电影一区二区三区久久免费观看 ,日本不卡1234视频,亚洲欧美日韩一区二区在线

Spring Security 2 中动态角色权限的实现

杨一 — Wed, 04 Mar 2009 04:55:00 GMT

安全框架的主体包括两部分即验权和授权�?/span>Spring Security2可以很好的实现这两个�q�程�?/span>Spring Security2对其前��nacegi最大的改进是提供了自定义的配置标签�Q�通过Security的命名空间定义了http�?/span>authentication-provider�{�标�{�，�q�样做的好处是极大地��化了框架的配�|�，�q�很好地隐藏了框架实现的�l�节�Q�在配置的表�q�C��也更清晰�Q��M��上提高了框架的易用性�?/span>

然而，该框枉��认的权限配置方式�?/span>xml中，又因为新版本隐藏了实现细节，在动态权限的扩展上，能力变小了。在验权�q�程中，遇到的问题不多。但在授权时�Q�如果是acegi�Q��h们可以通过�l�承AbstractFilterInvocationDefinitionSource�c�d��现在授权�Q�即资源角色和用戯��色的匚w��Q�前�Q�针对资源的角色的获取。而新版本因�ؓ用新标签�q�行了整合，�q�个�q�程被默认的�c�d��现隐藏掉了，包括�q��o器，资源获取和角色定义等�q�程都由框架来实玎ͼ�于是很多人在使用Spring Security2时也想通过改动DefaultFilterInvocationDefinitionSource对资源的获取来实现数据库或文件中的动态的角色。不�q�这��L��改动侵入性比较高�Q�而且�q�保留了acegi的痕�q�，也违背了开闭的原则�?/span>

其实�Q�我们完全可以通过Spring Security2 accessManager提供的自定义投票机制来解册��个问题，�q�样既不影响现有的基�?/span>URL的配�|�，�q�可以加入自��q��动态的权限配置�?/span>

其实现策略如下：

1 定义�c?/span>DynamicRoleVoter实现AccessDecisionVoter�Q�注入实现接�?/span>DynamicRoleProvider�Q�用来定义获取角色的�Ҏ��Q�的提供动态角色的�c?/span>

2 在两�?/span>supports�Ҏ��中返�?/span>true

3 �?/span>vote�Ҏ��中，有三个参�?/span>(Authentication authentication, Object object,

ConfigAttributeDefinition config) 通过�W�一个获取用��L��权限集合�Q�第二个可以获取到资源对象，�q�而通过DynamicRoleProvider获取到角色集合进行匹配�?/span>

4 在配�|�文件中加入DynamicRoleVoter�Q�如下：

<beans:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
<beans:property name="decisionVoters">
<beans:list>
<beans:bean class="org.springframework.security.vote.RoleVoter" />
<beans:bean class="org.springframework.security.vote.AuthenticatedVoter" />
<beans:bean class="DynamicRoleVoter">
    <beans:property name="dynamicRoleProvider">
        <beans:ref local="dynamicRoleProvider"/>
beans:property>
beans:bean>
beans:list>
beans:property>
beans:bean>
<beans:bean id=” dynamicRoleProvider” class=”…”>
    ……
>

