?Acegi是Spring Framework 下最成熟的安全系統(tǒng),它提供了強大靈活的企業(yè)級安全服務(wù),如:
??? 1 : 完善的認(rèn)證和授權(quán)機制,
????2 : Http資源訪問控制,
??? 3 : Method 調(diào)用訪問控制,
??? 4 : Access Control List (ACL) 基于對象實例的訪問控制,
??? 5 : Yale Central Authentication Service (CAS) 耶魯單點登陸,
??? 6 : X509 認(rèn)證,
??? 7 : 當(dāng)前所有流行容器的認(rèn)證適配器,
??? 8 : Channel Security頻道安全管理等功能。
具體 :
- Http資源訪問控制
?http://apps:8080/index.htm -> for public
?http://apps:8080/user.htm -> for authorized user
- 方法調(diào)用訪問控制
public void getData() -> all user
public void modifyData() -> supervisor only
-
對象實例保護
order.getValue() < $100 -> all user
order.getValue() > $100 -> supervisor only
Acegi是非入侵式安全架構(gòu) 因為 :
- 基于Servlet Filter和Spring aop,? 使商業(yè)邏輯和安全邏輯分開,結(jié)構(gòu)更清晰
-
使用Spring 來代理對象,能方便地保護方法調(diào)用
?基于角色的權(quán)限控制(RBAC)? :
Acegi 自帶的 sample 表設(shè)計很簡單: users表{username,password,enabled} authorities表{username,authority},這樣簡單的設(shè)計無法適應(yīng)復(fù)雜的權(quán)限需求,故SpringSide選用RBAC模型對權(quán)限控制數(shù)據(jù)庫表進行擴展。?RBAC(Role-Based Access Control)引入了ROLE的概念,使User(用戶)和Permission(權(quán)限)分離,一個用戶擁有多個角色,一個角色擁有有多個相應(yīng)的權(quán)限,從而減少了權(quán)限管理的復(fù)雜度,可更靈活地支持安全策略。
同時,我們也引入了resource(資源)的概念,一個資源對應(yīng)多個權(quán)限,資源分為ACL,URL,和FUNTION三種。注意,URL和FUNTION的權(quán)限命名需要以AUTH_開頭才會有資格參加投票, 同樣的ACL權(quán)限命名需要ACL_開頭。
2.1? 在Web.xml中的配置 :
1)? FilterToBeanProxy
Acegi通過實現(xiàn)了Filter接口的FilterToBeanProxy提供一種特殊的使用Servlet Filter的方式,它委托Spring中的Bean -- FilterChainProxy來完成過濾功能,這好處是簡化了web.xml的配置,并且充分利用了Spring IOC的優(yōu)勢。FilterChainProxy包含了處理認(rèn)證過程的filter列表,每個filter都有各自的功能。
1
<
filter
>
2
????
<
filter
-
name
>
securityFilter
</
filter
-
name
>
3
????
<
filter
-
class
>
org.acegisecurity.util.FilterToBeanProxy
</
filter
-
class
>
4
????
<
init
-
param
>
5
????????
<
param
-
name
>
targetClass
</
param
-
name
>
6
????????
<
param
-
value
>
org.acegisecurity.util.FilterChainProxy
</
param
-
value
>
7
????
</
init
-
param
>
8
</
filter
>
2) filter-mapping
<filter-mapping>限定了FilterToBeanProxy的URL匹配模式,
?1
<
filter
-
mapping
>
?2
????
<
filter
-
name
>
securityFilter
</
filter
-
name
>
?3
????
<
url
-
pattern
>/
j_security_check
</
url
-
pattern
>
?4
</
filter
-
mapping
>
?5
?6
<
filter
-
mapping
>
?7
????
<
filter
-
name
>
securityFilter
</
filter
-
name
>
?8
????
<
url
-
pattern
>/
dwr
/**/
/*
</url-pattern>
?9
</filter-mapping>
10
11
<filter-mapping>
12
????<filter-name>securityFilter</filter-name>
13
????<url-pattern>*.html</url-pattern>
14
</filter-mapping>
15
16
<filter-mapping>
17
????<filter-name>securityFilter</filter-name>
18
????<url-pattern>*.jsp</url-pattern>
19
</filter-mapping>??
