<rt id="bn8ez"></rt>
<label id="bn8ez"></label>
  • 

    • <span id="bn8ez"></span>
    

    <label id="bn8ez"><meter id="bn8ez"></meter></label>
    

    
    

    




    







												


        




    
	
		
		
    

隨筆-295 
評論-26 
文章-1 
trackbacks-0

    
	

    

    
	
					


    
	
	
		
    二 Acegi安全系統(tǒng)的配置?
    
		
    ????? Acegi 的配置看起來非常復(fù)雜,但事實上在實際項目的安全應(yīng)用中我們并不需要那么多功能,清楚的了解Acegi配置中各項的功能,有助于我們靈活的運用Acegi于實踐中。
    
		
    2.1 在Web.xml中的配置
    
		
    1)? FilterToBeanProxy
      Acegi通過實現(xiàn)了Filter接口的FilterToBeanProxy提供一種特殊的使用Servlet Filter的方式,它委托Spring中的Bean -- FilterChainProxy來完成過濾功能,這好處是簡化了web.xml的配置,并且充分利用了Spring IOC的優(yōu)勢。FilterChainProxy包含了處理認(rèn)證過程的filter列表,每個filter都有各自的功能。
    
		
    ? ? <filter>
    ??????? <filter-name>Acegi Filter Chain Proxy</filter-name>
    ??????? <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>
    ??????? <init-param>
    ??????????? <param-name>targetClass</param-name>
    ??????????? <param-value>org.acegisecurity.util.FilterChainProxy</param-value>
    ??????? </init-param>
    ??? </filter>
    
		
    2) filter-mapping
      <filter-mapping>限定了FilterToBeanProxy的URL匹配模式,只有*.do和*.jsp和/j_acegi_security_check 的請求才會受到權(quán)限控制,對javascript,css等不限制。
    
		
    ?? <filter-mapping>
    ????? <filter-name>Acegi Filter Chain Proxy</filter-name>
    ????? <url-pattern>*.do</url-pattern>
    ??? </filter-mapping>
    ??? 
    ??? <filter-mapping>
    ????? <filter-name>Acegi Filter Chain Proxy</filter-name>
    ????? <url-pattern>*.jsp</url-pattern>
    ??? </filter-mapping>
    ??? 
    ??? <filter-mapping>
    ????? <filter-name>Acegi Filter Chain Proxy</filter-name>
    ????? <url-pattern>/j_acegi_security_check</url-pattern>
        </filter-mapping>
    
		
    3) HttpSessionEventPublisher
      <listener>的HttpSessionEventPublisher用于發(fā)布HttpSessionApplicationEvents和HttpSessionDestroyedEvent事件給spring的applicationcontext。
    
		
    ??? <listener>
    ??????? <listener-class>org.acegisecurity.ui.session.HttpSessionEventPublisher</listener-class>
    ??? </listener>
    
		
    
				
    2.2 在applicationContext-acegi-security.xml中
    
		
    2.2.1 FILTER CHAIN
    
		
      FilterChainProxy會按順序來調(diào)用這些filter,使這些filter能享用Spring ioc的功能, CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON定義了url比較前先轉(zhuǎn)為小寫, PATTERN_TYPE_APACHE_ANT定義了使用Apache ant的匹配模式 
    
		
        <bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
    ??????? <property name="filterInvocationDefinitionSource">
    ??????????? <value>
    ??????????????? CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
    ??????????????? PATTERN_TYPE_APACHE_ANT
    ?????????????? /**=httpSessionContextIntegrationFilter,authenticationProcessingFilter,
    basicProcessingFilter,rememberMeProcessingFilter,anonymousProcessingFilter,
     exceptionTranslationFilter,filterInvocationInterceptor
    ??????????? </value>
    ??????? </property>
    ??? </bean>
    
