【正文】 public int[][] queryEducationalClassId()public ListEducationalArrangement listCourses() 基礎(chǔ)數(shù)據(jù)維護(hù)系統(tǒng)：（補(bǔ)充中）北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 27 頁 共 48 頁5. Spring Security 設(shè)計 Spring Security 的介紹Spring 安全是一個功能強(qiáng)大和高度可自定義的身份驗證和訪問控制框架。它是在事實上標(biāo)準(zhǔn)確保基于 Spring 的應(yīng)用程序Spring 安全是最成熟和廣泛使用的 Spring 項目之一。成立 2022 年和積極維護(hù)的 Spring Source ,它用于安全的許多苛刻的環(huán)境，包括政府機(jī)構(gòu)、 軍事應(yīng)用程序和中央銀行。它是根據(jù)一個 Apache 許可證釋放，以便可以放心地使用它在本考勤系統(tǒng)項目中。Spring 安全也很容易了解、部署和管理。本系統(tǒng)專注于的安全命名空間提供了允許的 XML 只用幾行中的完整的應(yīng)用程序安全的最常見操作的指令。Spring Security 對 Web Security 的支持大量地依賴于 Servlet 過濾器。這些過濾器攔截進(jìn)入請求，并且在應(yīng)用程序處理該請求之前進(jìn)行某些安全處理。 Spring Security 提供有若干個過濾器，它們能夠攔截 Servlet 請求，并將這些請求轉(zhuǎn)給認(rèn)證和訪問決策管理器處理，從而增強(qiáng) Security。Spring Security 的特點：（1）高可移植性；作為 spring 的一個開源工具，具有同 spring 相同的可移植性；（2）可配置性；這點在下面的例子中可看到；（3）具有豐富靈活的驗證模型,下面是列舉的幾個認(rèn)證技術(shù)：1　HTTP BASIC authentication headers (一個基于 IEFT RFC 的標(biāo)準(zhǔn)) 2　LDAP (一個非常常見的跨平臺認(rèn)證需要做法，特別是在大環(huán)境)3　JASIG Central Authentication Service (也被稱為 CAS，這是一個流行的開源單點登錄系統(tǒng)) 4　Java Authentication and Authorization Service (JAAS) 5　Formbased authentication (提供簡單用戶接口的需求)6　Spring Security 是一個開放的平臺，可以編寫自己的驗證機(jī)制。 Spring Security 的驗證與授權(quán)介紹首先本系統(tǒng)必須要分清驗證與授權(quán)之間的區(qū)別,這樣才能使本系統(tǒng)更好的理解他們在 Spring Security 中所代表的含義。顧名思義,看上去他們的區(qū)別很明顯,但是對于本系統(tǒng)來說,重要的是理解他們之間的關(guān)聯(lián)關(guān)系。從字面上看，兩者中文的區(qū)別一目了然，但是在英文中這兩個單詞是非常容易混淆的。驗證：通常當(dāng)某個角色要識別某個個體或者某段進(jìn)程（請求）的身份時，都要對他們所提供的身份信息進(jìn)行鑒定，這個鑒定過程可以稱之為驗證。授權(quán)：系統(tǒng)賦予某個個體在一定范圍內(nèi)從事某些行動的權(quán)利，這個過程可以稱之為授權(quán)。北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 28 頁 共 48 頁 驗證與授權(quán)的特點驗證是通過檢查身份信息來確定某個個體的過程，驗證是決定某個個體行為規(guī)范的行為。簡單來說，驗證是確定你是誰？授權(quán)則是允許你做什么。舉例來說，有些時候你需要出示駕照來說明你的身份，這就是一種驗證的表現(xiàn)形式。而在很多時候，你的駕照做為一種證明你身份的手段來使你通過驗證以及獲得各種授權(quán)。Spring Security 驗證與授權(quán)的特點分別為： 驗證的特點1. 支持多種驗證方式2. 支持多種加密格式3. 支持組件的擴(kuò)展和替換4. 可以本地化輸出信息 授權(quán)的特點 1. 支持多種仲裁方式2. 支持組件的擴(kuò)展和替換3. 支持對頁面訪問、方法訪問、對象訪問的授權(quán) Spring Security 核心安全實現(xiàn)如下圖是 Spring Security 的主要組件圖（圖61）：圖 61 Spring Security 組件圖北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 29 頁 共 48 頁 權(quán)限分配設(shè)計權(quán)限分配概述：系統(tǒng)中對學(xué)生考勤信息管理主要用戶：任課老師、班主任、學(xué)生工作管理人員、學(xué)生、系統(tǒng)管理員，針對五個角色的使用需求，系統(tǒng)提供以下功能與權(quán)限分配：任課老師：登錄、登出、查看課表、進(jìn)入具體教學(xué)班進(jìn)行點名、提交考勤數(shù)據(jù)、上報考勤數(shù)據(jù)、查看考勤提交情況、查看考勤數(shù)據(jù)、和班主任通訊。學(xué)生工作管理人員：登錄、登出、導(dǎo)出教師提交的考勤數(shù)據(jù)、查看全體學(xué)生考勤信息、統(tǒng)計學(xué)生累計曠課信息、修改學(xué)生考勤信息、編輯和發(fā)出處罰公示、設(shè)置學(xué)生免聽。班主任：登錄、登出、查看本班考勤數(shù)據(jù)、和任課老師之間的留言。學(xué)生：登錄、登出、查看自己的考勤數(shù)據(jù)、進(jìn)入請假子系統(tǒng)進(jìn)行請假、申請調(diào)課。系統(tǒng)管理員：登錄、登出、導(dǎo)入教師信息、批量導(dǎo)入學(xué)生信息、批量導(dǎo)入課程信息、對導(dǎo)入的信息進(jìn)行修改。 