˜q™é‡Œé¢æœ‰ä¸¤ä¸ªæœ€åŸºæœ¬çš„概念：(x¨¬)authentication manager å’?access decision manageråQŒå‰è€…控制认证，后都控制鉴权ã€?br /> 1. åœ?ss 的认证系¾lŸä¸­åQŒé»˜è®¤çš„实现帮助我们提供了三个概念，用户åQˆuseråQ‰ï¼Œè§’色åQˆauthorityåQŒä¸€èˆ¬å­˜ roleåQ‰å’Œ¾l„（groupåQ‰ï¼Œä¸‰è€…的关系是，¾l„、角色与用户都是多对多关¾p»ï¼Œ¾l„和角色间没关系åQŒé»˜è®¤æ˜¯ä¸å¯ç”¨ç»„的。后¾l­ï¼Œåœ?Acl 权限½Ž¡ç†ä¸­ï¼Œå¯ä»¥çœ‹åˆ°è§’色之间åQŒæ˜¯å¯ä»¥æœ‰åŒ…含（æ ?w¨¨i)åÅžåQŸï¼‰å…³ç³»çš„ã€?br /> 2. åœ?ss 的鉴权系¾lŸä¸­åQŒæ˜Žæ˜¾ä¼š(x¨¬)比认证复杂得多。有 AccessDecisionManager, AccessDecisionVoteråQˆå‰¾|®ï¼‰, AfterInvocationProvideråQˆåŽ¾|®ï¼‰, RoleHierarchy, SidRetrievalStrategy, LookupStrategy, PermissionGrantingStrategy, SecurityExpressionHandler, AclService, MutableAclService, AclCache 概念˜q‡å¤šäº†ï¼Œè¦ä¸€ä¸ªä¸€ä¸ªè§£é‡?br /> a) 中心æ˜?AccessDecisionManageråQŒä¸»è¦è´Ÿè´?AccessDecisionVoter 的管理，默认提供äº?¿Uå®žçŽŽÍ¼š(x¨¬)1. AffirmativeBased 如果有ä“Q何一个投¼œ¨å™¨å…è®¸è®‰K—®,è¯äh±‚ž®†è¢«ç«‹åˆ»å…è®¸,而不½Ž¡ä¹‹å‰å¯èƒ½æœ‰çš„æ‹’¾lå†³å®šã€?. ConsensusBased 多数¼œ?允许或拒¾l?军_®šäº†ç»“果，òq›_±€çš„投¼œ?和空¼œ?全是弃权çš?的结果是可配¾|®çš„ã€?. UnanimousBased 所有的投票器必™åÕd…¨æ˜¯å…è®¸çš„,否则讉K—®ž®?被拒¾lã€?br /> AccessDecisionManager 在用äº?Web å’?Method Call 两种情况下，可能是不一致的åQŒå› ä¸ºåŠŸèƒ½ä¹Ÿä¸ä¸€è‡´ã€?br /> b) Method Call 除了使用 AccessDecisionManager ˜q›è¡Œæƒé™åˆ¤æ–­å¤–，˜q˜å¯ä»¥å¢žåŠ?AfterInvocationProvider 来进行出口数据的判断åQŒé»˜è®¤æä¾›äº† 3 ¿Uã€?br /> 1) PostInvocationAdviceProvider: 需要提供一ä¸?PostInvocationAuthorizationAdviceåQŒé»˜è®¤å®žçŽ°åªæœ‰ä¸€ä¸ªï¼Œž®±æ˜¯ ExpressionBasedPostInvocationAdviceåQŒå¯ä»¥é€šè¿‡ spel 来进行权限判断。注æ„?ExpressionBasedPostInvocationAdvice 中需要提供一ä¸?MethodSecurityExpressionHandleråQŒèƒ½å¤Ÿåˆ›å»ºå‡ºä¸€ä¸?MethodSecurityExpressionOperationsåQŒæ”¾åˆ?spel context 中，ä¾?spel function 调用åQŒè¿™æ ïL(f¨¥ng)š„方式åQŒåœ¨åŽç®‹å¾ˆå¸¸è§ã€?br /> 2) AclEntryAfterInvocationProvider å’?AclEntryAfterInvocationCollectionFilteringProvider : ˜q™ä¸¤¿Uéƒ½å·®ä¸å¤šï¼Œä¸»è¦ä¾èµ– AclService, ObjectIdentityRetrievalStrategy, SidRetrievalStrategy 来配合，‹‚€æŸ¥è¿”回值的权限。Collection 版本的，可以把无权限的数据去掉，只留下有权限的数据ã€?br /> c) RoleHierarchy 提供了角色之间的关系åQŒæä¾›äº†ä¸¤ä¸ªå®žçŽ°åQŒä¸€ä¸ªæ˜¯æ²¡å…³¾pȝš„åQŒç›´æŽ¥æŠŠ user çš?role ˜q”回åQŒå¦å¤–一个是有ç‘ô承关¾pȝš„。