Sealyu

在認(rèn)識Spring Security之前，所有的權(quán)限驗證邏輯都混雜在業(yè)務(wù)邏輯中，用戶的每個操作以前可能都需要對用戶是否有進(jìn)行該項操作的權(quán)限進(jìn)行判斷，來達(dá)到認(rèn)證授權(quán)的 目的。類似這樣的權(quán)限驗證邏輯代碼被分散在系統(tǒng)的許多地方，難以維護(hù)。AOP（Aspect Oriented Programming）和Spring Security為我們的應(yīng)用程序很好的解決了此類問題，正如系統(tǒng)日志，事務(wù)管理等這些系統(tǒng)級的服務(wù)一樣，我們應(yīng)該將它作為系統(tǒng)一個單獨的“切面”進(jìn)行管 理，以達(dá)到業(yè)務(wù)邏輯與系統(tǒng)級的服務(wù)真正分離的目的，Spring Security將系統(tǒng)的安全邏輯從業(yè)務(wù)中分離出來。

    本文代碼運行環(huán)境：

    JDK6.0

    spring-framework-2.5.4

    spring-security-2.0.0

    JavaEE5

    Web容器：

    Apache Tomcat6.0

    IDE工具：

    Eclipse3.3+MyEclipse6.5

    操作系統(tǒng)：

    Linux（Fedora 8）

    這只是我個人的學(xué)習(xí)總結(jié)而已，還請高手們指出本文的不足之處。

    一  Spring Security 簡介

    這里提到的Spring Security也就是被大家廣為熟悉的Acegi Security，2007年底Acegi Security正式成為Spring Portfolio項目，并更名為Spring Security.Spring Security是一個能夠為基于Spring的企業(yè)應(yīng)用系統(tǒng)提供描述性安全訪 問控制解決方案的安全框架。它提供了一組可以在Spring應(yīng)用上下文中配置的Bean，充分利用了Spring IoC（依賴注入，也稱控制反轉(zhuǎn)）和AOP（面向切面編程）功能，為應(yīng)用系統(tǒng)提供聲明式的安全訪問控制功能，減少了為企業(yè)系統(tǒng)安全控制編寫大量重復(fù)代碼的 工作。

    通過在許多項目中實踐應(yīng)用以及社區(qū)的貢獻(xiàn)，如今的Spring Security已經(jīng)成為Spring Framework下最成熟的安全系統(tǒng)，它為我們提供了強(qiáng)大而靈活的企業(yè)級安全服務(wù)，如：

    Ø         認(rèn)證授權(quán)機(jī)制

    Ø          Web資源訪問控制

    Ø         業(yè)務(wù)方法調(diào)用訪問控制

    Ø         領(lǐng)域?qū)ο笤L問控制Access Control List（ACL）

    Ø         單點登錄（Central Authentication Service）

    Ø         X509認(rèn)證

    Ø         信道安全（Channel Security）管理等功能

    當(dāng)保護(hù)Web資源時，Spring Security使用Servlet 過濾器來攔截Http請求進(jìn)行身份驗證并強(qiáng)制安全性，以確保WEB資源被安全的訪問。如下圖是Spring Security的主要組件圖（摘自《Spring in Action》）：

    圖1 Spring Security的基本組件

    無論是保護(hù)WEB資源還是保護(hù)業(yè)務(wù)方法或者領(lǐng)域?qū)ο?，Spring Security都的通過上圖中的組件來完成的。本文主要闡述如何使用Spring Security對WEB應(yīng)用程序的資源進(jìn)行安全訪問控制，并通過一個簡單的實例來對Spring Security提供的各種過濾器的功能和配置方法進(jìn)行描述。

二  保護(hù)Web資源

    Spring Security提供了很多的過濾器，它們攔截Servlet請求，并將這些請求轉(zhuǎn)交給認(rèn)證處理過濾器和訪問決策過濾器進(jìn)行處理，并強(qiáng)制安全性，認(rèn)證用戶 身份和用戶權(quán)限以達(dá)到保護(hù)Web資源的目的。對于Web資源我們大約可以只用6個過濾器來保護(hù)我們的應(yīng)用系統(tǒng)，下表列出了這些安全過濾器的名稱作用以及它 們在系統(tǒng)中的執(zhí)行順序：

