spring security（下簡寫為 ss）控制的安全主要有兩方面，Web 和 Method Call，這兩個方面的權(quán)限控制有比較多的相通的設(shè)計，也有一些特別的功能。比如 Method Call 可以做 After Invocation 控制，而 Web 可以做 Ip 地址控制。

這里面有兩個最基本的概念：authentication manager 和 access decision manager，前者控制認證，后都控制鑒權(quán)。
1. 在 ss 的認證系統(tǒng)中，默認的實現(xiàn)幫助我們提供了三個概念，用戶（user），角色（authority，一般存 role）和組（group），三者的關(guān)系是，組、角色與用戶都是多對多關(guān)系，組和角色間沒關(guān)系，默認是不啟用組的。后續(xù)，在 Acl 權(quán)限管理中，可以看到角色之間，是可以有包含（樹形？）關(guān)系的。
2. 在 ss 的鑒權(quán)系統(tǒng)中，明顯會比認證復(fù)雜得多。有 AccessDecisionManager, AccessDecisionVoter（前置）, AfterInvocationProvider（后置）, RoleHierarchy, SidRetrievalStrategy, LookupStrategy, PermissionGrantingStrategy, SecurityExpressionHandler, AclService, MutableAclService, AclCache 概念過多了，要一個一個解釋
a) 中心是 AccessDecisionManager，主要負責(zé) AccessDecisionVoter 的管理，默認提供了3種實現(xiàn)：1. AffirmativeBased 如果有任何一個投票器允許訪問,請求將被立刻允許,而不管之前可能有的拒絕決定。2. ConsensusBased 多數(shù)票(允許或拒絕)決定了結(jié)果，平局的投票 和空票(全是棄權(quán)的)的結(jié)果是可配置的。3. UnanimousBased 所有的投票器必須全是允許的,否則訪問將 被拒絕。
AccessDecisionManager 在用于 Web 和 Method Call 兩種情況下，可能是不一致的，因為功能也不一致。
b) Method Call 除了使用 AccessDecisionManager 進行權(quán)限判斷外，還可以增加 AfterInvocationProvider 來進行出口數(shù)據(jù)的判斷，默認提供了 3 種。
1) PostInvocationAdviceProvider: 需要提供一個 PostInvocationAuthorizationAdvice，默認實現(xiàn)只有一個，就是 ExpressionBasedPostInvocationAdvice，可以通過 spel 來進行權(quán)限判斷。注意 ExpressionBasedPostInvocationAdvice 中需要提供一個 MethodSecurityExpressionHandler，能夠創(chuàng)建出一個 MethodSecurityExpressionOperations，放到 spel context 中，供 spel function 調(diào)用，這樣的方式，在后續(xù)很常見。
2) AclEntryAfterInvocationProvider 和 AclEntryAfterInvocationCollectionFilteringProvider : 這兩種都差不多，主要依賴 AclService, ObjectIdentityRetrievalStrategy, SidRetrievalStrategy 來配合，檢查返回值的權(quán)限。Collection 版本的，可以把無權(quán)限的數(shù)據(jù)去掉，只留下有權(quán)限的數(shù)據(jù)。
c) RoleHierarchy 提供了角色之間的關(guān)系，提供了兩個實現(xiàn)，一個是沒關(guān)系的，直接把 user 的 role 返回，另外一個是有繼承關(guān)系的。繼承關(guān)系實現(xiàn)挺有意思的，能夠處理多級的 include 關(guān)系，比較好用。
RoleHierarchy 的使用比較復(fù)雜，會被 AccessDecisionVoter, SidRetrievalStrategy, SecurityExpressionHandler 用到，SecurityExpressionHandler 又會被 AccessDecisionVoter 用到，所以還是有點兒混亂。
具體的說 SecurityExpressionHandler 會用到 PermissionEvaluator 和 RoleHierarchy，PermissionEvaluator 的一個實現(xiàn) AclPermissionEvaluator 會用到 SidRetrievalStrategy。
d) SidRetrievalStrategy 和 RoleHierarchy 的功能比較接近，比 RoleHierarchy 高一個抽象層次，功能上也有所區(qū)別，是從一個 authentication 拿到所有相關(guān)的 Sid（包括 Role（GrantedAuthoritySid） 和 User（PrincipalSid）），而 RoleHierarchy 只包括了 Role（GrantedAuthoritySid）的繼承關(guān)系。
e) LookupStrategy 通過 ObjectIdentity 和 Sid 把相關(guān)的 Acl 查詢出來。可以在 LookupStrategy 擴展 Acl 和 Ace 的功能，比如在 Ace 上面加上時間的條件限制，就需要自己定義 LookupStrategy，把時間條件從數(shù)據(jù)庫查詢出來，并放到自定義的 Ace 當(dāng)中。
