序言
譯者:leondu
,作者保留版權(quán),轉(zhuǎn)載請注明出處。
Acegi Security為基于J2EE的企業(yè)應(yīng)用軟件提供全面的安全解決方案。正如你在本手冊中看到的那樣,我們嘗試為您提供有用的,高可配置的安全系統(tǒng)。
安全是一個永無止境的目標(biāo),獲取一個全面的,系統(tǒng)級的實現(xiàn)方式是至關(guān)重要的。在安全界,我們鼓勵你采用"分層安全",這樣每個層都確保自身盡可能的安全,另 外的層提供另外的安全。每個層自身越"緊密",你的系統(tǒng)就越魯棒和安全。在底層,你要處理傳輸入安全和系統(tǒng)認(rèn)證,減少"中間人攻擊"(man-in-the-middle attacks)。接下來你要使用防火墻,結(jié)合VPN或者IP安全來確保只有認(rèn)證過的系統(tǒng)能夠嘗試連接。在企業(yè)環(huán)境中,你可能部署DMZ(demilitarized zone,隔離區(qū))來把面向公眾的服務(wù)器和后端的數(shù)據(jù)和應(yīng)用服務(wù)器分隔開。在以非授權(quán)用戶運行進程和文件系統(tǒng)安全最大化上,你的操作系統(tǒng)也將扮演一個關(guān)鍵的角色。接下來你要防止針對系統(tǒng)的拒絕服務(wù)和暴力攻擊。入侵檢測系統(tǒng)在檢測和應(yīng)對攻擊方面尤其有用,這些系統(tǒng)可以實時屏蔽惡意TCP/IP地址。在更高層上,你的Java虛擬機需要進行配置,將授予不同Java類型的權(quán)限最小化,然后,你的應(yīng)用程序要對添加針對自身特定問題域的安全配置。Acegi Security使后者-應(yīng)用程序安全變得容易。
當(dāng)然,你要正確對待上述提到的每個安全層,以及包含于每個層的管理因素。這樣的管理因素具體包括:安全公告監(jiān)測,補丁,人工診斷,審計,變更管理,工程管理系統(tǒng),數(shù)據(jù)備份,災(zāi)難恢復(fù),性能評測,負載監(jiān)測,集中日志,應(yīng)急反應(yīng)程序等等。
Acegi Security專注于在企業(yè)應(yīng)用安全層為您提供幫助,你將會發(fā)現(xiàn)和各式各樣的需求和商業(yè)問題領(lǐng)域一樣多。銀行系統(tǒng)的需求和電子商務(wù)應(yīng)用的需求不同。電子商務(wù)應(yīng)用和售賣軍用自動工具的公司的需求不同。這些客戶化的需求使得應(yīng)用安全顯得有趣,富有挑戰(zhàn)性而且物有所值。
本手冊為Acegi Security 1.0.0的發(fā)布而大規(guī)模重新組織。請先閱讀Part I 架構(gòu)概覽。手冊的其余部分按照傳統(tǒng)的手冊方式編排,需要一定的基礎(chǔ)才能閱讀。
我們希望您會覺得手冊有用,并且歡迎您提供反饋意見和建議。
最后,歡迎加入Acegi Security社區(qū)。
Part I. 架構(gòu)概覽
象其他的軟件一樣,Acegi Security也有在整個框架中都會使用的特定核心接口,類,和概念抽象。在手冊的這一部分,在檢視這些規(guī)劃和執(zhí)行Acegi Security集成所必須的核心要素之前,我們先介紹Acegi Security。
第一章. 簡介
1.1. Acegi Security是什么?
Acegi Security為基于J2EE的企業(yè)軟件應(yīng)用提供全面的安全服務(wù)。特別是使用領(lǐng)先的J2EE解決方案-Srping框架開發(fā)的項目。如果您不是使用Spring開發(fā)企業(yè)應(yīng)用,我們溫馨提醒您仔細研究一下。熟悉Spring,尤其是依賴注射原理,會極大的幫助你快速掌握Acegi Security。
人們使用Acegi Security有很多種原因,不過通常吸引他們到這個項目的原因是他們在J2EE的 Servlet Specification 或者 EJB Specification中找不到迫切需要的典型企業(yè)應(yīng)用場景。提到這些規(guī)范,特別要提出的是他們不是在WAR或者EAR級別可移植的。這樣,如果你切換服務(wù)器環(huán)境,一般來說你要在目標(biāo)環(huán)境中花費很多工夫來重新配置你的應(yīng)用安全。使用Acegi Security解決了這些問題,并且為你提供了很多其他有用的,完全可定制的安全特性。
如你所知,安全包含兩個主要操作。第一個被稱為"認(rèn)證",是為用戶建立一個它所聲明的principal。Principal通常代表用戶,設(shè)備,或者其他能在你的應(yīng)用中執(zhí)行操作的其他系統(tǒng)。"授權(quán)"指判定一個principal能否在你的系統(tǒng)中執(zhí)行某個操作。在到達授權(quán)判斷之前,principal的的身份認(rèn)證已經(jīng)由認(rèn)證過程執(zhí)行過了。這些概念是通用的,不是Acegi Security特有的。
在認(rèn)證層面,Acegi Security廣泛支持各種認(rèn)證模塊。這些認(rèn)證模塊絕大多數(shù)是第三方提供,或者相關(guān)的標(biāo)準(zhǔn)組織開發(fā)的,例如Internet Engineering Task Force。作為補充,Acegi Security自己也提供了一些認(rèn)證功能。
Acegi Security當(dāng)前支持如下的認(rèn)證技術(shù)。
• HTTP BASIC authentication headers (an IEFT RFC-based standard)
• HTTP Digest authentication headers (an IEFT RFC-based standard)
• HTTP X.509 client certificate exchange (an IEFT RFC-based standard)
• LDAP (a very common approach to cross-platform authentication needs, especially in large environments)
• Form-based authentication (for simple user interface needs)
• Computer Associates Siteminder
• JA-SIG Central Authentication Service (otherwise known as CAS, which is a popular open source single sign on system)
• Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (a Spring remoting protocol)
• Automatic "remember-me" authentication (so you can tick a box to avoid re-authentication for a predetermined period of time)
• Anonymous authentication (allowing every call to automatically assume a particular security identity)
• Run-as authentication (which is useful if one call should proceed with a different security identity)
