szhswl
          
		宋針還的個人空間
	
          

          
          		
	

          

          


          
	
		
          
			
          
	

          


          
	
					


          
	
	
          
    
        
          
                Acegi安全系統,是一個用于Spring Framework的安全框架,能夠和目前流行的Web容器無縫集成。它使用了Spring的方式提供了安全和認證安全服務,包括使用Bean Context,攔截器和面向接口的編程方式。因此,Acegi安全系統能夠輕松地適用于復雜的安全需求。
          
                Acegi安全系統,是一個用于Spring Framework的安全框架,能夠和目前流行的Web容器無縫集成。它使用了Spring的方式提供了安全和認證安全服務,包括使用Bean Context,攔截器和面向接口的編程方式。因此,Acegi安全系統能夠輕松地適用于復雜的安全需求。
          
                安全涉及到兩個不同的概念,認證和授權。前者是關于確認用戶是否確實是他們所宣稱的身份。授權則是關于確認用戶是否有允許執行一個特定的操作。
          
                在Acegi安全系統中,需要被認證的用戶,系統或代理稱為"Principal"。Acegi安全系統和其他的安全系統不同,它并沒有角色和用戶組的概念。
          
            Acegi系統設計
          
            關鍵組件
          
                Acegi安全系統包含以下七個關鍵的功能組件:
          
                1 Authentication對象,包含了Principal,Credential和Principal的授權信息。同時還可以包含關于發起認證請求的客戶的其他信息,如IP地址。
          
                2 ContextHolder對象,使用ThreadLocal儲存Authentication對象的地方。
          
                3 AuthenticationManager,用于認證ContextHolder中的Authentication對象。
          
                4 AccessDecissionManager,用于授權一個特定的操作。
          
                5 RunAsManager,當執行特定的操作時,用于選擇性地替換Authentication對象。
          
                6 Secure Object攔截器,用于協調AuthenticationManager,AccessDecissionManager,RunAsManager和特定操作的執行。
          
                7 ObjectDefinitionSource,包含了特定操作的授權定義。
          
                這七個關鍵的功能組件的關系如下圖所示(圖中灰色部分是關鍵組件):
          
            
          
            安全管理對象
          
                Acegi安全系統目前支持兩類安全管理對象。
          
                第一類的安全管理對象管理AOP Alliance的MethodInvocation,開發人員可以用它來保護Spring容器中的業務對象。為了使Spring管理的Bean可以作為 MethodInvocation來使用,Bean可以通過ProxyFactoryBean和BeanNameAutoProxyCreator來管理,就像在Spring的事務管理一樣使用。
          
                第二類是FilterInvocation。它用過濾器(Filter)來創建,并簡單地包裝了HTTP的ServletRequest, ServletResponse和FilterChain。FilterInvocation可以用來保護HTTP資源。通常,開發人員并不需要了解它的工作機制,因為他們只需要將Filter加入web.xml,Acegi安全系統就可以工作了。
          
            
          
            安全配置參數
          
                每個安全管理對象都可以描述數量不限的各種安全認證請求。例如,MethodInvocation對象可以描述帶有任意參數的任意方法的調用,而FilterInvocation可以描述任意的HTTP URL。
          
                Acegi安全系統需要記錄應用于每個認證請求的安全配置參數。例如,對于BankManager.getBalance(int accountNumber)方法和BankManager.approveLoan(int applicationNumber)方法,它們需要的認證請求的安全配置很不相同。
          
                為了保存不同的認證請求的安全配置,需要使用配置參數。從實現的視角來看,配置參數使用ConfigAttribute接口來表示。Acegi安全系統提供了ConfigAttribute接口的一個實現,SecurityConfig,它把配置參數保存為一個字符串。
          
                ConfigAttributeDefinition類是ConfigAttribute對象的一個簡單的容器,它保存了和特定請求相關的ConfigAttribute的集合。
          
                當安全攔截器收到一個安全認證請求時,需要決定應用哪一個配置參數。換句話說,它需要找出應用于這個請求的 ConfigAttributeDefinition對象。這個查找的過程是由ObjectDefinitionSource接口來處理的。這個接口的主要方法是public ConfigAttributeDefinition getAttributes(Object object),其中Object參數是一個安全管理對象。因為安全管理對象包含有認證請求的詳細信息,所以 ObjectDefinitionSource接口的實現類可以從中獲得所需的詳細信息,以查找相關的ConfigAttributeDefiniton 對象。
          
