException, ServletException {
        if (success) {
            if (this.byForward) {
                logger.info("登錄成功:Forwarding to [{}]", successURL);
                request.getRequestDispatcher(this.successURL).forward(request, response);
            } else {
                logger.info("登錄成功:Redirecting to [{}]", successURL);
                this.redirectStrategy.sendRedirect(request, response, this.successURL);
            }
        } else {
            if (this.byForward) {
                logger.info("登錄失敗:Forwarding to [{}]", failURL);
                request.getRequestDispatcher(this.failURL).forward(request, response);
            } else {
                logger.info("登錄失敗:Redirecting to [{}]", failURL);
                this.redirectStrategy.sendRedirect(request, response, this.failURL);
            }
        }

    }
}

 

　　估計還是需要簡單解釋一下，因為這個類我最終也是在Spring中裝配的，所以一些字段我也就沒有定義，只是做了get和set方法，等待配置。為了防止漏了這些字段的配置，所以我把這個類又另外實現了InitializingBean接口的afterPropertiesSet方法，這個方法可以在Spring框架啟動，生產Bean對象對其屬性進行裝配的時候執行，然后我在這個方法中，對所有需要配置的屬性，進行了非空驗證。其實這個類的作用很簡單，就是登陸成功后，保存登陸信息，然后跳轉到登陸后的界面。對了，不能忘了這個LoginAuthenticationController的配置文件了：

 <!--自定義驗證結果控制器-->
    <bean id="loginController"class="com.magic.rent.controller.LoginAuthenticationController">
        <property name="successURL" value="/user/home"/>
        <property name="failURL" value="/user/login"/>
        <property name="attrName" value="loginResult"/>
        <property name="byForward" value="false"/>
        <property name="userInfo" value="userInfo"/>
    </bean>

　　這配置應該算淺顯易懂把，因為使用SpringMVC，所以每個地址其實都是SpringMVC的映射地址。

　　哦讀了！上面那個類，有一個對象，就是JsonResult，這是我用於傳輸到前端的一個包裝工具。

package com.magic.rent.util;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.io.Serializable;

/**
 * Created by wuxinzhe on 16/9/20.
 */
public class JsonResult implements Serializable {

    private static final long serialVersionUID = 8134245754393400511L;

    private boolean status = true;
    private String message;
    private Object data;
    private static Logger logger = LoggerFactory.getLogger(JsonResult.class);

    public JsonResult() {
    }

    public JsonResult(Object data) {
        this.data = data;
    }

    public boolean getStatus() {
        return status;
    }

    public JsonResult setStatus(boolean status) {
        this.status = status;
        return this;
    }

    public String getMessage() {
        return message;
    }

    public JsonResult setMessage(String message) {
        this.message = message;
        return this;
    }

    public Object getData() {
        return data;
    }

    public JsonResult setData(Object data) {
        this.data = data;
        return this;
    }

    public static JsonResult success() {
        return new JsonResult().setStatus(true);
    }

    public static JsonResult success(Object data) {
        JsonResult jsonResult = success().setData(data);
        logger.info(jsonResult.toString());
        return jsonResult;
    }

    public static JsonResult success(String message, Object data) {
        JsonResult jsonResult = success().setData(data).setMessage(message);
        logger.info(jsonResult.toString());
        return jsonResult;
    }

    public static JsonResult error() {
        return new JsonResult().setStatus(false);
    }

    public static JsonResult error(String message) {
        JsonResult jsonResult = error().setMessage(message);
        logger.info(jsonResult.toString());
        return jsonResult;
    }

    @Override
    public String toString() {
        return "JsonResult{" +
                "status=" + status +
                ", message='" + message + '\'' +
                ", data=" + data +
                '}';
    }
}

這個類還是跟朋友借鑒的呢，之前我也沒有做過這種，不過這個說實話，真的很有用。