首頁新隨筆新文章聯(lián)系

2025年5月

日

一

二

三

四

五

六

27

28

29

30

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

6

7

blog是收集資料并且作為技術(shù)交流的平臺(tái)，發(fā)布一些本人常用資料或開發(fā)經(jīng)驗(yàn)，希望能和大家一起討論、進(jìn)步。

訪問統(tǒng)計(jì)

留言簿(6)

我參與的團(tuán)隊(duì)

牛虻(0/0)

隨筆檔案(8)

文章分類(149)

新聞分類(1)

鐵血軍事(1)

相冊(cè)

收藏夾(21)

友情鏈接

lpj的博客
三生石的博客
中文愛百科
莊陸的博客
狼的博客

我的鏈接

搜索

積分與排名

積分 - 150484
排名 - 414

閱讀排行榜

評(píng)論排行榜

Acegi簡(jiǎn)介

    <bean id="bankManagerSecurity" class="net.sf.acegisecurity.intercept.method.MethodSecurityInterceptor">

            <property name="validateConfigAttributes">

                        <value>true</value>

                    </property>

                    <property name="authenticationManager">

                         <ref bean="authenticationManager"/>

                    </property>

                    <property name="accessDecisionManager">

                         <ref bean="accessDecisionManager"/>

                    </property>

                    <property name="objectDefinitionSource">

                         <value>net.sf.acegisecurity.context.BankManager.delete*=

                                         ROLE_SUPERVISOR,RUN_AS_SERVER

                                 net.sf.acegisecurity.context.BankManager.getBalance=

                                         ROLE_TELLER,ROLE_SUPERVISOR,BANKSECURITY_CUSTOMER,RUN_

                         </value>

                    </property>

               </bean>

上面的配置文件中，MethodSecurityInterceptor是AbstractSecurityInterceptor的一個(gè)實(shí)現(xiàn)類。它包含了兩個(gè)管理器，authenticationManager和accessDecisionManager。這兩者的配置如下：

<bean id="authenticationDao" class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">

                           <property name="dataSource"><ref bean="dataSource"/></property>

                  </bean>

                  <bean id="daoAuthenticationProvider" 

                                 class="net.sf.acegisecurity.providers.dao.DaoAuthenticationProvider">

                           <property name="authenticationDao"><ref bean="authenticationDao"/></property>

                  </bean>

                  <bean id="authenticationManager" class="net.sf.acegisecurity.providers.ProviderManager">

                           <property name="providers">

                                  <list><ref bean="daoAuthenticationProvider"/></list>

                           </property>

                  </bean>

                  <bean id="roleVoter" class="net.sf.acegisecurity.vote.RoleVoter"/>

                  <bean id="accessDecisionManager" class="net.sf.acegisecurity.vote.AffirmativeBased">

                           <property name="allowIfAllAbstainDecisions"><value>false</value></property>

                           <property name="decisionVoters">

                                  <list><ref bean="roleVoter"/></list>

                           </property>

                  </bean>

    準(zhǔn)備工作做好了，現(xiàn)在我們來看看Acegi安全系統(tǒng)是如何實(shí)現(xiàn)認(rèn)證和授權(quán)機(jī)制的。以使用HTTP BASIC認(rèn)證的應(yīng)用為例子，它包括下面的步驟：
       1. 用戶登錄系統(tǒng)，Acegi從acegisecurity.ui子系統(tǒng)的安全攔截器（如BasicProcessingFilter）中得到用戶的登錄信息（包括Principal和Credential）并放入Authentication對(duì)象，并保存在ContextHolder對(duì)象中；
       2. 安全攔截器將Authentication對(duì)象交給AuthenticationManager進(jìn)行身份認(rèn)證，如果認(rèn)證通過，返回帶有Principal 授權(quán)信息的Authentication對(duì)象。此時(shí)ContextHolder對(duì)象的Authentication對(duì)象已擁有Principal的詳細(xì)信息；
       3. 用戶登錄成功后，繼續(xù)進(jìn)行業(yè)務(wù)操作；
       4. 安全攔截器（bankManagerSecurity）收到客戶端操作請(qǐng)求后，將操作請(qǐng)求的數(shù)據(jù)包裝成安全管理對(duì)象（FilterInvocation或MethodInvocation對(duì)象）；
       5. 然后，從配置文件（ObjectDefinitionSource）中讀出相關(guān)的安全配置參數(shù)ConfigAttributeDefinition；
       6. 接著，安全攔截器取出ContextHolder中的Authentication對(duì)象，把它傳遞給AuthenticationManager進(jìn)行身份認(rèn)證，并用返回值更新ContextHolder的Authentication對(duì)象；
       7. 將Authentication對(duì)象，ConfigAttributeDefinition對(duì)象和安全管理對(duì)象（secure Object）交給AccessDecisionManager，檢查Principal的操作授權(quán)；
       8. 如果授權(quán)檢查通過則執(zhí)行客戶端請(qǐng)求的操作，否則拒絕；