3) HttpSessionEventPublisher
<listener>的HttpSessionEventPublisher用于發(fā)布HttpSessionApplicationEvents和HttpSessionDestroyedEvent事件給spring的applicationcontext。
1
????
<
listener
>
2
????????
<
listener
-
class
>
org.acegisecurity.ui.session.HttpSessionEventPublisher
</
listener
-
class
>
3
????
</
listener
>
4
注:appfuse1.9.3中沒有發(fā)現(xiàn)這個 監(jiān)聽器
--------------------------------------
2.2 :?在applicationContext-acegi-security.xml中
2.2.1 FILTER CHAIN
FilterChainProxy會按順序來調(diào)用這些filter,使這些filter能享用Spring ioc的功能, CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON定義了url比較前先轉(zhuǎn)為小寫, PATTERN_TYPE_APACHE_ANT定義了使用Apache ant的匹配模式?
?1
????
<
bean?id
=
"
filterChainProxy
"
?
class
=
"
org.acegisecurity.util.FilterChainProxy
"
>
?2
????????
<
property?name
=
"
filterInvocationDefinitionSource
"
>
?3
????????????
<
value
>
?4
????????????????CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
?5
????????????????PATTERN_TYPE_APACHE_ANT
?6
???????????????
/**?*/
/**
=httpSessionContextIntegrationFilter,authenticationProcessingFilter,
?7
?????????????????????????????????basicProcessingFilter,rememberMeProcessingFilter,anonymousProcessingFilter,
?8
????????????????????????????????exceptionTranslationFilter,filterInvocationInterceptor,securityEnforcementFilter
?9
????????????</value>
10
????????</property>
11
????</bean>
?
這里補充一段別人的教程? :
其中對web路徑請求的認(rèn)證中,我們需要了解一下
securityEnforcementFilter
1<bean?id="securityEnforcementFilter"?class="net.sf.acegisecurity.intercept.web.SecurityEnforcementFilter">
2?????<property?name="filterSecurityInterceptor">
3?????????<ref?local="filterInvocationInterceptor"/>
4?????</property>
5
6?????<property?name="authenticationEntryPoint">
7?????????<ref?local="authenticationProcessingFilterEntryPoint"/>
8?????</property>
9</bean> 這里,主要是
filterInvocationInterceptor,
?1<bean?id="filterInvocationInterceptor"?class="net.sf.acegisecurity.intercept.web.FilterSecurityInterceptor">
?2??????<property?name="authenticationManager"><ref?bean="authenticationManager"/></property>
?3??????<property?name="accessDecisionManager"><ref?local="httpRequestAccessDecisionManager"/></property>
?4??????<property?name="objectDefinitionSource">
?5?????????<value>
?6??????????????????CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
?7??????????????????PATTERN_TYPE_APACHE_ANT
?8??????????????????/wo.html=ROLE_ANONYMOUS,ROLE_USER
?9??????????????????/index.jsp=ROLE_ANONYMOUS,ROLE_USER
10?????????????????/hello.htm=ROLE_ANONYMOUS,ROLE_USER
11?????????????????/logoff.jsp=ROLE_ANONYMOUS,ROLE_USER
12?????????????????/switchuser.jsp=ROLE_SUPERVISOR
13?????????????????/j_acegi_switch_user=ROLE_SUPERVISOR
14?????????????????/acegilogin.jsp*=ROLE_ANONYMOUS,ROLE_USER
15?????????????????/**?*//**=ROLE_USER
16?????????</value>
17??????</property>
18</bean> ???
?? 在此,主要對
objectDefinitionSource值進行處理。這里配置了很多path=role ,
?? 其作用就是在請求指定的路徑時,
是需要當(dāng)前用戶具有對應(yīng)的角色的,如果具有相應(yīng)角色,則正常訪問。否則跳轉(zhuǎn)至
? 這里需要說明的就是/index.jsp=
ROLE_ANONYMOUS,
ROLE_USER 這里的角色,
ROLE_是標(biāo)記,ANONYMOUS 是角色名稱。
ANONYMOUS是只可以匿名訪問,?
