?Acegi是Spring Framework 下最成熟的安全系統(tǒng),它提供了強(qiáng)大靈活的企業(yè)級(jí)安全服務(wù),如:
??? 1 : 完善的認(rèn)證和授權(quán)機(jī)制,
????2 : Http資源訪問(wèn)控制,
??? 3 : Method 調(diào)用訪問(wèn)控制,
??? 4 : Access Control List (ACL) 基于對(duì)象實(shí)例的訪問(wèn)控制,
??? 5 : Yale Central Authentication Service (CAS) 耶魯單點(diǎn)登陸,
??? 6 : X509 認(rèn)證,
??? 7 : 當(dāng)前所有流行容器的認(rèn)證適配器,
??? 8 : Channel Security頻道安全管理等功能。
具體 :
- Http資源訪問(wèn)控制
?http://apps:8080/index.htm -> for public
?http://apps:8080/user.htm -> for authorized user
- 方法調(diào)用訪問(wèn)控制
public void getData() -> all user
public void modifyData() -> supervisor only
-
對(duì)象實(shí)例保護(hù)
order.getValue() < $100 -> all user
order.getValue() > $100 -> supervisor only
Acegi是非入侵式安全架構(gòu) 因?yàn)?:
- 基于Servlet Filter和Spring aop,? 使商業(yè)邏輯和安全邏輯分開(kāi),結(jié)構(gòu)更清晰
-
使用Spring 來(lái)代理對(duì)象,能方便地保護(hù)方法調(diào)用
?基于角色的權(quán)限控制(RBAC)? :
Acegi 自帶的 sample 表設(shè)計(jì)很簡(jiǎn)單: users表{username,password,enabled} authorities表{username,authority},這樣簡(jiǎn)單的設(shè)計(jì)無(wú)法適應(yīng)復(fù)雜的權(quán)限需求,故SpringSide選用RBAC模型對(duì)權(quán)限控制數(shù)據(jù)庫(kù)表進(jìn)行擴(kuò)展。?RBAC(Role-Based Access Control)引入了ROLE的概念,使User(用戶)和Permission(權(quán)限)分離,一個(gè)用戶擁有多個(gè)角色,一個(gè)角色擁有有多個(gè)相應(yīng)的權(quán)限,從而減少了權(quán)限管理的復(fù)雜度,可更靈活地支持安全策略。
同時(shí),我們也引入了resource(資源)的概念,一個(gè)資源對(duì)應(yīng)多個(gè)權(quán)限,資源分為ACL,URL,和FUNTION三種。注意,URL和FUNTION的權(quán)限命名需要以AUTH_開(kāi)頭才會(huì)有資格參加投票, 同樣的ACL權(quán)限命名需要ACL_開(kāi)頭。
2.1? 在Web.xml中的配置 :
1)? FilterToBeanProxy
Acegi通過(guò)實(shí)現(xiàn)了Filter接口的FilterToBeanProxy提供一種特殊的使用Servlet Filter的方式,它委托Spring中的Bean -- FilterChainProxy來(lái)完成過(guò)濾功能,這好處是簡(jiǎn)化了web.xml的配置,并且充分利用了Spring IOC的優(yōu)勢(shì)。FilterChainProxy包含了處理認(rèn)證過(guò)程的filter列表,每個(gè)filter都有各自的功能。
1
<
filter
>
2
????
<
filter
-
name
>
securityFilter
</
filter
-
name
>
3
????
<
filter
-
class
>
org.acegisecurity.util.FilterToBeanProxy
</
filter
-
class
>
4
????
<
init
-
param
>
5
????????
<
param
-
name
>
targetClass
</
param
-
name
>
6
????????
<
param
-
value
>
org.acegisecurity.util.FilterChainProxy
</
param
-
value
>
7
????
</
init
-
param
>
8
</
filter
>
2) filter-mapping
<filter-mapping>限定了FilterToBeanProxy的URL匹配模式,
?1
<
filter
-
mapping
>
?2
????
<
filter
-
name
>
securityFilter
</
filter
-
name
>
?3
????
<
url
-
pattern
>/
j_security_check
</
url
-
pattern
>
?4
</
filter
-
mapping
>
?5
?6
<
filter
-
mapping
>
?7
????
<
filter
-
name
>
securityFilter
</
filter
-
name
>
?8
????
