亚洲午夜视频在线观看,亚洲欧洲无卡二区视頻,亚洲国产成人精品无码区二本

acegi,IBM的Acegi Security System�Q?�Q?

狼爱上狸 — Thu, 08 May 2008 10:50:00 GMT

2008 �q?3 �?20 �?/p>

Bilal Siddiqui ��l�在他的 �p�d��文章中展�C�如何��?Acegi 保护 Java™Server Faces (JSF) 应用�E�序。配�|?JSF �?Acegi�Q�让它们�?servlet 容器中协作，探烦 JSF �?Acegi �l��g如何彼此协作�?/blockquote>
�?�p�d�� 的前 3 部分讨论了如何��?Acegi Security System 保护 Java 企业应用�E�序�Q?/p>

�W?1 部分解释了如何��?Acegi 的内�|�过滤器实现一个简单的��Z�� URL 的安全系�l��?
�W?2 部分展示了如何编写访问控制策略、将其存储在 LDAP 目录服务器中�Q�以及配�|?Acegi �?LDAP 服务器交互，从而实现访问控制策略�?
�W?3 部分展示了如何在企业应用�E�序中��?Acegi 保护�?Java �c�d��例的讉K��?

�W?4 部分��讨论如何��?Acegi 保护�?servlet 容器中运行的 JavaServer Faces (JSF) 应用�E�序。本文首先解�?Acegi 针对此目标提供的�Ҏ��，�q�澄清一些关于��?Acegi �?JSF 的常见误解。然后提供一个简单的 web.xml 文�g�Q�可以用来部�|?Acegi�Q�从而保�?JSF 应用�E�序。然后深入探�?Acegi �?JSF �l��g�Q�了解在部��v web.xml 文�g和用戯��?JSF 应用�E�序时所发生的事件。本文最后提供了一个由 Acegi 保护的示�?JSF 应用�E�序�?

无需�~�写 Java 代码卛_��d��安全�?/span>

回顾一下本�p�d��的第一个示�?Acegi 应用�E�序�Q�请参阅 �W?1 部分中的 “一个简�?Acegi 应用�E�序” 一节）。该应用�E�序使用 Acegi 提供了以下安全特性：

当一个未�l�验证的用户试图讉K��受保护的资源�Ӟ��提供一个登录页面�?
��授权用��L��接重定向到所需的受保护资源�?
如果用户未被授权讉K��受保护资源，提供一个访问拒�l�页面�?

回想一下，您无需�~�写��M�� Java 代码��p��获得�q�些�Ҏ��。只需要对 Acegi �q�行配置。同��P��?JSF 应用�E�序中，无需�~�写��M�� Java 代码�Q�也应该能够�?Acegi 实现相同的特性�?/p>
澄清误解

其他一些作者似乎认为将 Acegi �?JSF 集成需�?JSF 应用�E�序提供��d��面�Q�参�?参考资�?/a>�Q�。这�U�观点�ƈ不正��。在需要时提供��d��面�Q�这�?Acegi 的职责。确保登录页面在安全会话期间只出��C��ơ，�q�也�?Acegi 的职责。然后，�l�过�w�䆾验证和授权的用户可以讉K��一个受保护资源�Q�无需重复执行��d��q�程�?/p>
如果使用 JSF 提供��d��面�Q�将会发生两个主要的问题�Q?/p>

当需要时�Q�没有利�?Acegi 的功能提供登录页面。必��ȝ��?Java 代码实现所有逻辑来提供登录页面�?br />

臛_��需要编写一�?Java 代码��用户凭证（用户名和密码�Q�从 JSF 的登录页面移交到 Acegi�?

Acegi 的目的是避免�~�写 Java 安全代码。如果��?JSF 提供��d��面�Q�则没有实现�q�一用途，�q�且会引发一�p�d��其他 JSF-Acegi 集成问题�Q�所有这些问题都源于 “Acegi 是用来提供可配置安全�?#8221; �q�一事实。如果试图��?JSF 来完�?Acegi 的工作，��会遇到�ȝ��?/p>
本文余下部分��解释�ƈ演示独立�?Acegi �?JSF 应用�E�序开发，�q�在�E�后配置 Acegi 以保�?JSF 应用�E�序 �?无需�~�写��M�� Java 代码。首先看一�?web.xml 文�g�Q�可以部�|�该文�g保护 JSF 应用�E�序�?/p>

回页�?/strong>

部��v Acegi 保护 JSF 应用�E�序

清单 1 展示了一�?web.xml 文�g�Q�通常�U�Cؓ部��v描述�W?/em>�Q�，可以使用�q�个文�g部��v Acegi�Q�从而保护运行在 servlet 容器�Q�比�?Apache Tomcat�Q�中�?JSF 应用�E�序�Q?/p>
清单 1. 用于部��v Acegi �?servlet 容器中的 JSF �?web.xml 文�g
                        
            
            
            
            contextConfigLocation
            /WEB-INF/acegi-config.xml
            
            
            javax.faces.STATE_SAVING_METHOD
            server
            
            
            javax.faces.CONFIG_FILES
            /WEB-INF/faces-config.xml
            
            
            
            org.springframework.web.context.ContextLoaderListener
            
            
            
            
            com.sun.faces.config.ConfigureListener
            
            
            
            
            Faces Servlet
            javax.faces.webapp.FacesServlet
             1 
            
            
            
            Faces Servlet
            *.faces
            
            
            
            Acegi Filter Chain Proxy
            
            org.acegisecurity.util.FilterToBeanProxy
            
            
            targetClass
            
            org.acegisecurity.util.FilterChainProxy
            
            
            
            
            
            Acegi Filter Chain Proxy
            /*
            
            
            
注意�Q?a cmimpressionsent="1">清单 1 包含以下标记�Q?/p>

3 �? 标记
2 �? 标记
1 �? 标记
1 �? 标记
1 �? 标记
1 �? 标记

阅读该文�Ӟ��了解每个标记�?JSF-Acegi 应用�E�序中的用途�?/p>
�?Acegi �?JSF 提供上下文参�?/span>

清单 1 中的每个标记定义一个参敎ͼ��?Acegi �?JSF 在启动或执行期间使用。第一个参�?�?contextConfigLocation �?定义 Acegi �?XML 配置文�g的位�|��?/p>
JSF 需�?javax.faces.STATE_SAVING_METHOD �?javax.faces.CONFIG_FILES 参数�?code>javax.faces.STATE_SAVING_METHOD 参数指定希望在客��h��q�是服务器上存储 JSF ��面-视图状态。Sun 的参考实现的默认行�ؓ是将 JSF 视图存储在服务器上�?/p>
javax.faces.CONFIG_FILES 参数指定 JSF 需要的配置文�g的位�|�。JSF 配置文�g的详�l�信息不属于本文讨论的范��_��参见参考资�?/a>�Q�获取涉及该主题的资源链接）�?/p>
�?Acegi �?JSF 配置侦听�?/span>

现在看一�?清单 1 中的 2 �? 标记�?code> 标记定义侦听器类�Q�侦听器�c�M��听�ƈ处理 JSP �?servlet 应用�E�序启动和执行期间发生的事�g。例如：

启动 JSP �?servlet 应用�E�序�Ӟ��servlet 容器创徏一个新�?servlet 上下文。每�?JSP �?servlet 应用�E�序启动�Ӟ��׃��触发此事件�?br />

servlet 容器创徏一个新�?servlet ��h��对象。每当容器从客户机收��C��?HTTP ��h��Ӟ��此事件就会发生�?

建立一个新�?HTTP 会话。当��h��客户机徏立一个与 servlet 容器的会话时�Q�此事�g��׃��发生�?

一个新属性被��d��?servlet 上下文、servlet ��h��?HTTP 会话对象�?br />

servlet 上下文、servlet ��h��?HTTP 会话对象的一个现有属性被修改或删除�?

标记��像一�U�可扩展性机�Ӟ��允许�?servlet 容器内部�q�行的应用程序协同某些事件进行处理。servlet 规范定义了侦听器�c�Mؓ处理事�g而实现的一些接口�?/p>
例如�Q�Spring Framework 实现一�?javax.servlet.ServletContextListener servlet 接口。实现此接口�?spring �c�L�� org.springframework.web.context.ContextLoaderListener。注意，�q�是清单 1 的第一�? 标记中的侦听器类�?

�c�M��圎ͼ�JSF 实现一�?com.sun.faces.config.ConfigureListener �c�，该类实现一些事�?侦听接口。可以在清单 1 的第二个标记中找�?ConfigureListener �c�R�?/p>
本文�E�后��解释不同的事�g-侦听器接口，以及 Acegi �?JSF 事�g-侦听器类内部执行的处理（请参�?“启动 JSF-Acegi 应用�E�序” �?“处理对受 Acegi 保护�?JSF ��面的请�?/a>”�Q��?/p>
配置和映��?servlet �q��o�?/span>

现在看一�?清单 1 中的标记。在��h��?servlet 处理传入的请求之前，servlet 应用�E�序使用�q��o器对其进行预处理。在��h��执行之前�Q�Acegi 使用 servlet �q��o器对用户�q�行�w�䆾验证�?/p>
��h��?清单 1 中的标记�Q�它�? 子标记指定一�?org.acegisecurity.util.FilterToBeanProxy �c�R�?code>FilterToBeanProxy �c�L�� Acegi 的一部分。此�c�d��C��?javax.servlet.Filter 接口�Q�该接口�?servlet 应用�E�序的一部分�?code>javax.servlet.Filter 接口有一�?doFilter() �Ҏ��Q�servlet 容器在收到请求时调用该方法�?/p>
�q�需注意�Q?a cmimpressionsent="1">清单 1 �? 标记有另一个子标记 �?code> 标记指定实例�?FilterToBeanProxy �c�L��需的参数。可以从清单 1 中看出，FilterToBeanProxy �c�d��需要一个参敎ͼ�该参数是 FilterChainProxy �cȝ��一个对象�?code>FilterChainProxy �c�表�C?�W?1 部分 1 中讨论的整个 Acegi �q��o器链�Q�请参阅 “安全�q��o�?#8221; ��节�Q��?code>FilterToBeanProxy �cȝ�� doFilter() �Ҏ��使用 FilterChainProxy �c�L��?Acegi 的安全过滤器链�?/p>
清单 1 中的标记指定调用 Acegi �?FilterToBeanProxy 的请�?URL。我已经��所有的 JSF ��面映射�?Acegi �?FilterToBeanProxy。这意味着只要用户试图讉K�� JSF ��面�Q?code>FilterChainProxy doFilter() �Ҏ��׃��自动获得控制权�?/p>
配置 JSF servlet

web.xml 文�g中的标记指定希望从特�?URl 调用�?servlet�Q�在本例中是一�?JSF servlet�Q��?code> 标记定义�?URL。几乎所有的 JSP �?servlet 应用�E�序都包含这两个标记�Q�所以无需再作讨论�Q�参�?参考资�?/a>�Q�获取讨�?servlet �~�程的资源链接）�?/p>
现在�Q�您已经看到�Q�web.xml 文�g要部�|?Acegi 以保�?JSF 应用�E�序所需的所有标记。您已经了解了侦听器、过滤器�?servlet 如何�怺�协作。从�q�里的讨��Z��可以看出�Q�如果在 servlet 容器中部�|?清单 1 中的 web.xml 文�g�Q�Acegi �?JSF 都试囑֜�两种情�Ş下进行一些处理：

当启动应用程序时
当应用程序收到对 JSF ��面的请求时

接下来的两节解释每种情况中发生的一�p�d��事�g�?

回页�?/strong>

启动 JSF-Acegi 应用�E�序

�?1 展示了在 JSF-Acegi 应用�E�序启动时发生的事�g��序�Q?/p>
�?1. JSF-Acegi 应用�E�序启动时发生的事�g��序

详细来讲�Q?a cmimpressionsent="1">�?1 昄��的事仉��序如下所�C�：

servlet 容器实例化在 web.xml 文�g中配�|�的所有侦听器�?br />

servlet 容器��?Acegi �?ContextLoaderListener 注册��Z��个侦听器�c�，该类实现 javax.servlet.ServletContextListener接口�?code>ServletContextListener 接口包含两个重要�Ҏ��Q?code>contextInitialized() �?contextDestroyed()�Q?

contextInitialized() �Ҏ��在初始化 servlet 上下文时获得控制权�?
�c�M��圎ͼ�当应用程序退出时�Q?code>contextDestroyed() �Ҏ��会被调用�Q��ƈ消除 servlet 上下文�?

servlet 容器��?JSF �?ConfigureListener 注册为另一个侦听器。JSF �?ConfigureListener 实现许多侦听器接口，比如 ServletContextListener�?ServletContextAttributeListener�?ServletRequestListener�Q�以�?ServletRequestAttributeListener。您已经看到�?ServletContextListener 接口的方法。余下的接口是：

ServletContextAttributeListener�Q�它包含 3 �U�方法：attributeAdded() attributeRemoved() �?attributeReplaced()。这 3 �U�方法分别在某个属性被��d��?servlet 上下文、被�?servlet 上下文删除、被新属性取代时获得控制权�?code>attributeReplaced() �Ҏ��?处理对受 Acegi 保护�?JSF ��面的请�?/a> ��节的第 8 步中获得控制权�?br />

ServletRequestListener 中包含的�Ҏ��在创建或删除新的 servlet ��h��对象时获得控制权。servlet ��h��Ҏ��表示�q�包装来自用��L��h��?br />

ServletRequestAttributeListener 中包含的�Ҏ��在添加、删除或替换某个��h��对象的属性时获得控制权。本文稍后将讨论�?处理对受 Acegi 保护�?JSF ��面的请�?/a> ��节的第 3 步中创徏一个新的请求对象时�Q�JSF �?ConfigureListener 执行的处理�?

servlet 容器创徏一�?servlet 上下文对�?/em>�Q�该对象��装应用�E�序资源�Q�比�?JSP ��面、Java �c�d��应用�E�序初始化参敎ͼ��Q��ƈ允许整个应用�E�序讉K��q�些资源。JSF-Acegi 应用�E�序的所有其他组�Ӟ��侦听器、过滤器�Q�以�?servlet�Q�在 servlet 上下文对象中以属性的形式存储与应用程序资源相关的信息�?br />

servlet 容器通知 Acegi �?ContextLoaderListener�Q�servlet 上下文是通过调用 ContextLoaderListener �?contextInitializated() �Ҏ��初始化的�?br />

contextInitialized() �Ҏ��解析 Acegi 的配�|�文�Ӟ��?JSF-Acegi 应用�E�序创徏 Web 应用�E�序上下文，以及实例化所有的安全�q��o器和�?Acegi 配置文�g中配�|�的 Jave bean。在以后 JSF 应用�E�序收到来自客户机的��h��Ӟ��q�些�q��o器对象将会用于��n份验证和授权�Q�参�?�W?3 部分中关�?Web 应用�E�序上下文创建的讨论和图 1�Q��?

servlet 容器通知 JSF �?ConfigureListener�Q�servlet 上下文是通过调用 contextInitialized() �Ҏ��初始化的�?br />

contextInitialized() �Ҏ��查在 JSF 配置文�g中配�|�的所�?JSF 托管 bean�Q�确�?Java �c�M��每个 bean �q�存�?br />

servlet 容器��?web.xml 文�g中�Q何配�|�的�q��o器。例如，清单 1 中的 web.xml 文�g包含一�?Acegi �q��o�?FilterToBeanProxy�Q�servlet 容器��其实例化、初始化�q�注册�ؓ一个过滤器。Acegi 现在可以对传入的��h��执行�w�䆾验证和授权了�?

servlet 容器实例�?faces servlet�Q�后者开始侦听从用户传入的请求�?