這個角色無需定義。
而ROLE_USER 中的USER則是用戶定義的,接下來我們介紹這部分:
?
用戶角色管理:
acegi security提供了用戶角色的獲取接口,以及一個缺省的實現(xiàn)(包括對應(yīng)的數(shù)據(jù)庫表定義)
1<bean?id="jdbcDaoImpl"?class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">
2??????<property?name="dataSource"><ref?bean="dataSource"/></property>
3</bean> 可參看這里的net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl,需要注意的是這個dao的實現(xiàn)是同acegi security提供的表定義一致的。
如果這個角色和用戶處理模型不能滿足自己的需要,自己可以提供自己的實現(xiàn)。只需要將
1<bean?id="jdbcDaoImpl"?class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">
修改成自己類實現(xiàn)即可。
? 從嚴(yán)格意義上來說,以下權(quán)限部分的介紹應(yīng)該不在acegi security處理的范圍之內(nèi),不過acegi security是提供了相應(yīng)的機制的:
權(quán)限管理
權(quán)限在acegi security 主要以acl的概念出現(xiàn):即 access control list????
1<bean?id="basicAclExtendedDao"?class="net.sf.acegisecurity.acl.basic.jdbc.JdbcExtendedDaoImpl">
2??????<property?name="dataSource"><ref?bean="dataSource"/></property>
3???</bean>
4 ?? 這個類實現(xiàn)中有acl的產(chǎn)生,獲取和刪除操作
??
應(yīng)用數(shù)據(jù)權(quán)限的處理:
?? 如果我們應(yīng)用數(shù)據(jù)的權(quán)限要借助于acegi security 來實現(xiàn)的話,那主要工作就是調(diào)用 basicAclExtendedDao 中的相關(guān)方法。閱讀basicAclExtendedDao即可明白。
??
以上簡要的介紹了一下自己學(xué)習(xí)acegi security的一些了解。自己最后得出的結(jié)論是,如果自己的應(yīng)用規(guī)模很小,完全可以不用acegi security。如果要用acegi security,很多時候是需要重新實現(xiàn)自己的權(quán)限和用戶模型的。
引入別人教程完畢
2.2.2 基礎(chǔ)認(rèn)證
1) authenticationManager
起到認(rèn)證管理的作用,它將驗證的功能委托給多個Provider,并通過遍歷Providers, 以保證獲取不同來源的身份認(rèn)證,若某個Provider能成功確認(rèn)當(dāng)前用戶的身份,authenticate()方法會返回一個完整的包含用戶授權(quán)信息的Authentication對象,否則會拋出一個AuthenticationException。
Acegi提供了不同的AuthenticationProvider的實現(xiàn),如:
?1????????DaoAuthenticationProvider?從數(shù)據(jù)庫中讀取用戶信息驗證身份
?2????????AnonymousAuthenticationProvider?匿名用戶身份認(rèn)證
?3????????RememberMeAuthenticationProvider?已存cookie中的用戶信息身份認(rèn)證
?4????????AuthByAdapterProvider?使用容器的適配器驗證身份
?5????????CasAuthenticationProvider?根據(jù)Yale中心認(rèn)證服務(wù)驗證身份,?用于實現(xiàn)單點登陸
?6????????JaasAuthenticationProvider?從JASS登陸配置中獲取用戶信息驗證身份
?7????????RemoteAuthenticationProvider?根據(jù)遠程服務(wù)驗證用戶身份
?8????????RunAsImplAuthenticationProvider?對身份已被管理器替換的用戶進行驗證
?9????????X509AuthenticationProvider?從X509認(rèn)證中獲取用戶信息驗證身份
10????????TestingAuthenticationProvider?單元測試時使用 ?