AccessDecisionVoter
       注意上節(jié)的accessDecisionManager是一個(gè)AffirmativeBased類，它對(duì)于用戶授權(quán)的投票策略是，只要通過其中的一個(gè)授權(quán)投票檢查，即可通過；它的allowIfAllAbstainDecisions屬性值是false，意思是如果所有的授權(quán)投票是都是棄權(quán)，則通不過授權(quán)檢查。
       Acegi安全系統(tǒng)包括了幾個(gè)基于投票策略的AccessDecisionManager，上節(jié)的RoleVoter就是其中的一個(gè)投票策略實(shí)現(xiàn)，它是 AccessDecisionVoter的一個(gè)子類。AccessDecisionVoter的具體實(shí)現(xiàn)類通過投票來進(jìn)行授權(quán)決策， AccessDecisionManager則根據(jù)投票結(jié)果來決定是通過授權(quán)檢查，還是拋出AccessDeniedException例外。
       AccessDecisionVoter接口共有三個(gè)方法：
public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config);
public boolean supports(ConfigAttribute attribute);
public boolean supports(Class clazz);
       其中的vote方法返回int返回值，它們是AccessDecisionVoter的三個(gè)靜態(tài)成員屬性：ACCESS_ABSTAIN,，ACCESS_DENIED和ACCESS_GRANTED，它們分別是棄權(quán)，否決和贊成。
       Acegi安全系統(tǒng)中，使用投票策略的AccessDecisionManager共有三個(gè)具體實(shí)現(xiàn)類：AffirmativeBased、 ConsensusBased和UnanimousBased。它們的投票策略是，AffirmativeBased類只需有一個(gè)投票贊成即可通過； ConsensusBased類需要大多數(shù)投票贊成即可通過；而UnanimousBased類需要所有的投票贊成才能通過。
       RoleVoter類是一個(gè)Acegi安全系統(tǒng)AccessDecisionVoter接口的實(shí)現(xiàn)。如果ConfigAttribute以ROLE_開頭，RoleVoter則進(jìn)行投票。如果GrantedAuthority的getAutority方法的String返回值匹配一個(gè)或多個(gè)以ROLE_ 開頭的ConfigAttribute，則投票通過，否則不通過。如果沒有以ROLE_開頭的ConfigAttribute，RoleVoter則棄權(quán)。

---------------------------------------------------------------------------------------------------------------------------------
說人之短，乃護(hù)己之短。夸己之長(zhǎng)，乃忌人之長(zhǎng)。皆由存心不厚，識(shí)量太狹耳。能去此弊，可以進(jìn)德，可以遠(yuǎn)怨。
http://www.aygfsteel.com/szhswl
------------------------------------------------------------------------------------------------------ ----------------- ---------

posted on 2007-12-21 10:25 宋針還閱讀(486) 評(píng)論(0) 編輯收藏所屬分類: ACEGI

新用戶注冊(cè) 刷新評(píng)論列表


只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關(guān)文章: 基于角色的權(quán)限控制(RBAC) Acegi安全系統(tǒng)的配置 Acegi簡(jiǎn)介 Acegi 參考的部分翻譯 acegi-security-sample-contacts-filter例子學(xué)習(xí)(二) acegi-security-sample-contacts-filter例子學(xué)習(xí)(一)