Fri, 02 Feb 2007 12:31:00 GMT

Acegi安全�pȝ��的配�|?

Acegi 的配�|�看��h��非常复杂,但事实上在实际项目的安全应用中我们�ƈ不需要那么多功能,清楚的了解Acegi配置中各��的功能�Q�有助于我们灉|��的运用Acegi于实践中�?/p>

2.1 在Web.xml中的配置

1) FilterToBeanProxy
　　Acegi通过实现了Filter接口的FilterToBeanProxy提供一�U�特�D�的使用Servlet Filter的方式，它委托Spring中的Bean -- FilterChainProxy来完成过滤功能，�q�好处是��化了web.xml的配�|�，�q�且充分利用了Spring IOC的优�ѝ��FilterChainProxy包含了处理认证过�E�的filter列表�Q�每个filter都有各自的功能�?/p>

    
        Acegi Filter Chain Proxy
        org.acegisecurity.util.FilterToBeanProxy
        
            targetClass
            org.acegisecurity.util.FilterChainProxy

2) filter-mapping
　　限定了FilterToBeanProxy的URL匚w��模式,只有*.do�?.jsp�?j_acegi_security_check 的请求才会受到权限控�Ӟ��对javascript,css�{�不限制�?/p>

   
      Acegi Filter Chain Proxy
      *.do
    
    
    
      Acegi Filter Chain Proxy
      *.jsp
    
    
    
      Acegi Filter Chain Proxy
      /j_acegi_security_check

3) HttpSessionEventPublisher
　　的HttpSessionEventPublisher用于发布HttpSessionApplicationEvents和HttpSessionDestroyedEvent事�g�l�spring的applicationcontext�?/p>

    
        org.acegisecurity.ui.session.HttpSessionEventPublisher

2.2 在applicationContext-acegi-security.xml�?/h2>

2.2.1 FILTER CHAIN

　　FilterChainProxy会按��序来调用这些filter,使这些filter能��n用Spring ioc的功�? CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON定义了url比较前先转�ؓ��写�Q?PATTERN_TYPE_APACHE_ANT定义了��用Apache ant的匹配模�?

    
        
            
                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
                PATTERN_TYPE_APACHE_ANT
               /**=httpSessionContextIntegrationFilter,authenticationProcessingFilter,
basicProcessingFilter,rememberMeProcessingFilter,anonymousProcessingFilter,
 exceptionTranslationFilter,filterInvocationInterceptor

2.2.2 基础认证

1) authenticationManager
　　起到认证��理的作用，它将验证的功能委托给多个Provider�Q��ƈ通过遍历Providers, 以保证获取不同来源的�w�䆾认证�Q�若某个Provider能成功确认当前用��L��w�䆾�Q�authenticate()�Ҏ��会返回一个完整的包含用户授权信息的Authentication对象�Q�否则会抛出一个AuthenticationException�?br />Acegi提供了不同的AuthenticationProvider的实�?如：
        DaoAuthenticationProvider 从数据库中读取用户信息验证��n�?br />        AnonymousAuthenticationProvider 匿名用户�w�䆾认证
        RememberMeAuthenticationProvider 已存cookie中的用户信息�w�䆾认证
        AuthByAdapterProvider 使用容器的适配器验证��n�?br />        CasAuthenticationProvider �Ҏ��Yale中心认证服务验证�w�䆾, 用于实现单点登陆
        JaasAuthenticationProvider 从JASS登陆配置中获取用户信息验证��n�?br />        RemoteAuthenticationProvider �Ҏ��q�程服务验证用户�w�䆾
        RunAsImplAuthenticationProvider 对��n份已被管理器替换的用戯��行验�?br />        X509AuthenticationProvider 从X509认证中获取用户信息验证��n�?br />        TestingAuthenticationProvider 单元��试时��?/p>

每个认证者会对自己指定的证明信息�q�行认证�Q�如DaoAuthenticationProvider仅对UsernamePasswordAuthenticationToken�q�个证明信息�q�行认证�?/p>

2) daoAuthenticationProvider
　　�q�行��单的��Z��数据库的�w�䆾验证。DaoAuthenticationProvider获取数据库中的�̎号密码�ƈ�q�行匚w��Q�若成功则在通过用户�w�䆾的同时返回一个包含授权信息的Authentication对象�Q�否则��n份验证失败，抛出一个AuthenticatiionException�?/p>

