五?FAQ?

5.1 FAQ

1. Q: ? 能否脫離Spring框架來使用Acegi?
   A:? 雖然Acegi 沒有要求必須使用Spring Framework，但事實上Acegi很大程度上利用了Spring的IOC和AOP,很難脫離Spring的單獨使用。
2. Q:? Acegi有對xfire的支持嗎?
   A: 有,詳見http://jira.codehaus.org/browse/XFIRE-389
3. Q: 為何無論怎么設(shè)置都返回到登陸頁面無法成功登陸?
   A:? 檢查登陸頁面或登陸失敗頁面是否只有ROLE_ANONYMOUS權(quán)限

5.2 Acegi 補(bǔ)習(xí)班

要了解Acegi,首先要了解以下幾個重要概念：

1. Authentication
   Authentication對象包含了principal, credentials 和 authorities(authorities要賦予給principal的),同時也可以包含一些附加的認(rèn)證請求信息,如TCP/IP地址和Session id等。
2. SecurityContextHolder
   SecurityContextHolder包含ThreadLocal私有屬性用于存取SecurityContext, SecurityContext包含Authentication私有屬性, 看以下一段程序

   
   
   public void getSecurityContextInformations() {
   ??SecurityContext sc = SecurityContextHolder.getContext();
   ??Authentication auth = sc.getAuthentication();
   ??Object principal = auth.getPrincipal();
   ??if (principal instanceof UserDetails) {
   ???//用戶密碼
   ???String password = ((UserDetails) principal).getPassword();
   ???//用戶名稱
   ???String username = ((UserDetails) principal).getUsername();
   ???//用戶權(quán)限
   ???GrantedAuthority[] authorities = ((UserDetails) principal).getAuthorities();
   ???for (int i = 0; i < authorities.length; i++) {
   ????String authority = authorities[i].getAuthority();
   ???}
   ??}
   ??Object details = auth.getDetails();
   ??if (details instanceof WebAuthenticationDetails) {
   ???//用戶session id
   ???String SessionId = ((WebAuthenticationDetails) details).getSessionId();
   ??}
   ?}
   

3. AuthenticationManager
   通過Providers驗證在當(dāng)前 ContextHolder中的Authentication對象是否合法。
4. AccessDecissionManager
   經(jīng)過投票機(jī)制來審批是否批準(zhǔn)操作
5. RunAsManager
   當(dāng)執(zhí)行某個操作時,RunAsManager可選擇性地替換Authentication對象
6. Interceptors
   攔截器(如FilterSecurityInterceptor,JoinPoint,MethodSecurityInterceptor等)用于協(xié)調(diào)授權(quán),認(rèn)證等操作