ç‘ô承关¾pÕd®žçŽ°æŒºæœ‰æ„æ€çš„åQŒèƒ½å¤Ÿå¤„理多¾U§çš„ include 关系åQŒæ¯”较好用ã€?br /> RoleHierarchy çš„ä‹É用比较复杂，ä¼?x¨¬)è¢?AccessDecisionVoter, SidRetrievalStrategy, SecurityExpressionHandler 用到åQŒSecurityExpressionHandler 又会(x¨¬)è¢?AccessDecisionVoter 用到åQŒæ‰€ä»¥è¿˜æ˜¯æœ‰ç‚¹å„¿æ··äØ•ã€?br /> 具体的说 SecurityExpressionHandler ä¼?x¨¬)用å?PermissionEvaluator å’?RoleHierarchyåQŒPermissionEvaluator 的一个实çŽ?AclPermissionEvaluator ä¼?x¨¬)用å?SidRetrievalStrategyã€?br /> d) SidRetrievalStrategy å’?RoleHierarchy 的功能比较接˜q‘，æ¯?RoleHierarchy 高一个抽象层‹Æ¡ï¼ŒåŠŸèƒ½ä¸Šä¹Ÿæœ‰æ‰€åŒºåˆ«åQŒæ˜¯ä»Žä¸€ä¸?authentication 拿到所有相关的 SidåQˆåŒ…æ‹?RoleåQˆGrantedAuthoritySidåQ?å’?UseråQˆPrincipalSidåQ‰ï¼‰åQŒè€?RoleHierarchy 只包括了 RoleåQˆGrantedAuthoritySidåQ‰çš„¾l§æ‰¿å…³ç³»ã€?br /> e) LookupStrategy 通过 ObjectIdentity å’?Sid 把相关的 Acl 查询出来。可以在 LookupStrategy 扩展 Acl å’?Ace 的功能，比如åœ?Ace 上面加上旉™—´çš„条仉™™åˆÓž¼Œž®±éœ€è¦è‡ªå·±å®šä¹?LookupStrategyåQŒæŠŠæ—‰™—´æ¡äšg从数据库查询出来åQŒåƈ攑ֈ°è‡ªå®šä¹‰çš„ Ace 当中ã€?br /> 但这件事情非帔Rº»çƒ¦ï¼Œå› äØ“(f¨´)默认实现çš?BasicLookupStrategy 是个 Final çš„ç±»åQŒæ‰€ä»¥åªèƒ½è‡ªå·Þq›´æŽ¥å®žçŽ°æŽ¥å£ï¼Œæ— æ³•ä½¿ç”¨çŽ°æœ‰çš„功能ã€?br /> LookupStrategy ä¼?x¨¬)生æ?AclåQŒè€Œæœ€¾lˆçš„权限验证是由 Acl 完成的，如果想验证带旉™—´æ¡äšgçš?AceåQŒéœ€è¦ç»™ Acl 讄¡½®è‡ªå®šä¹‰çš„带有‹‚€æŸ¥æ—¶é—´åŠŸèƒ½çš„ PermissionGrantingStrategyåQŒå®žé™…上åQŒè¿™ä¸?PermissionGrantingStrategy ä¼?x¨¬)首先设¾|®ç»™ LookupStrategyåQŒLookupStrategy 在创å»?Acl 的时候，再放åˆ?Acl 中去ã€?br /> f) SecurityExpressionHandler 能够执行 spelåQŒå¾—到是否可以访问的¾l“æžœåQŒå®ƒçš„子¾c»éƒ½æ˜¯ç‘ô承自 AbstractSecurityExpressionHandler 的，有一个非帔R‡è¦çš„æ–ÒŽ(gu¨©)³•æ˜?SecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, T invocation)åQŒåˆ›å»ÞZ¸€ä¸?SecurityExpressionOperations 攑ֈ° EvaluationContext 中去åQŒæä¾?spel 中执行的æ–ÒŽ(gu¨©)³•å®žçŽ°ã€‚比å¦?SecurityExpressionOperations 的一个抽象实çŽ?SecurityExpressionRoot 中，ž®±åŒ…含了大量的权限验证方法，å¦?hasRole, hasPermission ½{‰å¸¸ç”¨çš„功能ã€?br /> g) AclService, MutableAclService, AclCache 概念比较½Ž€å•ï¼ŒAclService 是通过 LookupStrategy 查询 AclåQŒè‡ªå·²å¯ä»¥æŸ¥è¯?ObjectIdentity 的父子关联关¾p»ï¼ŒMutableAclService 提供了修改的能力åQŒAclCache ä¸?AclService 提供¾~“å­˜åQŒé»˜è®¤çš„实现了一ä¸?EhCacheBasedAclCacheã€?br /> 3. ss 的鉴权模åž?Sid, ObjectIdentity, Acl, Ace, Permission