            
          
            
          
            Acegi如何工作
          
                為了說明Acegi安全系統如何工作,我們設想一個使用Acegi的例子。通常,一個安全系統需要發揮作用,它必須完成以下的工作:
          
                1 首先,系統從客戶端請求中獲得Principal和Credential;
          
                2 然后系統認證Principal和Credential信息;
          
                3 如果認證通過,系統取出Principal的授權信息;
          
                4 接下來,客戶端發起操作請求;
          
                5 系統根據預先配置的參數檢查Principal對于該操作的授權;
          
                6 如果授權檢查通過則執行操作,否則拒絕。
          
                那么,Acegi安全系統是如何完成這些工作的呢?首先,我們來看看Acegi安全系統的認證和授權的相關類: 
          
                安全攔截器的抽象基類,它包含有兩個管理類,AuthenticationManager和AccessDecisionManager。 AuthenticationManager用于認證ContextHolder中的Authentication對象(包含了Principal, Credential和Principal的授權信息);AccessDecissionManager則用于授權一個特定的操作。
          
            
          
                下面來看一個MethodSecurityInterceptor的例子:
          
                      
            
              <bean id="bankManagerSecurity" class="net.sf.acegisecurity.intercept.method.MethodSecurityInterceptor">
          
            <property name="validateConfigAttributes">
          
                        <value>true</value>
          
                    </property>
          
                    <property name="authenticationManager">
          
                         <ref bean="authenticationManager"/>
          
                    </property>
          
                    <property name="accessDecisionManager">
          
                         <ref bean="accessDecisionManager"/>
          
                    </property>
          
                    <property name="objectDefinitionSource">
          
                         <value>net.sf.acegisecurity.context.BankManager.delete*=
          
                                         ROLE_SUPERVISOR,RUN_AS_SERVER
          
                                 net.sf.acegisecurity.context.BankManager.getBalance=
          
                                         ROLE_TELLER,ROLE_SUPERVISOR,BANKSECURITY_CUSTOMER,RUN_
          
                         </value>
          
                    </property>
          
               </bean> 
          
            
          
                上面的配置文件中,MethodSecurityInterceptor是AbstractSecurityInterceptor的一個實現類。它包含了兩個管理器,authenticationManager和accessDecisionManager。這兩者的配置如下:
          
                  
            
          <bean id="authenticationDao" class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">
          
                           <property name="dataSource"><ref bean="dataSource"/></property>
          
                  </bean>
          
                  <bean id="daoAuthenticationProvider" 
          
                                 class="net.sf.acegisecurity.providers.dao.DaoAuthenticationProvider">
          
                           <property name="authenticationDao"><ref bean="authenticationDao"/></property>
          
                  </bean>
          
                  <bean id="authenticationManager" class="net.sf.acegisecurity.providers.ProviderManager">
          
                           <property name="providers">
          
                                  <list><ref bean="daoAuthenticationProvider"/></list>
          
                           </property>
          
                  </bean>
          
                  <bean id="roleVoter" class="net.sf.acegisecurity.vote.RoleVoter"/>
          
                  <bean id="accessDecisionManager" class="net.sf.acegisecurity.vote.AffirmativeBased">
          
                           <property name="allowIfAllAbstainDecisions"><value>false</value></property>
          
                           <property name="decisionVoters">
          
                                  <list><ref bean="roleVoter"/></list>
          
                           </property>
          
                  </bean>
          
            
          
            
          
                準備工作做好了,現在我們來看看Acegi安全系統是如何實現認證和授權機制的。以使用HTTP BASIC認證的應用為例子,它包括下面的步驟:
          
                   1. 用戶登錄系統,Acegi從acegisecurity.ui子系統的安全攔截器(如BasicProcessingFilter)中得到用戶的登錄信息(包括Principal和Credential)并放入Authentication對象,并保存在ContextHolder對象中;
          