下一节解�?JSF-Acegi 应用�E�序收到来自用户的请求时发生的一�p�d��事�g�?/p>

回页�?/strong>

处理对受 Acegi 保护�?JSF ��面的请�?/span>

您已�l�了解了如何配置 Acegi 保护 JSF 应用�E�序。也看到了当启动 JSF-Acegi 应用�E�序时发生的一�p�d��事�g。本节描�q�当用户发送一个对�?Acegi 保护�?JSF ��面的请求时�Q�JSF �?Acegi �l��g如何�?servlet 容器的框架中�q�行�?/p>
�?2 展示了当客户机发送一个对�?Acegi 保护�?JSF ��面的请求时�Q�发生的事�g��序�Q?/p>
�?2. JSF �?Acegi 协作提供 JSF ��面

详细来讲�Q?a cmimpressionsent="1">�?2 展示的事仉��序如下所�C�：

servlet 容器创徏一个表�C�用戯��求的 servlet ��h��对象�?br />

回想一�?启动 JSF-Acegi 应用�E�序 ��节中的�W?3 步，JSF �?ConfigureListener 实现 ServletRequestListener 接口。这意味着 ConfigureListener 侦听与创建和删除 servlet ��h��对象相关的事件。因此，servlet 容器调用 ConfigureListener �cȝ�� requestInitialized() �Ҏ��?br />

requestInitialized() �Ҏ��准备执行��h��?JSF 生命周期。准备过�E�包括检查请求的 faces 上下文是否存在。faces 上下文封装与应用�E�序资源相关的信息。faces servlet 执行 JSF 生命周期旉��要这些信息。如果此��h��是新会话的第一个请求，��׃��~�少 faces 上下文。在�q�种情况下，requestInitialized() �Ҏ��创徏一个新�?faces 上下文�?br />

servlet 容器��查用��L��h��是否带有��M��状态信息。如�?servlet 容器未找到状态信息，它会假设该请求是��C��话的�W�一个请求，�q��ؓ用户创徏一�?HTTP 会话对象。如�?servlet 容器发现该请求包含某�U�状态信息（比如一�?cookie �?URL 中的某种状态信息）�Q�它��׃��Ҏ��保存的会话信息恢复用户以前的会话�?br />

servlet 容器把请�?URL 与一�?URL 模式�q�行匚w��Q�这�?URL 模式包含在配�|�描�q�符中的标记�? 子标��C��。如果请�?URL 与这�?URL 模式匚w��Q�servlet 容器调用 Acegi �?FilterToBeanProxy�Q?code>FilterToBeanProxy 已在 �?1 的第 9 步中被注册�ؓ一�?servlet �q��o器�?br />

Acegi �?FilterToBeanProxy 使用 FilterChainProxy �c�L��?Acegi 的完整的安全�q��o器链。Acegi 的过滤器自动��查第 4 步中创徏�?HTTP 会话对象�Q�以查看��h��客户机是否已被验证。如�?Acegi 发现用户未被验证�Q�它提供一个登录页面。否则，它就直接执行 �W?2 部分 �?“配置拦截�?#8221; 一节中描述的授权过�E��?

Acegi 使用�l�过验证的用��L��会话信息更新 servlet 上下文�?br />

servlet 容器通知 JSF �?ConfigureListener �?attributeReplaced() �Ҏ��Q�servlet 上下文已被更新�?code>ConfigureListener ��查是否有��M�� JSF bean 被更攏V��如果发��C�Q何更改，它相应地更新 faces 上下文。但是，在本例中�Q�在�w�䆾验证�q�程�?Acegi 没有更改��M�� JSF 托管 bean�Q�因此在此调用期�?ConfigureListener 不进行�Q何处理�?br />

如果授权�q�程成功�Q�控制权被�{�U�d�� faces servlet�Q�它执行 JSF 生命周期�q�向用户发回一个响应�?

现在�Q�您了解�?JSF �?Acegi 如何协作提供 JSF ��h��Q�接下来看一下完成后�?JSF �?Acegi�?/p>

回页�?/strong>

�C�Z�� JSF-Acegi 应用�E�序

本文的下载部分（参见下蝲�Q�包含一个示�?JSF-Acegi 应用�E�序 JSFAcegiSample�Q�演�C�Z�� Acegi �?JSF 的简单集成。示例应用程序��?清单 1 中的 web.xml�?

要部�|�示例应用程序，执行 �W?1 部分 �?“部��v�q�运行应用程�?#8221; 一节中的两个步骤。还需要从 Sun �?JSF 站点�Q�参�?参考资�?/a>�Q�下载�ƈ解压 jsf-1_1_01.zip。将 jsf-1.1.X.zip 中的所有文件复制到 JSFAcegiSample 应用�E�序�?WEB-INF/lib 文�g夹中�?/p>
从浏览器讉K�� http://localhost:8080/JSFAcegiSample�Q�可以调用示例应用程序。JSFAcegiSample 应用�E�序昄��一个烦引页面和一个登录页面，索引��面中包含受保护资源的链接。所有受保护��面都是使用 JSF �l��g开发的�Q��?Acegi 提供��d��面�q�执行��n份验证和授权�?/p>

�l�束�?/span>

在本文中�Q�了解了如何配置 Acegi 以保�?JSF 应用�E�序。还详细了解�?JSF �?Acegi �l��g如何在一�?servlet 容器的框架中协作。最后，��试�q�行了一个示�?JSF-Acegi 应用�E�序�?/p>
关于实现 JSF 应用�E�序�?Acegi 安全性，�q�涉及到更多内容。本�p�d��的下一��文章将演示如何使用 Acegi 保护�?JSF 的托��?bean 的访问�?br />

来自: http://www.cnblogs.com/amboyna/archive/2008/03/25/1122089.html

狼爱上狸 2008-05-08 18:50 发表评论

acegi,IBM的Acegi Security System�Q?�Q?

狼爱上狸 — Thu, 08 May 2008 10:47:00 GMT

2007 �q?10 �?18 �?/p>
本文�?Acegi Security Systerm 介绍的最后一部分�Q�共三部分）�Q�Bilal Siddiqui ��向您介�l�如何保护对 Java �c�d��例的讉K��Q�从而结束本�p�d��文章。通过本文了解��Z��需要对 Java™ �cȝ��讉K��q�行保护�Q�Spring 如何创徏和保护对 Java �c�d��例的讉K��以及如何�?Acegi �q�行配置以实�?Java 应用�E�序的类安全性�?/blockquote>
�q�期共分三部分的�p�d��文章介绍了如何��?Acegi 安全�pȝ��保护 Java 企业应用�E�序。系列文章的 �W?1 部分 ��单介�l�了 Acegi �q�解释如何��用其内置的安全过滤器实现一个简单的、基�?URL 的安全系�l��?a cmimpressionsent="1">�W?2 部分介绍了如何编写访问控制策略�ƈ��其保存��C��?LDAP 目录服务器，以及如何配置 Acegi 来与目录服务器进行交互，从而实现访问控制策略。第 3 部分�Q�也是本�p�d��的最后一��文章）��演�C�如何在企业应用�E�序中��?Acegi 保护�?Java �c�d��例的讉K��?

首先我将介绍何时需要对 Java �c�访问进行保护，包括文中引用的两个典型企业应用程序场景。之后，我将解释 Spring 的反转控�Ӟ��IOC�Q�框架如何创建可�?JSP �?servlet 讉K��?Java �c�d��例。我�q�将介绍有关 bean 代理 的重要概念，Spring 正是使用它过滤对 Java �cȝ��讉K��。最后，我将介绍如何�?Acegi 的方法安全性拦截器�q�行配置以控制对 Java �cȝ��讉K��。我��对 �W?2 部分中的�C�Z��E�序�q�行增强�Q��ؓ实现安全�?Java 对象提供支持�Q�从而结束本�p�d��的最后一��文章�?

�׃��本文的讨论构建在本系列前两部分的内容之上�Q�因此会�l�常引用�?�W?1 部分 �?�W?2 部分中的讨论和示例。因此，在��l�阅��L��文之前，在其他浏览器�H�口中打开前两期文章将有助于理解本文内宏V�?/p>
保护 Java �cȝ��用例

您可能还记得�Q�我曑֜�本系列的开头部分简单介�l�了企业应用�E�序安全�?/a>。在那次讨论中我曾提到过一�U�场景，其中 URL 安全性�ƈ不能完全满��q�种场景的安全需求：

假设有这样一�?PDF 文��Q�其中包含了某制造业公司生��的特定��品的数据。文档的一部分包含了设计数据，��由公司设计部分�q�行�~�辑和更新。文��另一部分包含生��l�理��用到的生产数据。对于此�c�d��景，需要实现更加细�_�度的安全性，�Ҏ��档的不同部分应用不同的访问权限�?/blockquote>
在��l�阅��M��前，误��虑更多的应用程序场景，除了实现 URL 安全性以外，�q�些场景�q�要求您对单独的�c�访问进行保护�?/p>
业务自动�?/span>

业务自动化应用程序中的工作流由多个流�E�组成。例如，病理学实验室中执行血液测试的工作��由若干个步骤组成，其中每个步骤可看作一个业务流�E�：

工作人员从病人处采集血液样本�ƈ为其分配一�?ID�?
实验室技术�h员对��h��q�行必要的测试�ƈ准备��试�l�果�?
由具备相应资格的病理学专家根据测试结果编写测试报告�?

很明显，每个��程分别由单独的授权用户执行。未授权的用户则无权执行��程。例如，实验室研�I��h员只负责准备试验�l�果�Q�而无权编写测试报告�?/p>
几乎所有的业务自动化应用程序都普遍使用授权的业务流�E�。通常�Q�每个业务流�E�被实现��Z��?Java �c�，�q�且需要��用合适的讉K��控制�{�略�Ҏ��有类实施保护�?/p>
企业对企业（Business-to-business�Q�集�?/span>

Business-to-business (B2B) 集成指一�U�常见的场景�Q�其中的两个企业实体需要彼此公开各自的特定功能。例如，��N��可能向旅游公司公开其房间预订功能，而后者��用该功能为游客预订空闲的戉K��。作为合作伙伴的旅游公司可能��h��一个特定的订房率。在�q�个场景中，��N��的订房系�l�必��d��Ҏ��游公司进行��n份验证，然后才能允许他们讉K��所选择的类�Q�以便按照特定的订房率进行房间预订�?/p>

回页�?/strong>

使用 Spring 创徏 Java 对象

现在您已�l�了解了�?Java �cȝ��例的讉K��q�行保护的重要性。在介绍能够实现更高�U�安全性的 Acegi 新功能之前，我将引导您回��?Spring 框架的几个关键特性，您需要了解这些内�Ҏ��能��l�后文的�C�Z��?/p>
首先对一�?Java �c�进行配�|��ƈ执行实例化�?a cmimpressionsent="1">�W?1 部分曾介�l�过�Q�Java �c�d�� Spring �?XML 配置文�g中进行配�|�。在 Spring 配置文�g中配�|?Java �cȝ��q�程�?Acegi �q��o器的配置�q�程完全相同�Q�因此这里不多做介绍。相反，我们��查看清�?1�Q�它展示了名�?publicCatalog �?bean 的配�|�：

清单 1. Acegi XML 配置文�g

了解 Spring �?IOC 框架如何�?XML 配置文�g��d�� Java �c�M��息以及如何进行实例化�Q�这一炚w��帔R��要。您可能�q�记得，我在�p�d��文章�?�W?1 部分中��用一�?web.xml 文�g配置标记�Q�它指向名�ؓ ContextLoaderListener 的类�?code>ContextLoaderListener 装蝲 Spring �?IOC 框架�q�创�?Java 对象。您可以参�?�W?1 部分的清�?8 查看全部内容。图 1 也对此进行了描述�Q?/p>
�?1. 装蝲 Spring �?IOC 框架�q�创�?Java 对象

现在我们��详�l�讨��些步骤：

当初始化 Acegi 应用�E�序�Ӟ��servlet 容器�Q�本例中�?Apache Tomcat�Q�创��Z��一�?servlet 上下�?/em>�Q�其中保存了有关应用�E�序资源的信息，例如 JSP ��面和类�?br />

servlet 容器通知 ContextLoaderListener �c�d��用程序正在启动�?br />

ContextLoaderListener �c�d��Z��?Web 应用�E�序上下文以保存应用�E�序中特定于 Spring 的资源信息。借助 Spring �?IOC 框架�Q�您可以装蝲自己的自定义应用�E�序上下文。要创徏应用�E�序上下文，��用名�?ContextLoader 的上下文装蝲器类装蝲应用�E�序上下文�?br />

如果应用�E�序不需要定义自��q��应用�E�序上下文，则可以��用名�?XMLWebApplicationContext 的类�Q�它�?Spring 框架的一部分�q�提供可处理 Spring XML 配置文�g的功能。Acegi 应用�E�序使用的是 Spring �?XML 配置文�g�Q�因此本文仅讨论�?XMLWebApplicationContext �c�表�C�的应用�E�序上下文。在本例中，上下文装载器�?XMLWebApplicationContext �c�进行实例化�Q�后者表�C�您�?Acegi 应用�E�序的应用程序上下文。上下文装蝲器还�?Web 应用�E�序上下文中讄�� servlet 上下文（于步�?1 中创建）的引用�?br />

XMLWebApplicationContext �c�d�� XML 配置文�g�q�行解析�Q�获得关�?Java �cȝ��信息�q�将信息装蝲到其他内部对象中�?br />

XMLWebApplicationContext �c�d�� XML 配置文�g中指定的所�?Java �c�进行实例化�?code>XMLWebApplicationContext �c�L��?XML 配置文�g中经�q�配�|�的 Java bean 是否依赖其他�?Java 对象。如果是的话�Q?code>XMLWebApplicationContext �c�d��首先对其�?bean 所依赖�?bean �q�行实例化。通过�q�种方式�Q?code>XMLWebApplicationContext �c�d��Z�� XML 配置文�g中定义的所�?bean 的实例。（注意�Q�步�?6 假定 XML 配置文�g中所�?bean 都不要进行保护，�E�后一节将介绍步骤 5 和步�?6 之间执行的额外步骤，从而保护对此处创徏�?Java bean 的访问）�?br />

XMLWebApplicationContext �c�d��所�?bean 保存在一个数�l�中�?