		
    2.2.2 基礎(chǔ)認(rèn)證
    
		
    1) authenticationManager
      起到認(rèn)證管理的作用,它將驗證的功能委托給多個Provider,并通過遍歷Providers, 以保證獲取不同來源的身份認(rèn)證,若某個Provider能成功確認(rèn)當(dāng)前用戶的身份,authenticate()方法會返回一個完整的包含用戶授權(quán)信息的Authentication對象,否則會拋出一個AuthenticationException。
    Acegi提供了不同的AuthenticationProvider的實現(xiàn),如:
    ??????? DaoAuthenticationProvider 從數(shù)據(jù)庫中讀取用戶信息驗證身份
    ??????? AnonymousAuthenticationProvider 匿名用戶身份認(rèn)證
    ??????? RememberMeAuthenticationProvider 已存cookie中的用戶信息身份認(rèn)證
    ??????? AuthByAdapterProvider 使用容器的適配器驗證身份
    ??????? CasAuthenticationProvider 根據(jù)Yale中心認(rèn)證服務(wù)驗證身份, 用于實現(xiàn)單點登陸
    ??????? JaasAuthenticationProvider 從JASS登陸配置中獲取用戶信息驗證身份
    ??????? RemoteAuthenticationProvider 根據(jù)遠(yuǎn)程服務(wù)驗證用戶身份
    ??????? RunAsImplAuthenticationProvider 對身份已被管理器替換的用戶進(jìn)行驗證
    ??????? X509AuthenticationProvider 從X509認(rèn)證中獲取用戶信息驗證身份
    ??????? TestingAuthenticationProvider 單元測試時使用
    
		
    ??????? 每個認(rèn)證者會對自己指定的證明信息進(jìn)行認(rèn)證,如DaoAuthenticationProvider僅對UsernamePasswordAuthenticationToken這個證明信息進(jìn)行認(rèn)證。
    
		
    <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
    ??????? <property name="providers">
    ??????????? <list>
    ??????????????? <ref local="daoAuthenticationProvider"/>
    ??????????????? <ref local="anonymousAuthenticationProvider"/>
    ??????????????? <ref local="rememberMeAuthenticationProvider"/>
    ??????????? </list>
    ??????? </property>
    </bean>
    
		
    
				
    2) daoAuthenticationProvider
      進(jìn)行簡單的基于數(shù)據(jù)庫的身份驗證。DaoAuthenticationProvider獲取數(shù)據(jù)庫中的賬號密碼并進(jìn)行匹配,若成功則在通過用戶身份的同時返回一個包含授權(quán)信息的Authentication對象,否則身份驗證失敗,拋出一個AuthenticatiionException。
    
		
    ??? <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
    ??????? <property name="userDetailsService" ref="jdbcDaoImpl"/>
    ??????? <property name="userCache" ref="userCache"/>
    ??????? <property name="passwordEncoder" ref="passwordEncoder"/>
    ?? </bean>
    
		
    
				
    3) passwordEncoder
      使用加密器對用戶輸入的明文進(jìn)行加密。Acegi提供了三種加密器:
    PlaintextPasswordEncoder—默認(rèn),不加密,返回明文.
    ShaPasswordEncoder—哈希算法(SHA)加密
    Md5PasswordEncoder—消息摘要(MD5)加密
    
		
    <bean id="passwordEncoder" class="org.acegisecurity.providers.encoding.Md5PasswordEncoder"/>
    
		
    
				
    4) jdbcDaoImpl
      用于在數(shù)據(jù)中獲取用戶信息。 acegi提供了用戶及授權(quán)的表結(jié)構(gòu),但是您也可以自己來實現(xiàn)。通過usersByUsernameQuery這個SQL得到你的(用戶ID,密碼,狀態(tài)信息);通過authoritiesByUsernameQuery這個SQL得到你的(用戶ID,授權(quán)信息)
    
		
     
<bean id="jdbcDaoImpl" 
class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
    ??????? 
<property name="dataSource" 
ref="dataSource"/>
    ??????? <property 
name="usersByUsernameQuery">
    ??????????? 
<value>select loginid,passwd,1 from users where loginid = 
?</value>
    ??????? 
</property>
    ??????? <property 
name="authoritiesByUsernameQuery">
    ??????????? 
<value>select u.loginid,p.name from users u,roles r,permissions 
p,user_role ur,role_permis rp where u.id=ur.user_id and r.id=ur.role_id and 
p.id=rp.permis_id 
and
    ??????????????? 
r.id=rp.role_id and p.status='1' and 
u.loginid=?</value>
    ??????? 
</property>
    </bean>
    
