常言笑的家

任何一個(gè)安全系統(tǒng)都包括authentication和authorization兩部分，Acegi相同。

第一部分：authentication

1、acegi通過AuthenticationProcessingFilter攔截login請求獲取Principal和Credential信息（通俗一點(diǎn)就是用戶名和密碼）；

2、驗(yàn)證用戶名密碼，由這個(gè)Filter調(diào)用認(rèn)證管理器AuthenticatiomManager進(jìn)行驗(yàn)證。

AuthenticatiomManager本身并不具備驗(yàn)證的功能，它相當(dāng)與是一個(gè)驗(yàn)證控制器，由它來管理驗(yàn)證的過程及方式。AuthenticatiomManager是通過調(diào)用provider來進(jìn)行驗(yàn)證的，一個(gè)manager中可以具有多個(gè)provider，但只要有一個(gè)provider驗(yàn)證通過，manager就認(rèn)為驗(yàn)證成功。

這部分要明白三點(diǎn)：一，provider是可以配置進(jìn)去的，因?yàn)閍cegi是基于spring的；二是AuthenticatiomManager是可以被重寫的，你可以將manager改成你自己希望的控制器；三，好好利用event，這是標(biāo)準(zhǔn)的observer模式。acegi中的設(shè)計(jì)模式研究將在以后的貼子中討論。

3、provider進(jìn)行驗(yàn)證。

provider是真正的驗(yàn)證模塊，并且決定了驗(yàn)證的模式。provider目前acegi提供了dao、jaas，cas，x509，ldap等幾種驗(yàn)證方式，這些驗(yàn)證方式的具體內(nèi)容可以查閱acegi的文檔。provider驗(yàn)證通過后將Authentication對象返回。

4、AuthenticationProcessingFilter將對象保存到ContextHolder中。Authentication部分結(jié)束。

第二部分：authorization

1、用戶提交請求，攔截器FilterSecurityInterceptor攔截請求，攔截器是一個(gè)Filter.

2 、鑒權(quán)，攔截器調(diào)用AccessDecisionManager進(jìn)行鑒權(quán)。

AccessDecisionManager是通過投票的方式來決定是否有權(quán)限訪問資源。所謂投票就要包括投票的參與者和投票的策略。

投票的參與者decisionVoters，這是AccessDecisionManager的一個(gè)屬性。decisionVoter能從某一個(gè)角度決定用戶是否能訪問資源，例如RoleVoter來判斷用戶的角色是否有權(quán)限訪問資源，MaxuserVoter來決定某個(gè)資源的訪問用戶數(shù)是否已經(jīng)達(dá)到了最大值等。

投票策略。投票的策略是通過不同的AccessDecisionManager來實(shí)現(xiàn)的，例如acegi提供的AffirmativeBased對象，這個(gè)對象的策略就是只要有一個(gè)投票通過就全體通過。UnanimousBased對象的策略是必須全體投票通過才能通過。但在大多數(shù)情況下acegi提供的AccessDecisionManager不能滿足我們的要求，這就需要我們?nèi)?shí)現(xiàn)AccessDecisionManager接口，去定制適合自己項(xiàng)目的策略。