您现在已了解到如何从 XML 配置文�g中装�?bean 定义�q�创�?Java �cȝ��实例。接下来�Q�我��向您介�l?Spring bean 代理�q�解释它对于保护 Java �c�d��例的重要性�?/p>

回页�?/strong>

使用 bean 代理

上一节讨��Z�� Spring �?IOC 框架�?Java 对象�q�行实例化。要保护�?Java 对象的访问，Spring �?IOC 框架使用�?bean 代理 的概��c��本节首先介�l�如何配�|?bean 代理�Q�然后演�C?Spring �?IOC 框架如何创徏代理对象�?/p>
�?Java 对象配置代理

如果希望创徏 bean 代理�Q�Spring IOC 框架要求您对代理创徏�?bean 的实例进行配�|�。Spring �?IOC 框架使用代理创徏器创��Z��理对象。清�?2 ��Z��理创建器 bean 的配�|�文�Ӟ��用于保护名�ؓ privateCatalog �?Java 对象�Q?/p>
清单 2. 代理 bean 配置

privateCatalog privateCatalogSecurityInterceptor

如清�?2 所�C�，标记��h��一�?class 属性，其��gؓ org.springframework.aop.framework.autoproxy. BeanNameAutoProxyCreator�?code>BeanNameAutoProxyCreator �c�L�� Spring IOC 框架的一部分�Q�可以自动创�?bean 代理。Spring 框架提供�?BeanPostProcessor 接口�Q�它提供了一�U�可扩展机制�Q�允许应用程序编写自��q��逻辑来创�?bean 代理。Spring �?BeanNameAutoProxyCreator �c�d��C�� BeanPostProcessor 接口�q�提供所有必需的代理创建逻辑来保�?Java �c�R��因此，本文中您无需实现 BeanPostProcessor 接口�?/p>
在创�?bean 代理�Ӟ��BeanNameAutoProxyCreator �c�Mؓ所有由 beanNames 属性定义的 bean 创徏代理�Q�参�?清单 2 �? 标记的第一�? 子元素）�?code>beanNames 属性在标记中包含一�?bean 名称列表。在清单 2 中，我只对希望�ؓ之创��Z��理的 privateCatalog bean�q�行了配�|��?/p>
现在查看清单 2 �? 标记的第二个子元素。它指定了名�?interceptorNames 的代理，它将一个或多个拦截器的名称��装��h��。我��在后文详细讨论拦截器概��c��现在，只需了解拦截器可以拦截用户�ƈ在用戯��?bean 之前实现讉K��控制�{�略�?/p>
现在�Q�您已了解了如何对希望进行保护的 bean 配置代理。接下来�Q�您��了�?Spring �?IOC 框架如何在内部�ؓ应用�E�序�?bean 创徏代理对象�?/p>
Spring IOC 发挥效用

�?“使用 Spring 创徏 Java 对象” 的步�?5 和步�?6 中，您了解了 XMLWebApplicationContext �c�d��何从 XML 配置文�g中读�?bean 定义�q��后创�?bean 实例。在创徏 bean 实例之前�Q?code>XMLWebApplicationContext �c�d��?XML 配置文�g是否包含��M��代理创徏�?bean�Q�即实现 BeanPostProcessor 接口�?bean�Q�配�|�。如果存在该 bean�Q�它��要求代理创建器为您希望�q�行保护�?bean 创徏 bean 代理�?/p>
现在考虑代理创徏器如何在内部创徏代理对象�Q?/p>

代理创徏器（�?BeanNameAutoProxyCreator �c�）装蝲清单 2 中配�|�的 beanNames 属性文件中指定的所�?bean 名称�?br />

代理创徏器��?bean 名称装蝲各自�?Java �c�，�q�些�c�M��用了每个 bean 定义�?class 属性�?br />

代理创徏器创�?清单 2 所�C�的 interceptorNames 属性中指定的拦截器的实例�?br />

最后，代理创徏器创��Z��?Cglib2AopProxy �cȝ��实例�Q�将所�?bean 名称�Q�步�?2�Q�和拦截器（步骤 3�Q�传递到 Cglib2AopProxy �c�R�?code>Cglib2AopProxy �c�L�� Spring 框架的一部分�q�用于生成动态代理对象。在本例中，Cglib2AopProxy �c�d��创徏安全 bean 讉K��控制所需的代理对象�?

Cglib2AopProxy �c�d��C��两个名�ؓ AOPProxy �?MethodInterceptor 的接口�?code>AOPProxy 接口�?Spring 框架提供�Q�表�C�您希望�q�行代理的实�?bean�Q�因此它与您�?bean 公开相同的方法�?code>MethodInterceptor 接口也源�?AOP 框架�Q�它包含的方法可以在用户试图讉K��您已执行代理�?bean 时接受控制权。这意味着 MethodInterceptor 接口处理来自用户的请求以讉K��执行�q�代理的 bean。由�?Cglib2AopProxy �c�d��时实��C�� AOPProxy �?MethodInterceptor 接口�Q�因此它提供了完整的功能�Q�既可以提供�l�过代理�?bean�Q�也可以处理用户��h��以访问代�?bean�Q�参�?参考资料小�?/a> 中有�?AOP 的讨论文章的链接�Q��?/p>
执行完前面的步骤后，您现在具有了所需的代理对象。因�?XMLWebApplicationContext �c�d��安全 bean 的代理（而不是实际的 bean�Q�保存在 “使用 Spring 创徏 Java 对象” 的步�?7 中的同一个数�l�中�?

回页�?/strong>

讉K��执行�q�代理的 Java 对象

在前面的几节中，您了解了 Spring 如何创徏公有 bean 和私�?bean。出于本文的目的�Q�您可将公有 bean 视�ؓ使用代理保护的不安全的私�?bean。现在我们来看一下客��h��应用�E�序��问公�?bean 和私�?bean 而必��遵循的一�p�d��步骤�?/p>
清单 3 展示�?publicCatalog �?privateCatalog 两个 bean �?XML 配置�?code>publicCatalog bean 意味着公共讉K��Q�因此不需要��?bean 代理�?code>privateCatalog bean 意味着只能由指定用戯��问，因此必须加以保护。我在清�?3 中包含了 privateCatalog bean �?bean 代理配置�Q?/p>
清单 3. publicCatalog �?privateCatalog bean �?XML 配置

privateCatalog privateCatalogSecurityInterceptor

应用�E�序可以使用清单 4 中的代码讉K��清单 3 中配�|�的 publicCatalog �?privateCatalog Java bean。注意，清单 4 中显�C�的 Java 代码可位�?JSP ��面或位于服务器�?Java 应用�E�序�?bean 中�?/p>
清单 4. 讉K��安全和不安全 Java bean 的客��h��应用�E�序代码

//Step 1: Fetching an instance of the application context XMLWebApplicationContext applicationCtx = WebApplicationContextUtils.getWebApplicationContext( this.getServletConfig().getServletContext()); //Step 2: Fetching an insecure bean from the application context PublicCatalog publicCatalog = (PublicCatalog) applicationCtx.getBean("publicCatalog"); //Step 3: Calling a method of the insecure bean String publicData = publicCatalog.getData(); //Step 4: Fetching a secure bean from the application context PrivateCatalog privateCatalog = (PrivateCatalog) applicationCtx.getBean("privateCatalog"); //Step 5: Calling a method of the secure bean String privateData = privateCatalog.getData();

下面��进一步讨论清�?4 中的步骤�Q?/p>

步骤 1�Q�取回一个应用程序上下文实例
当应用程序希望访�?XML 配置文�g中配�|�的 Java bean �Ӟ��它必��d��回您�?“使用 Spring 创徏 Java 对象” 的步�?4 中见到的 XMLWebApplicationContext 对象�?code>XMLWebApplicationContext 对象包含�?XML 配置文�g配置的所�?Java beans 的引用�?br />

步骤 2�Q�从应用�E�序上下文中取回不安全的 bean
您现在具有一个对 XMLWebApplicationContext 对象的引用�?code>XMLWebApplicationContext �c�d��开了一�?getBean() �Ҏ��Q�它包含 bean 的名�U��ƈ在数�l�中查找 “使用 Spring 创徏 Java 对象” 步骤 7 中准备的 bean。在本例中，�?bean �?publicCatalog�Q�未执行�q�代理）�Q�因�?XMLWebApplicationContext ��返回实际的 bean�?br />

步骤 3�Q�调用不安全 bean 的方�?/strong>
现在您可以调用步�?2 中获得的 publicCatalog bean 的�Q何方法。例如，清单 4 昄��?getData() �Ҏ��调用的执行没有应用�Q何访问控制�ƈ向应用程序返回类别数据�?br />

步骤 4�Q�从应用�E�序上下文取回安�?bean
安全 bean 与不安全 bean 的取回方式类��|��惟一区别是：当您通过调用 getBean() �Ҏ��试取回安全 bean �Ӟ��您将获得安全对象的代理而不是实际的对象。该代理��是我在 “Spring IOC 发挥效用” 步骤 4 中解释的�?Spring 框架创徏的同一个对象�?br />

步骤 5�Q�调用安�?bean 的方�?/strong>
当调用安�?bean 的方法时�Q�您�?步骤 4 中获得的代理对象��一个方法调用请求分配给拦截器。拦截器��检查试图访问方法的用户是否��h��相应的访问权�Q�从而处理方法调用请求�?

您现在应该对 Spring 框架如何创徏 Java 对象以及客户机应用程序如何与之交互有了清晰的了解。了解了�q�些内容后，��更加容易理解�ƈ利用 Acegi 的方法安全性拦截器�Q�下一节将具体介绍该主题�?/p>

回页�?/strong>

配置 Acegi 的方法安全性拦截器

只要应用�E�序试图讉K��?Acegi 安全�pȝ��保护�?bean �Ҏ��Q�请求将被自动传递到 Acegi 的方法安全性拦截器。方法安全性拦截器的作用就是控制对安全 Java bean 的方法的讉K��。拦截器使用 Acegi 的��n份验证和授权框架��认用户是否��h��权利调用安全 Java bean 的方法，然后相应��C��出响应�?/p>
清单 5 展示 Acegi 的方法安全性拦截器的示例配�|�：

清单 5. Acegi 的方法安全性拦截器的示例配�|?/strong>

sample.PrivateCatalog.getData=ROLE_HEAD_OF_ENGINEERING

清单 5 所�C�的拦截器配�|�包含三个需要进行配�|�的属性，可以保护�?Java bean 的访问：authenticationManager�?code>accessDecisionManager �?objectDefinitionSource�?/p>
回忆一下，您在本系列第 1 部分�?配置�w�䆾验证处理�q��o�?/a> 中曾�?authenticationManager 属性进行了配置�?code>authenticationManager 属性的作用是对用户�q�行�w�䆾验证�?/p>
您在本系列的�W�二��文章中了解�?accessDecisionManager 属性。这个访问决�{�管理器负责制定授权决策。在允许对一个安�?bean �q�行讉K��之前�Q�方法安全拦截器使用 authenticationManager �?accessDecisionManager 属性对用户�q�行�w�䆾验证和授权�?/p>
现在查看清单 5 中配�|�的 objectDefinitionSource 属性。它�c�M��于第 1 部分中出现的 objectDefinitionSource 属性。以前的 objectDefinitionSource 包含�c�M��?/protected/* �?/** �q�样�?URL�Q�清�?5 中的 objectDefinitionSource 属性指定类和方法名�Q�例如，sample.PrivateCatalog 是之前执行过代理的类的名�U�ͼ��?getData 是您希望对其控制用户讉K��的方法的名字�?/p>
当用戯��?PrivateCatalog bean �?getData() �Ҏ��Ӟ��控制权将自动传递给拦截器。拦截器使用 Acegi 框架��查用��L��业务角色是否�?ROLE_HEAD_OF_ENGINEERING�Q�特定于本文的示例）。如果是的话�Q�拦截器��允许对 getData() �Ҏ��q�行讉K��。如果拦截器发现用户角色不是 ROLE_HEAD_OF_ENGINEERING�Q�则拒绝讉K��?/p>
下一节将查看一个示�?Acegi 应用�E�序�Q�它��实现您目前所了解的所有概��c�?/p>

回页�?/strong>

�C�Z�� Acegi 应用�E�序

本文�?下蝲源代�?/a> 包含了一个名�?AcegiMethodSecurity 的示例应用程序，可按照以下方法进行配�|�和部��v�Q?/p>

使用用户信息填充 LDAP 服务器�?a cmimpressionsent="1">下蝲的示例应用程�?/a> 包含一�?LDIF 文�g�Q�其中含有预备装载到 LDAP 服务器的用户信息。关于如何将 LDIF 文�g导入�?LDAP 服务器，请参考第 2 部分�?“填充服务�?/a>” 一节。注意，该应用程序涉及与�W?2 部分相同的用��P��alice�?code>bob �?specialUser�Q��?br />

��本文下载源代码中的 acegiMethodSecurity.war 文�g复制�?Tomcat 安装目录中的 webapps 目录�?br />

��?Acegi �?jar 文�g复制到示例应用程序的 WEB-INF/lib 文�g夏V��（有关内容请参考第 1 部分�?“部��v和运行应用程�?/a>” 一节�?�Q?br />

下蝲 cglib-full-2.0.2.jar 文�g�q�将其复制到�C�Z��应用�E�序�?WEB-INF/lib 文�g夏V�?

启动 Tomcat �q�尝试运行示例应用程序�?/p>
�q�行�C�Z��应用�E�序

通过从浏览器讉K�� http://localhost:8080/acegiMethodSecurity URL 可调用示例应用程序。AcegiMethodSecurity 昄��的烦引页面包含两个链接（Catalog �?Login�Q�，如图 2 所�C�：

�?2. �C�Z��应用�E�序的主��面

当单��d��用程序的 Catalog 链接�Ӟ��它将要求您进行登录。如果以 alice �?specialUser 的��n份进行登录，�C�Z��应用�E�序��提�?em>完整�?/em> �c�d��Q�包括公有数据和�U�有数据。这是因为在清单 5 中，您对�Ҏ��安全性拦截器�q�行了配�|�，允许用户使用 ROLE_HEAD_OF_ENGINEERING 讉K��U�有�c�d��Q��?alice �?specialUser 都具有该讉K��权。另一斚w��Q�如果您�?bob 的��n份登录，�C�Z��应用�E�序��仅昄��公有数据�?/p>

回页�?/strong>

为通过�w�䆾验证的用户分配额外角�?/span>

本节��演�C�经�q�增强的�C�Z��应用�E�序。增强后的示例应用程序将展示 Acegi 如何使您能够在运行时向通过�w�䆾验证的用户��时分配额外角艌Ӏ?

当安�?bean�Q�例�?清单 3 �?privateCatalog bean�Q�要讉K��一个原创资源时�Q�您可能需要��用额外的角色。例如，您可能考虑到您的安�?bean 需要通过 Java �?Remote Method Invocation (RMI) 框架或一�?Web 服务讉K��某个�q�程应用�E�序。访问安�?bean 的用户不会占用远�E�应用程序要求访问用��h��具备的业务角艌Ӏ?/p>
在本例中�Q�Acegi 首先��查用��h��否经�q�授权来讉K��安全 bean。之后，Acegi 允许用户讉K��安全 bean。当安全 bean 试图讉K��q�程服务�Ӟ��它需要��用额外的业务角色。如果访问安�?bean 的用户不具备额外角色�Q�安�?bean ��׃��能成功访问远�E�服务�?/p>
run-as-replacement 机制

Acegi 框架提供了一�U�名�?run-as-replacement 的简单机�Ӟ��允许您仅在方法调用期间�ؓ通过�w�䆾验证的用户配�|�一个或多个额外角色。您可以使用 run-as-replacement 机制��问远�E�应用程序的安全 bean 配置额外角色。这意味着只要安全 bean 需要访问远�E�应用程序，Acegi ��ؓ用户装蝲额外角色�Q�从而允许安�?bean 讉K��q�程应用�E�序�?/p>
清单 6 �?清单 5 中的�Ҏ��安全性拦截器的配�|�进行了增强。增强后的配�|��用了 run-as-replacement 机制�?/p>
清单 6. Acegi �Ҏ��安全性拦截器的增强配�|?/strong>

myKeyPass sample.PrivateCatalog.getData=ROLE_HEAD_OF_ENGINEERING,RUN_AS_MANAGER

清单 6 使用�_�体昄��了两处增强（�?清单 5 相比�Q�。第一处增��Zؓ runAsManager 属性�?code>runAsManager 属性的作用是向通过�w�䆾验证的用户动态添加角艌Ӏ�出于这个目的，runAsManager 属性包含了 RunAsManagerImpl bean 的定义�?code>RunAsManagerImpl bean 只有在满��下面的条�g时才可变为活跃状态：�?objectDefinitionSource �Ҏ��的角色定义中扑ֈ��?RUN_AS_ 为前�~�的角艌Ӏ�例如，PrivateCatalog.getData() �Ҏ��的角色定义（清单 6 中以�_�体昄��的第二处增强�Q�具有一�?RUN_AS_MANAGER 角色�?/p>
RunAsManagerImpl bean 包含一个名�?key 的属性，它封装的加密键用于确保只��额外的角色作�ؓ run-as-replacement �E�序的一部分生成�?/p>
当用戯��?getData() �Ҏ��Ӟ��RunAsManagerImpl bean 变�ؓ�z�跃状态�ƈ创徏名�ؓ RUN_AS_MANAGER 的额外角�Ԍ��从而启�?getData() �Ҏ��讉K��q�程应用�E�序�?/p>
增强的方法安全�?/span>

本文�?下蝲源代�?/a> 包含一个名�?EnhancedAcegiMethodSecurity 的示例应用程序，它可以演�C?run-as-replacement 机制和程序。该应用�E�序��显�C�Z��个具�?Catalog 链接的烦引页面。如果单�?Catalog 链接�Q�将要求�q�行��d��?/p>
��d��后，EnhancedAcegiMethodSecurity 应用�E�序��ؓ您提供登录用户及其角色的完整信息。例如，如果�?alice �?specialUser �w�䆾��d��Q�将向您昄��用户的所有业务角�Ԍ��包括额外创徏的��时的 RUN_AS_MANAGER 角色�?/p>
�l�束�?/span>

在这份共分三部分的系列文章中�Q�我介绍了如何��?Acegi 安全�pȝ��增强��Z�� URL 的安全性和��Z��Ҏ��的安全性。您了解了如何设计访问控制策略�ƈ��它们托��在目录服务器中�Q�如何对 Acegi �q�行配置以与目录服务器进行通信�Q�以及如何根据托��在服务器的讉K��控制�{�略制定�w�䆾验证和授权决�{��?/p>
本系列的最后一��文章主要介�l��用基于方法的安全性保�?Java �c�d��例。文章还解释�?Acegi �?Spring 如何在内部创建和代理 Java 对象以及 bean 代理如何实现讉K��控制。文章包含了两个�C�Z��应用�E�序�Q�您可以使用它们�q�一步研�I�本�p�d��中学到的概念�Q�更多有关��?Acegi 保护 Java 应用�E�序的内容，请参�?参考资�?/a> ��节�?/p>

来自:http://www-128.ibm.com/developerworks/cn/java/j-acegi3/?

