spring_security_2权限安全管理

《spring_security_2权限安全管理》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、SpringSecurity2安全管理方式一、该系统的安全管理方式是结合SpringSecurity2.0实现的。二、系统需要实现的安全管理方式有：1.登录时需要验证用户名和密码2.登录时需要加上验证码3.所有的数据展示及访问页面需要登录后才能访问4.登录后的所有系统的访问URL均需要授权5.多个用户不能使用同一个账号同时登陆系统6.当用户点击注销后要实现浏览器的后退按钮后退的页面失效权限设计是采用基于角色控制的方式，用户需要访问系统的资源，首先必须要授予一个角色，而该角色具有访问系统资源的权限的能力，也可以认

2、为是权限的集合。因此，一个用户要访问系统的某个资源（如产品列表），则首先要授予一个能够访问产品列表资源的角色（如productAdmin）。只要任一个用户拥有了该角色，即可以访问该资源。系统的安全涉及到两个不同的概念，认证和授权。前者是验证用户是否可以进入该系统。用户进入系统的时候，首先要进行第一个操作就是进行身份认证，即Authentication。在系统中一般表现为用户用账号跟密码登录。如果都正确了，则可以登录系统。【说明】在现实中你可以这样理解，员工在进入公司之前，需要进行身份的确认。身份确认通过后，则可

3、以进入公司。进入公司后，并不代表可以随便进入公司的每个办公室。这时就需要看当前员工具有哪些角色，即授权。授权则是关于确认用户是否允许执行一个特定的操作。如当前员工是总经理，则可以进入总经理办公室，并且可以进入普通员工的办公区域。是因为总经理已经授权可以出入这些地方。在本系统中，权限表现为功能菜单及系统访问的URL。因而用户、角色、权限、功能菜单之间的关系可以用如下的图描述constructionqualityacceptanceandassessmentRegulation(ProfessionalEditio

4、n)(DL/T5210.2-2009~DL/T5210.8-2009);1.9thequalitycheckoutandevaluationofelectricequipmentinstallationengineeringcode(DL/T5161.1-2002~5161.17-2002);1.10thenormsofconstructionsupervision,theelectricpowerconstructionsupervisionregulations一个用户可以有多个角色，每个角色有多个菜单，每

5、个菜单有多个功能，每个功能会对应多个系统访问的URL资源。基于以上思想，数据库中的表设计：app_user系统用户表，放置系统的所有用户。user_role用户角色中间表，用户所拥有的角色。app_role角色表，放置系统的所有角色role_menu角色对应的菜单表，放置角色拥有的菜单menu菜单表，放置系统的所有菜单项app_function系统的功能表，放置系统菜单对应的所有功能fun_url系统的功能对应的权限URL表role_fun角色对应的功能表【说明】用户表app_user中的密码需要保存为密文，可

6、以防止用户的密码泄露constructionqualityacceptanceandassessmentRegulation(ProfessionalEdition)(DL/T5210.2-2009~DL/T5210.8-2009);1.9thequalitycheckoutandevaluationofelectricequipmentinstallationengineeringcode(DL/T5161.1-2002~5161.17-2002);1.10thenormsofconstructionsupe

7、rvision,theelectricpowerconstructionsupervisionregulations三、整合SpringSecurity1、为了在系统中使用SpringSecurity控制权限，首先要在web.xml中配置过滤器，SpringSecurity是由一组的filter来进行统一的过滤，不同的filter进行相应的权限过滤功能。不过在Security跟Spring集成的过程中，其是由一个代理的类进行这些filter的统一管理。在web.xml中的配置如下：

8、-name>springSecurityFilterChainorg.springframework.web.filter.DelegatingFilterProxyspringSecurityFilterChain