1<bean?id="authenticationManager"?class="org.acegisecurity.providers.ProviderManager">
2????????<property?name="providers">
3????????????<list>
4????????????????<ref?local="daoAuthenticationProvider"/>
5????????????????<ref?local="anonymousAuthenticationProvider"/>
6????????????????<ref?local="rememberMeAuthenticationProvider"/>
7????????????</list>
8????????</property>
9</bean>
每個認(rèn)證者會對自己指定的證明信息進行認(rèn)證,如DaoAuthenticationProvider僅對UsernamePasswordAuthenticationToken這個證明信息進行認(rèn)證
2) daoAuthenticationProvider
進行簡單的基于數(shù)據(jù)庫的身份驗證。DaoAuthenticationProvider獲取數(shù)據(jù)庫中的賬號密碼并進行匹配,若成功則在通過用戶身份的同時返回一個包含授權(quán)信息的Authentication對象,否則身份驗證失敗,拋出一個AuthenticatiionException。
1<bean?id="daoAuthenticationProvider"?class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">????????
2????<property?name="userDetailsService"?ref="jdbcDaoImpl"/>????????
3????<property?name="userCache"?ref="userCache"/>????????
4????<property?name="passwordEncoder"?ref="passwordEncoder"/>???
5</bean>
3) passwordEncoder
使用加密器對用戶輸入的明文進行加密。Acegi提供了三種加密器:
1a?:??PlaintextPasswordEncoder—默認(rèn),不加密,返回明文.
2b?:?ShaPasswordEncoder—哈希算法(SHA)加密
3c?:?Md5PasswordEncoder—消息摘要(MD5)加密
1<bean?id="passwordEncoder"?class="org.acegisecurity.providers.encoding.Md5PasswordEncoder"/>
4) jdbcDaoImpl
用于在數(shù)據(jù)中獲取用戶信息。 acegi提供了用戶及授權(quán)的表結(jié)構(gòu),但是您也可以自己來實現(xiàn)。通過usersByUsernameQuery這個SQL
得到你的(用戶ID,密碼,狀態(tài)信息);通過authoritiesByUsernameQuery這個SQL得到你的(用戶ID,授權(quán)信息)
?1<bean?id="jdbcDaoImpl"?class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
?2????<property?name="dataSource"?ref="dataSource"/>
?3????<property?name="usersByUsernameQuery">????
?4????????<value>select?loginid,passwd,1?from?users?where?loginid?=??</value>
?5????</property>???????
?6????<property?name="authoritiesByUsernameQuery">????
?7????????<value>??
?8?????????????select?u.loginid,p.name?from?users?u,roles?r,permissions?p,??
?9?????????????user_role?ur,role_permis?rp?where?u.id=ur.user_id?and???
10?????????????r.id=ur.role_id?and?p.id=rp.permis_id?and?r.id=rp.role_id?and????
11?????????????p.status='1'?and?u.loginid=?????
12????????</value>
13????</property>
14</bean>
5) userCache &? resourceCache
緩存用戶和資源相對應(yīng)的權(quán)限信息。每當(dāng)請求一個受保護資源時,daoAuthenticationProvider就會被調(diào)用以獲取用戶授權(quán)信息。如果每次都從數(shù)據(jù)庫獲取的話,那代價很高,對于不常改變的用戶和資源信息來說,最好是把相關(guān)授權(quán)信息緩存起來。(詳見 2.6.3 資源權(quán)限定義擴展 )
userCache提供了兩種實現(xiàn): NullUserCache和EhCacheBasedUserCache, NullUserCache實際上就是不進行任何緩存,EhCacheBasedUserCache是使用Ehcache來實現(xiàn)緩功能。
?1<bean?id="userCacheBackend"?class="org.springframework.cache.ehcache.EhCacheFactoryBean">
?2????<property?name="cacheManager"?ref="cacheManager"/>
?3????<property?name="cacheName"?value="userCache"/>
?4</bean>
?5
?6<bean?id="userCache"?
??????????class="org.acegisecurity.providers.dao.cache.EhCacheBasedUserCache"?autowire="byName">
?7????<property?name="cache"?ref="userCacheBackend"/>??