Spring Security 配置（代碼實現(xiàn)） 配置Java 代碼：filter filternamespringSecurityFilterChain/filtername filterclass/filterclass /filter filtermapping filternamespringSecurityFilterChain/filtername urlpattern/*/urlpattern /filtermapping contextparam paramnamecontextConfigLocation/paramname paramvalueclasspath:/paramvalue /contextparam listener 北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 30 頁 共 48 頁listenerclass /listenerclass /listener Spring 配置文件中設(shè)置命名空間Java 代碼：?xml version= encoding=UTF8? beans:beansxmlns= xmlns:beans= xmlns:xsi= xsi:schemaLocation= /beans:beans 配置最基本的驗證與授權(quán)（applicationContext 配置）Java 代碼： autoconfig=true intercepturl pattern=/** access=ROLE_USER / / authenticationmanager authenticationprovider userservice user name=tom password=123 authorities=ROLE_USER, ROLE_A / user name=jerry password=123 authorities=ROLE_USER, ROLE_B / /userservice /authenticationprovider /authenticationmanager 通過數(shù)據(jù)庫驗證用戶身份Java 代碼：北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 31 頁 共 48 頁authenticationmanager authenticationprovider passwordencoder hash=“md5”/ jdbcuserservice datasourceref=dataSource/ /authenticationprovider /authenticationmanager 完善 web 頁面驗證規(guī)則Java 代碼： autoconfig=true intercepturl pattern=/js/** filters=none/ intercepturl pattern=/css/** filters=none/ intercepturl pattern=/images/** filters=none/ intercepturl pattern=/ access=ROLE_A / intercepturl pattern=/ access=ROLE_B / intercepturl pattern=/ access=ROLE_A, ROLE_B / intercepturl pattern=/** access=ROLE_USER / / 自定義驗證配置Java 代碼： autoconfig=true ! 指定登陸頁面、成功頁面、失敗頁面 formlogin loginpage=/ defaulttargeturl=/ authenticationfailureurl=/ / ! 嘗試訪問沒有權(quán)限的頁面時跳轉(zhuǎn)的頁面 accessdeniedhandler errorpage=// ! 使用記住用戶名、密碼功能，指定數(shù)據(jù)源和加密的 key rememberme datasourceref=dataSource / ! logout 頁面，logout 后清除 session logout invalidatesession=true logoutsuccessurl=/ / ! session 失效后跳轉(zhuǎn)的頁面，最大登陸次數(shù) sessionmanagement invalidsessionurl=/ concurrencycontrol maxsessions=1 expiredurl=/ / /sessionmanagement / 北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 32 頁 共 48 頁 本地化消息輸出拷貝本地化資源文件后，在配置文件中加載該文件：Java 代碼： ! 加載錯誤信息資源文件 beans:bean id=messageSource class=ource beans:property name=basename value=classpath:messages/ /beans:bean 資源文件在 Spring Security 核心包： 的springframeworksecurity 目錄中。 在 web 頁面中獲取用戶信息Java 代碼:方式一：Java 代碼 Authentication auth = ().getAuthentication()。 CollectionGrantedAuthority col = ()。 方式二：標(biāo)簽庫 %@ taglib prefix=sec uri= % sec:authentication property=name“/ sec:authentication property=authorities“/ 在 web 頁面進(jìn)行元素安全控制Java 代碼: 方式一 sec:authorizeifAnyGranted=ROLE_A 北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 33 頁 共 48 頁a href=你可以訪問 /a /sec:authorize sec:authorizeifNotGranted=ROLE_A 你不可以訪問 /sec:authorize 方式二 sec:authorizeurl=/ a href=你可以訪問 /a /sec:authorize 全局方法安全控制Java 代碼： globalmethodsecurity prepostannotations=enabled protectpointcut expression=execution(* .**(..)) access=ROLE_A/ protectpointcut expression=execution(* .**(..)) access=ROLE_B/ /globalmethodsecurity 使用注解進(jìn)行方法安全控制Java 代碼：public class DemoService { @PreAuthorize(hasRole(amp。apos。ROLE_Aamp。apos。)) public void methodA() { } @PreAuthorize(hasAnyRole(amp。apos。ROLE_A, ROLE_Bamp。apos。)) public void methodB() { } } hasRole 與 hasAnyRole 為 SS 通用內(nèi)置表達(dá)式（google : spring security Common BuiltIn Expressions） Comment [楊楊5]: 同上北京師范大學(xué)珠海分校信息技術(shù)學(xué)院第 34 頁 共 4