杨一 2009-03-04 12:55 发表评论

杨一 — Mon, 07 Jan 2008 06:44:00 GMT

最�q�在研究关于�pȝ��的基于日志的故障恢复�Q�无意间在网上发��C��论文中对于�pȝ��日志模型的精彩论�q�ͼ��译�q�来�q��上我的思�\�Q?br /> �?br /> 一个系�l�是一个具有明昄��边界的实体，它根据一定的输入�Q�自�w�运行逻辑及系�l�的内部旉��变化来��生相应的输出�?br /> 所�?#8220;明显的边�?#8221;是指�pȝ��所产生的输出是明确而无二义性的。我们称�q�个边界为系�l�的设计规范�Q�specification�Q�。一个系�l�通过与其所处环境进行交互，从而获取输入�ƈ产生输出。一个系�l�可以被拆解��Z��同的子系�l�。这些子�pȝ��通常被称为系�l�模块（system components�Q�，每个模块又独立地成�ؓ一个系�l�，作�ؓ一个系�l�，�q�个模块又会和它的相关环境进行交互（比如�Q�一个更大的�pȝ��中的其他的模块组�Ӟ��来获取输入�ƈ产生输出�Q�这些模块还可以�l�箋被分解�ؓ更小的子�pȝ��?br /> 一个系�l�可以被建模��Z��个状态机�Q�state machine�Q�，其中的状态包含了�pȝ��所持有�q�处理的数据。这些状态的�q�移被分��Z��大类�Q�由�pȝ��内部逻辑所触发且对外部环境透明的迁�U�d��直接与外部环境相接触的迁�U�R��前者的例子如内存数据和寄存器数据的转换�Q�内存中数据�l�构的重�l�。第二种�q�移的例子包含了各种各样的系�l�和环境之间的交互，一般来��_��如果�q�个�q�程能被建模成系�l�的I/O操作�Q�则应属于这一�c�d��。因此，一个消息内容的形成是一个或多个�W�一�c�d��状态迁�Uȝ��l�果�Q�但��消息输出到�pȝ��的环境则是属于第二类�q�移�?br /> �W�二�c�d��的状态迁�U�d��以捕获交互事�Ӟ��interaction events�Q�，或者简单的事�g�Q�events�Q�。这些事件可以由�pȝ��外部的观察者（observer�Q�来获取。显�Ӟ��q�里的事件是消息、信受��数据及其内容以及一切系�l�和其环境交互（如机器�h�q�动手脚�Q�报警器报警�Q�打印机打印�{�等�Q�的发送和接受的模型。此外事件还可以用来描述�pȝ��~�Z��交互的时��_��比如一个计时器在日志中输出�pȝ��的空闲时间等�?br /> 当一个大的系�l�被拆分成多个模块时�Q�每个模块都被赋予了整个�pȝ��所处理数据的一部分�Q�正因�ؓ模块和模块间的接口衔接和数据感知�Q�一些原来属于第一�c�d��的状态�{换，因�ؓ�pȝ��的拆分在更低的层�ơ上变成了第二类别，成�ؓ�pȝ��和环境之间的交互�?br /> 对于一个特定的�pȝ��Q�他对于输入的�Ş式和获取旉��是不可预知的�Q�但是这个系�l�却应该能够做到�Ҏ��一个特定的输入以及�pȝ��当前的特定状态获取一个特定的输出。因此系�l�的执行可以被徏模�ؓ状态�{换序列，每个状态的输入是一个不��定性事件。�ؓ了记录日志�ƈ做到故障恢复�Q�我们还应做到能够在环境中捕莯��个不��定性事件输入�?br /> 此外�Q�在�pȝ��与系�l�间�q�行交互式，事�g的传递时间也应该是不��定性的�?/font>
�?br />
怎样用日志来预防�pȝ��崩溃�Q�在崩溃后如何还原系�l�，我想关键问题��是怎么做好内存的快照，�q�样�Q�在断电重启后可以通过日志来还原内存的信息�q�样�W�一步就是确认内存中的数据结构，哪些是必不可��的。确定系�l�恢复的�_�度�Q�按照子�pȝ��的分割和事�g的记录来�q�行replay�Q�根据子�pȝ��的划分，可以扑և�每个子系�l�中�W�二�c�d��的事件进行记录�?br /> 以向数据库系�l�提交作业�ؓ例，实际上在整个作业提交的过�E�中�Q�每个层�ơ都要做到可以在��p�|的情况下重现�Q�这个功能在完善的数据库�pȝ��和集��批处理�pȝ��中当然已�l�很完善。但如果是针对web�pȝ��的作业提交，则需要针对Web的作业持久方案，做一个日志恢复处理。需要特别指出的是，对于数据的查询是不需要做备䆾的�?br /> 在具体实��C��Q�我惛_��该包括：日志记录�Q�故障检��，日志持久三个部分。一份日志就是一个对于系�l�检查点�Q�checkpoint�Q�的�q�箋记录。日志记录者负责记录日志到日志持久者，故障��器随时监控�pȝ��Q�发现故障后�Q�从日志持久者中��d��日志�Q�进行replay.