狼爱上狸 2008-05-08 18:47 发表评论

acegi,IBM的Acegi Security System�Q?�Q?

狼爱上狸 — Thu, 08 May 2008 10:43:00 GMT

2007 �q?6 �?21 �?/p>
了解�?Acegi 安全�pȝ��Q�Acegi Security System�Q�的基础知识后，我们��介�l�该�pȝ��的更加高�U�的应用。在本文中，Bilal Siddiqui 向您展示了如何结合��?Acegi 和一�?LDAP 目录服务器，实现灉|��的具有高性能�?Java™ 应用�E�序的安全性。还��了解如何编写访问控制策略�ƈ��其存储�?ApacheDS 中，然后配置 Acegi 使其与目录服务器交互�Q�从而实现��n份验证和授权的目的�?/blockquote>
�q�期共分三部分的�p�d��文章介绍了如何��?Acegi 安全�pȝ��保护 Java 企业应用�E�序。在本系列第一��文�?/a> 中，我介�l�了 Acegi �q�解释了如何使用安全�q��o器实��C��个简单的��Z�� URL 的安全系�l�。在�W�二��文章中�Q�我��讨�?Acegi 的更加高�U�的应用�Q�首先我��编写一个访问控制策略�ƈ��其存储�?ApacheDS 中，ApacheDS 是一个开源的 LDAP 目录服务器。我�q�将展示配置 Acegi 的方法，使它能够与目录服务器交互�q�实现您的访问控制策略。本文的�l�尾提供了一个示例应用程序，它��?ApacheDS �?Acegi 实现了一个安全的讉K��控制�{�略�?/p>
实现讉K��控制�{�略通常包含两个步骤�Q?/p>

��有关用户和用户角色的数据存储在目录服务器中�?
�~�写安全代码�Q�它��定义有权访问�ƈ使用数据的�h员�?

Acegi ��减��M��码编写的工作�Q�因此在�q�篇文章中，我将展示如何��用户和用户角色信息存储�?ApacheDS 中，然后实现�q�些信息的访问控制策略。在该系列的最后一��文章中�Q�我��展�C�如何配�|?Acegi�Q�实现对 Java �cȝ��安全讉K��?

您可以在本文的�Q何位�|?下蝲样例应用�E�序。参�?参考资�?/a> 下蝲 Acegi、Tomcat �?ApacheDS�Q�您需要��用它们运行样例代码和�C�Z��应用�E�序�?/p>
LDAP 基础知识

轻量�U�目录访问协议（Lightweight Directory Access Protocol�Q�LDAP�Q�可能是最��行的一�U�定义数据格式的协议�Q�它针对常见的目录操作，例如对存储在目录服务器中的信息执行的��d��、编辑、搜索和删除操作。本节将��要解释�ؓ什么目录服务器是属性文件存储安全信息的首选，�q�展�C�如何在 LDAP 目录中组�l�和托管用户信息�?

��Z��么要使用目录服务器？

本系列第一部分向您介绍了一�U�简单的�Ҏ��Q�可以将用户信息以属性文件的形式保存��h��Q�参�?�W?1 部分�Q�清�?6�Q�。属性文件以文本格式保存用户名、密码和用户角色。对于大多数真实应用�E�序而言�Q��用属性文件存储安全信息远�q�不够。各�U�各��L��理由表明�Q�目录服务器通常都是更好的选择。其中一个原因是�Q�真实的企业应用�E�序可以被大量用戯��?—�?通常是几千名用户�Q�如果应用程序将光��分功能公开�l�用户和供应商时更是如此。频�J�搜索文本文件中随意存储的信息，�q�样做的效率�q�不高，但是目录服务器对�q�类搜烦�q�行了优化�?

�W?1 部分的清�?6 中的属性文件演�C�Z��另一个原因，该文件组合了用户和角艌Ӏ�在真实的访问控制应用程序中�Q�您通常都需要分别定义和�l�护用户和角色信息，�q�样做可以简化用户库的维护。目录服务器为更�Ҏ��更新用户信息提供了极大的灉|��性，例如�Q�反映职位升�q�或新聘用�h员。参�?参考资�?/a> 以了解更多关于目录服务器的��用及其优点的信息�?/p>
LDAP 目录讄��

如果希望��用户信息存储在一�?LDAP 目录中，您需要理解一些有关目录设�|�的内容。本文�ƈ没有提供�?LDAP 的完整介�l�（参见参考资�?/a>�Q�，而是介绍了一些在��试�l�合使用 Acegi �?LDAP 目录之前需要了解的基本概念�?

LDAP 目录以节�Ҏ��的�Ş式存储信息，如图 1 所�C�：

�?1. LDAP 目录的树状结�?/strong>

在图 1 中，根节点的名称�?org。根节点可以��装与不同企业有关的数据。例如，本系列第 1 部分开发的刉��业企业被显�C�Zؓ org 节点的直接子节点。该刉��业企业��h��两个名�ؓ departments �?partners 的子节点�?/p>
partners 子节点封装了不同�c�d��的合作伙伴。图 1 所�C�的三个分别�?customers�?code>employees �?suppliers。注意，�q�三�U�类型的合作伙伴其行��Z��企业�pȝ��用户一栗��每一�U�类型的用户所扮演的业务角色不同，因此讉K��pȝ��的权利也不同�?

�c�M��圎ͼ�departments 节点包含该制造业企业的不同部门的数据 —�?例如 engineering �?marketing 字节炏V��每个部门节点还包含一�l�或多组用户。在 �?1 中，engineers �l�是 engineering 部门的子节点�?/p>
假设每个部门的子节点表示一�l�用戗��因此，部门节点的子节点��h��不同的用��h��员。例如，设计部门的所有工�E�师都是 engineering 部门�?engineers �l�的成员�?/p>
最后，注意 �?1 �?departments 节点的最后一个子节点�?code>specialUser 是一名用��P��而非一�l�用戗��在目录讄��中，�?alice �?bob 之类的用户一般都包含�?partners 节点中。我��这个特�D�用户包含在 departments 节点中，以此证明 Acegi 允许用户位于 LADP 目录中�Q何地点的灉|��性。稍后在本文中，您将了解如何配置 Acegi 以应�?specialUser�?/p>
使用专有名称

LDAP 使用专有名称�Q�DN�Q�的概念来识�?LDAP 树上特定的节炏V��每个节点具有惟一�?DN�Q�它包含该节点完整的层次�l�构信息。例如，�?2 展示了图 1 中的一些节点的 DN�Q?/p>
�?2. LDAP 目录节点的专有名�U?/strong>

首先�Q�注意图 2 中根节点�?DN。它�?DN �?dc=org�Q�这是与 org 根节点相关的属性值对。每个节炚w��有若�q�个与之相关的属性�?code>dc 属性代�?“domain component” �q�由 LDAP RFC 2256 定义�Q�参�?参考资�?/a> 中有兛_��?RFC 文��的链接）�Q�LDAP 目录中的根节炚w��常表示��Z��个域�l��g�?/p>
每个 LDAP 属性是�?RFC 定义的。LDAP 允许使用多个属性创��Z��?DN�Q�但是本文的�C�Z��只��用了以下 4 个属性：

dc�Q�域�l��g�Q?
o�Q�组�l�）
ou�Q�组�l�单元）
uid�Q�用�?ID�Q?

�C�Z��使用 dc 表示域，�?o 表示�l�织名称�Q?code>ou 表示�l�织的不同单元，�?uid 表示用户�?/p>
�׃�� org 是根节点�Q�其 DN 只需指定自��n的名�U�ͼ�dc=org�Q�。比较一下，manufacturingEnterprise 节点�?DN �?o=manufacturingEnterprise,dc=org。当向下�U�d��节点树时�Q�每个父节点�?DN 被包含在其子节点�?DN 中�?

��属性分�l?/span>

LDAP ��相关的属性类型分到对象类中。例如，名�ؓ organizationalPerson 的对象类所包含的属性定义了在组�l�内工作的�h员（例如�Q�职�U�、常用名、邮寄地址�{�等�Q��?

对象�c�M��用��承特性，�q�意味着 LDAP 定义了基�c�L��保存常用属性。然后子�c�d��对基�c�进行扩展，使用其定义的属性。LDAP 目录中的单个节点可以使用若干个对象类�Q�本文的�C�Z��使用了以下几个对象类�Q?

top 对象�c�L�� LDAP 中所有对象类的基�c�R�?br />

当其他对象类都不适合某个对象�Ӟ��?domain 对象�c�R��它定义了一�l�属性，��M��一个属性都可以用来指定一个对象。其 dc 属性是强制性的�?br />

organization 对象�c�表�C�组�l�节点，例如 �?2 中的 manufacturingEnterprise�?br />

organizationalUnit 对象�c�表�C�组�l�内的单元，例如 �?1 中的 departments 节点及其子节炏V�?

groupOfNames 对象�c�表�C�Z��l�名�U�ͼ�例如某部门职员的名称。它��h��一�?member 属性，该属性包含一个用户列表�?a cmimpressionsent="1">�?1 中所有的�l�节点（例如 engineers 节点�Q��?member 属性指定该�l�的成员。而且�Q�示例��?groupOfNames 对象�cȝ�� ou�Q�组�l�单元）属性指定组用户的业务角艌Ӏ?br />

organizationalPerson 对象�c�表�C�组�l�内某个职员�Q�例�?�?1 中的 alice 节点�Q��?

回页�?/strong>

使用 LDAP 服务�?/span>

在真实的应用�E�序中，通常��有关系�l�用��L��大量信息托管在一�?LDAP 目录中。例如，��存储每个用��L��用户名、密码、职�U�、联�p�L��式和工资信息。�ؓ��单�v见，下面的例子将只向您展�C�如何保存用户名和密码�?

如前所�q�ͼ��C�Z��使用 ApacheDS�Q�一�U�开源的 LDAP 目录服务器）演示�?Acegi 是如何��?LDAP 目录的。示例还使用了一个开源的 LDAP 客户机（名�ؓ JXplorer�Q�执行简单的目录操作�Q�例如将信息托管�?ApacheDS 上。参�?参考资�?/a> 以下�?ApacheDS、JXplorer �q�了解更多有关两者协作的信息�?

�?ApacheDS 创徏一个根节点

要创�?�?1 所�C�的节点树，必须首先�?ApacheDS 中创��Z��个根节点 org。ApacheDS 为此提供了一�?XML 配置文�g。XML 配置文�g定义了一�l�可�q�行配置�?bean�Q�从而根据应用程序的需求定制目录服务器的行为。本文只解释创徏根节�Ҏ��需的配�|��?/p>
可以�?ApacheDS 安装中的 conf 文�g�Ҏ��到名�?server.xml �?XML 配置文�g。打开文�g后，会发现很�?bean 配置�c�M��?Acegi 的过滤器配置。查扑֐��?examplePartitionsConfiguration �?bean。该 bean 控制 ApacheDS 上的分区。当创徏新的根节�Ҏ��Q�实际上��在 LDAP 目录上创��Z��个新的分区�?/p>
�~�辑 examplePartitionConfiguration bean 以创�?org 根节点，如清�?1 所�C�：

清单 1. �~�辑模式�?examplePartitionConfiguration bean 配置

dc=org objectClass: top objectClass: domain dc: org

清单 1 �~�辑�?examplePartitionConfiguration bean 的两个属性：

一个属性名�?suffix�Q�它定义�Ҏ��目的 DN�?br />

另一个属性名�?contextEntry�Q�定�?org 节点��用的对象�c�R��注意，org 根节点��用两个对象类�Q?code>top �?domain�?

本文�?源代码下�?/a> 部分包含了编辑模式的 server.xml 文�g。如果希望��l�学习本�C�Z��Q�请��?server.xml 文�g从源代码中复制到您的 ApacheDS 安装目录中的正确位置�Q�即 conf 文�g夏V�?/p>
�?3 所�C�的屏幕截图展示了在 ApacheDS 中创建根节点后，JXplorer 是如何显�C��根节点的�Q?/p>
�?3. JXplorer 昄��根节�?/strong>

填充服务�?/span>

讄�� LDAP 服务器的下一步是使用用户和组信息填充服务器。您可以使用 JXplorer �?ApacheDS 中逐个创徏节点�Q�但是��?LDAP Data Interchange Format (LDIF) 填充服务器会更加方便。LDIF 是可被大多数 LDAP 实现识别的常见格式。developerWorks 文章很好��C��l�了 LDIF 文�g的内容，因此本文��不再做详细说明。（参见参考资�?/a> 中有�?LDIF 的详�l�资料。）

您可以在源代码下�?/a> 部分查看 LDIF 文�g�Q�它表示 �?1 所�C�的用户和部门。您可以使用 JXplorer ��?LDIF 文�g导入�?ApacheDS。要导入 LDIF 文�g�Q�在 JXplorer 中��?LDIF 菜单�Q�如�?4 所�C�：

�?4. ��?LDIF 文�g导入�?ApacheDS

��?LDIF 文�g导入�?ApacheDS 之后�Q�JXplorer ��显�C�用戯��点和部门节点树，�?�?1 所�C�。现在您可以开始配�|?Acegi�Q��其能够与您的 LDAP 服务器通信�?/p>

回页�?/strong>

�?LDAP 实现配置 Acegi

回想一下第 1 部分�Q�其�?Acegi 使用�w�䆾验证处理�q��o器（Authentication Processing Filter�Q�APF�Q�进行��n份验证。APF 执行所有后端��n份验证处理�Q务，例如从客��h��h��中提取用户名和密码，从后端用户库��d��用户参数�Q�以及��用这些信息对用户�q�行�w�䆾验证�?/p>
您在�W?1 部分中�ؓ属性文件实现配�|�了 APF�Q�现在您已将用户库存储在 LDAP 目录中，因此必须使用不同的方式配�|�过滤器来和 LDAP 目录�q�行通信。首先看一下清�?2�Q�它展示了在�W?1 部分中的 “Authentication Processing Filter” 一节中如何为属性文件实现配�|?APF �q��o器：

清单 2. 为属性文仉��|?APF

查看一下清�?2�Q�您曄��?APF 提供�?4 个参数。您只需�?LDAP 服务器中为存储重新配�|�第一个参敎ͼ�authenticationManager�Q�即可。其他三个参��C��持不变�?/p>
配置�w�䆾验证��理�?/span>

清单 3 展示了如何配�|?Acegi 的��n份验证管理器�Q�以实现�?LDAP 服务器的通信�Q?/p>
清单 3. �?LDAP 配置 Acegi 的��n份验证管理器

在清�?3 中，org.acegisecurity.providers.ProviderManager 是一个管理器�c�，它管�?Acegi 的��n份验证过�E�。�ؓ此，�w�䆾验证��理器需要一个或多个�w�䆾验证提供者。您可以使用��理�?bean 的提供者属性来配置一个或多个提供者。清�?3 只包含了一个提供者，�?LDAP �w�䆾验证提供者�?