過 濾 器	作              用
通道處理過濾器	確保請求是在安全通道（HTTP和HTTPS）之上傳輸?shù)?/span>
認(rèn)證處理過濾器	接受認(rèn)證請求，并將它們轉(zhuǎn)交給認(rèn)證管理器進(jìn)行身份驗證
CAS處理過濾器	接受CAS服務(wù)票據(jù)，驗證Yale CAS（單點登錄）是否已經(jīng)對用戶進(jìn)行了認(rèn)證
HTTP基本授權(quán)過濾器	處理使用HTTP基本認(rèn)證的身份驗證請求
集成過濾器	處理認(rèn)證信息在請求間的存儲（比如在HTTP會話中）
安全強(qiáng)制過濾器	確保用戶己經(jīng)認(rèn)證，并且滿足訪問一個受保護(hù)Web資源的權(quán)限需求

    接下來，通過一個實例來說明它們的具體使用方法和如何在Spring中進(jìn)行配置。

    1  建立Spring Security項目

    首先在MyEclipse中創(chuàng)建一個Web Project，并使用MyEclipse工具導(dǎo)入Spring項目的依賴JAR包，并生成默認(rèn)的，這里暫時不會用到這個文件，本文只是通過一個簡單的實 例來說明如何配置使用Spring Security，不會涉及到數(shù)據(jù)庫，而是使用一個用戶屬性（users.properties）文件來保存用戶信息（包括用戶名，密碼及相應(yīng)的權(quán)限）， 但在實際的項目中，我們很少會這樣做，而是應(yīng)該把用戶信息存在數(shù)據(jù)庫中，下一篇文章中將會詳細(xì)介紹并用到這個文件來配置Hibernate，這里我們保留 它。

    現(xiàn)在還需要為項目導(dǎo)入Spring Security的JAR包，它沒有包括在Spring Framework中，你可以從http://www.springframework.org/download/下載， 并將spring-security-core-2.0.0.jar（這是核心代碼庫）和spring-security-core-tiger- 2.0.0.jar（和annotation有關(guān)的，比如使用注解對方法進(jìn)行安全訪問控制，在下一篇中會用到）拷貝到項目的lib目錄下，其中也包括兩個 實例（tutorial和contacts），并且兩個實例中都包括了如何使用Spring 2.0的命名空間來配置Spring Security，無論你對Spring 2.0命名空間的使用是否了解，它將使我們的配置文件大大縮短，簡化開發(fā)，提高生產(chǎn)效率。到此，我們的Spring Security項目就建好了，項目目錄結(jié)構(gòu)如下圖所示：

    圖2 項目目錄結(jié)構(gòu)

    2 配置web.xml

    Spring Security使用一組過濾器鏈來對用戶進(jìn)行身份驗證和授權(quán)。首先，在web.xml文件中添加FilterToBeanProxy過濾器配置：

    org.springframework.security.util.FilterToBeanProxy實現(xiàn)了Filter接口，它通過調(diào)用 WebapplicationContextUtils類的getWebApplicationnContext（servletContext）方法來 獲取Spring的應(yīng)用上下文句柄，并通過getBean（beanName）方法來獲取Spring受管Bean的對象，即這里targetClass 參數(shù)配置的Bean，并通過調(diào)用FilterChain Proxy的init（）方法來啟動Spring Security過濾器鏈進(jìn)行各種身份驗證和授權(quán)服務(wù)（FilterChainProxy類也是實現(xiàn)了Filter接口），從而將過濾功能委托給 Spring的FilterChainProxy受管Bean（它維護(hù)著一個處理驗證和授權(quán)的過濾器列表，列表中的過濾器按照一定的順序執(zhí)行并完成認(rèn)證過 程），這樣即簡化了web.xml文件的配置，又能充分利用 Spring的IoC功能來完成這些過濾器執(zhí)行所需要的其它資源的注入。

    當(dāng)用戶發(fā)出請求，過濾器需要根據(jù)web.xml配置的請求映射地址來攔截用戶請求，這時Spring Security開始工作，它會驗證你的身份以及當(dāng)前請求的資源是否與你擁有的權(quán)限相符，從而達(dá)到保護(hù)Web資源的功能，下面是本例所要過濾的用戶請求地址：

提示： /j_spring_security_check是Spring Security默認(rèn)的進(jìn)行表單驗證的過濾地址，你也可以修改為別的名稱，但是需要和 applicationContext-security.xml中相對應(yīng)，當(dāng)然還會涉及到其它一些默認(rèn)值（可能是一個成員變量，也可能是別的請 求地址），在下文我們將看到，建議你在閱讀此文的同時，應(yīng)該參照Spring Security項目的源代碼，便于你更好的理解。

