京山游俠

在SpringSide 3的官方文檔中，說安全框架使用的是Spring Security 2.0。乍一看，嚇了我一跳，以為Acegi這么快就被淘汰了呢。上搜索引擎一搜，發(fā)現(xiàn)原來Spring Security 2.0就是Acegi 2.0。懸著的心放下來了。雖然SpringSide 3中關(guān)于Acegi的配置文件看起來很不熟悉，但是讀了Acegi 2.0的官方文檔后，一切都釋然了。

先來談一談Acegi的基礎(chǔ)知識(shí)，Acegi的架構(gòu)比較復(fù)雜，但是我希望我下面的只言片語(yǔ)能夠把它說清楚。大家都知道，如果要對(duì)Web資源進(jìn)行保護(hù)，最好的辦法莫過于Filter，要想對(duì)方法調(diào)用進(jìn)行保護(hù)，最好的辦法莫過于AOP。Acegi對(duì)Web資源的保護(hù)，就是靠Filter實(shí)現(xiàn)的。如下圖：


一般來說，我們的Filter都是配置在web.xml中，但是Acegi不一樣，它在web.xml中配置的只是一個(gè)代理，而真正起作用的Filter是作為Bean配置在Spring中的。web.xml中的代理依次調(diào)用這些Bean，就實(shí)現(xiàn)了對(duì)Web資源的保護(hù)，同時(shí)這些Filter作為Bean被Spring管理，所以實(shí)現(xiàn)AOP也很簡(jiǎn)單，真的是一舉兩得啊。

Acegi中提供的Filter不少，有十多個(gè)，一個(gè)一個(gè)學(xué)起來比較復(fù)雜。但是對(duì)于我們Web開發(fā)者來說，常用的就那么幾個(gè)，如下圖中的被紅圈圈標(biāo)記出來的：


從上到下，它們實(shí)現(xiàn)的功能依次是1、制定必須為https連接；2、從Session中提取用戶的認(rèn)證信息；3、退出登錄；4、登錄；5、記住用戶；6、所有的應(yīng)用必須配置這個(gè)Filter。

一般來說，我們寫Web應(yīng)用只需要熟悉這幾個(gè)Filter就可以了，如果不需要https連接，連第一個(gè)也不用熟悉。但是有人肯定會(huì)想，這些Filter怎么和我的數(shù)據(jù)庫(kù)聯(lián)系起來呢？不用著急，這些Filter并不直接處理用戶的認(rèn)證，也不直接處理用戶的授權(quán)，而是把它們交給了認(rèn)證管理器和決策管理器。如下圖：

對(duì)于這兩種管理器，那也是不需要我們寫代碼的，Acegi也提供了現(xiàn)成的類。那么大家又奇怪了：又是現(xiàn)成的，那怎么和我的數(shù)據(jù)庫(kù)關(guān)聯(lián)起來呢？別著急，其實(shí)這兩個(gè)管理器自己也不做事，認(rèn)證管理器把任務(wù)交給了Provider，而決策管理器則把任務(wù)交給了Voter，如下圖：

現(xiàn)在我要告訴你們，這里的Provider和Voter也是不需要我們寫代碼的。不要崩潰，快到目標(biāo)了。Acegi提供了多個(gè)Provider的實(shí)現(xiàn)類，如果我們想用數(shù)據(jù)庫(kù)來儲(chǔ)存用戶的認(rèn)證數(shù)據(jù)，那么我們就選擇DaoAuthenticationProvider。對(duì)于Voter，我們一般選擇RoleVoter就夠用了，它會(huì)根據(jù)我們配置文件中的設(shè)置來決定是否允許某一個(gè)用戶訪問制定的Web資源。

而DaoAuthenticationProvider也是不直接操作數(shù)據(jù)庫(kù)的，它把任務(wù)委托給了UserDetailService，如下圖：


而我們要做的，就是實(shí)現(xiàn)這個(gè)UserDetailService。圖畫得不好，大家不要見笑，但是說了這么多總算是引出了我們開發(fā)中的關(guān)鍵，那就是我們要實(shí)現(xiàn)自己的UserDetailService，它就是連接我們的數(shù)據(jù)庫(kù)和Acegi的橋梁。UserDetailService的要求也很簡(jiǎn)單，只需要一個(gè)返回org.springframework.security.userdetails.User對(duì)象的loadUserByUsername(String userName)方法。因此，怎么設(shè)計(jì)數(shù)據(jù)庫(kù)都可以，不管我們是用一個(gè)表還是兩個(gè)表還是三個(gè)表，也不管我們是用戶-授權(quán)，還是用戶-角色-授權(quán)，還是用戶-用戶組-角色-授權(quán)，這些具體的東西Acegi統(tǒng)統(tǒng)不關(guān)心，它只關(guān)心返回的那個(gè)User對(duì)象，至于怎么從數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)，那就是我們自己的事了。

反過來再看看上面的過程，我們發(fā)現(xiàn)，即使我們要做的只是實(shí)現(xiàn)自己的UserDetailService類，但是我們不得不在Spring中配置那一大堆的Bean，包括幾個(gè)Filter，幾個(gè)Manager，幾個(gè)Provider和Voter，而這些配置往往都是重復(fù)的無謂的。好在Acegi 2.0也認(rèn)識(shí)到了這個(gè)問題，所以，它設(shè)計(jì)了一個(gè)<http>標(biāo)簽，讓Acegi的配置得到了簡(jiǎn)化。下面是SpringSide 3中的配置的截圖，大家可以看看：


下圖是官方文章中的傳統(tǒng)Filter設(shè)置和<http>元素之間的對(duì)應(yīng)關(guān)系：


下面的代碼是SpringSide 3中實(shí)現(xiàn)UserDetailService的范例，在SpringSide 3的范例中，白衣使用了三個(gè)表User、Role、Authority。但是Acegi不關(guān)心你用了幾個(gè)表，它只關(guān)心UserDetails對(duì)象。而決定用戶能否訪問指定Web資源的，是RoleVoter類，無需任何修改它可以工作得很好，唯一的缺點(diǎn)是它只認(rèn)ROLE_前綴，所以搞得白衣的Authority看起來都象角色，不倫不類。