Spring Security学习笔记
????? 看了一个星期的Spring Security源码,应该说对控制URL级别的访问控制的认识是有80,90%了,这里把自己的一些记录给贴出来,分享是一方面,保存也是一方面。好了不说了,看下面具体分析了:
URL资源控制访问处理流程:
第一步:用户登录的时候根据用户名从数据库中查出用户所具有的GrantedAuthority[]信息,将它复制给Authentication对象(Authentication中有一个GrantedAuthority[]的属性),权限信息都封装成了GrantedAuthorityImpl的对象。
?
?
?
?
?第二步:从数据库中查出资源与权限的对应信息,以map的形式保存,比如像这样:
?
Creates aConfigAttributeDefinition containing a single attribute
??????????? setValue(new ConfigAttributeDefinition(StringUtils.commaDelimitedListToStringArray(s)));
?
?
Authenticationauthenticated=authenticateIfRequired(),对于认证对象的获得这里就不再复述了文档中已经分析了。
现在Authentication和ConfigAttributeDefinition都已经准备好了,就可以进行决定是否可以访问了,这叫个AccessDecisionManager进行处理。
?
?
不错 不错,顶 9 楼 天下智能 2011-01-27 最近做项目也用到了Spring Security,好好学习一下,自己一个人做! 10 楼 zjut_ww 2011-03-03 kongruxi 写道写得不错
之前的一个很小的项目里面用到spring security
如果LZ早写这文章就可以减少点我用在学习spring security的时间了,呵呵
因为我这个小项目权限那块用的是User<-->Role<-->Authority,所以spring security实际上只会关心User拥有什么Authority,反而没有Role这个概念,这样理解应该没错吧?
不知spring security是不是认为大多数系统只会用到User<-->Role这样的结构,所以权限的控制判断默认是ROLE_XXX这样,个人觉得看起来很怪
其实spring security中的role就是你口中的authority。完全可以符合你的三层的权限控制结构