我已经对这个问题进行了大量的谷歌搜索,到目前为止,我找不到任何关于集成 Struts2 和 Spring Security 的教程。
我的问题是如何集成 Spring Security 和 Struts2?
在我希望限制某些操作或页面的地方,例如管理页面/url 只能由管理员访问,如果用户尝试访问该页面,他或她将被重定向到另一个页面。
问问题
12583 次
2 回答
7
假设您需要保护/admin/*路径上可访问的内容。您需要在您的 中声明 Spring Security 过滤器web.xml,Struts 过滤器应该紧随其后,这样如果您正在访问/admin它将首先处理请求的 Spring Security 将能够让它通过或阻止它,具体取决于用户:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/admin/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
</filter>
<filter-mapping>
<filter-name>struts2</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
然后,您声明您的 spring 安全上下文:
<http>
<intercept-url pattern="/*" filters="none" />
<intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
<intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
<form-login login-page="/login" />
<logout logout-url="/logout" />
</http>
我建议您使用该struts2-convention插件,以便将类似/login的 URL 自动绑定到名为 let's say 的类com.foo.bar.actions.LoginAction。相同的LogoutAction
现在下面的内容/admin/*应该由 Spring Security 保护,其余的应该直接转发到 Struts2 过滤器。
最后,在您的 JSP 中,您可以检查某人是否是管理员:
<sec:authorize access="hasRole('ROLE_ADMIN')">
<p>you are an admin</p>
</sec:authorize>
其余的可以在任何 Spring Security 教程中找到。真正重要的是过滤器声明的顺序,spring security 必须是第一位的。
编辑:在谷歌上搜索,也有这个链接可以帮助你。
于 2013-01-15T09:02:30.633 回答
5
这实际上非常简单 - Spring Security 与 Web 框架无关 :)
您需要定义 Spring Security 过滤器链 - 这是一个应该映射到所有请求的 Java 过滤器。过滤器将检查路径是否需要任何特权,如果需要,则检查用户是否已登录并拥有这些特权。
简单的设置示例。
web.xml (插入到现有的,与 struts 配置一起):
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath:META-INF/spring/applicationContext-security.xml
</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Spring 安全配置(在 web.xml 中 contextConfigLocation 参数中提到的文件中):
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.1.xsd">
<http pattern="/js/**" security="none" />
<http pattern="/css/**" security="none" />
<http pattern="/images/**" security="none" />
<http auto-config="false" use-expressions="true">
<http-basic/>
<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
<session-management session-fixation-protection="newSession" />
</http>
</beans:beans>
您可以根据需要扩展它 - Spring 的文档写得很好
您可以进行更简单的自动配置:
<http auto-config='true'>
<intercept-url pattern="/**" access="ROLE_USER" />
</http>
以上选项可根据请求路径保护您的网络应用程序。您可能还想保护这些操作。添加以下内容将使您继续前进:
<global-method-security secured-annotations="enabled" pre-post-annotations="enabled" proxy-target-class = "true" />
让我知道您需要哪些功能,我可以为您指明方向。请记住,命名空间配置不是灵丹妙药 - 如果您需要一个非常自定义的解决方案,您可能需要自己配置所有 Spring bean,但文档很好地解释了这一点。
于 2013-01-15T09:10:59.750 回答