3) passwordEncoder
　　使用加密器对用户输入的明文进行加密。Acegi提供了三�U�加密器:
PlaintextPasswordEncoder—默认，不加密，�q�回明文.
ShaPasswordEncoder—哈希算�?SHA)加密
Md5PasswordEncoder—消息摘�?MD5)加密

4) jdbcDaoImpl
　　用于在数据中获取用户信息�?acegi提供了用户及授权的表�l�构�Q�但是您也可以自己来实现。通过usersByUsernameQuery�q�个SQL得到你的(用户ID,密码,状态信�?;通过authoritiesByUsernameQuery�q�个SQL得到你的(用户ID,授权信息)

 
        
        
            select loginid,passwd,1 from users where loginid = ?
        
        
            select u.loginid,p.name from users u,roles r,permissions p,user_role ur,role_permis rp where u.id=ur.user_id and r.id=ur.role_id and p.id=rp.permis_id and
                r.id=rp.role_id and p.status='1' and u.loginid=?

5) userCache　& resourceCache
　　�~�存用户和资源相对应的权限信息。每当请求一个受保护资源�Ӟ��daoAuthenticationProvider��׃��被调用以获取用户授权信息。如果每�ơ都从数据库获取的话�Q�那代�h很高�Q�对于不常改变的用户和资源信息来��_��最好是把相��x��权信息缓存�v来�?详见 2.6.3 资源权限定义扩展 )
userCache提供了两�U�实�? NullUserCache和EhCacheBasedUserCache, NullUserCache实际上就是不�q�行��M��~�存�Q�EhCacheBasedUserCache是��用Ehcache来实现缓功能�?/p>

6) basicProcessingFilter
　　用于处理HTTP头的认证信息�Q�如从Spring�q�程协议(如Hessian和Burlap)或普通的��览器如IE,Navigator的HTTP头中获取用户信息�Q�将他们转交�l�通过authenticationManager属性装配的认证��理器。如果认证成功，会将一个Authentication对象攑ֈ�会话中，否则�Q�如果认证失败，会将控制转交�l�认证入口点(通过authenticationEntryPoint属性装�?

7) basicProcessingFilterEntryPoint
　　通过向浏览器发送一个HTTP401(未授�?消息�Q�提�C�用��L��录�?br />处理��Z��HTTP的授权过�E�，在当验证�q�程出现异常后的"��d��"�Q�通常实现转向、在response里加入error信息�{�功能�?/p>

8) authenticationProcessingFilterEntryPoint
　　当抛出AccessDeniedException�Ӟ��用户重定向到登录界面。属性loginFormUrl配置了一个登录表单的URL,当需要用��L��录时�Q�authenticationProcessingFilterEntryPoint会将用户重定向到该URL

 
        
            /security/login.jsp

2.2.3 HTTP安全��h��

1) httpSessionContextIntegrationFilter
　　每次request�?HttpSessionContextIntegrationFilter从Session中获取Authentication对象�Q�在request完后, 又把Authentication对象保存到Session中供下次request使用,此filter必须其他Acegi filter前��用，使之能跨��多个请求�?/p>

2) httpRequestAccessDecisionManager
　　�l�过投票机制来决定是否可以访问某一资源(URL或方�?。allowIfAllAbstainDecisions为false时如果有一个或以上的decisionVoters投票通过,则授权通过。可选的决策机制有ConsensusBased和UnanimousBased

3) roleVoter
　　必须是以rolePrefix讑֮�的value开头的权限才能�q�行投票,如AUTH_ , ROLE_

4�Q?strong>exceptionTranslationFilter
　　异常转换�q��o器，主要是处理AccessDeniedException和AuthenticationException�Q�将�l�每个异常找到合适的"��d��"

5) authenticationProcessingFilter
　　和servlet spec差不�?处理登陆��h��.当��n份验证成功时�Q�AuthenticationProcessingFilter会在会话中放�|�一个Authentication对象�Q��ƈ且重定向到登录成功页�?br />         authenticationFailureUrl定义登陆��p�|时�{向的��面
         defaultTargetUrl定义登陆成功时�{向的��面
         filterProcessesUrl定义登陆��h��的页�?br />         rememberMeServices用于在验证成功后��d��cookie信息