a) Sid: 是中心，所有的授权ä¼?x¨¬)关联åœ?Sid 上面åQŒSid 和之前的 Role Base Permission ä¼?x¨¬)有些相同的地方åQŒä½†ä¹Ÿæ˜Žæ˜¾ä¸åŒï¼ŒSid 默认实现情况下，分äØ“(f¨´) GrantedAuthoritySid å’?PrincipalSidåQŒå…¶å®žå°±æ˜?Role å’?UseråQŒé€šè¿‡ SidRetrievalStrategy 拿到一ä¸?Authentication çš?Sidã€?br /> b) ObjectIdentity: 可以理解æˆ?ResourceåQŒå°±æ˜¯å¯è®‰K—®çš„目标资源，æœ?id å’?type 两个字段åQŒé»˜è®¤å®žçŽ°çš„ ObjectIdentityImpl ä¼?x¨¬)直接调用目æ?domainObject çš?getClass å’?getId æ–ÒŽ(gu¨©)³•æ‹¿åˆ°ä¸¤ä¸ªå‚数。在 PermissionEvaluator, AfterInvocationProvider 中，ä¼?x¨¬)用å?ObjectIdentityRetrievalStrategy å’?ObjectIdentityGeneratoråQŒObjectIdentityRetrievalStrategy ä¼?x¨¬)æ ¹æ?domainObject 拿到 ObjectIdentityåQŒç„¶åŽä‹Éç”?Acl ˜q›è¡Œé‰´æƒåQŒObjectIdentityGenerator ä¼?x¨¬)在¾pȝ»Ÿæä¾›çš„不æ˜?domainObjectåQŒè€Œæ˜¯ type, id 的时候，拿到 ObjectIdentityåQŒç„¶åŽè¿›è¡?Acl 鉴权åQŒè¿™ä¸¤ä¸ªæŽ¥å£æœ‰ä¸€ä¸ªå…±åŒçš„实现 ObjectIdentityRetrievalStrategyImplåQŒå¦‚果需要在 ObjectIdentity ˜q›è¡Œæ–°çš„抽象åQŒéœ€è¦ç”¨æ–°çš„实现åQŒåˆ°å¾—不同的 ObjectIdentityåQŒæ¯”如将业务对象分类鉴权˜q™æ ·çš„需求ã€?br /> c) Acl, 每个 ObjectIdentity 最多对应一æ?AclåQŒAcl 中包含了很多åQŒåŒ…æ‹?parentalåQŒè¯´æ˜?Acl 是有¾l§æ‰¿å…³ç³»çš„？其实不是åQŒå‘µå‘µï¼Œæ˜?ObjectIdentity 有ç‘ô承关¾p»è€Œå·²ã€‚有一ä¸?ObjectIdentityåQŒæœ‰å¾ˆå¤š SidåQŒè¿˜æœ‰ä¸€ä¸ªå«å?Owner çš?SidåQŒæœ‰ä»?LookupStrategy 传过来的 PermissionGrantingStrategyåQŒè¿›è¡Œå®žé™…的鉴权åQŒè¿˜æœ?AclAuthorizationStrategy ‹‚€æŸ¥æœ‰æ²¡æœ‰æƒé™˜q›è¡Œ Acl security check。实现时间条件检查，ž®±æ‰©å±?PermissionGrantingStrategyã€?br /> ä¸ÞZ»€ä¹ˆæ²¡æœ?RoleHierarchy 或是 SidRetrievalStrategy 存在呢？是因ä¸ø™°ƒç”?Acl ˜q›è¡Œæƒé™‹‚€æŸ¥ä¹‹å‰ï¼Œå·²ç»æŠŠç›¸å…³çš„ Sid 得到了，再给 Acl çš„ã€?br /> d) Ace, Permission: Ace 存储 Sid, PermissionåQŒæä¾›ç»™ Acl 鉴权用。增加时间条件的话，最基本的，ž®±æ˜¯è¦åœ¨ Ace 中，增加旉™—´æ¡äšg字段。Permission 是用二进制存储的åQŒä½†é»˜è®¤å®žçŽ°çš„数据库存储òq¶ä¸æ˜¯ï¼Œæ˜¯ä¸€ä¸ªä¸€æ¡ï¼Œå­˜åœ¨æ•°æ®åº“里面的ã€?/p>

好吧åQŒæ¦‚念还是非常多的，不过鉴于权限控制本èínž®±æ˜¯ä¸ªå¤æ‚的话题åQŒss ˜q™äº›è®¾è®¡çš„我觉得已经非常好，也基本够用了ã€?/p> @import url(http://www.aygfsteel.com/CuteSoft_Client/CuteEditor/Load.ashx?type=style&file=SyntaxHighlighter.css);@import url(/css/cuteeditor.css);