亚洲愉拍一区二区三区,爱爱帝国亚洲一区二区三区,亚洲色大网站WWW永久网站

Acegi簡介

    Acegi安全系統，是一個用于Spring Framework的安全框架，能夠和目前流行的Web容器無縫集成。它使用了Spring的方式提供了安全和認證安全服務，包括使用Bean Context，攔截器和面向接口的編程方式。因此，Acegi安全系統能夠輕松地適用于復雜的安全需求。
    Acegi安全系統，是一個用于Spring Framework的安全框架，能夠和目前流行的Web容器無縫集成。它使用了Spring的方式提供了安全和認證安全服務，包括使用Bean Context，攔截器和面向接口的編程方式。因此，Acegi安全系統能夠輕松地適用于復雜的安全需求。
    安全涉及到兩個不同的概念，認證和授權。前者是關于確認用戶是否確實是他們所宣稱的身份。授權則是關于確認用戶是否有允許執行一個特定的操作。
    在Acegi安全系統中，需要被認證的用戶，系統或代理稱為"Principal"。Acegi安全系統和其他的安全系統不同，它并沒有角色和用戶組的概念。
Acegi系統設計
關鍵組件
    Acegi安全系統包含以下七個關鍵的功能組件：
    1 Authentication對象，包含了Principal，Credential和Principal的授權信息。同時還可以包含關于發起認證請求的客戶的其他信息，如IP地址。
    2 ContextHolder對象，使用ThreadLocal儲存Authentication對象的地方。
    3 AuthenticationManager，用于認證ContextHolder中的Authentication對象。
    4 AccessDecissionManager，用于授權一個特定的操作。
    5 RunAsManager，當執行特定的操作時，用于選擇性地替換Authentication對象。
    6 Secure Object攔截器，用于協調AuthenticationManager，AccessDecissionManager，RunAsManager和特定操作的執行。
    7 ObjectDefinitionSource，包含了特定操作的授權定義。
    這七個關鍵的功能組件的關系如下圖所示（圖中灰色部分是關鍵組件）：

安全管理對象
    Acegi安全系統目前支持兩類安全管理對象。
    第一類的安全管理對象管理AOP Alliance的MethodInvocation，開發人員可以用它來保護Spring容器中的業務對象。為了使Spring管理的Bean可以作為 MethodInvocation來使用，Bean可以通過ProxyFactoryBean和BeanNameAutoProxyCreator來管理，就像在Spring的事務管理一樣使用。
    第二類是FilterInvocation。它用過濾器（Filter）來創建，并簡單地包裝了HTTP的ServletRequest， ServletResponse和FilterChain。FilterInvocation可以用來保護HTTP資源。通常，開發人員并不需要了解它的工作機制，因為他們只需要將Filter加入web.xml，Acegi安全系統就可以工作了。

安全配置參數
    每個安全管理對象都可以描述數量不限的各種安全認證請求。例如，MethodInvocation對象可以描述帶有任意參數的任意方法的調用，而FilterInvocation可以描述任意的HTTP URL。
    Acegi安全系統需要記錄應用于每個認證請求的安全配置參數。例如，對于BankManager.getBalance（int accountNumber）方法和BankManager.approveLoan（int applicationNumber）方法，它們需要的認證請求的安全配置很不相同。
    為了保存不同的認證請求的安全配置，需要使用配置參數。從實現的視角來看，配置參數使用ConfigAttribute接口來表示。Acegi安全系統提供了ConfigAttribute接口的一個實現，SecurityConfig，它把配置參數保存為一個字符串。
    ConfigAttributeDefinition類是ConfigAttribute對象的一個簡單的容器，它保存了和特定請求相關的ConfigAttribute的集合。
    當安全攔截器收到一個安全認證請求時，需要決定應用哪一個配置參數。換句話說，它需要找出應用于這個請求的 ConfigAttributeDefinition對象。這個查找的過程是由ObjectDefinitionSource接口來處理的。這個接口的主要方法是public ConfigAttributeDefinition getAttributes(Object object)，其中Object參數是一個安全管理對象。因為安全管理對象包含有認證請求的詳細信息，所以 ObjectDefinitionSource接口的實現類可以從中獲得所需的詳細信息，以查找相關的ConfigAttributeDefiniton 對象。

Acegi如何工作
    為了說明Acegi安全系統如何工作，我們設想一個使用Acegi的例子。通常，一個安全系統需要發揮作用，它必須完成以下的工作：
    1 首先，系統從客戶端請求中獲得Principal和Credential；
    2 然后系統認證Principal和Credential信息；
    3 如果認證通過，系統取出Principal的授權信息；
    4 接下來，客戶端發起操作請求；
    5 系統根據預先配置的參數檢查Principal對于該操作的授權；
    6 如果授權檢查通過則執行操作，否則拒絕。
    那么，Acegi安全系統是如何完成這些工作的呢？首先，我們來看看Acegi安全系統的認證和授權的相關類：
    安全攔截器的抽象基類，它包含有兩個管理類，AuthenticationManager和AccessDecisionManager。 AuthenticationManager用于認證ContextHolder中的Authentication對象（包含了Principal， Credential和Principal的授權信息）；AccessDecissionManager則用于授權一個特定的操作。

    下面來看一個MethodSecurityInterceptor的例子：

    <bean id="bankManagerSecurity" class="net.sf.acegisecurity.intercept.method.MethodSecurityInterceptor">