<
url
-
pattern
>/
dwr
/**/
/*
</url-pattern>
?9
</filter-mapping>
10
11
<filter-mapping>
12
????<filter-name>securityFilter</filter-name>
13
????<url-pattern>*.html</url-pattern>
14
</filter-mapping>
15
16
<filter-mapping>
17
????<filter-name>securityFilter</filter-name>
18
????<url-pattern>*.jsp</url-pattern>
19
</filter-mapping>??
3) HttpSessionEventPublisher
<listener>的HttpSessionEventPublisher用于發(fā)布HttpSessionApplicationEvents和HttpSessionDestroyedEvent事件給spring的applicationcontext。
1
????
<
listener
>
2
????????
<
listener
-
class
>
org.acegisecurity.ui.session.HttpSessionEventPublisher
</
listener
-
class
>
3
????
</
listener
>
4
注:appfuse1.9.3中沒(méi)有發(fā)現(xiàn)這個(gè) 監(jiān)聽(tīng)器
--------------------------------------
2.2 :?在applicationContext-acegi-security.xml中
2.2.1 FILTER CHAIN
FilterChainProxy會(huì)按順序來(lái)調(diào)用這些filter,使這些filter能享用Spring ioc的功能, CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON定義了url比較前先轉(zhuǎn)為小寫, PATTERN_TYPE_APACHE_ANT定義了使用Apache ant的匹配模式?
?1
????
<
bean?id
=
"
filterChainProxy
"
?
class
=
"
org.acegisecurity.util.FilterChainProxy
"
>
?2
????????
<
property?name
=
"
filterInvocationDefinitionSource
"
>
?3
????????????
<
value
>
?4
????????????????CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
?5
????????????????PATTERN_TYPE_APACHE_ANT
?6
???????????????
/**?*/
/**
=httpSessionContextIntegrationFilter,authenticationProcessingFilter,
?7
?????????????????????????????????basicProcessingFilter,rememberMeProcessingFilter,anonymousProcessingFilter,
?8
????????????????????????????????exceptionTranslationFilter,filterInvocationInterceptor,securityEnforcementFilter
?9
????????????</value>
10
????????</property>
11
????</bean>
?
這里補(bǔ)充一段別人的教程? :
其中對(duì)web路徑請(qǐng)求的認(rèn)證中,我們需要了解一下
securityEnforcementFilter
1<bean?id="securityEnforcementFilter"?class="net.sf.acegisecurity.intercept.web.SecurityEnforcementFilter">
2?????<property?name="filterSecurityInterceptor">
3?????????<ref?local="filterInvocationInterceptor"/>
4?????</property>
5
6?????<property?name="authenticationEntryPoint">
7?????????<ref?local="authenticationProcessingFilterEntryPoint"/>
8?????</property>
9</bean> 這里,主要是
filterInvocationInterceptor,
?1<bean?id="filterInvocationInterceptor"?class="net.sf.acegisecurity.intercept.web.FilterSecurityInterceptor">
?2??????<property?name="authenticationManager"><ref?bean="authenticationManager"/></property>
?3??????<property?name="accessDecisionManager"><ref?local="httpRequestAccessDecisionManager"/></property>
?4??????<property?name="objectDefinitionSource">
?5?????????<value>
?6??????????????????CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
?7??????????????????PATTERN_TYPE_APACHE_ANT
?8??????????????????/wo.html=ROLE_ANONYMOUS,ROLE_USER
?9??????????????????/index.jsp=ROLE_ANONYMOUS,ROLE_USER
10?????????????????/hello.htm=ROLE_ANONYMOUS,ROLE_USER
11?????????????????/logoff.jsp=ROLE_ANONYMOUS,ROLE_USER
12?????????????????/switchuser.jsp=ROLE_SUPERVISOR
13?????????????????/j_acegi_switch_user=ROLE_SUPERVISOR
14?????????????????/acegilogin.jsp*=ROLE_ANONYMOUS,ROLE_USER
15?????????????????/**?*//**=ROLE_USER
16?????????</value>
17??????</property>
18</bean> ???
?? 在此,主要對(duì)
objectDefinitionSource值進(jìn)行處理。這里配置了很多path=role ,
?? 其作用就是在請(qǐng)求指定的路徑時(shí),
是需要當(dāng)前用戶具有對(duì)應(yīng)的角色的,如果具有相應(yīng)角色,則正常訪問(wèn)。否則跳轉(zhuǎn)至
? 這里需要說(shuō)明的就是/index.jsp=
ROLE_ANONYMOUS,
ROLE_USER 這里的角色,
ROLE_是標(biāo)記,ANONYMOUS 是角色名稱。
ANONYMOUS是只可以匿名訪問(wèn),?
