学步园

<?xml version="1.0" encoding="UTF-8"?><br /> <web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"<br /> xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"<br /> xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee<br /> http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"><br /> <welcome-file-list><br /> <welcome-file>index.jsp</welcome-file><br /> </welcome-file-list></p> <p> <context-param><br /> <param-name>contextConfigLocation</param-name><br /> <param-value><br /> classpath:config/application*.xml<br /> </param-value><br /> </context-param></p> <p> <context-param><br /> <param-name>log4jConfigLocation</param-name><br /> <param-value>classpath:config/log4j.properties</param-value><br /> </context-param></p> <p> <context-param><br /> <param-name>webAppRootKey</param-name><br /> <param-value>arch.root</param-value><br /> </context-param></p> <p> <listener><br /> <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class><br /> </listener></p> <p> <listener><br /> <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class><br /> </listener></p> <p> <!--<br /> - Publishes events for session creation and destruction through the application<br /> - context. Optional unless concurrent session control is being used.<br /> --><br /> <listener><br /> <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class><br /> </listener></p> <p> <filter><br /> <filter-name>springSecurityFilterChain</filter-name><br /> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><br /> </filter></p> <p> <filter-mapping><br /> <filter-name>springSecurityFilterChain</filter-name><br /> <url-pattern>/*</url-pattern><br /> <dispatcher>FORWARD</dispatcher><br /> <dispatcher>REQUEST</dispatcher><br /> </filter-mapping></p> <p> <filter><br /> <filter-name>struts</filter-name><br /> <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class><br /> </filter></p> <p> <filter-mapping><br /> <filter-name>struts</filter-name><br /> <url-pattern>/*</url-pattern><br /> </filter-mapping></p> <p></web-app></p> <p>application-sccurity.xml</p> <p><beans:beans xmlns="http://www.springframework.org/schema/security"<br /> xmlns:beans="http://www.springframework.org/schema/beans"<br /> xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"<br /> xsi:schemaLocation="http://www.springframework.org/schema/beans</p> <p>http://www.springframework.org/schema/beans/spring-beans-3.0.xsd</p> <p>http://www.springframework.org/schema/security</p> <p> http://www.springframework.org/schema/security/spring-security-3.0.xsd"></p> <p> <!--<br /> Web/HTTP安全 - 最复杂的部分。设置过滤器和相关的服务bean来应用框架验证机制， 保护URL，渲染登录和错误页面还有更多。<br /> 业务类（方法）安全 - 可选的安全服务层。<br /> AuthenticationManager - 通过框架的其它部分，处理认证请求。<br /> AccessDecisionManager - 提供访问的决定，适用于web以及方法的安全。一个默认的主体会被注册，但是你也可以选择自定义一个，使用正常的spring bean语法进行声明。<br /> AuthenticationProviders - 验证管理器验证用户的机制。 该命名空间提供几种标准选项，意味着使用传统语法添加自定义bean。<br /> UserDetailsService - 密切相关的认证供应器，但往往也需要由其他bean需要。<br /> --></p> <p> <!-- URL保护 web安全服务配置<br /> auto-config="true" 意味着一此服务已经自动添加进来了，如：表单登录和"remember-me"服务 相当于以下配置<br /> <http><br /> <form-login /><br /> <http-basic /><br /> <logout /><br /> </http><br /> use-expressions="true" 表示在计算角色时使用表达式 此时 直接写ROLE_USER 是不支持的</p> <p> auto-config="true" 包含的过滤器如下：<br /> 1 org.springframework.security.context.HttpSessionContextIntegrationFilter<br /> 位于过滤器链顶端 作用：(1) 判断session是否存在SecurityContext 如果有取出存放在SecurityContextHolder 中<br /> 如果没有就创建一个共Spring security 后面使用<br /> (2) 执行完毕后， 清空SecurytContextHolder 中的内容,SecurytContext 采用ThreadLocal 的形式存放在SecurityContextHolder 中<br /> 2 org.springframework.security.ui.logout.LogoutFilter<br /> 处理 /j_spring_security_logout 注销请求 清空session和SecurityContextHolder 结合 RememberMe 清空Cookie<br /> 3 org.springframework.security.ui.webapp.AuthenticationProcessingFilter<br /> 处理登录请求 /j_spring_security_check 登录表单提交请求 验证用户有的合法性<br /> 4 org.springframework.security.ui.webapp.DefaultLoginPageGeneratingFilter<br /> 处理/spring_security_login请求，生成一个默认的登录界面<br /> 5 org.springframework.security.ui.basicauth.BasicProcessingFilter<br /> 进行 HttpBasic 认证<br /> 6 org.springframework.security.wrapper.SecurityContextHolderAwareRequestFilter<br /> 包装客户端请求<br /> 7 org.springframework.security.ui.rememberme.RememberMeProcessingFilter<br /> 提供Cookie 功能<br /> 8 org.springframework.security.providers.anonymous.AnonymousProcessingFilter<br /> 匿名访问的处理 分配匿名访问用户的权限<br /> 9 org.springframework.security.ui.ExceptionTranslationFilter<br /> 捕获FilterSecurityInterceptor抛出的异常，Error画面定向<br /> 10 SessionFixationProtectionFilter<br /> 防止session固化攻击<br /> 11 org.springframework.security.intercept.web.FilterSecurityInterceptor<br /> 是所有过滤器的控制中心<br /> 1 用户尚未登录 抛出 AuthenticationCredentialsNotFoundException 尚未认证<br /> 2 用户已经登录，但没有访问权限 抛出 AccessDeniedException 拒绝访问<br /> 3 如果已登录，有权限放行<br /> --><br /> <http auto-config="true"><br /> <intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/><br /> <intercept-url pattern="/admin/**" access="ROLE_ADMIN" /><br /> <intercept-url pattern="/**" access="ROLE_USER" /><br /> <!--<br /> <form-login login-page='/login.jsp' login-processing-url="/login" authentication-failure-url="/error.jsp"<br /> default-target-url='/common/common.jsp'<br /> always-use-default-target='true' /><br /> --><br /> <!--<br /> 自定义登录页面<br /> <intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/><br /> <intercept-url pattern="/**" access="ROLE_USER" /><br /> <form-login login-page='/login.jsp'/></p> <p> 也可以覆盖auto-config=true的配置<br /> <http auto-config='true'><br /> <intercept-url pattern="/css/**" filters="none"/><br /> <intercept-url pattern="/login.jsp*" filters="none"/><br /> <intercept-url pattern="/**" access="ROLE_USER" /><br /> <form-login login-page='/login.jsp'/><br /> </http></p> <p> <remember-me /><br /> <session-management invalid-session-url="/timeout.jsp"><br /> <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" /><br /> </session-management><br /> --><br /> </http></p> <p> <!-- 用户认证管理 用户信息也可能通过user-service 的properties 属性 --><br /> <authentication-manager><br /> <authentication-provider><br /> <!-- <jdbc-user-service data-source-ref="dataSource"/> 使用数据库认证 --><br /> <user-service><br /> <user name="jimi" password="jimi" authorities="ROLE_USER,ROLE_ADMIN"/><br /> <user name="bob" password="bob" authorities="ROLE_USER"/><br /> </user-service><br /> </authentication-provider><br /> </authentication-manager><br /> </beans:beans></p> <p>