使用Spring Security保护Web应用的安全-技术开发专区

使用Spring Security保护Web应用的安全

作者：IBM 编辑：覃里 2010-12-06 11:23 来源：IBM

　　清单 12. 获取访问令牌和构建 HTTP 请求

public OAuthConsumerToken getAccessTokenFromRequest(HttpServletRequest request) {
    OAuthConsumerToken token = null;

    List<OAuthConsumerToken> tokens = (List<OAuthConsumerToken>) request
        .getAttribute(OAuthConsumerProcessingFilter.ACCESS_TOKENS_DEFAULT_ATTRIBUTE);
    if (tokens != null) {
        for (OAuthConsumerToken consumerToken : tokens) {
            if (consumerToken.getResourceId().equals(resourceId)) {
                token = consumerToken;
                break;
            }
        }
    }
    return token;
}

public GetMethod getGetMethod(OAuthConsumerToken accessToken, URL url) {
    GetMethod method = new GetMethod(url.toString());
    method.setRequestHeader("Authorization",
                 getHeader(accessToken, url, "GET"));
    return method;
}

public String getHeader(OAuthConsumerToken accessToken, URL url,
             String method) {
    ProtectedResourceDetails details = support
        .getProtectedResourceDetailsService()
        .loadProtectedResourceDetailsById(accessToken.getResourceId());
    return support.getAuthorizationHeader(details, accessToken, url, method, null);
}

　　如代码清单 12所示，OAuth for Spring Security 的过滤器会把 OAuth 认证成功之后的令牌保存在当前的请求中。通过 getAccessTokenFromRequest()方法就可以从请求中获取到此令牌。有了这个令牌之后，就可以通过 getHeader()方法构建出 HTTP 请求所需的 Authorization头。只需要在请求中添加此 HTTP 头，就可以正常访问到所需的数据。默认情况下，应用的 OAuth 令牌是保存在 HTTP 会话中的，开发人员可以提供其它的令牌保存方式，如保存在数据库中。只需要提供 org.springframework.security.oauth.consumer.token.OAuthConsumerTokenServices接口的实现就可以了。

　　在介绍完与 OAuth 的集成方式之后，下面介绍一些高级话题。

　　高级话题

　　这些与 Spring Security 相关的高级话题包括权限控制表达式、会话管理和记住用户等。

第1页：Spring Security简介第2页：在web.xml中添加Spring Security过滤器第3页：配置对不同URL模式的访问权限第4页：获取当前认证用户的用户名第5页：对方法调用进行保护第6页：访问控制列表第7页：使用访问控制列表服务第8页：JSP标签库第9页：集成LDAP服务器的配置文件第10页：OAuth集成第11页：获取访问令牌和构建HTTP请求第12页：权限控制表达式第13页：记住用户

关注我们