3 配置applicationContext-security.xml

    3.1 FilterChainProxy過濾器鏈

    FilterChainProxy會按順序來調(diào)用一組filter，使這些filter即能完成驗證授權(quán)的本質(zhì)工作，又能享用Spring Ioc的功能來方便的得到其它依賴的資源。FilterChainProxy配置如下：

    CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 定義URL在匹配之前必須先轉(zhuǎn)為小寫，PATTERN_TYPE_APACHE_ANT 定義了使用Apache ant的匹配模式，/**定義的將等號后面的過濾器應(yīng)用在那些URL上，這里使用全部URL過濾，每個過濾器之間都適用逗號分隔，它們按照一定的順序排 列。

 

提示： 特別需要注意的是，即使你配置了系統(tǒng)提供的所有過濾器，這個過濾器鏈會很長，但是千萬不要使用換行，否則它們不會正常工作， 容器甚至不能正常啟動。

    下面根據(jù)FilterChainProxy的配置來介紹各個過濾器的配置，各個過濾器的執(zhí)行順序如以上配置。

    首先是通道處理過濾器，如果你需要使用HTTPS，這里我們就使用HTTP進(jìn)行傳輸，所以不需要配置通道處理過濾器，然后是集成過濾器，配置如下：

    httpSessionContextIntegrationFilter是集成過濾器的一個實現(xiàn)，在用戶的一個請求過程中，用戶的認(rèn)證信息通過 SecurityContextHolder（使用ThreadLoacl實現(xiàn)）進(jìn)行傳遞的，所有的過濾器都是通過 SecurityContextHolder來獲取用戶的認(rèn)證信息，從而在一次請求中所有過濾器都能共享Authentication（認(rèn)證），減少了 HttpRequest參數(shù)的傳送，下面的代碼是從安全上下文的獲取Authentication對象的方法：

    但是，ThreadLoacl不能跨越多個請求存在，所以，集成過濾器在請求開始時從Http會話中取出用戶認(rèn)證信息并創(chuàng)建一個 SecurityContextHolder將Authentication對象保存在其中，在請求結(jié)束之后，在從 SecurityContextHolder中獲取Authentication對象并將其放回Http會話中，共下次請求使用，從而達(dá)到了跨越多個請求 的目的。集成過濾器還有其它的實現(xiàn)，可以參考相關(guān)文檔。

提示： 集成過濾器必須在其它過濾器之前被使用。

    logoutFilter（退出過濾器） ，退出登錄操作：

a LogoutFilter的構(gòu)造函數(shù)需要兩個參數(shù)，第一個是退出系統(tǒng)后系統(tǒng)跳轉(zhuǎn)到的URL，第二個是一個LogoutHandler類型的數(shù)組，這 個數(shù)組里的對象都實現(xiàn)了LogoutHandler接口，并實現(xiàn)了它的logout方法，用戶在發(fā)送退出請求后，會一次執(zhí)行LogoutHandler數(shù) 組的對象并調(diào)用它們的 logout方法進(jìn)行一些后續(xù)的清理操作，主要是從SecurityContextHolder對象中清楚所有用戶的認(rèn)證信息 （Authentication對象），將用戶的會話對象設(shè)為無效，這些都時由SecurityContextLogoutHandler來完成。 LogoutFilter還會清除Cookie記錄，它由另外一個Bean來完成（RememberMeServices）。

    <ref bean="rememberMeServices"/>標(biāo)記指向了我們另外配置的一個Bean：

    TokenBasedRememberMeServices繼承自系統(tǒng)的AbstractRememberMeServices抽象類（實現(xiàn)了 RememberMeServices和 LogoutHandler兩個接口）， RememberMeServices接口的loginSuccess方法負(fù)責(zé)在用戶成功登錄之后將用戶的認(rèn)證信息存入Cookie中，這個類在后續(xù)的過 濾器執(zhí)行過程中也會被用到。

    另一個userDetailsService屬性也是指向了我們配置的Bean， 它負(fù)責(zé)從數(shù)據(jù)庫中讀取用戶的信息，這個類的詳細(xì)配置將在后面的部分詳細(xì)介紹，這里只是簡單的認(rèn)識一下。