這個(gè)角色無(wú)需定義。
而ROLE_USER 中的USER則是用戶定義的,接下來(lái)我們介紹這部分:
?
用戶角色管理:
acegi security提供了用戶角色的獲取接口,以及一個(gè)缺省的實(shí)現(xiàn)(包括對(duì)應(yīng)的數(shù)據(jù)庫(kù)表定義)
1<bean?id="jdbcDaoImpl"?class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">
2??????<property?name="dataSource"><ref?bean="dataSource"/></property>
3</bean> 可參看這里的net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl,需要注意的是這個(gè)dao的實(shí)現(xiàn)是同acegi security提供的表定義一致的。
如果這個(gè)角色和用戶處理模型不能滿足自己的需要,自己可以提供自己的實(shí)現(xiàn)。只需要將
1<bean?id="jdbcDaoImpl"?class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">
修改成自己類實(shí)現(xiàn)即可。
? 從嚴(yán)格意義上來(lái)說(shuō),以下權(quán)限部分的介紹應(yīng)該不在acegi security處理的范圍之內(nèi),不過(guò)acegi security是提供了相應(yīng)的機(jī)制的:
權(quán)限管理
權(quán)限在acegi security 主要以acl的概念出現(xiàn):即 access control list????
1<bean?id="basicAclExtendedDao"?class="net.sf.acegisecurity.acl.basic.jdbc.JdbcExtendedDaoImpl">
2??????<property?name="dataSource"><ref?bean="dataSource"/></property>
3???</bean>
4 ?? 這個(gè)類實(shí)現(xiàn)中有acl的產(chǎn)生,獲取和刪除操作
??
應(yīng)用數(shù)據(jù)權(quán)限的處理:
?? 如果我們應(yīng)用數(shù)據(jù)的權(quán)限要借助于acegi security 來(lái)實(shí)現(xiàn)的話,那主要工作就是調(diào)用 basicAclExtendedDao 中的相關(guān)方法。閱讀basicAclExtendedDao即可明白。
??
以上簡(jiǎn)要的介紹了一下自己學(xué)習(xí)acegi security的一些了解。自己最后得出的結(jié)論是,如果自己的應(yīng)用規(guī)模很小,完全可以不用acegi security。如果要用acegi security,很多時(shí)候是需要重新實(shí)現(xiàn)自己的權(quán)限和用戶模型的。
引入別人教程完畢
2.2.2 基礎(chǔ)認(rèn)證
1) authenticationManager
起到認(rèn)證管理的作用,它將驗(yàn)證的功能委托給多個(gè)Provider,并通過(guò)遍歷Providers, 以保證獲取不同來(lái)源的身份認(rèn)證,若某個(gè)Provider能成功確認(rèn)當(dāng)前用戶的身份,authenticate()方法會(huì)返回一個(gè)完整的包含用戶授權(quán)信息的Authentication對(duì)象,否則會(huì)拋出一個(gè)AuthenticationException。
Acegi提供了不同的AuthenticationProvider的實(shí)現(xiàn),如:
?1????????DaoAuthenticationProvider?從數(shù)據(jù)庫(kù)中讀取用戶信息驗(yàn)證身份
?2????????AnonymousAuthenticationProvider?匿名用戶身份認(rèn)證
?3????????RememberMeAuthenticationProvider?已存cookie中的用戶信息身份認(rèn)證
?4????????AuthByAdapterProvider?使用容器的適配器驗(yàn)證身份
?5????????CasAuthenticationProvider?根據(jù)Yale中心認(rèn)證服務(wù)驗(yàn)證身份,?用于實(shí)現(xiàn)單點(diǎn)登陸
?6????????JaasAuthenticationProvider?從JASS登陸配置中獲取用戶信息驗(yàn)證身份
?7????????RemoteAuthenticationProvider?根據(jù)遠(yuǎn)程服務(wù)驗(yàn)證用戶身份
?8????????RunAsImplAuthenticationProvider?對(duì)身份已被管理器替換的用戶進(jìn)行驗(yàn)證
?9????????X509AuthenticationProvider?從X509認(rèn)證中獲取用戶信息驗(yàn)證身份
10????????TestingAuthenticationProvider?單元測(cè)試時(shí)使用 ?