                   2. 安全攔截器將Authentication對象交給AuthenticationManager進行身份認證,如果認證通過,返回帶有Principal 授權信息的Authentication對象。此時ContextHolder對象的Authentication對象已擁有Principal的詳細信息;
          
                   3. 用戶登錄成功后,繼續進行業務操作;
          
                   4. 安全攔截器(bankManagerSecurity)收到客戶端操作請求后,將操作請求的數據包裝成安全管理對象(FilterInvocation或MethodInvocation對象);
          
                   5. 然后,從配置文件(ObjectDefinitionSource)中讀出相關的安全配置參數ConfigAttributeDefinition;
          
                   6. 接著,安全攔截器取出ContextHolder中的Authentication對象,把它傳遞給AuthenticationManager進行身份認證,并用返回值更新ContextHolder的Authentication對象;
          
                   7. 將Authentication對象,ConfigAttributeDefinition對象和安全管理對象(secure Object)交給AccessDecisionManager,檢查Principal的操作授權;
          
                   8. 如果授權檢查通過則執行客戶端請求的操作,否則拒絕;
          
            
          
            AccessDecisionVoter
          
                   注意上節的accessDecisionManager是一個AffirmativeBased類,它對于用戶授權的投票策略是,只要通過其中的一個授權投票檢查,即可通過;它的allowIfAllAbstainDecisions屬性值是false,意思是如果所有的授權投票是都是棄權,則通不過授權檢查。
          
                   Acegi安全系統包括了幾個基于投票策略的AccessDecisionManager,上節的RoleVoter就是其中的一個投票策略實現,它是 AccessDecisionVoter的一個子類。AccessDecisionVoter的具體實現類通過投票來進行授權決策, AccessDecisionManager則根據投票結果來決定是通過授權檢查,還是拋出AccessDeniedException例外。
          
                   AccessDecisionVoter接口共有三個方法:
          
            public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config);
          
            public boolean supports(ConfigAttribute attribute);
          
            public boolean supports(Class clazz);
          
                   其中的vote方法返回int返回值,它們是AccessDecisionVoter的三個靜態成員屬性:ACCESS_ABSTAIN,,ACCESS_DENIED和ACCESS_GRANTED,它們分別是棄權,否決和贊成。
          
                   Acegi安全系統中,使用投票策略的AccessDecisionManager共有三個具體實現類:AffirmativeBased、 ConsensusBased和UnanimousBased。它們的投票策略是,AffirmativeBased類只需有一個投票贊成即可通過; ConsensusBased類需要大多數投票贊成即可通過;而UnanimousBased類需要所有的投票贊成才能通過。
          
                   RoleVoter類是一個Acegi安全系統AccessDecisionVoter接口的實現。如果ConfigAttribute以ROLE_開頭,RoleVoter則進行投票。如果GrantedAuthority的getAutority方法的String返回值匹配一個或多個以ROLE_ 開頭的ConfigAttribute,則投票通過,否則不通過。如果沒有以ROLE_開頭的ConfigAttribute,RoleVoter則棄權。          		
        
          
              

          


          ---------------------------------------------------------------------------------------------------------------------------------
          
說人之短,乃護己之短。夸己之長,乃忌人之長。皆由存心不厚,識量太狹耳。能去此弊,可以進德,可以遠怨。 
          
http://www.aygfsteel.com/szhswl
          
------------------------------------------------------------------------------------------------------ ----------------- --------- 

	
          posted on 2007-12-21 10:25 宋針還 閱讀(486) 評論(0)  編輯  收藏  所屬分類: ACEGI 
          

          







          
	    
    




          








          

				

          



    







          
        
	




主站蜘蛛池模板:
乌什县|
论坛|
中西区|
当涂县|
忻州市|
仙桃市|
玛多县|
晋宁县|
吉首市|
云浮市|
鹤庆县|
平邑县|
永康市|
天津市|
璧山县|
凤台县|
黄平县|
双辽市|
来宾市|
南阳市|
井研县|
南雄市|
页游|
临江市|
永州市|
定结县|
宁安市|
林州市|
舞阳县|
枣阳市|
邻水|
房产|
杭锦旗|
营口市|
蒙阴县|
明光市|
崇仁县|
溧水县|
卢龙县|
金阳县|
威远县|