Acegi 的扩展

最新推荐文章于 2017-12-20 18:59:00 发布
最新推荐文章于 2017-12-20 18:59:00 发布
阅读量3k 收藏 2
点赞数
分类专栏: Framework 文章标签: acegi 扩展 bean authentication class import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/_chage/article/details/292128
版权

    年刚过,还很懒,这个东东年前都开始关注了,今天把学习成果总结一下。
    Acegi,一个安全系统,拦截器和面向接口的编程方式,支持ACL、JAAS基于Spring.我的理解其价值在于:replace Container-Managed Authentication,将安全这一块脱离具体j2ee容器,将来需要迁移时少一些麻烦,它足够强大,可以给web系统甚至cs应用提供足够的安全保护机制。这是一个常用的轮子,造得不错哟。

不过,acegi的学习曲线很陡峭,在web.xml配置了一堆的Filter之后,还需要配置spring的bean,仍然是一堆,好在先跑起了demo(0.6.1 quick-start)增加了一点信心。

先记下一个概念: 
Authentication 认证:验证一个用户的身份,你说你是大人物某某,你说是就是呀,请看证件,或介绍信等。最常用的是用户名+口令,还有电子证书等.
    在 bean 配置中,需要关注的几个关键bean,在后面的扩展中需要用到:
 1 AuthenticationManager 用于认证ContextHolder中的Authentication对象。给多种的认证方式留下了接口。

2 AccessDecissionManager 用于授权一个特定的操作,这里有一个授权策略问题,三个实现类分别为:
    AffirmativeBased 只需有一个投票赞成即可通过(最常用);allowIfAllAbstainDecisions属性值默认为false,意思是如果所有的授权投票是都是弃权,则通不过授权检查。
    ConsensusBased 需要大多数投票赞成即可通过;
    UnanimousBased 需要所有的投票赞成才能通过(悲观吧)。

3 ObjectDefinitionSource 描述角色与资源的匹配方式。

以上三个bean装配成为一个filterInvocationInterceptor,它将用来组装securityEnforcementFilter,之后的bean先不考虑了,因为扩展时用不到,照抄即可。


例子是比较简易的,要想让应用在实际项目中,首先需要解决以下两个问题:
1 基于数据库的用户认证,一般是用户名+密码,我的作法是:
  1.1 使你的User(Pojo或domain object)实现acegi中的这个接口:UserDetails,当然,如果你不想这么作,也可以加一个中间层,包装一下啦。
      这个接口只有一个方法 public GrantedAuthority[] getAuthorities();即返回该用户的角色列表.
  1.2 自己实现这个接口PasswordAuthenticationDao,不管你用hibernate还是ibatis.
      public UserDetails loadUserByUsernameAndPassword(String username, String password);
      很明显,需要从数据库中验证用户名和口令。
  1.3 开始装配:
        <bean id="myPwdAuthenticationDAO" class="net.chage.sm.dao.ibatis.AuthenticationDAOiBatis">
          <property name="dataSource"> <ref bean="dataSource" /> </property>
          <property name="sqlMapClient"><ref bean="sqlMap"/></property>
        </bean>    
   
     <bean id="daoAuthenticationProvider" class="net.sf.acegisecurity.providers.dao.PasswordDaoAuthenticationProvider">
        <property name="passwordAuthenticationDao"><ref bean="myPwdAuthenticationDAO"/></property>
        <property name="userCache"><ref local="userCache"/></property>
 </bean>
2 例子中url和角色的匹配关系也是固定的,如下:
   <property name="objectDefinitionSource">
   <value>
       CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
       PATTERN_TYPE_APACHE_ANT
      /admin/**=ROLE_ADMIN
      /contract.do*=ROLE_XXX
   </value>
  </property>


  如果这一块也需要从database中取,可以这么来实现:新建一个类extending PathBasedFilterInvocationDefinitionMap,
  使用其addSecureUrl来增加匹配信息。我写的是一个超简单的类,只为说明问题:
  package com.head.acegisecurity;

   import net.sf.acegisecurity.intercept.web.PathBasedFilterInvocationDefinitionMap;
   import net.sf.acegisecurity.ConfigAttributeDefinition;
   import net.sf.acegisecurity.ConfigAttribute;

   public class CjObjectDefinitionSource extends
  PathBasedFilterInvocationDefinitionMap {
 public CjObjectDefinitionSource(){
  super();
  ConfigAttributeDefinition definition = new ConfigAttributeDefinition();
  ConfigAttribute att = new MyConfigAttribute();
  definition.addConfigAttribute(att);
  this.addSecureUrl("/admin/**",definition);
 }
     class MyConfigAttribute implements ConfigAttribute{
 public String getAttribute(){
  return "ROLE_ADMIN";
 }
     }
   }
   然后配置:
   <bean id="myObjectDefinitionSource" class="com.head.acegisecurity.CjObjectDefinitionSource"/>
   <bean id="filterInvocationInterceptor" class="net.sf.acegisecurity.intercept.web.FilterSecurityInterceptor">
       <property name="authenticationManager"><ref local="authenticationManager"/></property>
       <property name="accessDecisionManager"><ref local="accessDecisionManager"/></property>
    <property name="objectDefinitionSource"><ref local="myObjectDefinitionSource"/></property>
   </bean>
   最后,再说一下,acegi确实是一个优秀的安全框架,灵活强大,即使你用不上它,也可以从它的设计中汲取灵感。
  

 

 