1<bean?id="authenticationManager"?class="org.acegisecurity.providers.ProviderManager">
2????????<property?name="providers">
3????????????<list>
4????????????????<ref?local="daoAuthenticationProvider"/>
5????????????????<ref?local="anonymousAuthenticationProvider"/>
6????????????????<ref?local="rememberMeAuthenticationProvider"/>
7????????????</list>
8????????</property>
9</bean>
每個(gè)認(rèn)證者會(huì)對(duì)自己指定的證明信息進(jìn)行認(rèn)證,如DaoAuthenticationProvider僅對(duì)UsernamePasswordAuthenticationToken這個(gè)證明信息進(jìn)行認(rèn)證
2) daoAuthenticationProvider
進(jìn)行簡(jiǎn)單的基于數(shù)據(jù)庫(kù)的身份驗(yàn)證。DaoAuthenticationProvider獲取數(shù)據(jù)庫(kù)中的賬號(hào)密碼并進(jìn)行匹配,若成功則在通過(guò)用戶身份的同時(shí)返回一個(gè)包含授權(quán)信息的Authentication對(duì)象,否則身份驗(yàn)證失敗,拋出一個(gè)AuthenticatiionException。
1<bean?id="daoAuthenticationProvider"?class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">????????
2????<property?name="userDetailsService"?ref="jdbcDaoImpl"/>????????
3????<property?name="userCache"?ref="userCache"/>????????
4????<property?name="passwordEncoder"?ref="passwordEncoder"/>???
5</bean>
3) passwordEncoder
使用加密器對(duì)用戶輸入的明文進(jìn)行加密。Acegi提供了三種加密器:
1a?:??PlaintextPasswordEncoder—默認(rèn),不加密,返回明文.
2b?:?ShaPasswordEncoder—哈希算法(SHA)加密
3c?:?Md5PasswordEncoder—消息摘要(MD5)加密
1<bean?id="passwordEncoder"?class="org.acegisecurity.providers.encoding.Md5PasswordEncoder"/>
4) jdbcDaoImpl
用于在數(shù)據(jù)中獲取用戶信息。 acegi提供了用戶及授權(quán)的表結(jié)構(gòu),但是您也可以自己來(lái)實(shí)現(xiàn)。通過(guò)usersByUsernameQuery這個(gè)SQL
得到你的(用戶ID,密碼,狀態(tài)信息);通過(guò)authoritiesByUsernameQuery這個(gè)SQL得到你的(用戶ID,授權(quán)信息)
?1<bean?id="jdbcDaoImpl"?class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
?2????<property?name="dataSource"?ref="dataSource"/>
?3????<property?name="usersByUsernameQuery">????
?4????????<value>select?loginid,passwd,1?from?users?where?loginid?=??</value>
?5????</property>???????
?6????<property?name="authoritiesByUsernameQuery">????
?7????????<value>??
?8?????????????select?u.loginid,p.name?from?users?u,roles?r,permissions?p,??
?9?????????????user_role?ur,role_permis?rp?where?u.id=ur.user_id?and???
10?????????????r.id=ur.role_id?and?p.id=rp.permis_id?and?r.id=rp.role_id?and????
11?????????????p.status='1'?and?u.loginid=?????
12????????</value>
13????</property>
14</bean>
5) userCache &? resourceCache
緩存用戶和資源相對(duì)應(yīng)的權(quán)限信息。每當(dāng)請(qǐng)求一個(gè)受保護(hù)資源時(shí),daoAuthenticationProvider就會(huì)被調(diào)用以獲取用戶授權(quán)信息。如果每次都從數(shù)據(jù)庫(kù)獲取的話,那代價(jià)很高,對(duì)于不常改變的用戶和資源信息來(lái)說(shuō),最好是把相關(guān)授權(quán)信息緩存起來(lái)。(詳見(jiàn) 2.6.3 資源權(quán)限定義擴(kuò)展 )
userCache提供了兩種實(shí)現(xiàn): NullUserCache和EhCacheBasedUserCache, NullUserCache實(shí)際上就是不進(jìn)行任何緩存,EhCacheBasedUserCache是使用Ehcache來(lái)實(shí)現(xiàn)緩功能。
?1<bean?id="userCacheBackend"?class="org.springframework.cache.ehcache.EhCacheFactoryBean">
?2????<property?name="cacheManager"?ref="cacheManager"/>
?3????<property?name="cacheName"?value="userCache"/>
?4</bean>
?5
?6<bean?id="userCache"?
??????????class="org.acegisecurity.providers.dao.cache.EhCacheBasedUserCache"?autowire="byName">
?7????<property?name="cache"?ref="userCacheBackend"/>??
