集成 Spring Security 安全框架 |
Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指验证某个用户是否为系统中的合法主体,一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。用户授权指验证某个用户是否有权限执行某个操作,一般会将不同用户归为不同角色,每个角色对应一系列授权。
Spring 是常用的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制,也可对 URL 权限进行细粒度的控制。
SuperMap iServer 可以与 Spring Security 进行集成,通过 Spring Security 对 GIS 服务进行安全控制,下面以一个简单的例子进行了说明。
示例说明:结合基本用户/角色和 HTTP 基本认证,通过 DelegatingFilterProxy 实现基本用户认证和授权,对 iServer 的 URL 进行了安全控制,说明了集成的过程。Spring Security 支持的认证方式还有 HTTP 摘要认证、OpenID 和 LDAP 等,用户/角色信息也支持存储在主流的数据库中。详见: