亚洲综合精品网站,亚洲av日韩av综合,亚洲精品你懂的在线观看

人在江湖 — Mon, 14 Mar 2011 00:41:00 GMT

摘要: 接上一��?�ȝ��Spring Security�?关于Authentication * 关于授权 AcessDecisionManager是管授权的。具体授权（authorization�Q�的工作是交�l�一�p�d��Voter来做的。每个Voter都实现AccessDecisionVoter接口的vote�Ҏ(gu��)��Q�返�?int ACCESS_GRANTED = 1;�Q�投赞成��）(j��) int ACCESS_ABSTA... 阅读全文

人在江湖 2011-03-14 08:41 发表评论

�ȝ��Spring Security�?关于Authentication

人在江湖 — Tue, 08 Mar 2011 03:02:00 GMT

前言
开始花�?ji��n)两三天的时间学Spring Security�Q�还是云山雾�|�的�Q�大受打凅R��于是重新�ȝ��一下，飞越�q�雾�Q�梳理思�\�Q�写�q�样一��文字。网上有个雷锋写�?ji��n)Spring Security2 学习(f��n)�_�讲�Q�http://www.javaeye.com/topic/319965里面包含可以�q�行的代码，如果你对spring scurity感兴��，可以快速浏览一下下面的�W�记�Q�然后debug code�Q�然后再看看�W�记。Spring Security的内容远比笔记复杂，我只是根据自��q��理解�?xi��)重要的记录�q�整理一下。把sample code也当作笔记的一部分�Q�那个code�q�是比较�_��圎ͼ�更重要的是实用�?br /> 官方提供的sample code包居然没有源代码�Q�faint�Q?google半天扑ֈ�http://grepcode.com/snapshot/repo1.maven.org/maven2/org.springframework.security/spring-security-samples-contacts/2.0.0 当然�Q�如果你�?x��)用git的话也可以自己check out code, 不过我没用过git�q�种高��货�?br />
正文
跟权限有关的两个概念�?认证 �?授权�Q?先上个图�Q?/p>

Run-As Manager �?After-Invocation Manager不重�?/p>

The actual implementation of a security interceptor will depend on what resource is being secured. If you’re securing a URL in a web application, the security interceptor will be implemented as a servlet filter. But if you’re securing a method invocation, aspects will be used to enforce security.

�q�篇只说Authentication Manager:

认证是通过AuthenticationManager来管的，

public interface AuthenticationManager {
public Authentication authenticate(Authentication authentication)
throws AuthenticationException;

}

The authenticate() method will attempt to authenticate the user using the org.acegisecurity.Authentication object (which carries the principal and credentials). If successful, the authenticate() method returns a complete Authentication object, including information about the user’s granted authorities (which will be considered by the authorization manager).

具体的工作是交给各个 authentication provider来做的：(x��)

�q�里provider manager包含多个具体的providers:

    class="org.acegisecurity.providers.ProviderManager">






ProviderManager is given its list of authentication providers through its providers property.

以DaoAuthenticationProvider举例�Q?

class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
ref="userDetailsService"/>

它会(x��)要求一个UserDetailsService, 跟它相关的是UserDetails接口

UserDetailsService接口是个��单的接口

public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException, DataAccessException;
}

UserDetails接口如下�Q?

public interface UserDetails extends Serializable {
GrantedAuthority[] getAuthorities();

String getPassword();

String getUsername();

boolean isAccountNonExpired();

boolean isAccountNonLocked();

boolean isCredentialsNonExpired();

boolean isEnabled();
}

解释一下getAuthorities:该方法返回一个GrantedAuthority[]数组对象�Q�GrantedAuthority是用��h��限信息对象，�q�个对象中定义了(ji��n)一个获取用��h��限描�q�C��息的getAuthority()�Ҏ(gu��)��?