• Java Authentication and Authorization Service (JAAS)
• Container integration with JBoss, Jetty, Resin and Tomcat (so you can still use Container Manager Authentication if desired)
• 你自己的認(rèn)證系統(tǒng) (如下所示)
很多獨立軟件供應(yīng)商(ISVs)選擇Acegi Security是因為它具有豐富的認(rèn)證模塊。這樣無論他們的終端客戶需要什么,他們都可以快速集成到他們的系統(tǒng)中,不用花很多工夫或者讓終端客戶改變環(huán)境。如果Acegi Security System for Spring的7個認(rèn)證模塊還沒有滿足你的需求的話,Acegi Security是一個開放的系統(tǒng),很容易寫你自己的認(rèn)證機制。許多Acegi Security的企業(yè)用戶需要和"遺留"系統(tǒng)集成,這些遺留系統(tǒng)不遵循任何安全標(biāo)準(zhǔn),Acegi Security能夠和這樣的系統(tǒng)"合作愉快"。
有時候基本的認(rèn)證是不夠的。有時候你需要根據(jù)principal和應(yīng)用交互的方式來應(yīng)用不同的安全措施。例如,你可能為了防止密碼被竊取,或者防止終端用戶受到"中間人"攻擊,需要保證到達的是請求通過HTTPS的。或者,你要確保是一個真正的人而不是某種機器人或者自動進程在發(fā)送請求。這對于保護密碼恢復(fù)不受暴力破解攻擊,或者防止他人很容易的復(fù)制你應(yīng)用的關(guān)鍵內(nèi)容。為了幫助你實現(xiàn)這些目標(biāo),Acegi Security完全支持自動"通道安全"("channel security"),以及集成Jcaptcha來檢測是否是真正人類用戶。
Acegi Security不僅提供了認(rèn)證功能,而且提供了完備的授權(quán)功能。在授權(quán)方面主要有三個領(lǐng)域,授權(quán)web請求,授權(quán)方法調(diào)用,授權(quán)存取單個領(lǐng)域?qū)ο髮嵗榱藥椭憷斫膺@些區(qū)別,對照考慮一下Servlet 規(guī)范中的web模式安全的授權(quán)功能,EJB容器管理安全以及文件系統(tǒng)安全。Acegi Security提供了所有這些重要領(lǐng)域的完備功能,我們將在本手冊的后面介紹。
1.2. 歷史
Acegi Security始于2003年晚期,當(dāng)時在Spring Developers郵件列表中有人提問是否有人考慮提供一個基于Spring的安全實現(xiàn)。當(dāng)時,Srping的社區(qū)是相對比較小的(尤其是和今天相比!),實際上Spring本身也是2003年早期才作為一個SourceForge項目出現(xiàn)的。對此問題的回應(yīng)是它確實是一個值得研究的領(lǐng)域,雖然限于時間無法進行深入。
有鑒于此,這個簡單的安全實現(xiàn)雖然構(gòu)建了但是并沒有發(fā)布。幾周以后,Spring社區(qū)的其他成員詢問了安全框架,代碼就被提供給了他們。
隨后又有人請求,到了2004年一月,大約有20人左右在使用這些代碼。另外一些人加入到這些先行的用戶中來,并建議建立一個SourceForge項目,這個項目在2004年3月建立起來。
在早期,該項目自身并不具備任何認(rèn)證模塊。認(rèn)證過程依賴容器管理安全(Container Managed Security)而Acegi Security注重授權(quán)。在一開始這樣是合適的,但是隨著越來越多的用戶要求額外的容器支持,基于容器的認(rèn)證的限制就顯示出來了。另外一個相關(guān)的問題是添加新的JAR文件到容器的classpath,通常會讓最終用戶感到困惑并且配置錯誤。
隨后,Acegi Security加入了認(rèn)證服務(wù)。大約一年后,Acegi Security成為了一個Spring Framework官方子項目。在2年半多的在多個軟件項目中的活躍使用以及數(shù)以百計的改進和社區(qū)貢獻,1.0.0最終版在2006年5月發(fā)布。
今天,Acegi Security成為一個強大而活躍的社區(qū)。在支持論壇上有數(shù)以千計的帖子。14個開發(fā)人員專職開發(fā),一個活躍的社區(qū)也定期共享補丁并支持他們的同儕。
1.3. 發(fā)行版本號
理解Acegi Security的版本號是非常好處的,它可以幫助你判定升級的到新的版本是否需要花費很大精力。我們的正式發(fā)行版本使用Apache Portable Runtime Project版本指引,可以在下述網(wǎng)站查看http://apr.apache.org/versioning.html。為了您查看方便,我們引用該頁的說明部分如下:
"版本號由三個部分的整數(shù)組成:主版本號(MAJOR)、副版本號(MINOR)、補丁版本號(PATCH)。主要的含義是主版本號(MAJOR)是不兼容的,API大規(guī)模升級。副版本號(MINOR)在源文件和可執(zhí)行版和老版本保持兼容,補丁版本號(PATCH)則意味著向前和向后的完全兼容"。
第二章. 技術(shù)概覽
2.1. 運行時環(huán)境
Acegi Security可以在JRE1.3中運行。這個發(fā)行版本中支持也Java 5.0,盡管對應(yīng)的Java類型被分開打包到一個后綴是"tiger"的包中。因為Acegi Security致力于以一種自包含的方式運行,因此不需要在JRE中放置任何特殊的配置文件。特別無需配置Java Authentication and Authorization Service (JAAS)策略文件或者將Acegi Security放置到通用的classpath路徑中。
同樣的,如果你使用EJB容器或者Servlet容器,同樣無需放置任何特別的配置文件或者將Acegi Security包含在服務(wù)器的類加載器(classloader)中。
上述的設(shè)計提供了最大的部署靈活性,你可以直接把目標(biāo)工件(JAR, WAR 或者 EAR))直接從一個系統(tǒng)copy到另一個系統(tǒng),它馬上就可以運行起來。
2.2. 共享組件
讓我們來看看Acegi Security中最重要的一些共享組件。所謂共享組件是指在框架中處于核心地位,系統(tǒng)脫離了它們之后就不能運行。這些Java類型代表了系統(tǒng)中其他部分的構(gòu)建單元,因此理解它們是非常重要的,即使你不需要直接和它們打交道。
最基礎(chǔ)的對象是SecurityContextHolder。在這里存儲了當(dāng)前應(yīng)用的安全上下文(security context),包括正在使用應(yīng)用程序的principal的詳細信息。SecurityContextHolder默認(rèn)使用ThreadLocal來存儲這些詳細信息,這意味著即便安全上下文(security context)沒有被作為一個參數(shù)顯式傳入,它仍然是可用的。如果在當(dāng)前principal的請求處理后清理線程,那么用這種方式使用ThreadLocal是非常安全的。當(dāng)然, Acegi Security自動為你處理這些,所以你無需擔(dān)心。
