ITPub博客

首页 > 应用开发 > IT综合 > spring security 问题解决方案

spring security 问题解决方案

原创 IT综合 作者:zenzuguo 时间:2010-01-20 13:04:08 0 删除 编辑

2、http节点的配置

<http auto-config="true" lowercase-comparisons="false" path-type="ant" access-denied-page="/accessDenied.jsp" access-decision-manager-ref="accessDecisionManager">

  1. <intercept-url pattern="/index.jsp*" access="ROLE_ANONYMOUS"/>
  2. <intercept-url pattern="/logout.jsp*" access="ROLE_ANONYMOUS"/>
  3. <intercept-url pattern="/accessDenied.jsp*" access="ROLE_ANONYMOUS"/>
  4. <intercept-url pattern="/**/*.jsp*" access="ADMIN,SYS_MANAGER"/>
  5. <intercept-url pattern="/**/*.htm*" access="ADMIN,SYS_MANAGER"/>
  6. <intercept-url pattern="/**/*.html*" access="ADMIN,SYS_MANAGER"/>
  7. <intercept-url pattern="/**/*.action*" access="ADMIN,SYS_MANAGER"/>
  8. <intercept-url pattern="/**/*.ftl*" access="ADMIN,SYS_MANAGER"/>
  9. <form-login login-page="/index.jsp" always-use-default-target="true" login-processing-url="/j_security_check" authentication-failure-url="/index.jsp?login_error=1" default-target-url="/main.action"/>
  10. <concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false"/>
  11. <logout logout-url="/j_security_logout" logout-success-url="/index.jsp" invalidate-session="true"/>
  12. http>

        
        
        

                
        
        
        
        

        
        
        

说明:

lowercase-comparisons:表示URL比较前先转为小写。
path-type:表示使用Apache Ant的匹配模式。

access-denied-page:访问拒绝时转向的页面。

access-decision-manager-ref:指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。

login-page:指定登录页面。
login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为:/j_spring_security_check。
authentication-failure-url:指定了身份验证失败时跳转到的页面。
default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。

logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。
logout-success-url:退出系统后转向的URL。
invalidate-session:指定在退出系统时是否要销毁Session。

max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。

exception-if-maximum-exceeded: 默认为false,此值表示:用户第二次登录时,前一次的登录信息都被清空。
当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。

3、自定义访问决策管理器的配置

  1. "accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
  2. "allowIfAllAbstainDecisions" value="false"/><!-- 设定是否允许 “没人反对就通过” 的投票策略 -->
  3. "decisionVoters"><!-- 投票者 -->
  4. class="org.springframework.security.vote.RoleVoter">
  5. "rolePrefix" value=""/><!-- 投票者支持的权限前缀,默认是“ROLE_” -->

     <!-- 设定是否允许 “没人反对就通过” 的投票策略 -->
     <!-- 投票者 -->
          
               
                    <!-- 投票者支持的权限前缀,默认是“ROLE_” -->
               
           
     

说明:

Acegi提供三种投票通过策略的实现:
1、AffirmativeBased(至少一个投票者同意方可通过)
2、ConsensusBased(多数投票者同意方可通过)
3、UnanimousBased(所有投票者同意方可通过)

4、DAO身份验证提供者的配置

"userDao"/>
[@more@]

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/106285/viewspace-1030750/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2012-12-30

  • 博文量
    84
  • 访问量
    828861