對(duì)于任何一個(gè)完整的應(yīng)用系統(tǒng),完善的認(rèn)證和授權(quán)機(jī)制是必不可少的。Acegi Security(以下簡(jiǎn)稱Acegi)是一個(gè)能為基于Spring的企業(yè)應(yīng)用提供強(qiáng)大而靈活安全訪問(wèn)控制解決方案的框架,Acegi已經(jīng)成為Spring官方的一個(gè)子項(xiàng)目,所以也稱為Spring Security。它通過(guò)在Spring容器中配置一組Bean,充分利用Spring的IoC和AOP功能,提供聲明式安全訪問(wèn)控制的功能。雖然,現(xiàn)在Acegi也可以應(yīng)用到非Spring的應(yīng)用程序中,但在Spring中使用Acegi是最自然的方式。
Acegi可以實(shí)現(xiàn)業(yè)務(wù)對(duì)象方法級(jí)的安全訪問(wèn)控制粒度,它提供了以下三方面的應(yīng)用程序的安全:
URL資源的訪問(wèn)控制
如所有用戶(包括其名用戶)可以訪問(wèn)index.jsp登錄頁(yè)面,而只有授權(quán)的用戶可以訪問(wèn)/user/addUser.jsp頁(yè)面。Acegi允許通過(guò)正則表達(dá)式或Ant風(fēng)格的路徑表達(dá)式定義URL模式,讓授權(quán)用戶訪問(wèn)某一URL匹配模式下的對(duì)應(yīng)URL資源。
業(yè)務(wù)類方法的訪問(wèn)控制
Spring容器中所有Bean的方法都可以被Acegi管理,如所有用戶可以調(diào)用BbtForum#getRefinedTopicCount()方法,而只有授權(quán)用戶可以調(diào)用BbtForum#addTopic()方法。
領(lǐng)域?qū)ο蟮脑L問(wèn)控制
業(yè)務(wù)類方法代表一個(gè)具體的業(yè)務(wù)操作,比如更改、刪除、審批等,業(yè)務(wù)類方法訪問(wèn)控制解決了用戶是否有調(diào)用某種操作的權(quán)限,但并未對(duì)操作的客體(領(lǐng)域?qū)ο螅┻M(jìn)行控制。對(duì)于我們的論壇應(yīng)用來(lái)說(shuō),用戶可以調(diào)用BbtForum#updateUser(User user)方法更改用戶注冊(cè)信息,但應(yīng)該僅限于更改自己的用戶信息,也即調(diào)用BbtForum#updateUser()所操作的User這個(gè)領(lǐng)域?qū)ο蟊仨毷鞘芟薜摹?
Acegi通過(guò)多個(gè)不同用途的Servlet過(guò)濾器對(duì)URL資源進(jìn)行保護(hù),在請(qǐng)求受保護(hù)的URL資源前,Acegi的Servlet過(guò)濾器判斷用戶是否有權(quán)訪問(wèn)目標(biāo)資源,授權(quán)者被開放訪問(wèn),而未未被授權(quán)者將被阻擋在大門之外。
Acegi通過(guò)Spring AOP對(duì)容器中Bean的受控方法進(jìn)行攔截,當(dāng)用戶的請(qǐng)求引發(fā)調(diào)用Bean的受控方法時(shí),Acegi的方法攔截器開始工作,阻止未授權(quán)者的調(diào)用。
對(duì)領(lǐng)域?qū)ο蟮脑L問(wèn)控制建立在對(duì)Bean方法保護(hù)的基礎(chǔ)上,在最終開放目標(biāo)Bean方法的執(zhí)行前,Acegi將檢查用戶的ACL(Aeccess Control List:訪問(wèn)控制列表)是否包含正要進(jìn)行操作的領(lǐng)域?qū)ο螅挥蓄I(lǐng)域?qū)ο蟊皇跈?quán)時(shí),用戶才可以使用Bean方法對(duì)領(lǐng)域?qū)ο筮M(jìn)行處理。此外,Acegi還可以對(duì)Bean方法返回的結(jié)果進(jìn)行過(guò)濾,將一些不在當(dāng)前用戶訪問(wèn)權(quán)限范圍內(nèi)的領(lǐng)域?qū)ο筇蕹簟磦鹘y(tǒng)的數(shù)據(jù)可視域范圍的控制。一般來(lái)說(shuō),使用Acegi控制數(shù)據(jù)可視域未非理想的選擇,相反通過(guò)傳統(tǒng)的動(dòng)態(tài)SQL的解決方案往往更加簡(jiǎn)單易行。
從本質(zhì)特性上來(lái)說(shuō),Servlet過(guò)濾器就是最原始的原生態(tài)AOP,所以我們可以說(shuō)Acegi不但對(duì)業(yè)務(wù)類方法、領(lǐng)域?qū)ο笤L問(wèn)控制采用了AOP技術(shù)方案,對(duì)URL資源的訪問(wèn)控制也使用了AOP的技術(shù)方案。使用AOP技術(shù)方案的框架是令人振奮的,這意味著,開發(fā)者可以在應(yīng)用程序業(yè)務(wù)功能開發(fā)完畢后,輕松地通過(guò)Acegi給應(yīng)用程序穿上安全保護(hù)的“鐵布衫”。