    過濾器鏈的下個配置的過濾器是authenticationProcessingFilter（認(rèn)證過程過濾器），我們使用它來處理表單認(rèn)證，當(dāng)接受到與filterProcessesUrl所定義相同的請求時它開始工作：

    下面列出了認(rèn)證過程過濾器配置中各個屬性的功能：

    1.authenticationManager     認(rèn)證管理器

    2.authenticationFailureUrl 定義登錄失敗時轉(zhuǎn)向的頁面

    3.defaultTargetUrl         定義登錄成功時轉(zhuǎn)向的頁面

    4.filterProcessesUrl        定義登錄請求的地址（在web.xml中配置過）

    5.rememberMeServices        在驗證成功后添加cookie信息

    這里也用到了rememberMeServices，如果用戶認(rèn)證成功，將調(diào)用RememberMeServices的loginSuccess方法將用戶認(rèn)證信息寫入Cookie中，這里也可以看到使用IoC的好處。

    決定用戶是否有權(quán)限訪問受保護(hù)資源的第一步就是要確定用戶的身份，最常用的方式就是用戶提供一個用戶名和密碼以確認(rèn)用戶的身份是否合法，這一步就是由認(rèn)證 過程過濾器調(diào)用authenticationManager（認(rèn)證管理器）來完成的。 org.springframework.security.AuthenticationManager接口定義了一個authenticate方法， 它使用Authentication作為入口參數(shù)（只包含用戶名和密碼），并在驗證成功后返回一個完整的Authentication對象（包含用戶的權(quán) 限信息GrantedAuthority數(shù)組對象），authenticationProcessingFilter（認(rèn)證過程過濾器）會將這個完整的 Authentication對象存入SecurityContext中，如果認(rèn)證失敗會拋出一個AuthenticationException并跳轉(zhuǎn) 到authenticationFailureUrl 定義的URL.認(rèn)證管理其配置如下：

    正如在配置中看到的一樣，系統(tǒng)使用org.springframework.security.providers.ProviderManager（提 供者管理器）類作為認(rèn)證管理器的一個實現(xiàn)，事實上這個類是繼承自實現(xiàn)了AuthenticationManager接口的 AbstractAuthenticationManager類。需要注意的是ProviderManager（提供者管理器）自己并不實現(xiàn)身份驗證，而 是把這項工作交給了多個認(rèn)證提供者（提供者集合）或者說的多個認(rèn)證來源。

提示： Spring Security為我們提供的所有認(rèn)證提供者實現(xiàn)都是org.springframework.security.providers .AuthenticationProvider 接口的實現(xiàn)類，它們都實現(xiàn)了此接口的authenticate方法，如果你正在看源代碼，會發(fā)現(xiàn)這個authenticate方法事實上和Authe nticationManager（認(rèn)證管理器）接口的authenticate方法完全一樣。

    providers屬性定義了提供者管理器的集合，ProviderManager（提供者管理器）逐一遍歷這個認(rèn)證提供者的集合并調(diào)用提供者的 authenticate方法，如果一個提供者認(rèn)證失敗會嘗試另外一個提供者直到某一個認(rèn)證提供者能夠成功的驗證該用戶的身份，以保證獲取不同來源的身份 認(rèn)證。下面表格列出了系統(tǒng)提供的一些認(rèn)證提供者：

提   供   者	作             用
DaoAuthenticationProvider	從數(shù)據(jù)庫中讀取用戶信息驗證身份
AnonymousAuthenticationProvider	匿名用戶身份認(rèn)證
RememberMeAuthenticationProvider	已存cookie中的用戶信息身份認(rèn)證
AuthByAdapterProvider	使用容器的適配器驗證身份
CasAuthenticationProvider	根據(jù)Yale中心認(rèn)證服務(wù)驗證身份, 用于實現(xiàn)單點登陸
JaasAuthenticationProvider	從JASS登陸配置中獲取用戶信息驗證身份
RemoteAuthenticationProvider	根據(jù)遠(yuǎn)程服務(wù)驗證用戶身份
RunAsImplAuthenticationProvider	對身份已被管理器替換的用戶進(jìn)行驗證
X509AuthenticationProvider	從X509認(rèn)證中獲取用戶信息驗證身份
TestingAuthenticationProvider	單元測試時使用

a





  從上面的表中可以看出，系統(tǒng)為我們提供了不同的認(rèn)證提供者，每個認(rèn)證提供者會對自己指定的證明信息進(jìn)行認(rèn)證，如DaoAuthenticationProvider僅對UsernamePasswordAuthenticationToken這個證明信息進(jìn)行認(rèn)證。