?8</bean>
?9
10<bean?id="resourceCacheBackend"?class="org.springframework.cache.ehcache.EhCacheFactoryBean">
11????<property?name="cacheManager"?ref="cacheManager"/>
12????<property?name="cacheName"?value="resourceCache"/>
13</bean>
14
15<bean?id="resourceCache"?
?????????class="org.springside.modules.security.service.acegi.cache.ResourceCache"?autowire="byName">
16????<property?name="cache"?ref="resourceCacheBackend"/>
17</bean>
6) basicProcessingFilter
用于處理HTTP頭的認(rèn)證信息,如從Spring遠(yuǎn)程協(xié)議(如Hessian和Burlap)或普通的瀏覽器如IE,Navigator的HTTP頭中獲取用戶
信息,將他們轉(zhuǎn)交給通過(guò)authenticationManager屬性裝配的認(rèn)證管理器。如果認(rèn)證成功,會(huì)將一個(gè)Authentication對(duì)象放到會(huì)話中
,否則,如果認(rèn)證失敗,會(huì)將控制轉(zhuǎn)交給認(rèn)證入口點(diǎn)(通過(guò)authenticationEntryPoint屬性裝配)
1<bean?id="basicProcessingFilter"?class="org.acegisecurity.ui.basicauth.BasicProcessingFilter">
2????<property?name="authenticationManager"?ref="authenticationManager"/>
3????<property?name="authenticationEntryPoint"?ref="basicProcessingFilterEntryPoint"/>
4</bean>
7) basicProcessingFilterEntryPoint
通過(guò)向?yàn)g覽器發(fā)送一個(gè)HTTP401(未授權(quán))消息,提示用戶登錄。
處理基于HTTP的授權(quán)過(guò)程, 在當(dāng)驗(yàn)證過(guò)程出現(xiàn)異常后的"去向",通常實(shí)現(xiàn)轉(zhuǎn)向、在response里加入error信息等功能。
1?<bean?id="basicProcessingFilterEntryPoint"?
2????????????class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint">???
3????<property?name="realmName"?value="SpringSide?Realm"/>
4</bean> ?
8) authenticationProcessingFilterEntryPoint
???? 當(dāng)拋出AccessDeniedException時(shí),將用戶重定向到登錄界面。屬性loginFormUrl配置了一個(gè)登錄表單的URL,當(dāng)需要用戶登錄時(shí),authenticationProcessingFilterEntryPoint會(huì)將用戶重定向到該URL
?
1<bean?id="authenticationProcessingFilterEntryPoint"?
2??????class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">????????
3????<property?name="loginFormUrl">????????????
4?????????<value>/security/login.jsp</value>????????
5????</property>???
6????<property?name="forceHttps"?value="false"/>
7</bean> ?
2.2.3 HTTP安全請(qǐng)求
1) httpSessionContextIntegrationFilter
每次request前 HttpSessionContextIntegrationFilter從Session中獲取Authentication對(duì)象,在request完后, 又把Authentication對(duì)象保存到Session中供下次request使用,此filter必須其他Acegi filter前使用,使之能跨越多個(gè)請(qǐng)求。?
1<bean?id="httpSessionContextIntegrationFilter"?
2????????????????class="org.acegisecurity.context.HttpSessionContextIntegrationFilter"/> 2) httpRequestAccessDecisionManager
經(jīng)過(guò)投票機(jī)制來(lái)決定是否可以訪問(wèn)某一資源(URL或方法)。allowIfAllAbstainDecisions為false時(shí)如果有一個(gè)或以上的decisionVoters投票通過(guò),則授權(quán)通過(guò)。可選的決策機(jī)制有ConsensusBased和UnanimousBased
1<bean?id="httpRequestAccessDecisionManager"?class="org.acegisecurity.vote.AffirmativeBased">
2????<property?name="allowIfAllAbstainDecisions"?value="false"/>
3????<property?name="decisionVoters">??
4????????<list>
5????????????<ref?bean="roleVoter"/>??
6????????</list>
7????</property>
8</bean>
3) roleVoter
? 必須是以rolePrefix設(shè)定的value開(kāi)頭的權(quán)限才能進(jìn)行投票,如AUTH_ , ROLE_
1<bean?id="roleVoter"?class="org.acegisecurity.vote.RoleVoter">
2????<property?name="rolePrefix"?value="AUTH_"/>???