    
        
        
            /security/login.jsp?login_error=1
        
        
            /admin/index.jsp
        
        
            /j_acegi_security_check

6) filterInvocationInterceptor
　　在执行�{向url前检查objectDefinitionSource中设定的用户权限信息。首先，objectDefinitionSource中定义了讉K��URL需要的属性信�?�q�里的属性信息仅仅是标志�Q�告诉accessDecisionManager要用哪些voter来投��?。然后，authenticationManager掉用自己的provider来对用户的认证信息进行校验。最后，有投��者根据用��h��有认证和讉K��url需要的属性，调用自己的voter来投��，军_��是否允许讉K��?/p>

7) filterDefinitionSource (详见 2.6.3 资源权限定义扩展)
　　自定义DBFilterInvocationDefinitionSource从数据库和cache中读取保护资源及光��要的讉K��权限信息

2.2.4 �Ҏ��调用安全控制

(详见 2.6.3 资源权限定义扩展)

1) methodSecurityInterceptor
　　在执行方法前�q�行拦截�Q�检查用��h��限信�?br />2) methodDefinitionSource
　　自定义MethodDefinitionSource从cache中读取权�?/p>

2.3 Jcaptcha验证�?/h2>
采用 http://jcaptcha.sourceforge.net 作�ؓ通用的验证码�Ҏ��Q�请参考SpringSide中的例子�Q�或�|�上的：
http://www.coachthrasher.com/page/blog?entry=jcaptcha_with_appfuse�?/p>
差沙在此�q�程中又发现acegi logout filter的错误，�q�行了修正�?/p>
另外它默认提供的囄��比较难认�Q�我们custom了一个美观一点的版本�?/p>

西红柿（tomato�Q?/a> 2007-02-02 20:31 发表评论

转：CAS及客��L��Acegi的安装配�|�指�?

Fri, 02 Feb 2007 12:28:00 GMT

摘要: 阅读全文

西红柿（tomato�Q?/a> 2007-02-02 20:28 发表评论

Acegi1.0.3 + Spring2.0.1 + Hibernate3.2 �_�解Demo

Mon, 11 Dec 2006 04:21:00 GMT

Acegi1.0.3 使用的是Spring1.2.8
本�h�l�过对Acegi1.0.3 的源代码�q�行删选，�q�引入到Spring2.0.1环境下，做了严格的测试�?br />
本demo ��是 �?Spring2.0.1 + Hibernate3.2 环境下，针对视图层��?Struts �?JSF 分别�q�行了集成，��单鲜明描�q�如何��?Acegi1.0.3 �q�行��Z��用户角色的动态授权安全控制�?/p>

本demo既适合于JSF + Spring2.0.1 + Hibernate3.2 ��目也适合于Struts + Spring2.0.1 + Hibernate3.2��目�Q?br />
未列入特别说明没有授权的企业和个人都可以自由免费下蝲使用提供宝贵意见�Q?br />
本�h不急功�q�利�Q�正在做完整的文档编写，做最后严格的��试�Q�近期在此免费发布，敬请��x��Q?/p>

西红柿（tomato�Q?/a> 2006-12-11 12:21 发表评论

Acegi�Q�hibernate 动态实现基于角色的权限��理

Sun, 03 Dec 2006 08:04:00 GMT

摘要: 转自:http://www.cublog.cn/u/11905/showart_162625.html最�q�在做项目遇��C��权限��理�Q�用戯��求可以自己徏立不同的角色对系�l�的资源�q�行控制�Q?不同的用��h��不同的角�Ԍ��又恰恰框架中用到了struts�Q�spring�Q�hibernate�Q�要求在web层调�?业务逻辑�?时不考虑权限�Q�web层可以控制用��L��昄��界面�Q�逻辑层处理用��h��限问题�?��x��惛_��好像只有spr... 阅读全文

西红柿（tomato�Q?/a> 2006-12-03 16:04 发表评论

午夜久久久久久,亚洲欧洲av,日产精品久久久久久久性色