LDAP �w�䆾验证提供者处理所有与后端 LDAP 目录的通信。您必须对其�q�行配置�Q�下一节内容将讨论该主题�?

配置 LDAP �w�䆾验证提供�?/span>

清单 4 展示�?LDAP �w�䆾验证提供者的配置�Q?

清单 4. 配置 LDAP �w�䆾验证提供�?/strong>

注意 LDAP �w�䆾验证提供者类的名�U�Cؓ org.acegisecurity.providers.ldap.LdapAuthenticationProvider 。其构造函数包含两个参敎ͼ�使用两个标记的�Ş式，如清�?4 所�C��?/p>
LdapAuthenticationProvider 构造函数的�W�一个参数是 authenticator�Q�该参数通过��查用��L��用户名和密码�?LDAP 目录的用戯��行��n份验证。完成��n份验证后�Q�第二个参数 populator ��从 LDAP 目录中检索有兌��用户的访问权限（或业务角�Ԍ��信息�?

以下��节��向您展�C�如何配�|�验证器和填充器 bean�?

回页�?/strong>

配置验证�?/span>

authenticator bean ��检查具有给定用户名和密码的用户是否存在�?LDAP 目录中。Acegi 提供了名�?org.acegisecurity.providers.ldap.authenticator.BindAuthenticator 的验证器�c�，它将执行验证用户名和密码所需的功能�?/p>
配置 authenticator bean�Q�如清单 5 所�C�：

清单 5. 配置验证�?bean

uid={0},ou=employees,ou=partners uid={0},ou=customers,ou=partners uid={0},ou=suppliers,ou=partners

在清�?5 中，BindAuthenticator 构造函数具有一个参敎ͼ�使用标记的�Ş式。清�?5 中参数的名称�?initialDirContextFactory。该参数实际上是另一�?bean�Q�稍后您��学习如何配�|�该 bean�?/p>
目前为止�Q�只知道 initialDirContextFactory bean 的作用就是�ؓ�E�后的搜索操作指定初始上下文。初始上下文是一�?DN�Q�它指定�?LDAP 目录内某个节炏V��指定初始上下文后，��在该节点的子节点中执行所有的搜烦操作�Q�例如查扄��定用��P��?/p>
例如�Q�回�?�?2 中查�?partners 节点�Q�它�?DN �?ou=partners,o=manufacturingEnterprise,dc=org。如果将 partners 节点指定为初始上下文�Q�Acegi ��只�?partners 节点的子节点中查扄��戗��?

指定 DN 模式

除配�|?BindAuthenticator 构造函数外�Q�还必须配置 authenticator bean 的两个属性（清单 5 中的两个标记�Q��?/p>
�W�一�? 标记定义了一�?userDnPatterns 属性，它封装了一个或多个 DN 模式列表�?em>DN 模式 指定了一�l�具有类似特性的 LDAP 节点�Q�例�?�?2 所�C�的 employees 节点的所有子节点�Q��?/p>
Acegi 的��n份验证器�?authenticator bean �?userDnPatterns 属性中配置的每�?DN 模式构造了一�?DN。例如，查看清单 5 中配�|�的�W�一个模式，�?uid={0},ou=employees,ou=partners。在�q�行�w�䆾验证的时候，authenticator bean 使用用户提供的用户名�Q�比�?alice�Q�替换了 {0}。��用用户名取代�?{0} 之后�Q�DN 模式��变为相�?DN�Q�RDN�Q?code>uid=alice,ou=employees,ou=partners�Q�它需要一个初始上下文才能成�ؓ DN�?/p>
例如�Q�查�?�?2 中的 alice's 条目。该条目�?employees 节点的第一个子节点。它�?DN �?uid=alice,ou=employees,ou=partners,o=manufacturingEnterprise, dc=org。如果��?o=manufacturingEnterprise,dc=org 作�ؓ初始上下文�ƈ��其��d��?RDN uid=alice,ou=employees,ou=partners 之后�Q�将获得 alice �?DN�?/p>
使用�q�种�Ҏ��通过 DN 模式构徏了用��L�� DN 后，authenticator ��把 DN 和用户密码发送到 LDAP 目录。目录将��查该 DN 是否��h��正确的密码。如果有的话�Q�用户就可以通过�w�䆾验证。这个过�E�在 LDAP 术语中被�U�Cؓ bind �w�䆾验证。LDAP �q�提供了其他�c�d��的��n份验证机�Ӟ��但是本文的示例只使用�?bind �w�䆾验证�?/p>
如果目录中�ƈ没有�W�一�?DN 模式创徏�?DN�Q?code>authenticator bean ��试使用列表中配�|�的�W�二�?DN 模式。依此类推，authenticator bean ��尝试所有的 DN 模式来�ؓ�q�行�w�䆾验证的用��h��造正��的用户 DN�?/p>
搜烦�q��o�?/span>

回想一下较早的章节 “LDAP 目录讄��”�Q�我在将用户信息存储�?LDAP 目录时添加了一点灵�z�L��。方法是�?�?1 所�C�的 departments 节点内创��Z��个特定用��P��specialUser�Q��?/p>
如果试图使用清单 5 中配�|�的��M��一�U?DN 模式创徏特定用户�?DN�Q�您会发现没有一�U?DN 模式可用。因此，当用户尝试登录时�Q�Acegi �?authenticator bean ��不能够构造正��的 DN�Q�从而无法对该用戯��行��n份验证�?/p>
通过允许您指定搜索过滤器�Q�Acegi 能够处理�c�M��的特�D�情��c��n份验证器 bean 使用搜烦�q��o器查找不能够通过 DN 模式构�?DN �q�行�w�䆾验证的用戗��?

清单 5 中的�W�二�? 标记��h��一�? 子标讎ͼ�它引用名�?userSearch �?bean�?code>userSearch bean 指定搜烦查询。清�?6 展示了如何配�|?userSearch bean 来处理特定用��P��

清单 6. 配置搜烦查询以搜索特定用�?/strong>

ou=departments (uid={0}) true

搜烦查询的参�?/strong>

清单 6 展示�?userSearch bean �?org.acegisecurity.ldap.search.FilterBasedLdapUserSearch �cȝ��一个实例，该类的构造函数具有三个参数。第一个参数指�?authenticator 在哪个节点中搜烦用户。第一个参数的��gؓ ou=departments�Q�该值是一�?RDN�Q�指定了 �?2 所�C�的 departments 节点�?/p>
�W�二个参�?(uid={0}) 指定了一个搜索过滤器。由于��?uid 属性指定用��P��因此可以通过查找 uid 属性具有特定值的节点来查扄��戗��正如您所料，花括号里面的 0 �?Acegi 表示使用�q�行�w�䆾验证的用��L��用户名（本例中�ؓ specialUser�Q�替�?{0}�?

�W�三个参数是对讨�?清单 5 中的 BindAuthenticator 构造函数时引入的相同初始上下文的引用。回想一下，当指定了初始上下文后�Q�稍后将在该初始上下文节点的子节点内�q�行所有的搜烦操作。注意，应将指定�?清单 5 中第一个参敎ͼ�ou=departments�Q�的值的 RDN 前加到初始上下文�?/p>
除了�q�三个构造器参数�Q�清�?6 所�C�的 userSearch bean �q�具有一个名�?searchSubtree 的属性。如果将其值指定�ؓ true�Q�搜索操作将包括节点的子树（��x��有子节点、孙节点、孙节点的子节点�{�）�Q�该节点被指定�ؓ构造函数的�W�一个参数的倹{�?

authenticator bean 的配�|�完成后�Q�下一步将查看 populator bean 的配�|�，�?清单 4 所�C��?/p>

回页�?/strong>

配置 populator

populator bean ��读取已�l�通过 authenticator bean �w�䆾验证的用��L��业务角色。清�?7 展示 populator bean �?XML 配置�Q?/p>
清单 7. populator bean �?XML 配置

ou=departments ou true

在清�?7 中，populator bean 的构造函数包�?2 个参敎ͼ�以及一�?groupRoleAttribute 属性。构造函数的�W�一个参数指定了 populator bean 用来��d��l�过验证用户的业务角色的初始上下文。�ƈ不强制要�?authenticator �?populator bean 使用相同的初始上下文。您可以��两者分别配�|�一个初始上下文�?/p>
�W�二个构造函数参数指定了 populator 前加到初始上下文�?RDN。因此，RDN �l�成了包含组用户的节点的 DN�Q�例�?departments 节点�?/p>
populator bean �?groupRoleAttribute 属性指定了持有�l�成员业务角色数据的属性。回�?讄�� LDAP 目录一节中�Q�您��每�l�用��L��业务角色信息存储在名�?ou 的属性中。然后将 ou 讄��?groupRoleAttribute 属性的��|��?清单 7 所�C��?

如您所料，populator bean ��搜索整�?LDAP 目录来查扄��q�验证的用户所属的�l�节炏V��然后读取组节点�?ou 属性的��|��获取用户�l�过授权的业务角艌Ӏ?/p>
�q�样��完成了 populator bean 的配�|�。目前�ؓ止，我们在三个位�|��用了初始上下文：清单 5�?a cmimpressionsent="1">清单 6 �?清单 7。接下来��了解如何配�|�初始上下文�?/p>
配置初始上下�?/span>

清单 8 展示了在 Acegi 中配�|�初始上下文的过�E�：

清单 8. 初始上下文的 XML 配置

cn=manager,o=manufacturingEnterprise,dc=org secret

清单 8 �?Acegi 的初始上下文�cȝ��名称�?org.acegisecurity.ldap.DefaultInitialDirContextFactory�Q�这�?Acegi 包含的工厂类。Acegi 在内部��用该�c�L��造其他处理目录操作（例如在整个目录中搜烦�Q�的�cȝ��对象。当配置初始上下文工厂时�Q�必��L��定以下内容：

��您�?LDAP 目录和根目录节点的网�l�地址指定为构造函数的参数。在初始上下文配�|�的节点��作为根节点。就是说所有后�l�操作（例如 search�Q�都��在根节点定义的子树中执行�?br />

��?DN 和密码分别定义�ؓ managerDn �?managerPassword 属性。在执行��M��搜烦操作之前�Q�Acegi 必须使用目录服务器对 DN 和密码进行��n份验证�?

您已�l�了解了如何��用户库托管�?LDAP 目录中，以及如何配置 Acegi 来��用来�?LDAP 目录的信息对用户�q�行�w�䆾验证。下一节将�q�一步介�l?Acegi 的��n份验证处理过滤器�Q�了解新配置�?bean 是如何管理��n份验证过�E�的�?/p>

回页�?/strong>

�w�䆾验证和授�?/span>

APF 配置完成后，��能够与 LDAP 目录�q�行通信来对用户�q�行�w�䆾验证。如果您阅读�q�第 1 部分�Q�那么对与目录通信�q�程�?APF 执行的一些步骤不会感到陌生，我在�W?1 部分中向您展�C�Z��q��o器如何��用不同的服务�q�行用户�w�䆾验证。图 5 所�C�的序列表与您在 �W?1 部分�?3 看到的非常类��|��

�?5. APF 对一�?LDAP 用户�q�行�w�䆾验证

无论 APF 使用属性文件进行内部的�w�䆾验证�q�是�?LDAP 服务器进行通信�Q�步�?1 到步�?9 与第 1 部分是相同的。这里简单描�q�C��?9 个步骤，您可以从步骤 10 开始��l�学习特定于 LDAP 的事�Ӟ��

�q��o器链前面的过滤器��请求、响应和�q��o器链对象传递给 APF�?br />

APF 使用取自��h��对象的用户名、密码和其他信息创徏一个��n份验证标记�?br />

APF ��n份验证标��C��递给�w�䆾验证��理器�?br />

�w�䆾验证��理器可能包含一个或多个�w�䆾验证提供者。每个提供者恰好支持一�U��n份验证类型。管理器��检查哪一�U�提供者支持从 APF 接收到的�w�䆾验证标记�?

�w�䆾验证��理器将�w�䆾验证标记传递给适合该类型��n份验证的提供者�?

�w�䆾验证提供者从�w�䆾验证标记中提取用户名�q�将其传递到名�ؓ user cache service 的服务。Acegi �~�存了已�l�进行过�w�䆾验证的用戗��该用户下次��d��Ӟ��Acegi 可以从缓存中加蝲他或她的详细信息�Q�比如用户名、密码和权限�Q�，而不是从后端数据存储中读取数据。这�U�方法��得性能得到了改善�?br />

user cache service ��查用��L��详细信息是否存在于缓存中�?br />

user cache service ��用��L��详细信息�q�回�l��n份验证提供者。如果缓存不包含用户详细信息�Q�则�q�回 null�?br />

�w�䆾验证提供者检查缓存服务返回的是用��L��详细信息�q�是 null�?br />

从这里开始，�w�䆾验证处理��特定于 LDAP�?/strong> 如果�~�存�q�回 null�Q�LDAP �w�䆾验证提供者将把用户名�Q�在步骤 6 中提取的�Q�和密码传递给清单 5 中配�|�的 authenticator bean�?br />

authenticator ��用在清单 5 �?userDnPatterns 属性中配置�?DN 模式创徏用户 DN。通过从一�?DN 模式中创��Z��?DN�Q�然后将�?DN 和用户密码（从用戯��求中获得�Q�发送到 LDAP 目录�Q�它��逐一��试所有可用的 DN 模式。LDAP 目录��检查该 DN 是否存在以及密码是否正确。如果其中�Q何一�?DN 模式可行的话�Q�用戯��l�定�?LDAP 目录中，authenticator ��l�执行步�?15�?

如果��M��一�U?DN 模式都不能工作的话（�q�意味着�?DN 模式指定的�Q何位�|�都不存在��用给定密码的用户�Q�，authenticator �Ҏ�� 清单 6 配置的搜索查询在 LDAP 目录中搜索用戗��如�?LDAP 目录没有扑ֈ�用户�Q�那么��n份验证以��p�|告终�?br />

如果 LDAP 目录查找��C��用户�Q�它��用��L�� DN �q�回�?authenticator�?br />

authenticator ��用�?DN 和密码发送到 LDAP 目录来检查用户密码是否正��。如�?LDAP 目录发现用户密码是正��的�Q�该用户��被�l�定�?LDAP 目录�?br />

authenticator ��用户信息发送回 LDAP �w�䆾验证提供者�?br />

LDAP �w�䆾验证提供者将控制权传递给 populator bean�?br />

populator 搜烦用户所属的�l��?br />

LDAP 目录��用戯��色信息返回给 populator�?br />

populator ��用戯��色信息返回给 LDAP �w�䆾验证提供者�?br />

LDAP �w�䆾验证提供者将用户的详�l�信息（以及用户业务角色信息�Q�返回给 APF。用��L��在成功进行了�w�䆾验证�?