		
    5) userCache &? resourceCache
      緩存用戶和資源相對應(yīng)的權(quán)限信息。每當(dāng)請求一個受保護(hù)資源時,daoAuthenticationProvider就會被調(diào)用以獲取用戶授權(quán)信息。如果每次都從數(shù)據(jù)庫獲取的話,那代價很高,對于不常改變的用戶和資源信息來說,最好是把相關(guān)授權(quán)信息緩存起來。(詳見 2.6.3 資源權(quán)限定義擴(kuò)展 )
    userCache提供了兩種實現(xiàn): NullUserCache和EhCacheBasedUserCache, NullUserCache實際上就是不進(jìn)行任何緩存,EhCacheBasedUserCache是使用Ehcache來實現(xiàn)緩功能。
    
		
    ??? <bean id="userCacheBackend" 
class="org.springframework.cache.ehcache.EhCacheFactoryBean">
    ??????? 
<property name="cacheManager" 
ref="cacheManager"/>
    ??????? 
<property name="cacheName" value="userCache"/>
    ??? </bean>
    ??? <bean id="userCache" 
class="org.acegisecurity.providers.dao.cache.EhCacheBasedUserCache" 
autowire="byName">
    ??????? <property 
name="cache" ref="userCacheBackend"/>
      ??? 
</bean>
    ??? <bean id="resourceCacheBackend" 
class="org.springframework.cache.ehcache.EhCacheFactoryBean">
    ??????? 
<property name="cacheManager" 
ref="cacheManager"/>
    ??????? 
<property name="cacheName" value="resourceCache"/>
    ??? </bean>
    ??? <bean id="resourceCache" 
class="org.springside.modules.security.service.acegi.cache.ResourceCache" 
autowire="byName">
    ??????? <property 
name="cache" ref="resourceCacheBackend"/>
    ??? </bean>
    
		
    
				
    6) basicProcessingFilter
      用于處理HTTP頭的認(rèn)證信息,如從Spring遠(yuǎn)程協(xié)議(如Hessian和Burlap)或普通的瀏覽器如IE,Navigator的HTTP頭中獲取用戶信息,將他們轉(zhuǎn)交給通過authenticationManager屬性裝配的認(rèn)證管理器。如果認(rèn)證成功,會將一個Authentication對象放到會話中,否則,如果認(rèn)證失敗,會將控制轉(zhuǎn)交給認(rèn)證入口點(通過authenticationEntryPoint屬性裝配)
    
		
    ??? <bean id="basicProcessingFilter" class="org.acegisecurity.ui.basicauth.BasicProcessingFilter">
    ??????? <property name="authenticationManager" ref="authenticationManager"/>
    ??????? <property name="authenticationEntryPoint" ref="basicProcessingFilterEntryPoint"/>
    ??? </bean>
    
		
    7) basicProcessingFilterEntryPoint
      通過向瀏覽器發(fā)送一個HTTP401(未授權(quán))消息,提示用戶登錄。
    處理基于HTTP的授權(quán)過程, 在當(dāng)驗證過程出現(xiàn)異常后的"去向",通常實現(xiàn)轉(zhuǎn)向、在response里加入error信息等功能。
    
		
     <bean 
id="basicProcessingFilterEntryPoint" 
class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint">
    ??????? 
<property name="realmName" value="SpringSide Realm"/>
    </bean>
    
		
    8) authenticationProcessingFilterEntryPoint
      當(dāng)拋出AccessDeniedException時,將用戶重定向到登錄界面。屬性loginFormUrl配置了一個登錄表單的URL,當(dāng)需要用戶登錄時,authenticationProcessingFilterEntryPoint會將用戶重定向到該URL
    
		
     
<bean id="authenticationProcessingFilterEntryPoint" 
class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
    ??????? 
<property 
name="loginFormUrl">
    ??????????? 
<value>/security/login.jsp</value>
    ??????? 
</property>
    ??????? <property 
name="forceHttps" value="false"/>
    </bean>
    
		
    2.2.3 HTTP安全請求
    
		
    1) httpSessionContextIntegrationFilter
      每次request前 HttpSessionContextIntegrationFilter從Session中獲取Authentication對象,在request完后, 又把Authentication對象保存到Session中供下次request使用,此filter必須其他Acegi filter前使用,使之能跨越多個請求。
    