有些應(yīng)用程序由于使用線程的方式而并不是完全適用ThreadLocal。例如,Swing客戶端可能需要一個Java Virtual Machine中的所有線程都使用同樣的安全上下文(security context)。在這種情況下你要使用SecurityContextHolder.MODE_GLOBAL模式。另外一些應(yīng)用程序可能需要安全線程產(chǎn)生的線程擁有同樣的安全標(biāo)識符(security identity)。這可以通過SecurityContextHolder.MODE_INHERITABLETHREADLOCAL來實現(xiàn)。你可以通過兩種方法來修改默認(rèn)的SecurityContextHolder.MODE_THREADLOCAL。第一種是設(shè)置一個系統(tǒng)屬性。或者,調(diào)用SecurityContextHolder的一個靜態(tài)方法。大部分的應(yīng)用程序不需要修改默認(rèn)值,不過如果你需要,那么請查看SecurityContextHolder的JavaDocs獲取更多信息。
我們在SecurityContextHolder中存儲當(dāng)前和應(yīng)用程序交互的principal的詳細信息。Acegi Security使用一個Authentication對象來代表這個信息。盡管你通常不需要自行創(chuàng)建一個Authentication對象,用戶還是經(jīng)常會查詢Authentication對象。
你可以在你的應(yīng)用程序中的任何地方使用下述的代碼塊:
Object obj =SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (obj instanceof UserDetails) {String username =((UserDetails)obj).getUsername();} else {String username =obj.toString();}
上述的代碼展示了一些有趣的聯(lián)系和關(guān)鍵的對象。首先,你會注意到在SecurityContextHolder和Authentication之間有一個媒介對象。SecurityContextHolder.getContext() 方法實際上返回一個SecurityContext。Acegi Security使用若干個不同的SecurityContext實現(xiàn),以備我們需要存儲一些和principal無關(guān)的特殊信息。一個很好的例子就是我們的Jcaptcha集成,它需要知道一個需求是否是由人發(fā)起的。這樣的判斷和principal是否通過認(rèn)證完全沒有關(guān)系,因此我們將它保存在SecurityContext中。
從上述的代碼片段可以看出的另一個問題是你可以從一個Authentication對象中獲取一個principal。Principal只是一個對象。通常可以把它cast為一個UserDetails對象。UserDetails在Acegi Security中是一個核心接口,它以一種擴展以及應(yīng)用相關(guān)的方式來展現(xiàn)一個principal。可以把UserDetails看作是你的用戶數(shù)據(jù)庫和Acegi Security在SecurityContextHolder所需要的東西之間的一個適配器(adapter)。作為你自己用戶數(shù)據(jù)庫的一個展現(xiàn),你可能經(jīng)常要把它cast到你應(yīng)用程序提供的原始對象,這樣你就可以調(diào)用業(yè)務(wù)相關(guān)的方法(例如 getEmail(), getEmployeeNumber())。
現(xiàn)在你可能已經(jīng)開始疑惑,那我什么時候提供UserDetails對象呢?我要如何提供呢?
我想你告訴過我這個東西是聲明式的,我不需要寫任何Java代碼-那怎么做到呢?對此的簡短回答就是有一個叫做UserDetailsService的特殊接口。這個接口只有一個方法,接受一個Sring類型的參數(shù)并返回一個UserDetails。Acegi Security提供的大多數(shù)認(rèn)證提供器將部分認(rèn)證過程委派給UserDetailsService。UserDetailsService用來構(gòu)建保存在SecurityContextHolder中的Authentication對象。好消息是我們提供若干個UserDetailsService的實現(xiàn),包括一個使用in-memory map和另一個使用JDBC的。
大多數(shù)用戶還是傾向于寫自己的實現(xiàn),這樣的實現(xiàn)經(jīng)常就是簡單的構(gòu)建于已有的Data Access Object (DAO)上,這些DAO展現(xiàn)了他們的雇員、客戶、或者其他企業(yè)應(yīng)用程序中的用戶。要記得這樣做的好處,不論你的UserDetailsService返回什么,它總是可以從SecurityContextHolder中獲取,象上面的代碼顯示的那樣。
除了principal,Authentication提供的另一個重要方法就是getAuthorities()。這個方法返回一個GrantedAuthority對象數(shù)組。GrantedAuthority,毫無疑問,就是授予principal的權(quán)限。這些權(quán)限通常是"角色",例如ROLE_ADMINISTRATOR 或者ROLE_HR_SUPERVISOR。這些角色稍后配置到web授權(quán),方法授權(quán)和領(lǐng)域?qū)ο笫跈?quán)。Acegi Security的其他部分能夠處理這些權(quán)限,并且期待他們被提供。通常你會從UserDetailsService中返回GrantedAuthority對象。
通常GrantedAuthority對象都是應(yīng)用范圍的權(quán)限。它們都不對應(yīng)特定的領(lǐng)域?qū)ο蟆R虼耍銘?yīng)該不會有一個代表54號員工對象的GrantedAuthority,因為這樣會有數(shù)以千計的authority,你馬上就會用光所有內(nèi)存(或者,至少會讓系統(tǒng)花太長時間來認(rèn)證一個用戶)。當(dāng)然,Acegi Security會高效的處理這種普遍的需求,但是你不會使用領(lǐng)域?qū)ο蟀踩δ軄韺崿F(xiàn)這個目的。
最后,但不是不重要,你有時候需要在HTTP 請求之間存儲SecurityContext。另外有些時候你在每次請求的時候都會重新認(rèn)證principal,不過大部分時候你會存儲SecurityContext。HttpSessionContextIntegrationFilter在HTTP之間存儲SecurityContext。正如類名字顯示的那樣,它使用HttpSession來進行存儲。基于安全原因,你永遠都不要直接和HttpSession交互。沒有理由這么做,所以記得使用SecurityContextHolder來代替。
讓我們回憶一下,Acegi Security的基本組成構(gòu)件是:
• SecurityContextHolder,提供對SecurityContext的所有訪問方式。
• SecurityContext, 存儲Authentication以及可能的請求相關(guān)的安全信息。
• HttpSessionContextIntegrationFilter, 在web請求之間把SecurityContext存儲在HttpSession中。
• Authentication, 以Acegi Security的方式表現(xiàn)principal。
• GrantedAuthority, 表示賦予一個principal的應(yīng)用范圍的權(quán)限。
• UserDetails, 為從你的應(yīng)用程序DAO中獲取必要的信息來構(gòu)建一個Authentication 對象。
