京山游俠

在SpringSide 3的官方文檔中，說安全框架使用的是Spring Security 2.0。乍一看，嚇了我一跳，以為Acegi這么快就被淘汰了呢。上搜索引擎一搜，發(fā)現(xiàn)原來Spring Security 2.0就是Acegi 2.0。懸著的心放下來了。雖然SpringSide 3中關(guān)于Acegi的配置文件看起來很不熟悉，但是讀了Acegi 2.0的官方文檔后，一切都釋然了。

先來談一談Acegi的基礎(chǔ)知識，Acegi的架構(gòu)比較復(fù)雜，但是我希望我下面的只言片語能夠把它說清楚。大家都知道，如果要對Web資源進(jìn)行保護(hù)，最好的辦法莫過于Filter，要想對方法調(diào)用進(jìn)行保護(hù)，最好的辦法莫過于AOP。Acegi對Web資源的保護(hù)，就是靠Filter實現(xiàn)的。如下圖：


一般來說，我們的Filter都是配置在web.xml中，但是Acegi不一樣，它在web.xml中配置的只是一個代理，而真正起作用的Filter是作為Bean配置在Spring中的。web.xml中的代理依次調(diào)用這些Bean，就實現(xiàn)了對Web資源的保護(hù)，同時這些Filter作為Bean被Spring管理，所以實現(xiàn)AOP也很簡單，真的是一舉兩得啊。

Acegi中提供的Filter不少，有十多個，一個一個學(xué)起來比較復(fù)雜。但是對于我們Web開發(fā)者來說，常用的就那么幾個，如下圖中的被紅圈圈標(biāo)記出來的：


從上到下，它們實現(xiàn)的功能依次是1、制定必須為https連接；2、從Session中提取用戶的認(rèn)證信息；3、退出登錄；4、登錄；5、記住用戶；6、所有的應(yīng)用必須配置這個Filter。

一般來說，我們寫Web應(yīng)用只需要熟悉這幾個Filter就可以了，如果不需要https連接，連第一個也不用熟悉。但是有人肯定會想，這些Filter怎么和我的數(shù)據(jù)庫聯(lián)系起來呢？不用著急，這些Filter并不直接處理用戶的認(rèn)證，也不直接處理用戶的授權(quán)，而是把它們交給了認(rèn)證管理器和決策管理器。如下圖：

對于這兩種管理器，那也是不需要我們寫代碼的，Acegi也提供了現(xiàn)成的類。那么大家又奇怪了：又是現(xiàn)成的，那怎么和我的數(shù)據(jù)庫關(guān)聯(lián)起來呢？別著急，其實這兩個管理器自己也不做事，認(rèn)證管理器把任務(wù)交給了Provider，而決策管理器則把任務(wù)交給了Voter，如下圖：

現(xiàn)在我要告訴你們，這里的Provider和Voter也是不需要我們寫代碼的。不要崩潰，快到目標(biāo)了。Acegi提供了多個Provider的實現(xiàn)類，如果我們想用數(shù)據(jù)庫來儲存用戶的認(rèn)證數(shù)據(jù)，那么我們就選擇DaoAuthenticationProvider。對于Voter，我們一般選擇RoleVoter就夠用了，它會根據(jù)我們配置文件中的設(shè)置來決定是否允許某一個用戶訪問制定的Web資源。

而DaoAuthenticationProvider也是不直接操作數(shù)據(jù)庫的，它把任務(wù)委托給了UserDetailService，如下圖：


而我們要做的，就是實現(xiàn)這個UserDetailService。圖畫得不好，大家不要見笑，但是說了這么多總算是引出了我們開發(fā)中的關(guān)鍵，那就是我們要實現(xiàn)自己的UserDetailService，它就是連接我們的數(shù)據(jù)庫和Acegi的橋梁。UserDetailService的要求也很簡單，只需要一個返回org.springframework.security.userdetails.User對象的loadUserByUsername(String userName)方法。因此，怎么設(shè)計數(shù)據(jù)庫都可以，不管我們是用一個表還是兩個表還是三個表，也不管我們是用戶-授權(quán)，還是用戶-角色-授權(quán)，還是用戶-用戶組-角色-授權(quán)，這些具體的東西Acegi統(tǒng)統(tǒng)不關(guān)心，它只關(guān)心返回的那個User對象，至于怎么從數(shù)據(jù)庫中讀取數(shù)據(jù)，那就是我們自己的事了。

反過來再看看上面的過程，我們發(fā)現(xiàn)，即使我們要做的只是實現(xiàn)自己的UserDetailService類，但是我們不得不在Spring中配置那一大堆的Bean，包括幾個Filter，幾個Manager，幾個Provider和Voter，而這些配置往往都是重復(fù)的無謂的。好在Acegi 2.0也認(rèn)識到了這個問題，所以，它設(shè)計了一個<http>標(biāo)簽，讓Acegi的配置得到了簡化。下面是SpringSide 3中的配置的截圖，大家可以看看：


下圖是官方文章中的傳統(tǒng)Filter設(shè)置和<http>元素之間的對應(yīng)關(guān)系：


下面的代碼是SpringSide 3中實現(xiàn)UserDetailService的范例，在SpringSide 3的范例中，白衣使用了三個表User、Role、Authority。但是Acegi不關(guān)心你用了幾個表，它只關(guān)心UserDetails對象。而決定用戶能否訪問指定Web資源的，是RoleVoter類，無需任何修改它可以工作得很好，唯一的缺點是它只認(rèn)ROLE_前綴，所以搞得白衣的Authority看起來都象角色，不倫不類。