?8</bean>
?9
10<bean?id="resourceCacheBackend"?class="org.springframework.cache.ehcache.EhCacheFactoryBean">
11????<property?name="cacheManager"?ref="cacheManager"/>
12????<property?name="cacheName"?value="resourceCache"/>
13</bean>
14
15<bean?id="resourceCache"?
?????????class="org.springside.modules.security.service.acegi.cache.ResourceCache"?autowire="byName">
16????<property?name="cache"?ref="resourceCacheBackend"/>
17</bean>
6) basicProcessingFilter
用于處理HTTP頭的認(rèn)證信息,如從Spring遠程協(xié)議(如Hessian和Burlap)或普通的瀏覽器如IE,Navigator的HTTP頭中獲取用戶
信息,將他們轉(zhuǎn)交給通過authenticationManager屬性裝配的認(rèn)證管理器。如果認(rèn)證成功,會將一個Authentication對象放到會話中
,否則,如果認(rèn)證失敗,會將控制轉(zhuǎn)交給認(rèn)證入口點(通過authenticationEntryPoint屬性裝配)
1<bean?id="basicProcessingFilter"?class="org.acegisecurity.ui.basicauth.BasicProcessingFilter">
2????<property?name="authenticationManager"?ref="authenticationManager"/>
3????<property?name="authenticationEntryPoint"?ref="basicProcessingFilterEntryPoint"/>
4</bean>
7) basicProcessingFilterEntryPoint
通過向瀏覽器發(fā)送一個HTTP401(未授權(quán))消息,提示用戶登錄。
處理基于HTTP的授權(quán)過程, 在當(dāng)驗證過程出現(xiàn)異常后的"去向",通常實現(xiàn)轉(zhuǎn)向、在response里加入error信息等功能。
1?<bean?id="basicProcessingFilterEntryPoint"?
2????????????class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint">???
3????<property?name="realmName"?value="SpringSide?Realm"/>
4</bean> ?
8) authenticationProcessingFilterEntryPoint
???? 當(dāng)拋出AccessDeniedException時,將用戶重定向到登錄界面。屬性loginFormUrl配置了一個登錄表單的URL,當(dāng)需要用戶登錄時,authenticationProcessingFilterEntryPoint會將用戶重定向到該URL
?
1<bean?id="authenticationProcessingFilterEntryPoint"?
2??????class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">????????
3????<property?name="loginFormUrl">????????????
4?????????<value>/security/login.jsp</value>????????
5????</property>???
6????<property?name="forceHttps"?value="false"/>
7</bean> ?
2.2.3 HTTP安全請求
1) httpSessionContextIntegrationFilter
每次request前 HttpSessionContextIntegrationFilter從Session中獲取Authentication對象,在request完后, 又把Authentication對象保存到Session中供下次request使用,此filter必須其他Acegi filter前使用,使之能跨越多個請求。?
1<bean?id="httpSessionContextIntegrationFilter"?
2????????????????class="org.acegisecurity.context.HttpSessionContextIntegrationFilter"/> 2) httpRequestAccessDecisionManager
經(jīng)過投票機制來決定是否可以訪問某一資源(URL或方法)。allowIfAllAbstainDecisions為false時如果有一個或以上的decisionVoters投票通過,則授權(quán)通過。可選的決策機制有ConsensusBased和UnanimousBased
1<bean?id="httpRequestAccessDecisionManager"?class="org.acegisecurity.vote.AffirmativeBased">
2????<property?name="allowIfAllAbstainDecisions"?value="false"/>
3????<property?name="decisionVoters">??
4????????<list>
5????????????<ref?bean="roleVoter"/>??
6????????</list>
7????</property>
8</bean>
3) roleVoter
? 必須是以rolePrefix設(shè)定的value開頭的權(quán)限才能進行投票,如AUTH_ , ROLE_
1<bean?id="roleVoter"?class="org.acegisecurity.vote.RoleVoter">
2????<property?name="rolePrefix"?value="AUTH_"/>???