		
    <bean id="httpSessionContextIntegrationFilter" class="org.acegisecurity.context.HttpSessionContextIntegrationFilter"></bean>
    ??? <bean id="httpRequestAccessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased">
    ??????? <property name="allowIfAllAbstainDecisions" value="false"/>
    ??????? <property name="decisionVoters">
    ??????????? <list>
    ??????????????? <ref bean="roleVoter"/>
    ??????????? </list>
    ??????? </property>
    </bean>
    
		
    
				
    2) httpRequestAccessDecisionManager
      經(jīng)過投票機(jī)制來決定是否可以訪問某一資源(URL或方法)。allowIfAllAbstainDecisions為false時如果有一個或以上的decisionVoters投票通過,則授權(quán)通過。可選的決策機(jī)制有ConsensusBased和UnanimousBased
    
		
    ??? <bean id="httpRequestAccessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased">
    ??????? <property name="allowIfAllAbstainDecisions" value="false"/>
    ??????? <property name="decisionVoters">
    ??????????? <list>
    ??????????????? <ref bean="roleVoter"/>
    ??????????? </list>
    ??????? </property>
    ??? </bean>
    
		
    
				
    3) roleVoter
    ?  必須是以rolePrefix設(shè)定的value開頭的權(quán)限才能進(jìn)行投票,如AUTH_ , ROLE_
    
		
    ??? <bean id="roleVoter" class="org.acegisecurity.vote.RoleVoter">
    ??????? <property name="rolePrefix" value="AUTH_"/>
    ?? </bean>
    
		
    4)exceptionTranslationFilter
      異常轉(zhuǎn)換過濾器,主要是處理AccessDeniedException和AuthenticationException,將給每個異常找到合適的"去向"?
    
		
    ?? <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
    ??????? <property name="authenticationEntryPoint" ref="authenticationProcessingFilterEntryPoint"/>
    ??? </bean>
    
		
    5) authenticationProcessingFilter
      和servlet spec差不多,處理登陸請求.當(dāng)身份驗證成功時,AuthenticationProcessingFilter會在會話中放置一個Authentication對象,并且重定向到登錄成功頁面
    ???????? authenticationFailureUrl定義登陸失敗時轉(zhuǎn)向的頁面
    ???????? defaultTargetUrl定義登陸成功時轉(zhuǎn)向的頁面
    ???????? filterProcessesUrl定義登陸請求的頁面
    ???????? rememberMeServices用于在驗證成功后添加cookie信息
    
		
    ??? <bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
    ??????? <property name="authenticationManager" ref="authenticationManager"/>
    ??????? <property name="authenticationFailureUrl">
    ??????????? <value>/security/login.jsp?login_error=1</value>
    ??????? </property>
    ??????? <property name="defaultTargetUrl">
    ??????????? <value>/admin/index.jsp</value>
    ??????? </property>
    ??????? <property name="filterProcessesUrl">
    ??????????? <value>/j_acegi_security_check</value>
    ??????? </property>
    ??????? <property name="rememberMeServices" ref="rememberMeServices"/>
    ??? </bean>
    
		
    6) filterInvocationInterceptor
      在執(zhí)行轉(zhuǎn)向url前檢查objectDefinitionSource中設(shè)定的用戶權(quán)限信息。首先,objectDefinitionSource中定義了訪問URL需要的屬性信息(這里的屬性信息僅僅是標(biāo)志,告訴accessDecisionManager要用哪些voter來投票)。然后,authenticationManager掉用自己的provider來對用戶的認(rèn)證信息進(jìn)行校驗。最后,有投票者根據(jù)用戶持有認(rèn)證和訪問url需要的屬性,調(diào)用自己的voter來投票,決定是否允許訪問。
    
		
    ??? <bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
    ??????? <property name="authenticationManager" ref="authenticationManager"/>
    ??????? <property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
    ??????? <property name="objectDefinitionSource" ref="filterDefinitionSource"/>
    ??? </bean>
    
		
    
				
    7) filterDefinitionSource (詳見 2.6.3 資源權(quán)限定義擴(kuò)展)
      自定義DBFilterInvocationDefinitionSource從數(shù)據(jù)庫和cache中讀取保護(hù)資源及其需要的訪問權(quán)限信息?
    