• UserDetailsService,用傳入的String類型的username(或者認(rèn)證ID,或類似)來創(chuàng)建一個UserDetails。
現(xiàn)在你已經(jīng)理解了這些重復(fù)使用的組件,讓我們仔細看看認(rèn)證過程吧。
2.3. 認(rèn)證
正如我們在手冊開始部分所說的那樣,Acegi Security適用于很多認(rèn)證環(huán)境。雖然我們建議大家使用Acegi Security自身的認(rèn)證功能而不是和容器管理認(rèn)證(Container Managed Authentication)集成,但是我們?nèi)匀恢С诌@種和你私有的認(rèn)證系統(tǒng)集成的認(rèn)證。讓我們先從Acegi Security完全自行管理管理web安全的角度來探究一下認(rèn)證,這也是最復(fù)雜和最通用的情形。
想象一個典型的web應(yīng)用的認(rèn)證過程:
1.你訪問首頁,點擊一個鏈接。
2.一個請求被發(fā)送到服務(wù)器,服務(wù)器判斷你是否請求一個被保護的資源。
3.因為你當(dāng)前未被認(rèn)證,服務(wù)器發(fā)回一個回應(yīng),表明你必須通過認(rèn)證。這個回應(yīng)可能是一個HTTP回應(yīng)代碼,或者重定向到一個特定的網(wǎng)頁。
4.基于不同的認(rèn)證機制,你的瀏覽器會重定向到一個網(wǎng)頁好讓你填寫表單,或者瀏覽器會用某種方式獲取你的身份認(rèn)證(例如一個BASIC認(rèn)證對話框,一個cookie,一個X509證書等等。)。
5.瀏覽器會發(fā)回給服務(wù)器一個回應(yīng)。可能是一個包含了你填寫的表單內(nèi)容的HTTP POST,或者一個包含你認(rèn)證詳細信息的HTTP header。
6.接下來服務(wù)器會判斷提供的認(rèn)證信息是否有效。如果它們有效,你進入到下一步。如果它們無效,那么通常請求你的瀏覽器重試一次(你會回到上兩步)。
7.你引發(fā)認(rèn)證的那個請求會被重試。但愿你認(rèn)證后有足夠的權(quán)限訪問那些被保護的資源。如果你有足夠的訪問權(quán)限,請求就會成功。否則,你將會受到一個意味"禁止"的HTTP403錯誤代碼。
在Acegi Security中,對應(yīng)上述的步驟,有對應(yīng)的類。主要的參與者(按照被使用的順序)是:ExceptionTranslationFilter, AuthenticationEntryPoint, 認(rèn)證機制(authentication mechanism), 以及AuthenticationProvider。
ExceptionTranslationFilter是Acegi Security用來檢測任何拋出的安全異常的過濾器(filter)。這種異常通常是由AbstractSecurityInterceptor拋出的,它是授權(quán)服務(wù)的主要提供者。我們將會在下一部分討論AbstractSecurityInterceptor,現(xiàn)在我們只需要知道它產(chǎn)生Java異常,并且對于HTTP或者如何認(rèn)證一個principal一無所知。反而是ExceptionTranslationFilter提供這樣的服務(wù),它負責(zé)要么返回403錯誤代碼(如果principal通過了認(rèn)證,只是缺少足夠的權(quán)限,象上述第7步那樣),要么加載一個AuthenticationEntryPoint (如果principal還沒有被認(rèn)證,那么我們要從第3步開始)。
AuthenticationEntryPoint負責(zé)上述的第3步。如你所想,每個web應(yīng)用都有一個默認(rèn)的認(rèn)證策略(象Acegi Security中幾乎所有的東西一樣,它也是可配置的,不過我們現(xiàn)在還是還是從簡單開始)。每個主流的認(rèn)證系統(tǒng)都有它自己的AuthenticationEntryPoint實現(xiàn),負責(zé)執(zhí)行第3步中描述的動作。
當(dāng)瀏覽器確定要發(fā)送你的認(rèn)證信息(HTTP 表單或者HTTP header),服務(wù)器上需要有什么東西來"收集"這些認(rèn)證信息。現(xiàn)在我們在上述的第6步。在Acegi Security中對從用戶代理(通常是瀏覽器)收集認(rèn)證信息有一個特定的名字,這個名字是"認(rèn)證機制(authentication mechanism)"。當(dāng)認(rèn)證信息從客戶代理收集過來以后,一個"認(rèn)證請求(Authenticationrequest)"對象被創(chuàng)建,并發(fā)送到AuthenticationProvider。
Acegi Security中認(rèn)證的最后一環(huán)是一個AuthenticationProvider。非常簡單,它的職責(zé)是取用一個認(rèn)證請求(Authentication request)對象,并且判斷它是否有效。這個provider要么拋出一個異常,要么返回一個組裝完畢的Authentication對象。還記得我們的好朋友UserDetails 和 UserDetailsService吧?如果沒有,回到前一部分重新回憶一下。大部分的AuthenticationProviders都會要求UserDetailsService提供一個UserDetails對象。如前所述,大部分的應(yīng)用程序會提供自己的UserDetailsService,盡管有些會使用Acegi Security提供的JDBC或者 in-memory實現(xiàn)。作為成品的UserDetails 對象,特別是其中的GrantedAuthority[]s,在構(gòu)建完備的Authentication對象時會被使用。
當(dāng)認(rèn)證機制(authentication mechanism)取回組裝完全的Authentication對象后,它將會相信請求是有效的,將Authentication放到SecurityContextHolder中,并且將原始請求取回(上述第7步)。反之,AuthenticationProvider則拒絕請求,認(rèn)證機制(authentication mechanism)會請求用戶重試(上述第2步)。
在講述典型的認(rèn)證流程的同時,有個好消息是Acegi Security不關(guān)心你是如何把Authentication放到SecurityContextHolder內(nèi)的。唯一關(guān)鍵的是在AbstractSecurityInterceptor授權(quán)一個請求之前,在SecurityContextHolder中包含一個代表了principal的Authentication。
你可以(很多用戶確實)實現(xiàn)自己的過濾器(filter)或者MVC控制器(controller)來提供和不是基于Acegi Security的認(rèn)證系統(tǒng)交互。例如,你可能使用使用容器管理認(rèn)證(Container Managed Authentication),從ThreadLocal或者JNDI中獲取當(dāng)前用戶信息,使得它有效。或者,你工作的公司有一個遺留的私有認(rèn)證系統(tǒng),而它是公司"標(biāo)準(zhǔn)",你對它無能為力。在這種情況之下也是非常容易讓Acegi Security運作起來,提供認(rèn)證能力。你所需要做的是寫一個過濾器(或等價物)從某處讀取第三方用戶信息,構(gòu)建一個Acegi Security式的Authentication對象,把它放到SecurityContextHolder中。這非常容易做,也是一種廣泛支持的集成方式。
