看了一段時間Acegi的文檔和例子,今天終于把這個難纏的家伙給搞定了.其實就是一些概念的理解的差別,搞得暈頭轉向的.

在網上找了一些文章和例子,同一個內容卻有不同的說法.有的說acegi沒有角色的概念,有的說在認證通過后將用戶對就在角色保存在Session中.搞得很暈.

經過幾天看源碼和例子,我覺得acegi是沒有角色的概念的.它只是判斷一個用戶有沒有操作或訪問某一個資源的權限，如果有權限就可以訪問，沒有權限就拋出異常。這個中間沒有涉及到的角色，但是我們可以通過擴展原有的類加入角色的概念，畢竟大多數的權限控制都有角色。（擴展方法后面有介紹）

基本原理（我寫得比較簡單,個人也只是簡單應用的程度）

1、用戶請求登錄，根據配置校驗用戶名和密碼，用戶名和密碼acegi默認是在xml文件中配置，可以通過數據庫來保存，主要是實現UserDetailsService.loadUserByUsername方法。這個方法返回一個org.acegisecurity.userdetails .UserDetails。org.acegisecurity.userdetails.User實現了UserDetails。它的構造方法是：

User(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, GrantedAuthority[] authorities)
Construct the User with the details required by DaoAuthenticationProvider

2、Logout處理

acegi 的logout的地址是j_acegi_logout。例如：<a href="/j_acegi_logout">logout</a>。如果有web.xml的fitler-mapping中配置的不是/*，則要加入這樣代碼：

<filter-mapping>
<filter-name>Acegi Filter Chain Proxy</filter-name>
<url-pattern>/j_acegi_logout</url-pattern>
</filter-mapping>
在acegi配置中：

<bean id="filterChainProxy"
class="org.acegisecurity.util.FilterChainProxy">
<property name="filterInvocationDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
/**=concurrentSessionFilter,httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,filterSecurityInterceptor
</value>
</property>
</bean>

<!-- 認證管理器 -->
<bean id="authenticationManager"
class="org.acegisecurity.providers.ProviderManager">
<property name="providers"><!-- 可有多個認證提供器,其中一個證通過就可以了 -->
<list>
<ref local="daoAuthenticationProvider" />
<!-- 匿名認證 -->
<!-- ref local="anonymousAuthenticationProvider"/-->
<!-- ref local="rememberMeAuthenticationProvider" /-->
</list>
</property>
<property name="sessionController"
ref="concurrentSessionController" />
</bean>
<!-- 可以限制同一個用戶名在同一時刻成功登錄同一個應用的次數 -->
<bean id="concurrentSessionController"
class="org.acegisecurity.concurrent.ConcurrentSessionControllerImpl">
<!-- 每個用戶同時登陸一位 -->
<property name="maximumSessions">
<value>1</value>
</property>
<property name="sessionRegistry" ref="sessionRegistry" />
<property name="exceptionIfMaximumExceeded" value="true" />
<!-- 默認是false，即如果超出最大登陸用戶限制，你這個登陸還是允許的。但是其他已經用這個用戶登陸的會有一個給強制OUT的。
只有是true時，才會不讓你這個用戶登陸 -->
</bean>
<bean id="sessionRegistry"
class="org.acegisecurity.concurrent.SessionRegistryImpl" />
<bean id="concurrentSessionFilter"
class="org.acegisecurity.concurrent.ConcurrentSessionFilter">
<property name="sessionRegistry" ref="sessionRegistry" />
<property name="expiredUrl">
<value>/</value>
</property>
</bean>

其中：concurrentSessionFilter，建議放在httpSessionContextIntegrationFilter的前面。這樣就可以logout了。

Technorati : acegi