java Spring Security 总结二 5

   四将资源放在数据库中

    现在，你的用户提出了新的需求，它们需要自己可以给系统用户分配或者取消权限。其实这个并不是什么新鲜事，作为开发者，你也应该为用户提供这样的功能。那么我们就需要这些受保护的资源和用户权限等信息都是动态的，你可以选择把它们存放在数据库中或者LDAP服务器上，本文以数据库为例，介绍如何实现用户权限的动态控制。

    通过前面的介绍，你可能也注意到了，不管是MethodSecurityInterceptor还是FilterSecurityInterceptor 都使用authenticationManager和accessDecisionManager属性用于验证用户，并且都是通过使用 objectDefinitionSource属性来定义受保护的资源。不同的是过滤器安全拦截器将URL资源与权限关联，而方法安全拦截器将业务方法与权限关联。

    你猜对了，我们要做的就是自定义这个objectDefinitionSource的实现，首先让我们来认识一下系统为我们提供的 ObjectDefinitionSource接口，objectDefinitionSource属性正是指向此接口的实现类。该接口中定义了3个方法，ConfigAttributeDefinition getAttributes（Object object）方法用户获取保护资源对应的权限信息，该方法返回一个ConfigAttributeDefinition对象（位于 org.springframework.security包下），通过源代码我们可以知道，该对象中实际就只有一个List列表，我们可以通过使用 ConfigAttributeDefinition类的构造函数来创建这个List列表，这样，安全拦截器就通过调用 getAttributes（Object object）方法来获取ConfigAttributeDefinition对象，并将该对象和当前用户拥有的Authentication对象传递给 accessDecisionManager（访问决策管理器，请查看org.springframework.security.vote包下的 AffirmativeBased类，该类是访问决策管理器的一个实现类，它通过一组投票者来决定用户是否有访问当前请求资源的权限），访问决策管理器在将其传递给AffirmativeBased类维护的投票者，这些投票者从ConfigAttributeDefinition对象中获取这个存放了访问保护资源需要的权限信息的列表，然后遍历这个列表并与Authentication对象中GrantedAuthority[]数据中的用户权限信息进行匹配，如果匹配成功，投票者就会投赞成票，否则就投反对票，最后访问决策管理器来统计这些投票决定用户是否能访问该资源。是不是又觉得乱了，还是那句话，如果你结合源代码你现在一定更明白了。

    说了这么些，那我们到底应该如何来实现这个ObjectDefinitionSource接口呢？

    首先还是说说Acegi Seucrity 1.x版本，org.acegisecurity.intercept.web和org.acegisecurity.intercept.method 包下AbstractFilterInvocationDefinitionSource和 AbstractMethodDefinitionSource两个抽象类，这两个类分别实现了 FilterInvocationDefinitionSource和MethodDefinitionSource接口，而这两个接口都继承自 ObjectDefinitionSource接口并实现了其中的方法。两个抽象类都使用方法模板模式来实现，将具体的实现方法交给了子类。

    提示：两个抽象类实现了各自接口的 getAttributes（Object object）方法并在此方法中调用lookupAttributes（Method method）方法，而实际该方法在抽象类中并没有具体的实现，而是留给了子类去实现。

    在Acegi Seucrity 1.x版本中，系统为我们提供了默认的实现，MethodDefinitionMap类用于返回方法的权限信息，而 PathBasedFilterInvocationDefinitionMap类和 RegExpBasedFilterInvocationDefinitionMap类用于返回URL资源对应的权限信息，也就是 ConfigAttributeDefinition对象，现在也许明白一点儿了吧，我们只要按照这三个类的实现方式（也就是“模仿”，从后面的代码中你可以看到）从数据库中获取用户信息和权限信息然后封装成一个ConfigAttributeDefinition对象返回即可（其实就是一个List列表，前面已经介绍过了），相信通过Hibernate从数据库中获取一个列表应该是再容易不过的了。

    回到Spring Security，系统为我们提供的默认实现有些变化，DefaultFilterInvocationDefinitionSource和 DelegatingMethodDefinitionSource两个类，从名字也可以看出来它们分别是干什么的了。这两个类分别实现了 FilterInvocationDefinitionSource和MethodDefinitionSource接口，而这两个接口都继承自 ObjectDefinitionSource接口并实现了其中的方法，这和1.x版本中一样。它们都是从配置文件中得到资源和相应权限的信息。

    通过上面的介绍，你或许更名白了一些，那我们下面要做的就是实现系统的FilterInvocationDefinitionSource和MethodDefinitionSource接口，只是数据源不是从配置文件中读取配置信息是数据库而已。

    我们这里对比着Acegi Seucrity 1.x版本中的实现，我个人认为它更好理解，还是请你好好看看源代码。