但這件事情非常麻煩，因為默認實現(xiàn)的 BasicLookupStrategy 是個 Final 的類，所以只能自己直接實現(xiàn)接口，無法使用現(xiàn)有的功能。
LookupStrategy 會生成 Acl，而最終的權(quán)限驗證是由 Acl 完成的，如果想驗證帶時間條件的 Ace，需要給 Acl 設(shè)置自定義的帶有檢查時間功能的 PermissionGrantingStrategy，實際上，這個 PermissionGrantingStrategy 會首先設(shè)置給 LookupStrategy，LookupStrategy 在創(chuàng)建 Acl 的時候，再放到 Acl 中去。
f) SecurityExpressionHandler 能夠執(zhí)行 spel，得到是否可以訪問的結(jié)果，它的子類都是繼承自 AbstractSecurityExpressionHandler 的，有一個非常重要的方法是 SecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, T invocation)，創(chuàng)建一個 SecurityExpressionOperations 放到 EvaluationContext 中去，提供 spel 中執(zhí)行的方法實現(xiàn)。比如 SecurityExpressionOperations 的一個抽象實現(xiàn) SecurityExpressionRoot 中，就包含了大量的權(quán)限驗證方法，如 hasRole, hasPermission 等常用的功能。
g) AclService, MutableAclService, AclCache 概念比較簡單，AclService 是通過 LookupStrategy 查詢 Acl，自已可以查詢 ObjectIdentity 的父子關(guān)聯(lián)關(guān)系，MutableAclService 提供了修改的能力，AclCache 為 AclService 提供緩存，默認的實現(xiàn)了一個 EhCacheBasedAclCache。
3. ss 的鑒權(quán)模型 Sid, ObjectIdentity, Acl, Ace, Permission
a) Sid: 是中心，所有的授權(quán)會關(guān)聯(lián)在 Sid 上面，Sid 和之前的 Role Base Permission 會有些相同的地方，但也明顯不同，Sid 默認實現(xiàn)情況下，分為 GrantedAuthoritySid 和 PrincipalSid，其實就是 Role 和 User，通過 SidRetrievalStrategy 拿到一個 Authentication 的 Sid。
b) ObjectIdentity: 可以理解成 Resource，就是可訪問的目標(biāo)資源，有 id 和 type 兩個字段，默認實現(xiàn)的 ObjectIdentityImpl 會直接調(diào)用目標(biāo) domainObject 的 getClass 和 getId 方法拿到兩個參數(shù)。在 PermissionEvaluator, AfterInvocationProvider 中，會用到 ObjectIdentityRetrievalStrategy 和 ObjectIdentityGenerator，ObjectIdentityRetrievalStrategy 會根據(jù) domainObject 拿到 ObjectIdentity，然后使用 Acl 進行鑒權(quán)，ObjectIdentityGenerator 會在系統(tǒng)提供的不是 domainObject，而是 type, id 的時候，拿到 ObjectIdentity，然后進行 Acl 鑒權(quán)，這兩個接口有一個共同的實現(xiàn) ObjectIdentityRetrievalStrategyImpl，如果需要在 ObjectIdentity 進行新的抽象，需要用新的實現(xiàn)，到得不同的 ObjectIdentity，比如將業(yè)務(wù)對象分類鑒權(quán)這樣的需求。
c) Acl, 每個 ObjectIdentity 最多對應(yīng)一條 Acl，Acl 中包含了很多，包括 parental，說明 Acl 是有繼承關(guān)系的？其實不是，呵呵，是 ObjectIdentity 有繼承關(guān)系而已。有一個 ObjectIdentity，有很多 Sid，還有一個叫做 Owner 的 Sid，有從 LookupStrategy 傳過來的 PermissionGrantingStrategy，進行實際的鑒權(quán)，還有 AclAuthorizationStrategy 檢查有沒有權(quán)限進行 Acl security check。實現(xiàn)時間條件檢查，就擴展 PermissionGrantingStrategy。
為什么沒有 RoleHierarchy 或是 SidRetrievalStrategy 存在呢？是因為調(diào)用 Acl 進行權(quán)限檢查之前，已經(jīng)把相關(guān)的 Sid 得到了，再給 Acl 的。
d) Ace, Permission: Ace 存儲 Sid, Permission，提供給 Acl 鑒權(quán)用。增加時間條件的話，最基本的，就是要在 Ace 中，增加時間條件字段。Permission 是用二進制存儲的，但默認實現(xiàn)的數(shù)據(jù)庫存儲并不是，是一個一條，存在數(shù)據(jù)庫里面的。

好吧，概念還是非常多的，不過鑒于權(quán)限控制本身就是個復(fù)雜的話題，ss 這些設(shè)計的我覺得已經(jīng)非常好，也基本夠用了。

@import url(http://www.tkk7.com/CuteSoft_Client/CuteEditor/Load.ashx?type=style&file=SyntaxHighlighter.css);@import url(/css/cuteeditor.css);