2.4. 安全對象
如果你熟悉AOP,你會知道有很多種advice可用:before, after, throws 和 around。around advice非常有用,因為它能夠選擇是否選擇是否執(zhí)行一個方法調(diào)用,是否修改返回值,以及是否拋出異常。Acegi Security對方法調(diào)用和web請求都提供around advice。我們使用AOP聯(lián)盟實現(xiàn)對方法調(diào)用的around advice,對于web請求的around advice則是使用標(biāo)準(zhǔn)的過濾器(Filter)。
對于那些不熟悉AOP的人來說,關(guān)鍵是要理解Acegi Security能夠幫助你保護方法調(diào)用以及web請求。大多數(shù)人對保護他們服務(wù)層的方法調(diào)用感興趣。這是因為在當(dāng)前的J2EE應(yīng)用中,服務(wù)層包含了大多數(shù)的業(yè)務(wù)邏輯(聲明,作者不贊成這種設(shè)計,反而支持正確封裝的領(lǐng)域模型以及DTO,assembly, facade 以及 transparent persistence patterns,而不是當(dāng)前主流的貧血模型,我們將在這里討論)。如果你需要保護service層的方法調(diào)用,使用標(biāo)準(zhǔn)的Spring AOP平臺(或者被成為AOP 聯(lián)盟(AOP Alliance))就足夠了。如果你需要直接對領(lǐng)域模型進行保護,那么可以考慮使用AspectJ。
你可以選擇對使用AspectJ 或者AOP聯(lián)盟(AOP Alliance)對方法進行授權(quán),或者你可以選擇使用過濾器(filter)來對web請求進行授權(quán)。你將0個,1個,2個或者3個這些方法一起使用。主流的用法是執(zhí)行一些web請求授權(quán),以及在服務(wù)層使用AOP聯(lián)盟(AOP Alliance)對一些方法調(diào)用授權(quán)。
Acegi Security使用"安全對象"(secure object)這個詞來指任何能夠?qū)踩珣?yīng)用于其上的對象。每個Acegi Security支持的安全對象都有自己的類,它是AbstractSecurityInterceptor的子類。重要的一點是,如果一個principal通過認(rèn)證,當(dāng)AbstractSecurityInterceptor執(zhí)行的時候,SecurityContextHolder中要包含一個有效的Authentication。
AbstractSecurityInterceptor提供一個固定的工作流程來處理安全對象請求。這個工作流程包括查找和當(dāng)前請求相關(guān)聯(lián)的"配置屬性(configuration attributes)"。配置屬性(configuration attributes)可以被認(rèn)為是對被AbstractSecurityInterceptor使用的類有特殊含義的字符串。他們通常針對AbstractSecurityInterceptor使用XML進行配置。反正,AbstractSecurityInterceptor會詢問AccessDecisionManager "這是配置屬性(configuration attributes),這是當(dāng)前的認(rèn)證對象(Authentication object),這是當(dāng)前請求的詳細信息-那么這個特定的principal可以執(zhí)行這個特定的操作嗎?"。
假如AccessDecisionManager判定允許這個請求,那么AbstractSecurityInterceptor一般來說就繼續(xù)執(zhí)行請求。雖然這樣,用戶在少數(shù)情況之下可能需要替換SecurityContext中的Authentication,可以通過AccessDecisionManager調(diào)用一個RunAsManager來實現(xiàn)。在某些不常見的情形下這將非常有用,例如服務(wù)層的方法需要用另一種標(biāo)識(身份)來調(diào)用遠程系統(tǒng)。這可能有所幫助,因為Acegi Security自動在不同的服務(wù)器之間傳播安全標(biāo)識(假設(shè)你正確配置了RMI或者HttpInvoker remoting protocol client)。
隨著安全對象處理和返回-意味著方法調(diào)用完畢或者過濾器鏈(filter chain)處理完畢-AbstractSecurityInterceptor有最后的機會來處理調(diào)用。這時,AbstractSecurityInterceptor可能會修改返回的對象。我們可能要這樣做,因為授權(quán)判斷不能在安全對象調(diào)用途中執(zhí)行。由于高度的可插拔性,如果需要AfterInvocationManager將控制權(quán)交給AfterInvocationManager來實際修改對象。這個類甚至可以徹底替換對象,或者拋出異常,或者根本不修改它。
因為是AbstractSecurityInterceptor中心模版類,看起來第一副插圖該獻給它。(譯注:原手冊里的圖畫的太丑陋了,我用jude重新畫了一遍)
圖1 關(guān)鍵"安全對象"模型
只有那些希望實現(xiàn)全新的對請求進行截取截取和授權(quán)方式的開發(fā)者才需要直接使用安全對象。例如,可能構(gòu)建一個新的安全對象安全調(diào)用一個消息系統(tǒng)。任何需要安全并且能夠提供一種截取調(diào)用的方式(例如AOP around advice semantics)的東西都可以成為安全對象。雖然如此,大部分的Spring應(yīng)用都會只是透明應(yīng)用當(dāng)前支持的三種安全對象類型(AOP Alliance MethodInvocation, AspectJ JoinPoint 和 web request FilterInterceptor)。
2.5. 結(jié)論
恭喜!你已經(jīng)獲取了Acegi Security足夠的概括性的圖景來開始著手你的項目。我們探究了共享組件,認(rèn)證過程,以及對"安全對象"的通用授權(quán)概念。手冊中的余下部分你可能用到也可能用不到,可以按照任意順序閱讀。
第三章. 協(xié)助系統(tǒng)
本章介紹一些Acegi Security使用的附加和協(xié)助系統(tǒng)。那些和安全無關(guān),但是包含在Acegi Security項目中的部分,將會在本章中討論
3.1. 本地化
Acegi Security支持對終端客戶可能會看到的異常信息進行本地化。如果你的應(yīng)用是為英文用戶設(shè)計的,那么你什么都不用做,因為Acegi Security的所有消息默認(rèn)都是英文的。如果你要支持其他區(qū)域用戶,那么本節(jié)包含了你所需要了解的所有東西。
包括認(rèn)證失敗或者訪問被拒絕(授權(quán)失敗)的所有異常消息都可以被本地化。提供給開發(fā)者或者系統(tǒng)部署人員的異常或者日志信息(包括錯誤的屬性、接口不符、構(gòu)造器錯誤、debug級日志)沒有被本地化,它們硬編碼在Acegi Security的代碼中。