3</bean>
4)exceptionTranslationFilter
異常轉(zhuǎn)換過濾器,主要是處理AccessDeniedException和AuthenticationException,將給每個異常找到合適的"去向"?
1<bean?id="exceptionTranslationFilter"?class="org.acegisecurity.ui.ExceptionTranslationFilter">??
2????<property?name="authenticationEntryPoint"?ref="authenticationProcessingFilterEntryPoint"/>?
3</bean>
5) authenticationProcessingFilter
和servlet spec差不多,處理登陸請求.當(dāng)身份驗證成功時,AuthenticationProcessingFilter會在會話中放置一個Authentication對象,并且重定向到登錄成功頁面
???????? authenticationFailureUrl定義登陸失敗時轉(zhuǎn)向的頁面
???????? defaultTargetUrl定義登陸成功時轉(zhuǎn)向的頁面
???????? filterProcessesUrl定義登陸請求的頁面
???????? rememberMeServices用于在驗證成功后添加cookie信息
?1<bean?id="authenticationProcessingFilter"?
???????????????class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
?2????<property?name="authenticationManager"?ref="authenticationManager"/>
?3????<property?name="authenticationFailureUrl">
?4????????<value>/security/login.jsp?login_error=1</value>
?5????</property>
?6????<property?name="defaultTargetUrl">
?7????????<value>/admin/index.jsp</value>
?8????</property>
?9????<property?name="filterProcessesUrl">
10????????<value>/j_acegi_security_check</value>
11????</property>
12????<property?name="rememberMeServices"?ref="rememberMeServices"/>
13</bean>
6) filterInvocationInterceptor
在執(zhí)行轉(zhuǎn)向url前檢查objectDefinitionSource中設(shè)定的用戶權(quán)限信息。首先,objectDefinitionSource中定義了訪問URL需要的屬性信息(這里的屬性信息僅僅是標(biāo)志,告訴accessDecisionManager要用哪些voter來投票)。然后,authenticationManager掉用自己的provider來對用戶的認(rèn)證信息進行校驗。最后,有投票者根據(jù)用戶持有認(rèn)證和訪問url需要的屬性,調(diào)用自己的voter來投票,決定是否允許訪問。
1<bean?id="filterInvocationInterceptor"?class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
2????<property?name="authenticationManager"?ref="authenticationManager"/>
3????<property?name="accessDecisionManager"?ref="httpRequestAccessDecisionManager"/>
4????<property?name="objectDefinitionSource"?ref="filterDefinitionSource"/>
5</bean>
7)filterDefinitionSource(詳見 2.6.3 資源權(quán)限定義擴展)
自定義DBFilterInvocationDefinitionSource從數(shù)據(jù)庫和cache中讀取保護資源及其需要的訪問權(quán)限信息?
1<bean?id="filterDefinitionSource"?
2??class="org.springside.modules.security.service.acegi.DBFilterInvocationDefinitionSource">????????
3????<property?name="convertUrlToLowercaseBeforeComparison"?value="true"/>????????
4????<property?name="useAntPath"?value="true"/>????????
5????<property?name="acegiCacheManager"?ref="acegiCacheManager"/>
6</bean>
2.2.4 方法調(diào)用安全控制
?
(詳見 2.6.3 資源權(quán)限定義擴展)
1) methodSecurityInterceptor
在執(zhí)行方法前進行攔截,檢查用戶權(quán)限信息
1<bean?id="methodSecurityInterceptor"?
2????????class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">????????
3????<property?name="authenticationManager"?ref="authenticationManager"/>????????
4????<property?name="accessDecisionManager"?ref="httpRequestAccessDecisionManager"/>????????
5????<property?name="objectDefinitionSource"?ref="methodDefinitionSource"/>
6</bean>
2) methodDefinitionSource
自定義MethodDefinitionSource從cache中讀取權(quán)限
1<bean?id="methodDefinitionSource"?
2??????class="org.springside.modules.security.service.acegi.DBMethodDefinitionSource">????????
3????<property?name="acegiCacheManager"?ref="acegiCacheManager"/>????
4</bean>