需要注�?em>Authentication对象才是Spring Security使用的进行安全访问控制用户信息安全对象。实际上�Q�Authentication对象有未认证和已认证两种状态，在作为参��C��入认证管理器�Q�AuthenticationManager�Q�的authenticate�Ҏ(gu��)��Ӟ��是一个未认证的对象，它从客户端获取用��L(f��ng)��w�䆾信息�Q�如用户名，密码�Q�，可以是从一个登录页面，也可以从Cookie中获取，�q�由�pȝ��自动构造成一个Authentication对象。而这里提到的UserDetails代表一个用户安全信息的源（从数据库�Q�LDAP服务器，CA中心(j��)�q�回�Q�，Spring Security要做的就是将�q�个未认证的Authentication对象和UserDetails�q�行匚w��Q�成功后��UserDetails中的用户权限信息拯��到Authentication中组成一个完整的Authentication对象�Q�共其它�l��g�׃�n�?

下一��：(x��) �ȝ��Spring Security�?关于授权�Q�保护web和保护方�?/u>

参考：(x��)

Spring in Action

Spring Security学习(f��n)�ȝ��Q?http://m.tkk7.com/redhatlinux/archive/2008/08/20/223148.html

Spring Security2 学习(f��n)�_�讲�Q?http://www.javaeye.com/topic/319965

人在江湖 2011-03-08 11:02 发表评论

详细讲解在Spring中进行集成测试（转）(j��)

人在江湖 — Thu, 24 Feb 2011 02:12:00 GMT

摘要: 转蝲�?http://tech.it168.com/j/2007-10-19/200710190919953.shtml 在单元测试时�Q�我们尽量在屏蔽模块间相互干扰的情况下，重点��x(ch��ng)��模块内部逻辑的正��性。而集成测试则是在��模块整合在一起后�q�行的测试，它的目的在于发现一些模块间整合的问题。有些功能很��N��过模拟对象�q�行模拟�Q�相反它们往(xi��n)往(xi��n)只能在真实模块整合后�Q�才能真正运行�v来，如事务管理就... 阅读全文

人在江湖 2011-02-24 10:12 发表评论

人在江湖 — Sun, 13 Feb 2011 06:47:00 GMT

摘要: 转蝲自：(x��)http://www.javaeye.com/topic/319965 论坛上看�?ji��n)不��Spring Security的相��x(ch��ng)��章。这些文章基本上都还是基于Acegi-1.X的配�|�方式，而主要的配置�C�Z��也来自于SpringSide的�A(ch��)献�? 众所周知�Q�Spring Security针对Acegi的一个重大的改进��在于其配置方式大大��化了(ji��n)。所以如果配�|�还是基于Acegi-1.X�q�样比较�J�琐�?.. 阅读全文

人在江湖 2011-02-13 14:47 发表评论

人在江湖 — Sun, 30 Jan 2011 10:04:00 GMT

转蝲�?http://forum.springsource.org/showthread.php?t=50934

   1: class ExampleBean {   2:   private String string;   3:   public ExampleBean(String string) {   4:     this.string = string;   5:   }   6:      7:   public void write() {   8:     System.out.println("The text is: " + text);   9:   }  10:    11: }  12:    13: class ExampleBeanFactory {  14:   public static ExampleBean createExampleBean(String string) {  15:     return new ExampleBean(string);  16:   }  17: }  18:    19: public class Main {  20:   public static void main(String[] args) {  21:     ApplicationContext context = new ClassPathXmlApplicationContext(  22:                     "context.xml");  23:     ExampleBean exampleBean =   24:             ExampleBean)context.getBean("exampleBean",   25:               new Object[]{"bla bla"});  26:     exampleBean.write();  27:   }  28: }

   1: <bean id="exampleBean" class="...ExampleBeanFactory"  scope="prototype"   2:         factory-method="createExampleBean">   3:     <constructor-arg value="default value"/>   4: bean>

注意scope使用prototype

人在江湖 2011-01-30 18:04 发表评论