    在實際項目中，用戶的身份和權(quán)限信息可能存儲在不同的安全系統(tǒng)中（如數(shù)據(jù)庫，LDAP服務(wù)器，CA中心）。

    作為程序員，我們可以根據(jù)需要選擇不同的AuthenticationProvider（認(rèn)證提供者）來對自己的系統(tǒng)提供認(rèn)證服務(wù)。

    這里我們著重介紹DaoAuthenticationProvider，它從數(shù)據(jù)庫中讀取用戶信息驗證身份，配置如下：

    還記得前面配置的RememberMeServices嗎？它也有一個和DaoAuthenticationProvider同樣的屬性 userDetailsService，這是系統(tǒng)提供的一個接口 （org.springframework.security.userdetails.UserDetailsService），在這里我們把它單獨提 出來進(jìn)行介紹。

    首先我們需要了解Spring Security為我們提供的另外一個重要的組件，org.springframework.security.userdetails .UserDetails接口，它代表一個應(yīng)用系統(tǒng)的用戶，該接口定義與用戶安全信息相關(guān)的方法：

    String getUsername（）：獲取用戶名；

    String getPassword（）：獲取密碼；

    boolean isAccountNonExpired（）：用戶帳號是否過期；

    boolean isAccountNonLocked（）：用戶帳號是否鎖定；

    boolean isCredentialsNonExpired（）：用戶的憑證是否過期；

    boolean isEnabled（）：用戶是否處于激活狀態(tài)。

    當(dāng)以上任何一個判斷用戶狀態(tài)的方法都返回false時，用戶憑證就被視為無效。UserDetails接口還定義了獲取用戶權(quán)限信息的 getAuthorities（）方法，該方法返回一個GrantedAuthority[]數(shù)組對象，GrantedAuthority是用戶權(quán)限信息 對象，這個對象中定義了一個獲取用戶權(quán)限描述信息的getAuthority（）方法。

    UserDetails即可從數(shù)據(jù)庫中返回，也可以從其它如LDAP中返回，這取決與你的系統(tǒng)中使用什么來存儲用戶信息和權(quán)限以及相應(yīng)的認(rèn)證提供者。這里 我們只重點介紹DaoAuthenticationProvider（從數(shù)據(jù)庫中獲取用戶認(rèn)證信息的提供者），本人水平有限，在項目中還沒有機(jī)會用到其它 提供者。說到這里，這個封裝了用戶詳細(xì)信息的UserDetails該從哪兒獲取呢？這就是我們接下來要介紹的UserDetailsService接 口，這個接口中只定義了唯一的UserDetails loadUserByUsername（String username）方法，它通過用戶名來獲取整個UserDetails對象。

    看到這里你可能會有些糊涂，因為前面提到的Authentication對象中也存放了用戶的認(rèn)證信息，需要注意Authentication對象才是 Spring Security使用的進(jìn)行安全訪問控制用戶信息安全對象。實際上，Authentication對象有未認(rèn)證和已認(rèn)證兩種狀態(tài)，在作為參數(shù)傳入認(rèn)證管理 器（AuthenticationManager）的authenticate方法時，是一個未認(rèn)證的對象，它從客戶端獲取用戶的身份信息（如用戶名，密 碼），可以是從一個登錄頁面，也可以從Cookie中獲取，并由系統(tǒng)自動構(gòu)造成一個Authentication對象。而這里提到的 UserDetails代表一個用戶安全信息的源（從數(shù)據(jù)庫，LDAP服務(wù)器，CA 中心返回），Spring Security要做的就是將這個未認(rèn)證的Authentication對象和UserDetails進(jìn)行匹配，成功后將UserDetails中的用戶 權(quán)限信息拷貝到Authentication中組成一個完整的Authentication對象，共其它組件共享。

    這樣，我們就可以在系統(tǒng)中獲取用戶的相關(guān)信息了，需要使用到Authentication對象定義的Object getPrincipal（）方法，這個方法返回一個Object類型的對象，通常可以將它轉(zhuǎn)換為UserDetails，從而可以獲取用戶名，密碼以及 權(quán)限等信息。代碼如下：

