【IT168 專稿】對于任何一個完整的應用系統(tǒng),完善的認證和授權機制是必不可少的。Acegi Security(以下簡稱Acegi)是一個能為基于Spring的企業(yè)應用提供強大而靈活安全訪問控制解決方案的框架,Acegi已經(jīng)成為Spring官方的一個子項目,所以也稱為Spring Security。它通過在Spring容器中配置一組Bean,充分利用Spring的IoC和AOP功能,提供聲明式安全訪問控制的功能。雖然,現(xiàn)在Acegi也可以應用到非Spring的應用程序中,但在Spring中使用Acegi是最自然的方式。
Acegi可以實現(xiàn)業(yè)務對象方法級的安全訪問控制粒度,它提供了以下三方面的應用程序的安全:
? URL資源的訪問控制
如所有用戶(包括其名用戶)可以訪問index.jsp登錄頁面,而只有授權的用戶可以訪問/user/addUser.jsp頁面。Acegi允許通過正則表達式或Ant風格的路徑表達式定義URL模式,讓授權用戶訪問某一URL匹配模式下的對應URL資源。
?
業(yè)務類方法的訪問控制
Spring容器中所有Bean的方法都可以被Acegi管理,如所有用戶可以調(diào)用BbtForum#getRefinedTopicCount()方法,而只有授權用戶可以調(diào)用BbtForum#addTopic()方法。
? 領域?qū)ο蟮脑L問控制
業(yè)務類方法代表一個具體的業(yè)務操作,比如更改、刪除、審批等,業(yè)務類方法訪問控制解決了用戶是否有調(diào)用某種操作的權限,但并未對操作的客體(領域?qū)ο螅┻M行控制。對于我們的論壇應用來說,用戶可以調(diào)用BbtForum#updateUser(User user)方法更改用戶注冊信息,但應該僅限于更改自己的用戶信息,也即調(diào)用BbtForum#updateUser()所操作的User這個領域?qū)ο蟊仨毷鞘芟薜摹?
Acegi通過多個不同用途的Servlet過濾器對URL資源進行保護,在請求受保護的URL資源前,Acegi的Servlet過濾器判斷用戶是否有權訪問目標資源,授權者被開放訪問,而未未被授權者將被阻擋在大門之外。
Acegi通過Spring AOP對容器中Bean的受控方法進行攔截,當用戶的請求引發(fā)調(diào)用Bean的受控方法時,Acegi的方法攔截器開始工作,阻止未授權者的調(diào)用。
對領域?qū)ο蟮脑L問控制建立在對Bean方法保護的基礎上,在最終開放目標Bean方法的執(zhí)行前,Acegi將檢查用戶的ACL(Aeccess Control List:訪問控制列表)是否包含正要進行操作的領域?qū)ο螅挥蓄I域?qū)ο蟊皇跈鄷r,用戶才可以使用Bean方法對領域?qū)ο筮M行處理。此外,Acegi還可以對Bean方法返回的結(jié)果進行過濾,將一些不在當前用戶訪問權限范圍內(nèi)的領域?qū)ο筇蕹簟磦鹘y(tǒng)的數(shù)據(jù)可視域范圍的控制。一般來說,使用Acegi控制數(shù)據(jù)可視域未非理想的選擇,相反通過傳統(tǒng)的動態(tài)SQL的解決方案往往更加簡單易行。
從本質(zhì)特性上來說,Servlet過濾器就是最原始的原生態(tài)AOP,所以我們可以說Acegi不但對業(yè)務類方法、領域?qū)ο笤L問控制采用了AOP技術方案,對URL資源的訪問控制也使用了AOP的技術方案。使用AOP技術方案的框架是令人振奮的,這意味著,開發(fā)者可以在應用程序業(yè)務功能開發(fā)完畢后,輕松地通過Acegi給應用程序穿上安全保護的“鐵布衫”。
1