不论使用何种�w�䆾验证�Ҏ��Q�最后三个步骤是相同的（步骤21�?1 �?23�Q��?/p>
配置拦截�?/span>

您已�l�了解了 APF 对用戯��行��n份验证的步骤。接下来是查看成功进行��n份验证的用户是否被授权访问所��h��的资源。这��Q务由 Acegi 的拦截过滤器�Q�Interceptor Filter�Q�IF�Q�完成。本节将向您展示如何配置 IF 来实现访问控制策略�?

回想一下在 �W?1 部分的清�?7 中配�|?IF 的步骤。拦截过滤器在资源和角色之间建立映射�Q�就是说只有具备必要角色的用��h��能访问给定资源。�ؓ了演�C�制造业企业中不同部门的业务角色�Q�清�?9 向现有的 IF 配置��d��了另外的角色�Q?/p>
清单 9. 配置拦截�q��o�?/strong>

CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /protected/engineering/**=ROLE_HEAD_OF_ENGINEERING /protected/marketing/**=ROLE_HEAD_OF_MARKETING /**=IS_AUTHENTICATED_ANONYMOUSLY

在清�?9 中，IF 包含三个参数。其中第一个和�W�三个参��C��W?1 部分中最初配�|�的参数相同。这里添加了�W�二个参敎ͼ�名�ؓ accessDecisionManager �?bean�Q��?/p>
accessDecisionManager bean 负责指定授权决策。它使用清单 9 中第三个参数提供的访问控制定义来指定授权�Q�或讉K��控制�Q�决�{�。第三个参数�?objectDefinitionSource�?/p>
配置讉K��决策��理�?/span>

accessDecisionManager 军_��是否允许一个用戯��问某个资源。Acegi 提供了一些访问决�{�管理器�Q�它们指定访问控制决�{�的方式有所不同。本文只解释了其中一�U�访问决�{�管理器的工作方式，光��|�如清单 10 所�C�：

清单 10. 配置讉K��决策��理�?/strong>

在清�?10 中，accessDecisionManager bean �?org.acegisecurity.vote.AffirmativeBased �cȝ��实例�?code>accessDecisionManager bean 只包含一个参敎ͼ��?em>投票者（voter�Q?/em>列表�?/p>
�?Acegi 中，投票者确定是否允许某个用戯��问特定的资源。当使用 accessDecisionManager 查询�Ӟ��投票者具有三个选项�Q�允许访问（access-granted�Q�、拒�l�访问（access-denied�Q�，如果不确定的话则攑ּ�投票�Q�abstain from voting�Q��?/p>
不同�c�d��的访问决�{�管理器解释投票者决�{�的�Ҏ��也有所不同。清�?10 所�C�的 AffirmativeBased 讉K��决策��理器实��C��单的决策逻辑�Q�如果�Q何投��者强制执行肯定投��，��允许用戯��问所��h��的资源�?/p>
投票者逻辑

Acegi 提供了若�q�个投票者实现类型�?code>accessDecisionManager ��经�q�验证的用户的信息（包括用户的业务角色信息）�?objectDefinitionSource 对象传递给投票者。本文的�C�Z��使用了两�U�类型的投票者，RoleVoter �?AuthenticatedVoter�Q�如清单 10 所�C�。现在看一下每�U�投��者的逻辑�Q?/p>

RoleVoter 只有�?objectDefinitionSource 对象的行中找��C�� ROLE_ 前缀开头的角色时才�q�行投票。如�?RoleVoter 没有扑ֈ��q�样的行�Q�将攑ּ�投票�Q�如果在用户业务角色中找��C��个匹配的角色�Q�它��投��给允许讉K��Q�如果没有找到匹配的角色�Q�则投票�l�拒�l�访问。在清单 9 中，有两个角色具�?ROLE_ 前缀�Q?code>ROLE_HEAD_OF_ENGINEERING �?ROLE_HEAD_OF_MARKETING�?br />

AuthenticatedVoter 只有�?objectDefinitionSource 对象中找到具有某个预定义角色的行时才�q�行投票。在清单 9 中，有这样一行：IS_AUTHENTICATED_ANONYMOUSLY。匿名��n份验证意味着用户不能够进行��n份验证。找到该行后�Q?code>AuthenticatedVoter ��检查一个匿名��n份验证的用户是否可以讉K��某些不受保护的资源（卌��些资源没有包含在具备 ROLE_ 前缀的行中）。如�?AuthenticatedVoter 发现所��h��的资源是不受保护的�ƈ�?objectDefinitionSource 对象允许匿名�w�䆾验证的用戯��问不受保护的资源�Q�它��投��给允许讉K��Q�否则就投票�l�拒�l�访问�?

回页�?/strong>

�C�Z��应用�E�序

本文提供了一个示例应用程序，它将演示您目前掌握的 LDAP �?Acegi 概念。LDAP-Acegi 应用�E�序��显�C�Z��个烦引页面，该页面将设计和销售文��呈现给合适的�l�过�w�䆾验证的用戗��正如您��看到的一��P��LDAP-Acegi 应用�E�序允许用户 alice 查看设计文��Q��ƈ允许用户 bob 查看销售文��。它�q�允许特定用户同时查看设计和销售文��。所有这些内定w��是在本文开头配�|?LDAP 目录服务器时讄��的。立�?下蝲�C�Z��应用�E�序来开始��用它�?/p>

回页�?/strong>

�l�束�?/span>

在本文中�Q�您了解了如何将用户和业务角色信息托��在 LDAP 目录中。您�q�详�l�了解了配置 Acegi 的方法，从而与 LDAP 目录交互实现讉K��控制�{�略。在本系列最后一期文章中�Q�我��展�C�如何配�|?Acegi 来保护对 Java �cȝ��讉K��?/p>

来自:http://www.cnblogs.com/amboyna/archive/2008/03/25/1122084.html

狼爱上狸 2008-05-08 18:43 发表评论

acegi,IBM的Acegi Security System�Q?�Q?

狼爱上狸 — Thu, 08 May 2008 10:41:00 GMT

2007 �q?5 �?08 �?/p>
�q�䆾共分三部分的�p�d��文章介绍�?Acegi 安全�pȝ��Q�Acegi Security System�Q�，它是用于 Java™ 企业应用�E�序的强大的开源安全框架。在�W�一��文章中�Q�Bilal Siddiqui ��N��向您介�l?Acegi 的架构和�l��g�Q��ƈ展示如何使用它来保护一个简单的 Java 企业应用�E�序�?/blockquote>
Acegi Security System 是一�U�功能强大�ƈ易于使用的替代性方案，使您不必再�ؓ Java 企业应用�E�序�~�写大量的安全代码。虽然它专门针对使用 Spring 框架�~�写的应用程序，但是��M��c�d��?Java 应用�E�序都没有理�׃��M��?Acegi。这份共分三部分的系列文章详�l�介�l�了 Acegi�Q��ƈ展示了如何��用它保护��单的企业应用�E�序以及更复杂的应用�E�序�?/p>
本系列首先介�l�企业应用程序中常见的安全问题，�q�说�?Acegi 如何解决�q�些问题。您��了�?Acegi 的架构模型及其安全过滤器�Q�后者包含了在保护应用程序中��用到的大多数功能。您�q�将了解到各个过滤器如何单独�q�行工作�Q�如何将它们�l�合��h��Q�以及过滤器如何在一个企业安全实��C��各�U�功能从头到��֜�链接��h��。本文最后通过一个样例应用程序演�C�Z��Z�� URL 安全�pȝ��?Acegi 实现。本�p�d��后箋两篇文章��探�I?Acegi 的一些更高��的应用，包括如何设计和托��访问控制策略，然后如何去配�|?Acegi 以��用这些策略�?/p>
您必��?下蝲 Acegi�Q�这��h��能编译本文的�C�Z��代码�q�运行本文的样例应用�E�序。还必须有作为工作站的一部分�q�行�?Tomcat 服务器�?/p>
企业应用�E�序安全�?/span>

�׃��企业内容��理�Q�ECM�Q�应用程序管理存储在不同�c�d��数据源（如文件系�l�、关�p�L��据库和目录服务）中的企业内容的编写和处理�Q�ECM 安全性要求对�q�些数据源的讉K��q�行控制。比如，一�?ECM 应用�E�序可能会控制被授权��d��、编辑或删除数据的对象，而这些数据和刉��业企业的设计、市��销、生产以及质量控制有兟�?/p>
在一�?ECM 安全场景中，比较常见的就是通过对企业资源定位符�Q�或�|�络地址�Q�应用安全性，从而实现访问控制。这�U�简单的安全模型被称�?em>�l�一资源定位�W?/em> �?URL 安全性。正如我在本文后面（以及本系列后�l�文章）所演示的一��P��Acegi 为实�?URL 安全性提供了全面的特性�?/p>
然而，在很多企业场景中�Q�URL 安全性还�q�远不够。比如，假设一�?PDF 文��包含某个刉��业公司生��的特�D��品的数据。文��的一部分包含了将��p��公司的设计部门编辑和更新的设计数据。另一部分包含了生产经理将使用的生产数据。对于诸如此�cȝ��场景�Q�需要实现更加细�_�度的安全性，�Ҏ��的不同部分应用不同的访问权限�?/p>
本文介绍�?Acegi 为实�?URL 安全性而提供的各种功能。本�p�d��的下一��文章将演示此框架的��Z��Ҏ��的安全性，它提供了对企业数据访问的更细�_�度的控制�?/p>

回页�?/strong>

Acegi Security System

Acegi Security System 使用安全�q��o器来提供企业应用�E�序的��n份验证和授权服务。该框架提供了不同类型的�q��o器，可以�Ҏ��应用�E�序的需求进行配�|�。您��在本文后面了解�?安全�q��o器的不同�c�d��Q�现在，只需注意可以为如下�Q务配�|?Acegi 安全�q��o器：

在访问一个安全资源之前提�C�用��L��录�?br />

通过��查安全标讎ͼ�如密码）�Q�对用户�q�行�w�䆾验证�?br />

��查经�q��n份验证的用户是否��h��讉K��某个安全资源的特权�?br />

��成功进行��n份验证和授权的用户重定向到所��h��的安全资源�?br />

对不具备讉K��安全资源�Ҏ��的用��h��C?Access Denied ��面�?br />

在服务器上记录成功进行��n份验证的用户�Q��ƈ在用��L��客户��Z��讄��安全 cookie。��用该 cookie 执行下一�ơ��n份验证，而无需要求用户��d��?br />

��n份验证信息存储在服务器端的会话对象中�Q�从而安全地�q�行对资源的后箋��h��?br />

在服务器端对象中构徏�q�保存安全信息的�~�存�Q�从而优化性能�?br />

当用户退出时�Q�删除�ؓ用户安全会话而保存的服务器端对象�?br />

与大量后端数据存储服务（如目录服务或关系数据库）�q�行通信�Q�这些服务用于存储用��L��安全信息�?ECM 的访问控制策略�?

正如�q�个列表昄��的那��P��Acegi 的安全过滤器允许您执行保护企业应用程序所需的几乎�Q何事情�?/p>

回页�?/strong>

架构和组�?/span>

�?Acegi 了解��多�Q��用�v来就��简单。这一节介�l?Acegi 的组�Ӟ��接下来您��了解该框架如何使用反�{控制�Q�IOC�Q�和 XML 配置文�g来组合组件�ƈ表示它们的依赖关�p�R�?

四大�l��g

Acegi Security System 由四�U�主要类型的�l��g�l�成�Q�过滤器、管理器、提供者和处理�E�序�?/p>

�q��o�?/strong>
�q�种最高��的组件提供了常见的安全服务，如��n份验证、会话处理以及注销。我��在本文后面的部�?/a> 深入讨论�q��o器�?
��理�?/strong>
�q��o器仅是安全相兛_��能的高��抽象�Q�实际上要��用管理器和提供者实现��n份验证处理和注销服务。管理器��理�׃��同提供者提供的较低�U�的安全服务�?
提供�?/strong>
有大量的提供者可用于和不同类型的数据存储服务通信�Q�例如目录服务、关�p�L��据库或简单的内存中的对象。这意味着您可以将用户库和讉K��控制协议存储在�Q何一�U�这��L��数据存储服务中，�q�且 Acegi 的管理器��在�q�行旉��择合适的提供者�?
处理�E�序
有时��d��可能会被分解为多个步骤，其中每个步骤�׃��个特定的处理�E�序执行。比方说�Q�Acegi �?注销�q��o�?/em> 使用两个处理�E�序来退��Z��?HTTP 客户机。其中一个处理程序��用户�?HTTP 会话无效�Q�而另一个处理程序则删除用户�?cookie。当�Ҏ��应用�E�序需求配�|?Acegi �Ӟ��多个处理�E�序能够提供很好的灵�z�L��。您可以使用自己选择的处理程序来执行保护应用�E�序所需的步骤�?
反�{控制

Acegi 的组仉��过彼此之间的依赖来对企业应用程序进行保护。比如，一个��n份验证处理过滤器需要一个��n份验证管理器选择一个合适的�w�䆾验证提供者。这��是说您必须能够表示和管�?Acegi �l��g的依赖关�p�R�?

IOC 实现通常用于��理 Java �l��g之间的依赖关�p�R��IOC 提供了两个重要的�Ҏ��：

它提供了一�U�语法，表示应用�E�序所需的组件以及这些组件如何相互依赖�?br />

它保证了所需的组件在�q�行时是可用的�?

XML 配置文�g

Acegi 使用 Spring 框架�Q�请参见参考资�?/a>�Q�附带的��行开�?IOC 实现来管理其�l��g。Spring 需要您�~�写一�?XML 配置文�g来表�C�组件的依赖关系�Q�如清单 1 所�C�：

清单 1. Spring 配置文�g的结�?/strong>

value here

如您所见，Acegi 使用�?Spring XML 配置文�g包含一�? 标记�Q�它��装了一些其他的标记。所有的 Acegi �l��g�Q�即�q��o器、管理器、提供者等�Q�实际上都是 JavaBean。XML 配置文�g中的每个标记都代表一�?Acegi �l��g�?/p>
�q�一步解�?XML 配置文�g

首先��注意到的是每个标记都包含一�?class 属性，�q�个属性标识组件所使用的类�?code> 标记�q�具有一�?id 属性，它标识作�?Acegi �l��g工作的实例（Java 对象�Q��?/p>
比方��_��清单 1 的第一�? 标记标识了名�?filterChainProxy 的组件实例，它是名�ؓ org.acegisecurity.util.FilterChainProxy 的类的实例�?/p>
使用标记的子标记来表�C?bean 的依赖关�p�R��比如，注意�W�一�? 标记�? 子标记�?code> 子标记定义了标记依赖的其�?bean 或倹{�?/p>
所以在清单 1 中，�W�一�? 标记�? 子标记具有一�?name 属性和一�? 子标讎ͼ�分别定义了这�?bean 依赖的属性的名称和倹{�?/p>
同样�Q?a cmimpressionsent="1">清单 1 中的�W�二个和�W�三�? 标记定义了一个过滤器 bean 依赖于一个管理器 bean。第二个标记表示�q��o�?bean�Q�而第三个标记表示��理�?bean�?/p>
�q��o器的标记包含一�? 子标讎ͼ�该子标记��h��两个属性：name �?ref�?code>name 属性定义了�q��o�?bean 的属性，�?ref 属性引用了��理�?bean 的实例（名称�Q��?/p>
下一节将展示如何�?XML 配置文�g中配�|?Acegi �q��o器。在本文后面的内容中�Q�您��在一个样�?Acegi 应用�E�序中��用过滤器�?/p>

回页�?/strong>

安全�q��o�?/span>

正如我前面提到的一��P��Acegi 使用安全�q��o器�ؓ企业应用�E�序提供�w�䆾验证和授权服务。您可以�Ҏ��应用�E�序的需要��用和配置不同�c�d��的过滤器。这一节将介绍五种最重要�?Acegi 安全�q��o器�?/p>
Session Integration Filter

Acegi �?Session Integration Filter�Q�SIF�Q�通常是您��要配置的第一个过滤器。SIF 创徏了一�?em>安全上下文对�?/em>�Q�这是一个与安全相关的信息的占位�W�。其�?Acegi �q��o器将安全信息保存在安全上下文中，也会使用安全上下文中可用的安全信息�?/p>
SIF 创徏安全上下文�ƈ调用�q��o器链中的其他�q��o器。然后其他过滤器��索安全上下文�q�对其进行更攏V��比如，Authentication Processing Filter�Q�我��稍后进行介�l�）��用户信息（如用户名、密码和电子邮�g地址�Q�存储在安全上下文中�?