在acegi-security-xx.jar(譯注:xx代表版本號)的org.acegisecurity包中包含了一個messages.properties文件。這個文件會被你的application context引用,因為Acegi Security實現(xiàn)了Spring的MessageSourceAware接口,它期待在application context啟動的時候注入一個message resolver。通常你所需要做的是在你的application context中注冊一個引用這個消息的bean,如下所示:
<bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource"><property name="basename"><value>org/acegisecurity/messages</value></property></bean>
messages.properties是按照資源包標(biāo)準(zhǔn)命名的,它代表了Acegi Securtiy支持的默認(rèn)語言。文件默認(rèn)是英文的。如果你不注冊一個消息源,Acegi Security仍然可以正常工作,它會用回硬編碼的英文消息。
如果你想定制messages.properties文件,或者支持其他語言,那么你應(yīng)該copy這個文件,然后重命名,并在上述的bean定義中注冊。因為文件中的key并不多,因此本地化花不了多少工夫。如果你針對消息文件進行了本地化,那么請和社區(qū)分享,你可以添加一個JIRA任務(wù),將你正確命名的messages.properties本地化文件作為附件添加。
為了完善關(guān)于本地化的討論需要知道Spring的ThreadLocal org.springframework.context.i18n.LocaleContextHolder。你應(yīng)該為每個用戶設(shè)置代表他區(qū)域的LocaleContextHolder。Acegi Security會嘗試從這個ThreadLocal中獲取的Locale來從消息源中獲取消息。請參考Spring的文檔以獲取更多使用LocaleContextHolder和能夠幫你自動設(shè)置它的輔助類(例如
AcceptHeaderLocaleResolver, CookieLocaleResolver, FixedLocaleResolver, SessionLocaleResolver 等)的詳細信息。
3.2. Filters
正如你在整個手冊中看到的那樣,Acegi Security使用很多filter。你可以使用FilterToBeanProxy或者FilterChainProxy來確定這些是怎樣加入到你的web應(yīng)用中的,下面我們來看看。
大部分filter使用FilterToBeanProxy來配置。例如下面web.xml中配置所示:
<filter> <filter-name>Acegi HTTP Request Security Filter</filter-name> <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class> <init-param> <param-name>targetClass</param-name> <param-value>org.acegisecurity.ClassThatImplementsFilter</param-value> </init-param></filter>
注意在web.xml中的filter實際上是一個FilterToBeanProxy,而不是真正實現(xiàn)filter邏輯的filter。FilterToBeanProxy所作的是代理Filter的方法到一個從Spring的application context 獲取的bean。這使得這個bean可以享受Spring application context的生命周期支持以及配置靈活性。這個bean必須實現(xiàn)javax.servlet.Filter。
FilterToBeanProxy只需要一個簡單的初始化參數(shù),targetClass或者targetBean。targetClass會定位application context中指定的類的第一個對象,而FilterToBeanProxy按照bean的名字定位對象。象標(biāo)準(zhǔn)的Spring web應(yīng)用一樣,F(xiàn)ilterToBeanProxy使用WebApplicationContextUtils.getWebApplicationContext(ServletContext)來訪問application context,所以你應(yīng)該在web.xml中配置一個ContextLoaderListener。
在IoC容器而不是servlet容器中部署Filter會有一個生命周期的問題。特別是,哪個容器應(yīng)該負責(zé)調(diào)用Filter的"startup" 和 "shutdown"方法?注意到Filter的初始化和析構(gòu)順序隨servlet容器不同而不同,如果一個Filter依賴于由另一個更早初始化的Filter的配置,這樣就會出現(xiàn)問題。另一方面,Spring IoC具備更加完善的生命周期/IoC接口(例如InitializingBean, DisposableBean, BeanNameAware, ApplicationContextAware以及其他許多)以及一個容易理解的接口契約(interface contract),可預(yù)見的方法調(diào)用順序,自動裝配支持,以及可以避免實現(xiàn)Spring接口的選項(例如Spring XML中的destroy-method 屬性)。因此,我們推薦盡可能使用Spring生命周期服務(wù)而不是servlet容器生命周期服務(wù)。FilterToBeanProxy默認(rèn)不會將init(FilterConfig) 和 destroy()方法委派到被代理的bean。如果你需要這些調(diào)用被委派,那么將lifecycle初始化參數(shù)設(shè)置為servlet-container-managed。
我們強烈推薦你使用FilterChainProxy而不是FilterToBeanProxy。雖然FilterToBeanProxy是一個非常有用的類FilterToBeanProxy,問題是當(dāng)web.xml中filter變多時,<filter> 和 <filter-mapping>項就會太多而變得臃腫不堪。為了解決這個問題,Acegi Security提供一個FilterChainProxy類。它在FilterToBeanProxy中被裝配(正如上面例子中所示),但目標(biāo)類(target class)是org.acegisecurity.util.FilterChainProxy。這樣過濾器鏈(filter chain)可以在application context中按照如下代碼配置:
<bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy"> <property name="filterInvocationDefinitionSource"> <value> CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /webServices/*=httpSessionContextIntegrationFilterWithASCFalse,basicProcessingFilter,exceptionTranslationFilter, /*=httpSessionContextIntegrationFilterWithASCTrue,authenticationProcessingFilter,exceptionTranslationFilter,filterSecurityInterceptor </value> </property></bean>