3</bean>
4)exceptionTranslationFilter
異常轉(zhuǎn)換過(guò)濾器,主要是處理AccessDeniedException和AuthenticationException,將給每個(gè)異常找到合適的"去向"?
1<bean?id="exceptionTranslationFilter"?class="org.acegisecurity.ui.ExceptionTranslationFilter">??
2????<property?name="authenticationEntryPoint"?ref="authenticationProcessingFilterEntryPoint"/>?
3</bean>
5) authenticationProcessingFilter
和servlet spec差不多,處理登陸請(qǐng)求.當(dāng)身份驗(yàn)證成功時(shí),AuthenticationProcessingFilter會(huì)在會(huì)話中放置一個(gè)Authentication對(duì)象,并且重定向到登錄成功頁(yè)面
???????? authenticationFailureUrl定義登陸失敗時(shí)轉(zhuǎn)向的頁(yè)面
???????? defaultTargetUrl定義登陸成功時(shí)轉(zhuǎn)向的頁(yè)面
???????? filterProcessesUrl定義登陸請(qǐng)求的頁(yè)面
???????? rememberMeServices用于在驗(yàn)證成功后添加cookie信息
?1<bean?id="authenticationProcessingFilter"?
???????????????class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
?2????<property?name="authenticationManager"?ref="authenticationManager"/>
?3????<property?name="authenticationFailureUrl">
?4????????<value>/security/login.jsp?login_error=1</value>
?5????</property>
?6????<property?name="defaultTargetUrl">
?7????????<value>/admin/index.jsp</value>
?8????</property>
?9????<property?name="filterProcessesUrl">
10????????<value>/j_acegi_security_check</value>
11????</property>
12????<property?name="rememberMeServices"?ref="rememberMeServices"/>
13</bean>
6) filterInvocationInterceptor
在執(zhí)行轉(zhuǎn)向url前檢查objectDefinitionSource中設(shè)定的用戶權(quán)限信息。首先,objectDefinitionSource中定義了訪問(wèn)URL需要的屬性信息(這里的屬性信息僅僅是標(biāo)志,告訴accessDecisionManager要用哪些voter來(lái)投票)。然后,authenticationManager掉用自己的provider來(lái)對(duì)用戶的認(rèn)證信息進(jìn)行校驗(yàn)。最后,有投票者根據(jù)用戶持有認(rèn)證和訪問(wèn)url需要的屬性,調(diào)用自己的voter來(lái)投票,決定是否允許訪問(wèn)。
1<bean?id="filterInvocationInterceptor"?class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
2????<property?name="authenticationManager"?ref="authenticationManager"/>
3????<property?name="accessDecisionManager"?ref="httpRequestAccessDecisionManager"/>
4????<property?name="objectDefinitionSource"?ref="filterDefinitionSource"/>
5</bean>
7)filterDefinitionSource(詳見(jiàn) 2.6.3 資源權(quán)限定義擴(kuò)展)
自定義DBFilterInvocationDefinitionSource從數(shù)據(jù)庫(kù)和cache中讀取保護(hù)資源及其需要的訪問(wèn)權(quán)限信息?
1<bean?id="filterDefinitionSource"?
2??class="org.springside.modules.security.service.acegi.DBFilterInvocationDefinitionSource">????????
3????<property?name="convertUrlToLowercaseBeforeComparison"?value="true"/>????????
4????<property?name="useAntPath"?value="true"/>????????
5????<property?name="acegiCacheManager"?ref="acegiCacheManager"/>
6</bean>
2.2.4 方法調(diào)用安全控制
?
(詳見(jiàn) 2.6.3 資源權(quán)限定義擴(kuò)展)
1) methodSecurityInterceptor
在執(zhí)行方法前進(jìn)行攔截,檢查用戶權(quán)限信息
1<bean?id="methodSecurityInterceptor"?
2????????class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">????????
3????<property?name="authenticationManager"?ref="authenticationManager"/>????????
4????<property?name="accessDecisionManager"?ref="httpRequestAccessDecisionManager"/>????????
5????<property?name="objectDefinitionSource"?ref="methodDefinitionSource"/>
6</bean>
2) methodDefinitionSource
自定義MethodDefinitionSource從cache中讀取權(quán)限
1<bean?id="methodDefinitionSource"?
2??????class="org.springside.modules.security.service.acegi.DBMethodDefinitionSource">????????
3????<property?name="acegiCacheManager"?ref="acegiCacheManager"/>????
4</bean>