杨一 2008-01-07 14:44 发表评论

如何实现包含插�g功能的Applet Web界面

杨一 — Wed, 02 Jan 2008 07:07:00 GMT

不知�怽�有没有想�q�用Applet来组�l�Web的程序界面？��弟最�q�整理了一些杂��的思�\�Q�思想完全开放，�Ƣ迎批评�?br /> 先说一下可能遇到的问题�Q?br /> 1 安全性：Applet�Ҏ��地资源的操作需要相应的安全许可�Q?br /> 2 库资源的下蝲�Q�如何下载及��理支持本地Applet的库资源�Q?br /> 3 通信�Q�Applet如何与后台的Servlet�q�行通信�Q?br /> 4 囑�Ş的加载：如何利用Applet动态的实例化�ƈ展现界面�?/p>

下面一一展开讨论

�Q�一�Q�保障安全�?/p>

安全性的主要解决�Ҏ��是利用Java提供的keytool生成一个keystore�Q��ƈ利用�q�个keystore对jar包进行signjar的操作�?br /> 整个对Java文�g的编译，打包和signjar�q�程可以利用Ant来完成，比如下面的Ant脚本片段��是用来处理signjar的，大家也可以通过相应的Java命��o直接处理�Q?/p>

< target name ="signjar" depends ="jar" >
< signjar jar ="example.jar"
keystore ="${basedir}/yangyi.keystore" storepass ="mypassword" alias ="mykey" > signjar >
target >

如果直接用命令，则其形式为：
jarsigner [ options ] jar-file alias
具体的操作方法可以参考下面的链接�Q?br /> http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html
通过�q�个signjar的操作，我们��q��q�个包中的类�q�行了一�ơ数字签名，�q�样�Q�当Applet�q�行默认许可之外的操作时�Q�窗口将弹出�q�个数字�{�֐�要求本地用户�q�行��认�Q�只有在��认后，用户才可以��l�进行操作�?/p>

�q�样我们可以在第一�ơ用戯��行Applet�E�序�Ӟ��在用��L��许可下动态地在用��L��$user.home/.java.policy下生成一个授权文�Ӟ��以后��可以执行需要的操作了，��Z��证客��L��的安全性，仅赋予用��h��行特定文件夹权限的权利，如（仅作��Z��?可以�Ҏ��需要自己配�|�文件和Socket讉K��权限�Q�：
grant codeBase "file:/home/yiyang/test/×" {
java.security.AllPermission;
};

�Q�二�Q�下载�ƈ��理库支�?/p>

�q�个�q�程可以通过Java的URL�c�L��供的openConnection�Ҏ��来获取一个InputStream从而获取到�q�程的资源（包括支持库和配置文�g两部分）
1�Q�对于配�|�文�Ӟ��因�ؓ其内定w��比较��，而且比较��单，可以直接通过输入��来获取�Q�这是没有异议的�Q?br /> 2�Q�对于库文�g�Q�在下蝲之前先到我们��理的库的目录下扑ֈ�版本索引文�g�Q�我们设定一个版本烦引文件来��理升��Q�，�q�个版本索引文�g如下所�C�：

time={资源获取的时间戳}
lib1.jar=1.0
lib2.jar=1.1

其中�Q�服务器端也保留有一份这��L��版本文�g�Q�当下蝲库文件时�Q�首先对客户端和服务端的库的��L��间戳�q�行比较�Q�如果客��L��大于或等于服务端�Q�则不需下蝲�Q�否则，如果客户端对应项目�ؓ�I�或者其�ȝ��旉��戛_��于服务端�Q�则�q�一步比较内部库文�g的版本，发现版本低的库或在客��L��不存在的库后�Q�自动到服务器上�q�行下蝲�Q�在下蝲成功后，更新客户端的索引文�g�?/p>

