詹勁松，劉吳文，梁融凌

(福建師范大學福清分校數(shù)學與計算機系，福建福清 350300)

利用SPRING SECURITY 3.0構建SPRING+STRUTS+HIBERNATE應用安全性的一種方法

詹勁松，劉吳文，梁融凌

(福建師范大學福清分校數(shù)學與計算機系，福建福清 350300)

介紹了Spring Security3.0的認證和權限控制以及Spring+Struts+Hibernate框架，并介紹了利用Spring Security3.0構建Spring+Struts+Hibernate應用安全性的一種方法.對直接使用Spring JDBC的方法進行了比較.

Spring Security 3.0;認證;權限控制;Spring+Struts+Hiberante

安全性是J2EE企業(yè)應用的一個重要方面，是一個要從開發(fā)項目初期就應該考慮的重要因素.認證和權限控制是應用層安全性的兩個主要領域.事實上，Spring security是基于Spring的企業(yè)應用安全性的標準.

1 Spring Security 3.0

Spring Security為基于spring的企業(yè)級應用提供全面的安全性服務.認證和權限控制也是Spring Security要處理的兩個主要領域［1］.

在認證層面上，Spring Security支持廣泛的認證模型.這些認證模型或者由第三方提供，或者由相關的標準團體開發(fā)，Spring Security也提供了自己的一組認證設施.Spring security 3.0的認證由 AuthenticationManager完成，AuthenticationManager調用 AuthenticationProvider進行認證.AuthenticatctionProvider可依賴注入UserDetailsService.

不管認證如何進行，Spring Security提供了一組深入的權限控制服務.它主要面向三個領域:web請求的權限控制，方法調用的權限控制和單個對象實例訪問的權限控制［1］.Spring Security 3.0權限控制由AbstractSecurityIntercpetor承擔，AbstractSecurityInterceptor調用 AccessDecisionManager完成權限控制的最終決定.在通常情況下，AcessDecisionManager輪詢一系列的AcessDecisionVoter以做出授權決定.AbstractSecutityInterceptor調用 AcessDecisionManager在對象調用之前進行權限控制，而AfterInvocationManager可以進行調用后處理，每個AfterInvocationManager的實現(xiàn)可以修改返回的對象，或者拋出一個AcessDeniedException讓訪問無效.

Spring Security的web設施完全基于標準的Servlet過濾器，處理 HttpServletRequest和 HttpServletResponse.Spring Security內部保持一個過濾器鏈，每個過濾器都有獨特的作用，根據(jù)服務的需要，在配置中增加、移除過濾器.正是這些過濾器調用相應的對象，實現(xiàn)了Spring Security的認證和權限控制［2］.在使用Spring Security的web應用中，關鍵的過濾器有FilterSecurityInterceptor、ExceptionTranslationFilter、SecurityContextPersistenceFilter和 UsernamePasswordAuthenticationFilter等.前三個過濾器總是出現(xiàn)在Spring Security Web應用配置中，不能用其他過濾器替代.

2 Spring+Struts+Hiberante框架

目前Spring+Struts+Hiberante框架在企業(yè)中廣泛應用.我們采用分層的架構，分為Action層、Service層和Dao層.用Spring3.0對這些層對象進行管理，采用面向接口的編程方式.向Action中依賴注入Service對象，向Service中依賴注入Dao對象.用 Hibernate3.2實現(xiàn)數(shù)據(jù)持久化.MVC采用Struts2.1.8.

3 Spring Security 3.0 構建 Spring+Struts+Hibernate應用的安全性

對于一般的J2EE應用，如果數(shù)據(jù)持久化采用數(shù)據(jù)庫，Spring Security使用Spring JDBC來獲得認證信息.Spring Security提供一個JdbcDaoImpl類來實現(xiàn)UserDetailsService接口.如果采用這種方法，那么必須在數(shù)據(jù)庫中創(chuàng)建users和authorities這兩個Spring Security專用的表.使用這種方法的優(yōu)點是它簡單直接.

對于Spring+Struts+Hibernate的應用，可以采用以上方法.但是因為本來就使用 ORM框架，所以自定義類實現(xiàn)UserDetailsService接口，充分利用Hibernate框架提供的服務，然后將自定義類對象依賴注入AuthenticationProvider，最終供AuthenticationManager調用.這樣做的另一個好處是不需要建立Spring Security專用的表，數(shù)據(jù)是一個整體，更容易保持數(shù)據(jù)的一致性.

相關代碼如下:

上述代碼中Manager類和Role類之間是多對多映射，關鍵在于不能使用懶加載.

在上述代碼中我們利用Hiberante提供的服務查詢一個用戶名，獲得該用戶的所有授權，將授權裝入GrantedAuthority對象，最后組裝成一個User返回.這樣，通過自定義類實現(xiàn)了UserDetailsService接口.

我們用Spring Security 3.0對頁面訪問進行權限控制，同時對Service層的delelte和deleteById方法調用實行權限控制.相關代碼如下:

結果:只有通過認證才能訪問頁面，并且只有用具有ROLE_ADMIN權限的經(jīng)理才可以刪除客戶信息.

4 討論

使用Hibernate懶加載并設置spring的OpenSessionIn-ViewFilter，會造成數(shù)據(jù)庫一直保持連接，最后被JVM強行關閉.故不能使用Hibernate的懶加載.

5 結束語

利用Spring Security 3.0建立 Spring+Struts+Hibernate應用的安全性，自定義類實現(xiàn)UserDetailsService接口，利用Spring Security 3.0的認證機制，并對web請求和方法調用實行權限控制.我們實現(xiàn)了Spring+Struts+Hibernate框架和Spring Security 3.0連接的一種方法.

［1］ Alex B，Taylor L.Spring security reference documentation，3.0.7 RELEASE［EB/OL］.http://static.springsource.org/spring － security/site/docs/3.0.x/reference/springsecurity.html，2011.

［2］Walls C，Breidenbach R.Spring in Action中文版(第二版)［M］.畢慶紅，譯.北京:人民郵電出版社，2008.

TP311

A

1008－4681(2012)02－0050－02

2012－01－21

福建省教育廳B類科技項目(批準號:JB11263).

詹勁松(1967－)，男，福建三明人，福建師范大學福清分校數(shù)學與計算機系講師，碩士.研究方向:信息安全、操作系統(tǒng).

(責任編校:晴川)