		
    <bean id="filterDefinitionSource" class="org.springside.modules.security.service.acegi.DBFilterInvocationDefinitionSource">
    ??????? <property name="convertUrlToLowercaseBeforeComparison" value="true"/>
    ??????? <property name="useAntPath" value="true"/>
    ??????? <property name="acegiCacheManager" ref="acegiCacheManager"/>
    </bean>
    
		
    2.2.4 方法調(diào)用安全控制
    
		
    (詳見 2.6.3 資源權(quán)限定義擴(kuò)展)
    
		
    1) methodSecurityInterceptor
      在執(zhí)行方法前進(jìn)行攔截,檢查用戶權(quán)限信息
    2) methodDefinitionSource
      自定義MethodDefinitionSource從cache中讀取權(quán)限
    
		
    ?? <bean id="methodSecurityInterceptor" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
    ??????? <property name="authenticationManager" ref="authenticationManager"/>
    ??????? <property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
    ??????? <property name="objectDefinitionSource" ref="methodDefinitionSource"/>
    ??? </bean>
    ??? <bean id="methodDefinitionSource" class="org.springside.modules.security.service.acegi.DBMethodDefinitionSource">
    ??????? <property name="acegiCacheManager" ref="acegiCacheManager"/>
    ??? </bean>
    
		
    2.3 Jcaptcha驗證碼
    
		
    采用 http://jcaptcha.sourceforge.net?作為通用的驗證碼方案,請參考SpringSide中的例子,或網(wǎng)上的:
    http://www.coachthrasher.com/page/blog?entry=jcaptcha_with_appfuse
    
		
    差沙在此過程中又發(fā)現(xiàn)acegi logout filter的錯誤,進(jìn)行了修正。
    
		
    另外它默認(rèn)提供的圖片比較難認(rèn),我們custom了一個美觀一點的版本。
    


    大盤預(yù)測
 
國富論
	
    posted on 2007-09-12 14:43 華夢行 閱讀(131) 評論(0)  編輯  收藏  
    

    







    
	    
    




    





    


    

	
    
		
    
				
		
	
		
    
		
		
    只有注冊用戶登錄后才能發(fā)表評論。
    
		
    
			
		
    
			
		
    
		
		
    
		


    

		    		
		
    
		
    			
		
		
		
		
    
		
    
		
		
    
		
    
			網(wǎng)站導(dǎo)航:
		
		
    
		
    
			
		
    	
		
    
			 
		
    
		
    
			
		
    
		
    
			
				
		
    		
	
    	

    



    

				

    







    







    
        
	



主站蜘蛛池模板:
一本色道久久88综合亚洲精品高清|
亚洲AV无码一区二区三区牛牛|
国产无遮挡吃胸膜奶免费看|
99re在线视频免费观看|
免费一级做a爰片久久毛片潮|
国产成人精品日本亚洲11|
亚洲va中文字幕无码久久|
亚洲七七久久精品中文国产|
日韩免费高清视频网站|
无遮免费网站在线入口|
91大神免费观看|
APP在线免费观看视频|
a免费毛片在线播放|
免费一区二区无码视频在线播放
|
99re6在线视频精品免费|
在线91精品亚洲网站精品成人|
亚洲中文字幕无码亚洲成A人片
|
91九色老熟女免费资源站|
a国产成人免费视频|
91成人免费观看在线观看|
国产99久久久久久免费看|
一进一出60分钟免费视频|
免费福利资源站在线视频|
青青视频免费在线|
免费大片av手机看片高清|
黄页视频在线观看免费|
日本特黄特色AAA大片免费|
免费国产va在线观看|
日韩毛片免费一二三|
免费人成网站永久|
无码免费又爽又高潮喷水的视频|
极品美女一级毛片免费|
日日躁狠狠躁狠狠爱免费视频|
男女啪啪免费体验区|
国产精品免费久久久久久久久|
国产精品1024在线永久免费|
国产无遮挡色视频免费观看性色|
一级毛片**免费看试看20分钟|
亚洲日韩在线观看免费视频|
中文字幕在线免费观看视频|
国产99视频精品免费专区|