�Q�三�Q�通信

�q�个问题��弟曑֜�以往的blog中有�q�详�l�的讨论�Q�可以到http://yangyi.blogjava.net中的相应随笔中找到答案。�ȝ��来说�Q�在�c�d��协议�q�不复杂�Q�且客户端，服务端均为Java开发的情况下，应用Hessian是一个好的解��x��案，需要指出的是Hessian中的代码对客��L��来说�q�不是全部必��ȝ��Q�大家可以根据客��L��的��用情况对�q�个库进行瘦�w�。只保留作�ؓ客户端必要的�c�d��可�?/p>

�Q�四�Q�动态的实例化及插�g�l�构

我们要实现用��L��面的集成�Q�从�Ҏ��上说要解决下面的几个问题�Q?br /> 1�Q�菜单集�?br /> 2�Q�支持库集成
3�Q�集成点
4�Q�输出变�?br /> 对于客户端�ؓApplet开发的插�g�Q�我们把上面的四��w��|�统一在XML文�g中进行描�q�定义�?br /> �q�里需要注意的是菜单要提供名称�Q�支持库要提供下载�\径或者本地�\径，集成�Ҏ��们希望是一个JPanel�?br /> 在定义好XML后，可以到网址�Q?a >http://www.flame-ware.com/xml2xsd/去获得一个对应的schema�Q�利用这个schema和JAXB提供的xjc工具�Q�我们就可以生成对应的XML操作�c�，来对配置�q�行处理�?br /> 对于菜单的集成可以动态地在JMenu中添加MenuItem�Q�表�C�插件的功能�Q?br /> �Ҏ��配置的支持库的位�|�，我们可以通过Java的URLClassLoader对库�q�行动态的加蝲�Q�然后根据相应的集成点，获取实例�Q�这个过�E�的�C�Z��代码如下所�C�：

File f = new File( " a.jar " ); // a.jar是我们从配置文�g中读取的支持�?/span>
URL url = null ;
Class lib = null ;
try {
url = f.toURI().toURL();
lib = Class.forName( " Lib " , true , new URLClassLoader(
new URL[] { url } )); // Lib是我们从配置文�g中读取的集成�?/span>
JPanel plugin_panel = (JPanel)lib.newInstance();
return plugin_panel;
} catch (Exception e) {
e.printStackTrace();
}

对于输出变量�Q�其主要作用是用户各个插件之间的信息交互�Q�我们可以通过一个�ȝ��HashMap来实玎ͼ�为避免变量值出现冲�H�，在变量名前自动加上插件名的前�~��?br /> 如plug_in1的变量var1�Q�其�pȝ��名称为：plug_in1__var1.

解决了上面的四个障碍�Q�我们就可以把精力投入到具体的功能实��C��了�?/p>

杨一 2008-01-02 15:07 发表评论

利用JAAS及JNI实现在Java环境下的Unix/Linux权限认证

杨一 — Wed, 12 Dec 2007 08:50:00 GMT

摘要: �q�篇随笔谈一谈如何在Java环境下利用Unix/Linux的用户名和密码对用户的权限作��滤。�ؓ方便大家学习交流�Q�本文中�l�出了源代码�Q�借此抛砖引玉�Q�欢�q�大家对�q�个��单的��d��模型做出改进或者设计出自己的技术方案�?
由标题我们不隄��出，与本文相关的知识点主要有3个：
1 JAAS�q�个解耦设计的多层验证�Ҏ��Q?.4后已归入Java核心库中�Q?
2 应用JNI讉K��底层代码�Q�及JNI中简单的�c�d��匚w��
3 在shadow模式下，Unix/Linux�pȝ��的用户验�?nbsp; 阅读全文

杨一 2007-12-12 16:50 发表评论