_chage
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security学习总结二
pureboy的专栏
04-01 693
<br /><br />前一篇文章里介绍了Spring Security的一些基础知识,相信你对Spring Security的工作流程已经有了一定的了解,如果你同时在读源代码,那你应该可以认识的更深刻。在这篇文章里,我们将对Spring Security进行一些自定义的扩展,比如自定义实现UserDetailsService,保护业务方法以及如何对用户权限等信息进行动态的配置管理。<br />说明:<br />如果你通过Google搜索,可以找到很 多类似主题的文章,本文的目的在于通过这些实例来介绍的工作
spring acegi
05-06
**四、企业级安全扩展** Spring Acegi还支持与LDAP、JMX和其他企业服务集成,以实现更复杂的安全需求。例如,可以配置LDAP认证提供者来从Active Directory或OpenLDAP等目录服务验证用户。 **五、向Spring Security...
Acegi授权策略和保护web资源
zhanghongcai的专栏
09-15 154
 在通过各种认证途径获得Authentication认证对象后,事情的发展并没有结束。用户认证只是确定当前用户是否存在,而且她的身份也被辨认出来。至于已经认证的用户是否有权限操控目标资源(web资源,业务方法,领域对象),那么就还需要经过用户授权的考验!     下面就总体上给出acegi是如何实施用户授权工作的,以及围绕web资源的授权操作展开!     当acegi完成用户的认证操作时,认...
Acegi简介
蓝剑专栏
03-27 986
Acegi安全系统中,需要被认证的用户,系统或代理称为"Principal"。Acegi安全系统和其他的安全系统不同,它并没有角色和用户组的概念。Acegi系统设计关键组件Acegi安全系统包含以下七个关键的功能组件:1 Authentication对象,包含了Principal,Credential和Principal的授权信息。同时还可以包含关于发起认证请求的客户的其他信息,如IP地
SpringSecurity权限管理——自定义表结构2!!!
事后诸葛亮的程序人生(微信:zq9017197)
12-21 3437
这次的记录是紧接着上次(SpringSecurity权限管理——自定义表结构!!!)说的!tb.sqldrop table users_role; drop table resc_role; drop table users; drop table role; drop table resc; -- 资源 包含需要保护的资源 create table resc( id int primary key, name varchar(50), res_type varchar(50),
spring security总结
ness1981的博客
11-20 181
spring security总结 首先导入spring security所需要的jar包 spring-security-core-2.0.5.RELEASE.jar spring-security-core-tiger-2.0.5.RELEASE.jar 一.配置过滤器 在web.xml中定义如下过滤器 springSecurityFilterChain...
acegi
04-26
- 随着Spring框架的发展,Spring Security成为Acegi的替代品,它继承并扩展Acegi的功能,同时提供了更现代的API和更好的社区支持。 6. **文件名解析** - "db"可能指的是数据库相关的配置或日志,Acegi通常需要...
Acegi安全框架简介及实用扩展
11-18
Acegi安全框架简介及实用扩展,spring acegi 权限管理
Acegi配置指南
08-23
Acegi的主要优点在于其灵活性和可扩展性,能够方便地集成到Spring应用中,为用户提供了细粒度的权限控制。 在配置Acegi时,首先需要在`web.xml`文件中定义一个名为`Acegi Filter Chain Proxy`的过滤器。这个过滤器...
使用spring security 实现权限的验证
星空的专栏
10-22 7245
这是在上个公司做项目的时候用到的权限验证,但由于时间太长,修改次数较多,现在只剩下了一部分代码以及配置文件,总的来说,其实现思路是可以借鉴的,现在来想想,其实自己实现也并不是很难的,而且自定义性非常大,而且能够实现页面是否具有增删改的权限以及相应图标文字的显示与否。具体思路其实大都类似,下面我还是大概说下spring security究竟是怎么一个东东。         其共使用到了5张表,实体
菜鸟-教你把Acegi应用到实际项目(9)-实现FilterInvocationDefinition
buliedian
08-09 125
在实际应用中,开发者有时需要将Web资源授权信息(角色与授权资源之间的定义)存放在RDBMS中,以便更好的管理。事实上,我觉得一般的企业应用都应当如此,因为这样可以使角色和Web资源的管理更灵活,更自由。那么,我们应当如何实现这个需求呢?在接下来的内容当中,我们将一一解说。 我们都知道,一般Web资源授权信息的配置类似如下代码: Xml代码 …… ...
Spring Security 2 配置精讲
luzhou33的专栏
01-22 245
论坛上看了不少Spring Security的相关文章。这些文章基本上都还是基于Acegi-1.X的配置方式,而主要的配置示例也来自于SpringSide的贡献。 众所周知,Spring Security针对Acegi的一个重大的改进就在于其配置方式大大简化了。所以如果配置还是基于Acegi-1.X这样比较繁琐的配置方式的话,那么我们还不如直接使用Acegi而不要去升级了。所以在这里,我将结...
Spring Security使用总结(高级)
在交流中成长
01-06 5607
前一篇文章里介绍了Spring Security的一些基础知识,相信你对SpringSecurity的工作流程已经有了一定的了解,如果你同时在读源代码,那你应该可以认识的更深刻。在这篇文章里,我们将对SpringSecurity进行一些自定义的扩展,比如自定义实现UserDetailsService,保护业务方法以及如何对用户权限等信息进行动态的配置管理。    一 自定义Use
spring security 2.0 的简单配置使用(补)——用aop控制method级权限
孙宁振的专栏
08-18 211
上次写了spring security 2.0 的简单配置使用 ,这里再做一下补充。 method级别的权限控制可以通过spring aop来实现。 pointcut: &lt;aop:config&gt; &lt;aop:pointcut id="securityPointcut" expression="execution(** org.cats...
ObjectARX_AcDbAttributeDefinition属性定义对象
weixin_33696106的博客
12-20 1444
2019独角兽企业重金招聘Python工程师标准>>> ...
我的eclipse版本选择
青之六号
12-06 4241
IDE的选择大多是先入为主,如果一开始你上手了JBuilder,眼中就全是它的好,其缺点也可以包容了,况且高手们都不会对主流工具有任何偏见的。我搞过几年的delphi,按理说应该首选borland的产品,但我第一次搞的J2EE项目,公司是亲IBM系的,websphere + visualAge,后来出了Eclipse,没理由不爱它。现在机器上留着两个版本,同时在用,2.1.2 和 3.0.
eclipse的Spring插件安装备忘
青之六号
12-09 4009
只要可以可视化管理好Bean配置文件,就方便多了。for eclipse 3.0.1首先到eclipse下载站点上(tool)找到GEF3.0.1,安装成功后,在eclipe中打开help>software updates>find and install,选择 search for new features to install. 在打开的界面中,选择new remote site,加入
iBatis终于出了2.0.9,解决了N+1查询问题。
青之六号
01-10 3782
新年新气象,庆祝。待我试用。 作者给出的这个n+1 select解决方案,是针对一对多的,他认为一对一内联类属性的映射,通过视图select和lazyload,已经可以方便地解决,所以着重解决的是1:M / M:N的问题,我拿jpetstore中的表作为例子,如下: groupBy="categoryId">                resultMap="Category.productRe
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值