    前面介紹了DaoAuthenticationProvider，它可以從數(shù)據(jù)庫中讀取用戶信息，同樣也可以從一個用戶屬性文件中讀取，下一篇文章中我們 在介紹如何從數(shù)據(jù)庫中讀取用戶信息，當(dāng)然還會涉及到更深入的東西，比如根據(jù)自己系統(tǒng)的需要自定義UserDetails和 UserDetailsService，這個只是讓你對整個系統(tǒng)有個簡單的了解，所以我們使用用戶屬性文件（users.properties）來存儲用 戶信息：

    配置userDetailsService：

    InMemoryDaoImpl類是UserDetailsService接口的一個實現(xiàn)，它從屬性文件里讀取用戶信息，Spring Security使用一個屬性編輯器將用戶信息為我們組織成一個 org.springframework.security.userdetails.memory.UserMap類的對象，我們也可以直接為它提供一 個用戶權(quán)限信息的列表，詳見applicationContext-security.xml配置文件。

    UserMap字符串的每一行都用鍵值對的形式表示，前面是用戶名，然后是等號，后面是賦予該用戶的密碼/權(quán)限等信息，它們使用逗號隔開。比如：

    定義了一個名為admin的用戶登錄密碼為admin，該用戶擁有ROLE_SUPERVISOR權(quán)限，再如users.properties文件中配置 的名為user3的用戶登錄密碼為user3，該用戶擁有ROLE_USER權(quán)限，disabled定義該用戶不可用，為被激活（UserDetails 的isEnabled方法）。

即使是系統(tǒng)的開發(fā)者或者說是最終用戶，都不應(yīng)該看到系統(tǒng)中有明文的密碼。所以，Spring Security考慮的還是很周到的，為我們提供的密碼加密的功能。正如你在Dao認(rèn)證提供者（DaoAuthenticationProvider）中 看到的，passwordEncoder屬性配置的就是一個密碼加密程序（密碼編碼器）。這里我們使用MD5加密，可以看配置文件中的scott用戶，你 還能看出他的密碼是什么嗎？當(dāng)然這里只是演示功能，其它用戶還是沒有改變，你可以自己試試。系統(tǒng)為我們提供了一些常用的密碼編碼器（這些編碼器都位于 org.springframework.secu rity.providers.encoding包下）：

    PlaintextPasswordEncoder（默認(rèn)）——不對密碼進(jìn)行編碼，直接返回未經(jīng)改變的密碼；

    Md4PasswordEncoder ——對密碼進(jìn)行消息摘要（MD4）編碼；

    Md5PasswordEncoder ——對密碼進(jìn)行消息摘要（MD5）編碼；

    ShaPasswordEncoder ——對密碼進(jìn)行安全哈希算法（SHA）編碼。

    你可以根據(jù)需要選擇合適的密碼編碼器，你也可以設(shè)置編碼器的種子源（salt source）。一個種子源為編碼提供種子（salt），或者稱編碼的密鑰，這里不再贅述。

    這里附加介紹了不少東西，希望你還沒有忘記在AuthenticationManager（認(rèn)證管理器）中還配置了一個名為 sessionController的Bean，這個Bean可以阻止用戶在進(jìn)行了一次成功登錄以后在進(jìn)行一次成功的登錄。在 applicationContext-security.xml配置文件添加sessionController的配置：

    maximumSessions屬性配置了只允許同一個用戶登錄系統(tǒng)一次，exceptionIfMaximumExceeded屬性配置了在進(jìn)行第二次 登錄是是否讓第一次登錄失效。這里設(shè)置為true不允許第二次登錄。要讓此功能生效，我們還需要在web.xml文件中添加一個監(jiān)聽器，以讓Spring Security能獲取Session的生命周期事件，配置如下：

    HttpSessionEventPublisher類實現(xiàn)javax.servlet.http.HttpSessionListener接口，在 Session被創(chuàng)建的時候通過調(diào)用ApplicationContext的publishEvent（ApplicationEvent event）發(fā)布HttpSessionCreatedEvent類型的事件，HttpSessionCreatedEvent類繼承自 org.springframework.context.ApplicationEvent類的子類 HttpSessionApplicationEvent抽象類。

    concurrentSessionController使用sessionRegistry來完成對發(fā)布的Session的生命周期事件的處 理，org.springframework.security.concurrent.SessionRegistryImpl（實現(xiàn)了 SessionRegistry接口）， SessionRegistryImpl類還實現(xiàn)了Spring Framework 的事件監(jiān)聽org.springframework.context.Application Listener接口，并實現(xiàn)了該接口定義的onApplicationEvent（ApplicationEvent event）方法用于處理Applic ationEvent類型的事件，如果你了解Spring Framework的事件處理，那么這里你應(yīng)該可以很好的理解。