            <property name="validateConfigAttributes">

                        <value>true</value>

                    </property>

                    <property name="authenticationManager">

                         <ref bean="authenticationManager"/>

                    </property>

                    <property name="accessDecisionManager">

                         <ref bean="accessDecisionManager"/>

                    </property>

                    <property name="objectDefinitionSource">

                         <value>net.sf.acegisecurity.context.BankManager.delete*=

                                         ROLE_SUPERVISOR,RUN_AS_SERVER

                                 net.sf.acegisecurity.context.BankManager.getBalance=

                                         ROLE_TELLER,ROLE_SUPERVISOR,BANKSECURITY_CUSTOMER,RUN_

                         </value>

                    </property>

               </bean>

上面的配置文件中，MethodSecurityInterceptor是AbstractSecurityInterceptor的一個實現類。它包含了兩個管理器，authenticationManager和accessDecisionManager。這兩者的配置如下：

<bean id="authenticationDao" class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">

                           <property name="dataSource"><ref bean="dataSource"/></property>

                  </bean>

                  <bean id="daoAuthenticationProvider" 

                                 class="net.sf.acegisecurity.providers.dao.DaoAuthenticationProvider">

                           <property name="authenticationDao"><ref bean="authenticationDao"/></property>

                  </bean>

                  <bean id="authenticationManager" class="net.sf.acegisecurity.providers.ProviderManager">

                           <property name="providers">

                                  <list><ref bean="daoAuthenticationProvider"/></list>

                           </property>

                  </bean>

                  <bean id="roleVoter" class="net.sf.acegisecurity.vote.RoleVoter"/>

                  <bean id="accessDecisionManager" class="net.sf.acegisecurity.vote.AffirmativeBased">

                           <property name="allowIfAllAbstainDecisions"><value>false</value></property>

                           <property name="decisionVoters">

                                  <list><ref bean="roleVoter"/></list>

                           </property>

                  </bean>

    準備工作做好了，現在我們來看看Acegi安全系統是如何實現認證和授權機制的。以使用HTTP BASIC認證的應用為例子，它包括下面的步驟：
       1. 用戶登錄系統，Acegi從acegisecurity.ui子系統的安全攔截器（如BasicProcessingFilter）中得到用戶的登錄信息（包括Principal和Credential）并放入Authentication對象，并保存在ContextHolder對象中；
       2. 安全攔截器將Authentication對象交給AuthenticationManager進行身份認證，如果認證通過，返回帶有Principal 授權信息的Authentication對象。此時ContextHolder對象的Authentication對象已擁有Principal的詳細信息；
       3. 用戶登錄成功后，繼續進行業務操作；
       4. 安全攔截器（bankManagerSecurity）收到客戶端操作請求后，將操作請求的數據包裝成安全管理對象（FilterInvocation或MethodInvocation對象）；
       5. 然后，從配置文件（ObjectDefinitionSource）中讀出相關的安全配置參數ConfigAttributeDefinition；
       6. 接著，安全攔截器取出ContextHolder中的Authentication對象，把它傳遞給AuthenticationManager進行身份認證，并用返回值更新ContextHolder的Authentication對象；
       7. 將Authentication對象，ConfigAttributeDefinition對象和安全管理對象（secure Object）交給AccessDecisionManager，檢查Principal的操作授權；
       8. 如果授權檢查通過則執行客戶端請求的操作，否則拒絕；

AccessDecisionVoter
       注意上節的accessDecisionManager是一個AffirmativeBased類，它對于用戶授權的投票策略是，只要通過其中的一個授權投票檢查，即可通過；它的allowIfAllAbstainDecisions屬性值是false，意思是如果所有的授權投票是都是棄權，則通不過授權檢查。
       Acegi安全系統包括了幾個基于投票策略的AccessDecisionManager，上節的RoleVoter就是其中的一個投票策略實現，它是 AccessDecisionVoter的一個子類。AccessDecisionVoter的具體實現類通過投票來進行授權決策， AccessDecisionManager則根據投票結果來決定是通過授權檢查，還是拋出AccessDeniedException例外。
       AccessDecisionVoter接口共有三個方法：
public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config);
public boolean supports(ConfigAttribute attribute);
public boolean supports(Class clazz);
       其中的vote方法返回int返回值，它們是AccessDecisionVoter的三個靜態成員屬性：ACCESS_ABSTAIN,，ACCESS_DENIED和ACCESS_GRANTED，它們分別是棄權，否決和贊成。
       Acegi安全系統中，使用投票策略的AccessDecisionManager共有三個具體實現類：AffirmativeBased、 ConsensusBased和UnanimousBased。它們的投票策略是，AffirmativeBased類只需有一個投票贊成即可通過； ConsensusBased類需要大多數投票贊成即可通過；而UnanimousBased類需要所有的投票贊成才能通過。
       RoleVoter類是一個Acegi安全系統AccessDecisionVoter接口的實現。如果ConfigAttribute以ROLE_開頭，RoleVoter則進行投票。如果GrantedAuthority的getAutority方法的String返回值匹配一個或多個以ROLE_ 開頭的ConfigAttribute，則投票通過，否則不通過。如果沒有以ROLE_開頭的ConfigAttribute，RoleVoter則棄權。

---------------------------------------------------------------------------------------------------------------------------------
說人之短，乃護己之短。夸己之長，乃忌人之長。皆由存心不厚，識量太狹耳。能去此弊，可以進德，可以遠怨。
http://www.tkk7.com/szhswl
------------------------------------------------------------------------------------------------------ ----------------- ---------

posted on 2007-12-21 10:25 宋針還閱讀(484) 評論(0) 編輯收藏所屬分類: ACEGI

留言簿(6)

我參與的團隊

隨筆檔案(8)

文章分類(149)

新聞分類(1)

相冊

收藏夾(21)

友情鏈接

我的鏈接

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: 基于角色的權限控制(RBAC) Acegi安全系統的配置 Acegi簡介 Acegi 參考的部分翻譯 acegi-security-sample-contacts-filter例子學習(二) acegi-security-sample-contacts-filter例子學習(一)