?

?

JdbcDaoImpl的高级配置

JdbcDaoImpl拥有众多的可配置选项使其可以在已存在的schema中使用，或对其功能进行更复杂地调整。在很多场景下，很可能我们只需调整内置UserDetailsService类的配置而不需要写自己的代码。

?

有一个很重要的功能就是在用户（User）和权限（GrantedAuthority）之间添加一个隔离层（a level of indirection——找不到更好的译法了），这通过将GrantedAuthority按照逻辑划分成集合即组（group）来实现。用户能够被分配到一个或多个组，而组的成员被赋予了一系列的GrantedAuthority声明。

?正如在图中所描述的那样，中间的隔离层使得我们可以将相同集合的角色分派给很多人，而这只需要指定新用户到存在的组中即可。将这与我们之前的做法对比，在以前的做法是将GrantedAuthority直接分配给单个的用户。

?

这种将权限进行打包处理的方式可能在以下的场景中用到：

?

?

l? 要将用户分成不同的组，而组之间有些角色是重叠的；

l? 想要全局地修改一类用户的权限。如，如果你拥有一个“供应商”的分组，而你想要修改他们能否访问应用特定区域的设置；

l? 拥有大量的用户，你不需要用户级别的授权配置。

?

除非你的应用用户量很有限，否则很可能要使用基于组的访问控制。这种管理方式的简便性和扩展性带来的价值远远超过了它稍微增加的复杂性。这种将用户权限集中到组中的技术通常叫做基于组的访问控制（Group-Based Access Control ，GBAC）。

【基于组的访问控制几乎在市面上任何安全的操作系统和软件包中都能看到。微软的活动目录（Active Directory，AD)是大范围使用GBAC的典型实现，它把AD的用户纳入组中并给组授权权限。通过使用GBAC，能够指数级得简化对大量基于AD组织的权限管理。想一下你所使用软件的安全功能——用户、分组以及权限是如何管理的？这种方式编写安全功能的利弊是什么？】

?

让我们对JBCP Pets添加一层抽象，并将基于组的授权理念应用于这个站点。

配置基于组的授权

我们会为站点添加两个组——普通用户（我们将其称为“Users”）和管理员（我们将其称为“Administrators”）。通过修改用于启动数据库的SQL脚本，将已经存在的guest和admin账号分配到合适的组中。

配置JdbcDaoImpl以使用用户组

首先，我们需要为JdbcDaoImpl的自定义实现类设置属性以启用组的功能，并关闭对用户直接授权的功能。在dogstore-base.xml中添加如下的bean声明：

?

<bean id="jdbcUserService" 
      class="com.packtpub.springsecurity.security.CustomJdbcDaoImpl">
  <property name="dataSource" ref="dataSource"/>
  <property name="enableGroups" value="true"/>
  <property name="enableAuthorities" value="false"/>
</bean>

?注意的是，如果你一直跟着我们的例子在做，并且使用了JdbcUserManager的代码和配置，请对其进行修改，因为在本章的剩余部分我们将使用CustomJdbcDaoImpl。

修改初始载入的SQL脚本

我们需要简单修改构建数据库的SQL语句：

l? 定义我们的组信息；

l? 指定GrantedAuthority<