你可能注意到FilterSecurityInterceptor定義方式的相似之處。同時支持正則表達式和Ant Paths格式,越對應(yīng)的URI越早出現(xiàn)。在運行時,F(xiàn)ilterChainProxy會定位符合當(dāng)前的web請求的第一個URI模式。每個對應(yīng)的配置屬性代表了在application context中定義的一個bean的名字。接著fiter會按照它們被指定的順序,按照FilterChain的標(biāo)準(zhǔn)行為模式被調(diào)用(如果一個Filter決定停止處理,它可以不在chain中執(zhí)行)。
如你所見,F(xiàn)ilterChainProxy需要為不同的請求模式重復(fù)配置filter的名字(在上面的例子中,, exceptionTranslationFilter 和 filterSecurityInterceptor 是重復(fù)的)。這樣的設(shè)計是為了讓FilterChainProxy能夠為不同的URI配置不同的filter調(diào)用順序,同時也提高了表達力(針對正則表達式、Ant Paths、以及任何FilterInvocationDefinitionSource的特定實現(xiàn))和清晰度,可以知道是哪個filter應(yīng)該被調(diào)用。
你可能注意到了我們在filter chain定義了兩個HttpSessionContextIntegrationFilter (ASC是allowSessionCreation的縮寫,是HttpSessionContextIntegrationFilter的一個屬性)。因為web服務(wù)不會為將來的請求提供一個jsessionid,為這樣的用戶創(chuàng)建HttpSessions是浪費的。如果你有一個需要最大限度的伸縮性的高容量的應(yīng)用,我們建議你使用上述的方法。對于小的應(yīng)用,使用單一的HttpSessionContextIntegrationFilter (默認(rèn)的allowSessionCreation設(shè)為true)應(yīng)該足夠了。
說到生命周期問題,如果對FilterChainProxy自身調(diào)用init(FilterConfig) 和 destroy()方法,它會把它代理到底層的filter。這樣FilterChainProxy保證只初始化和析構(gòu)每個filter一次,不論它在FilterInvocationDefinitionSource中定義了多少次。你可以通過FilterToBeanProxy的lifecycle初始化參數(shù)來控制這些方法是否被調(diào)用。如上面所討論的那樣,默認(rèn)所有servlet容器生命周期調(diào)用是不被代理到FilterChainProxy的。
在web.xml中定義的filter的順序是非常重要的。不管你實際用到哪個filter,<filter-mapping>的順序應(yīng)該是如下所示的:
1.ChannelProcessingFilter,因為可能要重定向到另一種協(xié)議。
2.ConcurrentSessionFilter 因為不使用任何SecurityContextHolder的功能,但是需要更新SessionRegistry來表示當(dāng)前的發(fā)送請求的principal。
3. HttpSessionContextIntegrationFilter, 這樣當(dāng)一個web請求開始的時候就可以在SecurityContextHolder中設(shè)置一個SecurityContext,當(dāng)web請求結(jié)束的時候任何對SecurityContext的改動都會被copy到HttpSession(以備下一個web請求使用)。
4.Authentication processing mechanisms - AuthenticationProcessingFilter, CasProcessingFilter, BasicProcessingFilter, HttpRequestIntegrationFilter, JbossIntegrationFilter 等 - 修改SecurityContextHolder,使其中包含一個有效的認(rèn)證請求令牌(token)。
5.SecurityContextHolderAwareRequestFilter, 如果你使用它來在你的servlet容器中安裝一個Acegi Security aware HttpServletRequestWrapper。
6.RememberMeProcessingFilter, 如果早期的認(rèn)證處理過程沒有更新SecurityContextHolder,并且請求(request)提供了一個cookie啟用remember-me服務(wù),一個合適的被記住的Authentication對象會被放到SecurityContextHolder那里。
7.AnonymousProcessingFilter, 如果早期的認(rèn)證處理過程沒有更新SecurityContextHolder,, 一個匿名Authentication 對象會被放到SecurityContextHolder那里。
8.ExceptionTranslationFilter, 捕獲所有的Acegi Security 異常,這樣要么返回一個HTTP錯誤響應(yīng)或者加載一個對應(yīng)的AuthenticationEntryPoint。
9.FilterSecurityInterceptor, 保護 web URIs
所有上述的filter使用FilterToBeanProxy或FilterChainProxy。建議在一個應(yīng)用中使用一個單個的FilterToBeanProxy代理到一個單個的FilterChainProxy。,在FilterChainProxy中定義所有的Acegi Security Filters。如果你使用SiteMesh,確保Acegi Security filters 在 SiteMesh filters調(diào)用前調(diào)用。這樣使SecurityContextHolder在SiteMesh decorator使用前能夠及時被裝配。
第四章. 信道安全
4.1. 概述
Acegi Security不僅能滿足你的認(rèn)證和授權(quán)的請求,而且能夠保證你的未認(rèn)證的web請求也能擁有某些屬性。這些屬性可能包括使用特定的傳輸類型,在HttpSession設(shè)置特定的屬性等等。Web請求的最普遍的需求是使用特定的傳輸協(xié)議,例如HTTPS。
在傳輸安全中的一個重要議題就是會話劫持(session hijacking)。Web容器通過一個jsessionid來引用一個HttpSession,這個jsessionid通過cookie 或者URL重寫轉(zhuǎn)向(URL rewriting)發(fā)送到到客戶端。如果jsessionid是通過HTTP發(fā)送的,那么就存在被劫持以及在認(rèn)證過程之后冒充被認(rèn)證用戶的可能。這是因為大部分的web容器為特定的用戶維護同一個會話標(biāo)識符,即便是用戶從HTTP 切換到 HTTPS頁面。