    認(rèn)證管理器到此介紹完畢了，認(rèn)證過程過濾器也介紹完了，接下來我們繼續(xù)介紹過濾器鏈的下一個過濾器securityContextHolderAwareRequestFilter：

    這個過濾器使用裝飾模式（Decorate Model），裝飾的HttpServletRequest對象。其Wapper是ServletRequest包裝類 HttpServletRequestWrapper的子類（如SavedRequestAwareWrapper或 SecurityContextHolderAwareRequestWrapper），附上獲取用戶權(quán)限信息，request參數(shù)，headers 和 cookies 的方法。

    rememberMeProcessingFilter過濾器配置：

    <bean id="rememberMeProcessingFilter"

    class="org.springframework.security.ui.rememberme.RememberMeProcessingFilter"

    p：authenticationManager-ref="authenticationManager"

    p：rememberMeServices-ref="rememberMeServices"/>

    當(dāng)SecurityContextHolder中不存在Authentication用戶授權(quán)信息 時，rememberMeProcessingFilter就會調(diào)用rememberMeServices 的autoLogin（）方法從cookie中獲取用戶信息自動登錄。

    anonymousProcessingFilter過濾器配置：

    如果不存在任何授權(quán)信息時，自動添加匿名用戶身份至SecurityContextHolder中，就是這里配置的userAttribute，系統(tǒng)為用戶分配一個ROLE_ANONYMOUS權(quán)限。

    exceptionTranslationFilter（異常處理過濾器），該過濾器用來處理在系統(tǒng)認(rèn)證授權(quán)過程中拋出的異常，主要是處理 AccessDeniedException和AuthenticationException兩個異常并根據(jù)配置跳轉(zhuǎn)到不同URL：

accessDeniedHandler用于處理AccessDeniedException異常，當(dāng)用戶沒有權(quán)限訪問當(dāng)前請求的資源時拋出此異常，并跳轉(zhuǎn)自這里配置的/accessDenied.jsp頁面。

    authenticationEntryPoint（認(rèn)證入口點），這里定義了用戶登錄的頁面。系統(tǒng)為我們提供了3個認(rèn)證入口點的實現(xiàn)：

認(rèn) 證 入 口 點	作           用
BasicProcessingFilterEntryPoint	通過向瀏覽器發(fā)送一個HTTP 401(未授權(quán))消息，由瀏覽器彈出登錄對話框，提示用戶登錄
AuthenticationProcessingFilterEntryPoint	將用戶重定向到一個基于HTML表單的登錄頁面
CasProcessingFilterEntryPoint	將用戶重定向至一個Yale CAS登錄頁面

    這里我們使用AuthenticationProcessingFilterEntryPoint認(rèn)證入口點，提供給用戶一個友好的登錄界面，只是為了給用戶更好的體驗。

    filterSecurityInterceptor（過濾器安全攔截器），該過濾器首先調(diào)用認(rèn)證管理器來判斷用戶是否已被成功驗證，如果沒有被驗證則重 定向到登錄界面。否則，從Authentication獲取用戶的權(quán)限信息，然后從objectDefinitionSource中獲取URL所對應(yīng)的權(quán) 限，最后調(diào)用accessDecisionManager（訪問決策管理器）來判斷用戶當(dāng)前擁有的權(quán)限是否與當(dāng)前受保護(hù)的URL資源對應(yīng)的權(quán)限匹配，如果 匹配就可以訪問該URL資源，否則將拋出AccessDeniedException異常并返回客戶端瀏覽器一個403錯誤（如果用戶定義了 accessDenied頁面則會被重定向到該頁，見：異常處理過濾器exceptionTranslationFilter中配置的 accessDeniedHandler Bean），訪問決策管理的的工作機(jī)制將在隨后更詳細(xì)介紹，這里先給出過濾器安全攔截器的配置如下：