当所有的处理�E�序完成处理后，SIF ��查安全上下文是否更新。如果�Q何一个过滤器对安全上下文做出了更改，SIF ��把更改保存到服务器端的会话对象中。如果安全上下文中没有发��C�Q何更改，那么 SIF ��删除它�?/p>
�?XML 配置文�g中对 SIF �q�行了配�|�，如清�?2 所�C�：

清单 2. 配置 SIF

Authentication Processing Filter

Acegi 使用 Authentication Processing Filter�Q�APF�Q�进行��n份验证。APF 使用一个��n份验证（或登录）表单�Q�用户在其中输入用户名和密码�Q��ƈ触发�w�䆾验证�?/p>
APF 执行所有的后端�w�䆾验证处理��d��Q�比如从客户��求中提取用户名和密码�Q�从后端用户库中��d��用户参数�Q�以及��用这些信息对用户�q�行�w�䆾验证�?

在配�|?APF �Ӟ��您必��L��供如下参敎ͼ�

Authentication manager 指定了用来管理��n份验证提供者的�w�䆾验证��理器�?br />

Filter processes URL 指定了客户在��d��H�口中按�?Sign In 按钮时要讉K��?URL。收到这�?URL 的请求后�Q�Acegi 立即调用 APF�?br />

Default target URL 指定了成功进行��n份验证和授权后呈现给用户的页面�?br />

Authentication failure URL 指定了��n份验证失败情况下用户看到的页面�?

APF 从用��L��h��对象中得到用户名、密码和其他信息。它��这些信息传送给�w�䆾验证��理器。��n份验证管理器使用适当的提供者从后端用户库中��d��详细的用户信息（如用户名、密码、电子邮件地址和用戯��问权利或�Ҏ��Q�，对用戯��行��n份验证，�q�将信息存储在一�?Authentication 对象中�?/p>
最后，APF ��?Authentication 对象保存�?SIF 之前创徏的安全上下文中。存储在安全上下文中�?Authentication 对象��用于做出授权决�{��?/p>
APF 的配�|�如清单 3 所�C�：

清单 3. 配置 APF

可以从这�D�代码中看到�Q�APF 依赖于上面讨论的�q�四个参数。每个参数都是作为清�?3 所�C�的标记配置的�?/p>
Logout Processing Filter

Acegi 使用一�?Logout Processing Filer�Q�LPF�Q�管理注销处理。当客户机发来注销��h��Ӟ��?LPF �q�行处理。它标识了来自由客户机所调用 URL 的注销��h��?/p>
LPF 的配�|�如清单 4 所�C�：

清单 4. 配置 LPF

可以看到 LPF 在其构造方法中包含两个参数�Q�注销成功 URL�Q?code>/logoutSuccess.jsp�Q�和处理�E�序列表。注销成功 URL 用来在注销�q�程完成后重定向客户机。处理程序执行实际的注销�q�程�Q�我在这里只配置了一个处理程序，因�ؓ只需一个处理程序就可以�?HTTP 会话变�ؓ无效。我��在本系列下一��文章中讨论更多的处理程序�?/p>
Exception Translation Filter

Exception Translation Filter�Q�ETF�Q�处理��n份验证和授权�q�程中的异常情况�Q�比如授权失败。在�q�些异常情况中，ETF ��决定如何进行操作�?/p>
比如�Q�如果一个没有进行��n份验证的用户试图讉K��受保护的资源�Q�ETF ��显�C�Z��个登录页面要求用戯��行��n份验证。类似地�Q�在授权��p�|的情况下�Q�可以配�|?ETF 来呈��C��?Access Denied ��面�?/p>
ETF 的配�|�如清单 5 所�C�：

清单 5. 配置 ETF

正如清单 5 所�C�，ETF 包含两个参数�Q�名�?authenticationEntryPoint �?accessDeniedHandler�?code>authenticationEntryPoint 属性指定登录页面，�?accessDeniedHandler 指定 Access Denied ��面�?/p>
拦截�q��o�?/span>

Acegi �?em>拦截�q��o�?/em> 用于做出授权决策。您需要在 APF 成功执行�w�䆾验证后对拦截�q��o器进行配�|�，以��其发挥作用。拦截器使用应用�E�序的访问控制策略来做出授权军_��?/p>
本系列的下一��文章将展示如何设计讉K��控制�{�略�Q�如何将它们托管在目录服务中�Q�以及如何配�|?Acegi 以读取您的访问控制策略。但是，目前我将�l�箋向您展示如何使用 Acegi 配置一个简单的讉K��控制�{�略。在本文后面的部分，您将看到使用��单的讉K��控制�{�略构徏一个样例应用程序�?/p>
配置��单的讉K��控制�{�略可分��Z��个步骤：

�~�写讉K��控制�{�略�?br />

�Ҏ��{�略配置 Acegi 的拦截过滤器�?

步骤 1. �~�写��单的讉K��控制�{�略

首先看一�?清单 6�Q�它展示了如何定义一个用户及其用戯��Ԍ��

清单 6. 为用户定义简单的讉K��控制�{�略

alice=123,ROLE_HEAD_OF_ENGINEERING

清单 6 所�C�的讉K��控制�{�略定义了用户名 alice�Q�它的密码是 123�Q�角色是 ROLE_HEAD_OF_ENGINEERING。（下一节将说明如何在文件中定义��L��数量的用户及其用戯��Ԍ��然后配置拦截�q��o器以使用�q�些文�g。）

步骤 2. 配置 Acegi 的拦截过滤器

拦截�q��o器��用三个组件来做出授权决策�Q�我在清�?7 中对其进行了配置�Q?/p>
清单 7. 配置拦截�q��o�?

CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /protected/**=ROLE_HEAD_OF_ENGINEERING /**=IS_AUTHENTICATED_ANONYMOUSLY

如清�?7 所�C�，配置所需的三个组件是 authenticationManager�?code>accessDecisionManager�?code>objectDefinitionSource�Q?/p>

authenticationManager �l��g与我在介�l?Authentication Processing Filter 时讨��的��n份验证管理器相同。拦截过滤器可以在授权的�q�程中��?authenticationManager 重新对客��h��q�行�w�䆾验证�?br />

accessDecisionManager �l��g��理授权�q�程�Q�这部分内容��在本系列的下篇文章中详�l�讨论�?br />

objectDefinitionSource �l��g包含对应于将要发生的授权的访问控制定义。例如，清单 7 中的 objectDefinitionSource 属性值包含两�?URL�Q?code>/protected/* �?/*�Q�。其值定义了�q�些 URL 的角艌Ӏ?code>/protected/* URL 的角色是 ROLE_HEAD_OF_ENGINEERING。您可以�Ҏ��应用�E�序的需要定义�Q何角艌Ӏ?br />
回想一�?清单 6�Q�您为用户名 alice 定义�?ROLE_HEAD_OF_ENGINEERING。这��是�?alice ��能够访�?/protected/* URL�?

回页�?/strong>

�q��o器工作原�?/span>
正如您已�l�了解到的一��P��Acegi 的组件彼此依赖，从而对您的应用�E�序�q�行保护。在本文后面的部分，您将看到如何�?Acegi �q�行配置�Q�从而按照特定的��序应用安全�q��o器，因此需要创�?em>�q��o器链。出于这个目的，Acegi 保存了一个过滤器铑֯�象，它封装了��Z��护应用程序而配�|�了的所有过滤器。图 1 展示�?Acegi �q��o器链的生命周期，该周期从客户机向您的应用�E�序发�?HTTP ��h��开始。（�?1 昄��了服务于��览器客��h��的容器。）

�?1. 托管 Acegi �q��o器链以安全地为浏览器客户机服务的容器

下面的步骤描�q�C��q��o器链的生命周期：

��览器客��h��向您的应用程序发�?HTTP ��h��?br />

容器接收�?HTTP ��h��q�创��Z��个请求对象，该对象将��装 HTTP ��h��中包含的信息。容器还创徏一个各�U�过滤器都可处理的响应对象，从而�ؓ发出��h��的客��h��准备�?HTTP 响应。容器然后调�?Acegi 的过滤器链代理，�q�是一个代理过滤器。该代理知道应用的过滤器的实际顺序。当容器调用代理�Ӟ��它将向代理发送请求、响应以及过滤器铑֯�象�?br />

代理�q��o器调用过滤器链中�W�一个过滤器�Q�向其发送请求、响应和�q��o器链对象�?br />

链中的过滤器逐个执行其处理。一个过滤器可以通过调用�q��o器链中下一个过滤器随时�l�止自��n处理。有的过滤器甚至�Ҏ��不执行�Q何处理（比如�Q�如�?APF 发现一个到来的��h��没有要求�w�䆾验证�Q�它可能会立即终止其处理�Q��?

当��n份验证过滤器完成其处理时�Q�这些过滤器��把��h��和响应对象发送到应用�E�序中配�|�的拦截�q��o器�?br />

拦截器决定是否对发出��h��的客��h��q�行授权�Q��它访问所��h��的资源�?br />

拦截器将控制权传输给应用�E�序�Q�比如，成功�q�行了��n份验证和授权的客��h��h��?JSP ��面�Q��?br />

应用�E�序改写响应对象的内宏V�?br />

响应对象已经准备好了�Q�容器将响应对象转换�?HTTP 响应�Q��ƈ��响应发送到发出��h��的客��h��?br />

为帮助您�q�一步理�?Acegi �q��o器，我将详细探讨其中两个�q��o器的操作�Q�Session Integration Filter �?Authentication Processing Filter�?/p>
SIF 如何创徏一个安全上下文

�?2 展示�?SIF 创徏安全上下文所涉及到的步骤�Q?/p>
�?2. SIF 创徏安全上下�?/strong>

现在详细地考虑下面�q�些步骤�Q?/p>

Acegi 的过滤器链代理调�?SIF �q�向其发送请求、响应和�q��o器链对象。注意：通常��?SIF 配置��滤器链中�W�一个过滤器�?br />

SIF ��查它是否已经对这�?Web ��h��q�行�q�处理。如果是的话�Q�它��不再进一步进行处理，�q�将控制权传输给�q��o器链中的下一个过滤器�Q�参见下面的�W?4 个步骤）。如�?SIF 发现�q�是�W�一�ơ对�q�个 Web ��h��调用 SIF�Q�它��设�|�一个标讎ͼ��在下一�ơ��用该标记�Q�以表示曄��调用�q?SIF�?br />

SIF ��检查是否存在一个会话对象，以及它是否包含安全上下文。它从会话对象中��索安全上下文�Q��ƈ��其攄��在名�?security context holder 的��时占位符中。如果不存在会话对象�Q�SIF ��创��Z��个新的安全上下文�Q��ƈ��它攑ֈ� security context holder 中。注意：security context holder 位于应用�E�序的范围内�Q�所以可以被其他的安全过滤器讉K��?br />

SIF 调用�q��o器链中的下一个过滤器�?br />

其他�q��o器可以编辑安全上下文�?br />

SIF 在过滤器铑֮�成处理后接收控制权�?br />

SIF ��查其他的�q��o器是否在其处理过�E�中更改了安全上下文�Q�比如，APF 可能��用戯��l�信息存储在安全上下文中�Q�。如果是的话�Q�它��更��C��话对象中的安全上下文。就是说在过滤器铑֤�理过�E�中�Q�对安全上下文的��M��更改现在都保存在会话对象中�?

APF 如何对用戯��行��n份验�?/span>

�?3 展示�?APF 对用戯��行��n份验证所涉及到的步骤�Q?/p>
�?3. APF 对用戯��行��n份验�?/strong>

现在仔细考虑以下�q�些步骤�Q?/p>

�q��o器链中前面的�q��o器向 APF 发送请求、响应和�q��o铑֯�象�?br />

APF 使用从请求对象中获得的用户名、密码以及其他信息创��n份验证标记�?br />

APF ��n份验证标��C��递给�w�䆾验证��理器�?br />

�w�䆾验证��理器可能包含一个或更多�w�䆾验证提供者。每个提供者恰好支持一�U�类型的�w�䆾验证。管理器��查哪一�U�提供者支持它�?APF 收到的��n份验证标记�?br />

�w�䆾验证��理器将�w�䆾验证标记发送到适合�q�行�w�䆾验证的提供者�?br />

�w�䆾验证提供者支持从�w�䆾验证标记中提取用户名�Q��ƈ��它发送给名�ؓ user cache service 的服务。Acegi �~�存了已�l�进行过�w�䆾验证的用戗��该用户下次��d��Ӟ��Acegi 可以从缓存中加蝲他或她的详细信息�Q�比如用户名、密码和权限�Q�，而不是从后端数据存储中读取数据。这�U�方法��得性能得到了改善�?br />

user cache service ��查用��L��详细信息是否存在于缓存中�?br />

user cache service ��用��L��详细信息�q�回�l��n份验证提供者。如果缓存不包含用户详细信息�Q�则�q�回 null�?br />

�w�䆾验证提供者检查缓存服务返回的是用��L��详细信息�q�是 null�?br />

如果�~�存�q�回 null�Q��n份验证提供者将用户名（在步�?6 中提取）发送给另一个名�?user details service 的服务�?

user details service 与包含用戯��l�信息的后端数据存储通信�Q�如目录服务�Q��?

user details service �q�回用户的详�l�信息，或者，如果找不到用戯��l�信息则抛出�w�䆾验证异常�?br />

如果 user cache service 或�?user details service �q�回有效的用戯��l�信息，�w�䆾验证提供者将使用 user cache service �?user details service �q�回的密码来匚w��用户提供的安全标讎ͼ�如密码）。如果找��C��个匹配，�w�䆾验证提供者将用户的详�l�信息返回给�w�䆾验证��理器。否则的话，则抛��Z��个��n份验证异常�?br />

�w�䆾验证��理器将用户的详�l�信息返回给 APF。这��L��户就成功地进行了�w�䆾验证�?br />

APF ��用戯��l�信息保存在 �?2 所�C�由步骤 3 创徏的安全上下文中�?br />

APF ��控制权传输�l�过滤器链中的下一个过滤器�?

回页�?/strong>

一个简单的 Acegi 应用�E�序

在本文中�Q�您已经了解了很多关�?Acegi 的知识，所以现在看一下利用您目前学到的知识能做些什么，从而结束本文。对于这个简单的演示�Q�我设计了一个样例应用程序（参见下蝲�Q�，�q�对 Acegi �q�行了配�|�以保护它的一些资源�?