如果對于你的特定應(yīng)用來說,會話劫持(session hijacking)是一個很嚴(yán)重的風(fēng)險,那么唯一的解決方法就是對每一個請求都使用HTTPS。這意味著jsessionid不會使用非安全信道傳輸。你要保證你的web.xml中定義<welcome-file>,把它指向一個HTTPS位置,同時應(yīng)用程序不把用戶指向一個HTTP位置。Acegi Security提供一個解決方案幫助你實現(xiàn)后者。
4.2. 配置
啟用Acegi Security的信道安全服務(wù),需要在web.xml中增加如下行:
<filter><filter-name>Acegi Channel Processing Filter</filter-name><filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class><init-param><param-name>targetClass</param-name><param-value>org.acegisecurity.securechannel.ChannelProcessingFilter</param-value></init-param></filter><filter-mapping><filter-name>Acegi Channel Processing Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
和平時一樣,你同樣需要在application context中配置filter
<bean id="channelProcessingFilter" class="org.acegisecurity.securechannel.ChannelProcessingFilter"><property name="channelDecisionManager"><ref bean="channelDecisionManager"/></property><property name="filterInvocationDefinitionSource"><value>CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON\A/secure/.*\Z=REQUIRES_SECURE_CHANNEL\A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL\A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL\A.*\Z=REQUIRES_INSECURE_CHANNEL</value></property></bean><bean id="channelDecisionManager" class="org.acegisecurity.securechannel.ChannelDecisionManagerImpl"><property name="channelProcessors"><list><ref bean="secureChannelProcessor"/><ref bean="insecureChannelProcessor"/></list></property></bean><bean id="secureChannelProcessor" class="org.acegisecurity.securechannel.SecureChannelProcessor"/><bean id="insecureChannelProcessor" class="org.acegisecurity.securechannel.InsecureChannelProcessor"/>
ChannelProcessingFilter和FilterSecurityInterceptor一樣支持Apache Ant style paths。
ChannelProcessingFilter的工作方式是過濾所有的web請求,并將判斷將適合的配置屬性應(yīng)用于其上。然后它代理到ChannelDecisionManager。默認(rèn)的實現(xiàn)類ChannelDecisionManagerImpl應(yīng)該能夠滿足大多數(shù)需求。它就代理到配置好的ChannelProcessor實例列表。ChannelProcessor會檢視請求,如果它不滿意請求(例如請求是發(fā)送自不正確的傳輸協(xié)議)它將會重定向,拋出異常或者采取其他任何恰當(dāng)?shù)拇胧?/p>
Acegi Security 包括ChannelProcessor兩個實體類實現(xiàn):SecureChannelProcessor 保證配置了REQUIRES_SECURE_CHANNEL 屬性的請求都是從HTTPS發(fā)送過來的。而InsecureChannelProcessor 保證配置了REQUIRES_INSECURE_CHANNEL 屬性的請求都是從HTTP發(fā)送過來的。如果沒有使用請求的協(xié)議,這兩個實現(xiàn)都會轉(zhuǎn)到ChannelEntryPoint,而兩個ChannelEntryPoint 實現(xiàn)所作的就是簡單的把請求相應(yīng)按照HTTP 和 HTTPS重定向。
要注意重定向是絕對(例如http://www.company.com:8080/app/page)而不是相對的(例如 /app/page)。在測試中發(fā)現(xiàn)Internet Explorer 6 Service Pack 1 有一個bug,因此如果在重定向的時候也改變使用的端口,它就不能正確響應(yīng)。對應(yīng)這個bug,在很多Acegi Security bean中都會使用的PortResolverImpl也使用絕對URL。請參閱PortResolverImpl的JavaDoc以獲取更多信息。
你要注意使用為了在登錄過程中保證用戶名和密碼的安全,要使用安全信道。如果你配合基于表單的登錄使用ChannelProcessingFilter,請記得一定要把你的登錄頁面設(shè)置為REQUIRES_SECURE_CHANNEL,并且AuthenticationProcessingFilterEntryPoint.forceHttps屬性設(shè)置為true。
4.3. 結(jié)論
一旦配置好了,使用安全信道是非常簡單的。只要請求頁面,不用管使用什么協(xié)議(HTTP 或 HTTPS)或什么端口(80, 8080, 443, 8443等)。顯然你只要確定初始請求(獲取通過在web.xml 中的<welcome-file> 或一個眾所周知的主頁URL),完成以后filter會執(zhí)行你application context定義的重定向。
你也可以在ChannelDecisionManagerImpl中增加自己的ChannelProcessor實現(xiàn)。例如,你可能通過"輸入圖片中的內(nèi)容"檢測到一個個人類用戶,然后在HttpSession中設(shè)置一個屬性。
要判斷一個安全檢查應(yīng)該是或者ChannelProcessor或是 AccessDecisionVoter 記得前者是設(shè)計用來處理認(rèn)證或者未認(rèn)證的請求,而后者是設(shè)計用來處理已認(rèn)證的請求。因此后者可以訪問已認(rèn)證的principal被授予的權(quán)限。
另外,ChannelProcessor檢測到問題后一般是引發(fā)一個HTTP/HTTPS重定向這樣他的請求可以被滿足,而AccessDecisionVoter將則會跑出一個AccessDeniedException異常(取決于支配的 AccessDecisionManager)。
文章來源:http://wiki.springside.org.cn/display/springside/Acegi+Reference+Preface