    從配置可以看出來，過濾器安全攔截器用到了我們前面配置的認(rèn)證管理器，過濾器安全攔截器使用authenticationManager并調(diào)用它的 providers（提供者列表）來對用戶的身份進(jìn)行驗證并獲取用戶擁有的權(quán)限。如果用戶被成功認(rèn)證，過濾器安全攔截器將會使用 accessDecisionManager（訪問決策管理器）來判斷已認(rèn)證的用戶是否有權(quán)限訪問受保護(hù)的資源，這些受保護(hù)的資源由 objectDefinitionSource屬性定義。

    訪問決策管理器（accessDecisionManager）：

身份驗證只是Spring Security安全機(jī)制的第一步，訪問決策管理器驗證用戶是否有權(quán)限訪問相應(yīng)的資源（filterSecurityInterceptor中objectDefinitionSource屬性定義的訪問URL需要的屬性信息）。

    org.springframework.security.AccessDecisionManager接口定義了用于驗證用戶是否有權(quán)限訪問受保護(hù)資 源的decide方法，另一個supports方法根據(jù)受保護(hù)資源的配置屬性（即訪問這些資源所需的權(quán)限）來判斷該訪問決策管理器是否能做出針對該資源的 訪問決策。decide方法最終決定用戶有無訪問權(quán)限，如果沒有則拋出AccessDeniedException異常（面前也提到過，你應(yīng)該在回過頭去 看看）。

    與認(rèn)證管理器類似，訪問決策管理器也不是由自己來實現(xiàn)訪問控制的，而是通過一組投票者來投票決定（通過調(diào)用投票者的vote方法），訪問決策管理器統(tǒng)計投票結(jié)果并最終完成決策工作。下表列出了系統(tǒng)提供的3個訪問決策管理器的實現(xiàn)：

訪問決策管理器	如 何 決 策
AffirmativeBased	當(dāng)至少有一個投票者投允許訪問票時允許訪問
ConsensusBased	當(dāng)所有投票者都投允許訪問票時允許訪問
UnanimousBased	當(dāng)沒有投票者投拒絕訪問票時允許訪問

    decisionVoters屬性為訪問決策管理器定義了一組進(jìn)行投票工作的投票者，那么這些投票者是如何進(jìn)行投票的呢？這就需要提 org.springframework.security.vote.AccessDecisionVoter接口，所有的投票者都實現(xiàn)了這個接口并實 現(xiàn)了其中的vote方法。該接口中還定義了3個int類型的常量：

    int ACCESS_GRANTED = 1；（投贊成票）

    int ACCESS_ABSTAIN = 0；（投棄權(quán)票）

    int ACCESS_DENIED = -1； （投反對票）

    每個決策投票者都返回這3個常量中一個，這取決與用戶是否有權(quán)限訪問當(dāng)前請求的資源，訪問決策管理器再對這些投票結(jié)果進(jìn)行統(tǒng)計。認(rèn)證投票者的配置如上面所示。

    loggerListener是一個可選項，它和我們前面配置的Bean或者過濾器沒有關(guān)系，只是監(jiān)聽系統(tǒng)的一些事件（實現(xiàn)了 ApplicationListener監(jiān)聽接口），被它監(jiān)聽的事件包括AuthenticationCredentialsNotFoundEvent 事件，AuthorizationFailureEvent事件，AuthorizedEvent事件，PublicInvocationEvent事 件，相信你從他們的名字就能看出來是一些什么樣的事件，除非你的e文比我還差勁。loggerListener配置如下：

    到此，本例所涉及到的所有配置都介紹完了，在下一篇中會介紹方法安全攔截器，以及如何使用它來保護(hù)我們的方法調(diào)用，以及前面提到過的會在下一篇中介紹的，這里不在一一列出。

    接下來就是JSP頁面了，首先是login.jsp：

    如果你有看源代碼，上面的某些參數(shù)，以及本文所有提及的東西你都不應(yīng)該感到陌生。其它頁面也不在列出了，還有就是如何讓它運行起來，這些我相信你都能自己搞定。

    附件1：linux/springsecurity.rar">springsecurity.rar（不包括JAR包）

    補上使用命名空間配置實現(xiàn)的代碼，命名空間的詳細(xì)資料請參考Spring Security中文參考文檔，翻譯得很好，這里就不在累述了，配置文件中也有比較詳細(xì)的注釋。另外例子中還包括了自定義 UserDetailService的實現(xiàn)已經(jīng)如何Ehcache緩存用戶信息，詳細(xì)的信息將在下一篇中講述。

    附件2：linux/springsecurity-namespace.rar">springsecurity-namespace.rar（包括部分JAR包）