样例应用�E�序包含 5 �?JSP ��面�Q�index.jsp、protected1.jsp、protected2.jsp、login.jsp �?accessDenied.jsp�?/p>
index.jsp 是应用程序的�Ƣ迎��面。它向用��h��C�Z��三个��链接，如图 4 所�C�：

�?4. 样例应用�E�序的欢�q�页面：

�?4 所�C�的链接中，其中两个链接指向了被保护的资源（protected1.jsp �?protected2.jsp�Q�，�W�三个链接指向登录页面（login.jsp�Q�。只有在 Acegi 发现用户没有被授权访问受保护的资源时�Q�才会显�C?accessDenied.jsp ��面�?/p>
如果用户试图讉K��M��受保护的��面�Q�样例应用程序将昄��d��面。当用户使用��d��面�q�入后，应用�E�序��自动重定向到被��h��的受保护资源�?/p>
用户可以通过单击�Ƣ迎��面中的�W�三个链接直接请求登录页面。这�U�情况下�Q�应用程序显�C�用户可以进入系�l�的��d��面。进入系�l�以后，应用�E�序��用户重定向�?protected1.jsp�Q�它是用戯��入系�l�而没有请求特定的受保护资源时昄��的默认资源�?/p>
配置样例应用�E�序

为本文下载的源代码包含一个名�?acegi-config.xml �?XML 配置文�g�Q�它包含 Acegi �q��o器的配置。根�?安全�q��o器的讨论中的�C�Z��Q�您应该很熟悉这些配�|��?/p>
我还为样例应用程序编写了一�?web.xml 文�g�Q�如清单 8 所�C�：

清单 8. 样例应用�E�序�?web.xml 文�g

contextConfigLocation /WEB-INF/acegi-config.xml Acegi Filter Chain Proxy org.acegisecurity.util.FilterToBeanProxy targetClass org.acegisecurity.util.FilterChainProxy Acegi Filter Chain Proxy /* org.springframework.web.context.ContextLoaderListener

web.xml 文�g配置如下�Q?/p>

acegi-config.xml 文�g�?URL 位于标记中�?br />

Acegi �q��o器链代理�cȝ��名称位于标记中�?br />

URL �?Acegi �q��o器链代理的映��在标记中。注意：您可以简单地��应用程序的所�?URL�Q?code>/*�Q�映��到 Acegi �q��o器链代理。Acegi ��对映射�?Acegi �q��o器链代理上的所�?URL 应用安全性�?br />

应用�E�序上下文加载程序位�? 标记中，它将加蝲 Spring �?IOC 框架�?

部��v�q�运行应用程�?/span>

部��v�q�运行样例应用程序非常的��单。只需要完成两件事情：

��?acegisample.war 文�g从本教程下蝲的源代码中复制到安装 Tomcat �?webapps 目录中�?br />

�?Acegi Security System 主页下蝲�q�解压羃 acegi-security-1.0.3.zip。您��找��C��个名�?acegi-security-sample-tutorial.war 的样例应用程序。解压羃 war 文�g�q�提取其 WEB-INF/lib 文�g夹中所有的 jar 文�g。将所有的 JAR 文�g�?WEB-INF/lib 文�g夹中复制�?theacegisample.war 应用�E�序�?WEB-INF/lib 文�g夏V�?

现在�Q�您已经��行样例应用程序做好准备了。启�?Tomcat �q�将��览器指�?http://localhost:8080/acegisample/�?/p>
您将看到 �?4 所�C�的�Ƣ迎��面�Q�但是此时显�C�的��面是真实的。请�l�箋�q�行�E�序�Q��ƈ查看在尝试访问欢�q�页面显�C�的不同链接时会发生什么状��c�?/p>

回页�?/strong>

�l�束�?/span>
�?em>使用 Acegi 保护 Java 应用�E�序 �p�d��的第一��文章中�Q�您了解�?Acegi 安全�pȝ��的特性、架构和�l��g�Q�学习了大量有关 Acegi 安全�q��o器的知识�Q�这些过滤器被集成到 Acegi 的安全框架中。您�q�学习了如何使用 XML 配置文�g配置�l��g依赖关系�Q��ƈ查看�?Acegi 的安全过滤器在样例程序中工作的情形，该应用程序可以实现基�?URL 的安全性�?

本文所�q�的安全技术非常的��单，所�?Acegi 使用�q�些技术实现安全性。本�p�d��的下一文章��开始介�l?Acegi 的一些较为高�U�的应用�Q�首先是�~�写讉K��控制协议�q�将其存储到目录服务中。您�q�将了解到如何配�|?Acegi�Q��它与目录服务交互�Q�从而实现您的访问控制策略�?/p>

回页�?/strong>

下蝲

描述名字大小下蝲�Ҏ��

本文源代�?/th> j-acegi1.zip 10KB HTTP

关于下蝲�Ҏ��的信�?/a>

参考资�?
学习

您可以参阅本文在 developerWorks 全球站点上的英文原文 �?br />

Acegi Security System 主页�Q?查找参考文��的�W�一站，�q�可以下�?Acegi�?br />

“Java 安全性的演变和理�?�W�一部分�Q�安全性的基本要点”�Q�Raghavan Srinivas�Q�developerWorks�Q?000 �q?5 月）�Q�对 Java 安全概念和技术进行了概述�?br />

“Java 安全性，�W�一部分�Q?密码学基��”�Q�Brad Rubin�Q�developerWorks�Q?002 �q?7 月）�Q�全面地介绍�?Java �q�_��上应用程序的安全性。还可参�?“Java 安全性， �W�二部分�Q?认证与授�?/a>”�?br />

“Web app security using Struts, servlet filters, and custom taglibs”�Q�Swaminathan Radhakrishnan�Q�developerWorks�Q?004 �q?9 月）�Q�展�C?Java 安全解决�Ҏ��开发中的常用技巧�?br />

“Spring 2 �?JPA ��?/a>”�Q�Sing Li�Q�developerWorks�Q?006 �q?8 月）�Q�这��教�E�将介绍�W�二�?Spring 框架�?br />

Spring 参考文�?/a>�Q�来自资源的 Spring 文��?br />

“The Essentials of Filters”�Q�Sun Developer Network�Q�：了解更多�q��o器及其用途�?br />

Java SE Security�Q�一�?Java 安全信息资料库�?br />

IBM 安全提供者：概述�Q�Yanni Zhang�Q�Audrey Timkovich �?John Peck�Q�developerWorks�Q?004 �q?10 月）�Q�了解用�?Java �q�_��Q?.4.2 Java SDK�Q�的 IBM 开发�h员工具包增强了的安全�Ҏ��，以及它与 Sun Microsystems 版本的区别�?br />

developerWorks Java 技术专�?/a>�Q�提供了大量有关 Java �~�程各个斚w��的文章�?br />

获得产品和技�?/strong>

下蝲 Acegi Security System�Q�保护您�?Java 企业应用�E�序�?

讨论

参与论坛讨论�?br />

通过参与 developerWorks blog 加入 developerWorks �C�֌��?

关于作�?/span>

Bilal Siddiqui 是一名电子工�E�师、XML ��N��Q�他�q�是 WaxSys�Q�主要从事电子商务简化）的创��之一。自�?1995 �q�毕业于拉合��工�E�技术大学（University of Engineering and Technology�Q�Lahore�Q�电子工�E�专业以后，他就开始�ؓ工业控制�pȝ��设计各种软�g解决�Ҏ��。稍后，他致力于 XML 斚w��q��用他�?C++ �~�程中取得的�l�验来构建基�?Web �?WAP �?XML 处理工具、服务器端解析方案和服务应用�E�序。Bilal 是一名技术推�q�者，�q�且是一名多产的技术作家�?/p>

来自:http://www.cnblogs.com/amboyna/archive/2008/03/25/1122079.html

狼爱上狸 2008-05-08 18:41 发表评论

狼爱上狸 — Thu, 08 May 2008 10:37:00 GMT

最�q�项目��用Acegi作�ؓ安全框架的实�?效果不错,��写了这��文章作为�ȝ��.

对于��M��一个完整的应用�pȝ��Q�完善的认证和授权机制是必不可少的。在��Z��SpringFramework的WEB应用中，
我们可以使用Acegi作�ؓ安全架构的实现。本文将介绍如何在基于Spring构架的Web应用中��用Acegi�Q��ƈ且详�l�介
�l�如何配�|�和扩展Acegi框架以适应实际需要�?br />

文章和代码下�?

http://www.tkk7.com/Files/youlq/Acegi.zip

注意�Q�许多朋友在部��v上遇��C��些麻烦，所以我��可以部�|�的完整的war文�g传上来，注意�Q�java代码在acegi-sample.war\WEB-INF 目录下，例子需要Mysql�Q�徏库脚本在acegi-sample.war\db目录下�?/font>

acegi-sample.part1.rar
acegi-sample.part2.rar
acegi-sample.part3.rar
acegi-sample.part4.rar

附注�Q?br />
有些朋友询问我如何部�|�文中的例子�Q�在此再�ơ说明一下（文章中已�l�有提到�Q�：

Mysql的徏表脚本在db目录�?br /> ��Z��减小体积�Q�已�l�将WEB-INF\lib下的依赖包删除，误��行下载以下包�Q��ƈ拯��至WEB-INF\lib下：
spring-1.2.4.jar
acegi-security-0.8.3.jar
aopalliance-1.0.jar
c3p0-0.9.0.jar
commons-logging-1.0.4.jar
ehcache-1.1.jar
log4j-1.2.8.jar
mysql-connector-java-3.1.10-bin.jar
oro-2.0.8.jar

提示�Q?br /> acegi-security-0.8.3.jar
aopalliance-1.0.jar
c3p0-0.9.0.jar
commons-logging-1.0.4.jar
ehcache-1.1.jar
log4j-1.2.8.jar
oro-2.0.8.jar
可以在acegi-security-0.8.3.zip所带的acegi-security-sample-contacts-filter.war中找到�?br /> spring-1.2.4.jar
mysql-connector-java-3.1.10-bin.jar
要分别到springframework和mysql�|�站下蝲�?/p>
来自:http://www.tkk7.com/youlq/archive/2005/12/06/22678.html

狼爱上狸 2008-05-08 18:37 发表评论

Acegi的下载和安装

狼爱上狸 — Thu, 08 May 2008 10:35:00 GMT

1 Acegi官方发布版的下蝲和安�?/h3>
开发者可以通过http://sourceforge.net/projects/acegisecurity或http://acegisecurity.org/下蝲到Acegi官方发布版，比如acegi-security-1.x.zip。图4-4展示了SF中Acegi��目的首��，它提供了下蝲Acegi�Q�Spring Security�Q�的入口�?/p>

�?-4 http://sourceforge.net/projects/acegisecurity首页

在单��d��4-4中的下蝲�Q?#8220;Download Acegi Security System for Spring”�Q�超链接后，开发者进而能够下载到最新的Acegi官方发布包。此�Ӟ��开发者同时将acegi-security-1.x.zip、acegi-security-1.x-src.zip下蝲到本圎ͼ�前者包含了Jar存档和若�q�Acegi使能应用�Q�而后者仅仅包含了Acegi��目的源代码�?/p>
在下载到Acegi官方发布版后�Q�通过解压acegi-security-1.x.zip�Q�开发者能够浏览到如图4-5所�C�的�c�M��内容�?/p>

�?-5 acegi-security-1.x.zip包含的内�?/p>
通常�Q�大部分Acegi安全性项目仅仅需要��用到acegi-security-1.x.jar存档�Q�这是Acegi的核心包�Q��Q何Acegi使能��目都需要��用到它。如果项目打��采用Java SE 5引入的Annotation注释支持�Q�则�q�需要将acegi-security-tiger-1.x.jar��d��到WEB-INF/lib中。如果开发者在使用Acegi提供的容器适配器支持，则还需要将acegi-security-catalina-1.x.jar�Q�针对Tomcat�Q�、acegi-security-jboss-1.x.jar�Q�针对JBoss�Q�、acegi-security-jetty-1.x.jar�Q�针对Jetty�Q�、acegi-security-resin-1.x.jar�Q�针对Resin�Q�等Jar存��复制到相应的位置�Q�至于这些Jar包的具体使用�Q�本书将在第10章详�l�阐�q��?/p>
另外�Q�acegi-security-sample-contacts-filter.war、acegi-security-sample-tutorial.war是两个直接可部��v到Java EE容器�Q�Tomcat容器�Q�中的Web应用�?/p>
2 Subversion中的Acegi源码下蝲和安�?/h3>
如今�Q�Acegi��Z��码采用Subversion��理。开发者通过如图4-6所�C�的Web��面能够获得Subversion下蝲地址�Q�http://sourceforge.net/svn/?group_id=104215�Q��?/p>

�?-6 获得下蝲Acegi��Z��码地址的Web��面

事实上，Acegi�Q�Spring Security�Q�基代码本��n��是一个Eclipse Java��目�Q�而且它的构徏、管理工作采用了Maven 1.x/2.x�Q�http://maven.apache.org/�Q�。开发者可以借助Eclipse Subversive插�g从Subversion存储源获得Acegi的最新基代码。图4-7展示了Subversive内置的SVN Repository Exploring�?/p>

�?-7 Subversive插�g使用截图

一旦在下蝲完成Acegi�Q�Spring Security�Q�基代码后，开发者将能够持箋监控到Acegi��目的最新情况，比如获得Acegi持箋更新的基代码、Acegi官方文��Q�图4-8展示了相应的使用截图�?/p>

�?-8 持箋更新Acegi��Z��?/p>
3 有关Acegi的权威去�?/h3>
其一�Q�开发者可以去订阅acegisecurity-developer@lists.sourceforge.net邮�g列表�Q�图4-9展示了订阅这一邮�g列表的入口。Acegi开发团队积极参与到�q�一邮�g列表中，因此开发者从�q�一邮�g列表能够获得Acegi的最新进展�?/p>

�?-9 订阅Acegi开发者邮件列�?/p>
其二�Q�Acegi官方论坛�Q�http://forum.springframework.org/�Q�，�?-10展示了论坛截图�?/p>

�?-10 Acegi官方论坛

开发者可以通过许多渠道获得一手的Acegi知识、开发和部��v�l�验�?/p>
5 ��结

本章围绕Acegi�Q�Spring Security�Q�的认证�{�略�q�行了阐�q�ͼ�比如��Z��q��o器的设计、与认证源解耦、AcegiSecurityException异常体系�{�。另外，我们�q�针对Acegi发布版和��Z��码的下蝲�q�行了简要介�l��?/p>
下章��深入到Acegi支持的各�U�认证机制中�?/p>
【参考及推荐资料�?/h4>
l http://acegisecurity.org/

l http://sourceforge.net/projects/acegisecurity

l http://www.polarion.org/index.php?page=overview&project=subversive

来自:http://book.csdn.net/bookfiles/310/10031012826.shtml

狼爱上狸 2008-05-08 18:35 发表评论


		Bilal Siddiqui 是一名电子工�E�师、XML ��N��Q�他�q�是 WaxSys�Q�主要从事电子商务简化）的创��之一。自�?1995 �q�毕业于拉合��工�E�技术大学（University of Engineering and Technology�Q�Lahore�Q�电子工�E�专业以后，他就开始�ؓ工业控制�pȝ��设计各种软�g解决�Ҏ��。稍后，他致力于 XML 斚w��q��用他�?C++ �~�程中取得的�l�验来构建基�?Web �?WAP �?XML 处理工具、服务器端解析方案和服务应用�E�序。Bilal 是一名技术推�q�者，�q�且是一名多产的技术作家�?/p>

亚洲午夜视频在线观看,亚洲欧洲无卡二区视頻,亚洲国产成人精品无码区二本

acegi,IBM的Acegi Security System�Q?�Q?

acegi,IBM的Acegi Security System�Q?�Q?

acegi,IBM的Acegi Security System�Q?�Q?

acegi,IBM的Acegi Security System�Q?�Q?

Acegi的下载和安装

5 ���结

【参考及推荐资料�?/h4> l http://acegisecurity.org/ l http://sourceforge.net/projects/acegisecurity l http://www.polarion.org/index.php?page=overview&project=subversive 来自:http://book.csdn.net/bookfiles/310/10031012826.shtml 狼爱上狸 2008-05-08 18:35 发表评论

5 ��结

【参考及推荐资料�?/h4>
l http://acegisecurity.org/

l http://sourceforge.net/projects/acegisecurity

l http://www.polarion.org/index.php?page=overview&project=subversive

来自:http://book.csdn.net/bookfiles/310/10031012826.shtml

狼爱上狸 2008-05-08 18:35 发表评论