AcegiSecurity学习记录(二)

最新推荐文章于 2021-09-14 10:29:50 发布
最新推荐文章于 2021-09-14 10:29:50 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: 开源框架 JavaEE JavaEE1 文章标签: authentication properties string url ssl java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/comliu/article/details/2459587
版权
JavaEE 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
开源框架
6 篇文章 0 订阅
订阅专栏
JavaEE1
6 篇文章 0 订阅
订阅专栏

org.acegisecurity.providers.ProviderManager
    一个认证请求贯穿一系列AuthenticationProvider对象。可以通过ConcurrentSessionController来随意的限定一个用户可以拥有的会话数量。

    AuthenticationProvider序列将按顺序尝试直到其中一个AuthenticationProvider提供了一个非空的响应。一个非空的响应指出该AuthenticationProvider有能力对认证请求做出决定,并且其他的AuthenticationProvider将不再进行尝试。如果一个AuthenticationException从一个AuthenticationProvider抛出,那么该ProviderManager将持有该异常,直到其余的AuthenticationProvider被尝试。如果其余的AuthenticationProvider成功地认证了请求,那么先前的AuthenticationException将被忽略而成功的认证将被使用。如果其余的AuthenticationProvider没有一个能提供非空响应或者抛出一个新的AuthenticationException,那么先前捕获的最后一个AuthenticationException将被认可并使用。如果没有一个AuthenticationProvider返回非空响应,却还是需要由它来处理一个认证,则ProviderManager将抛出一个ProviderNotFoundException。

    如果一个AuthenticationProvider返回了一个正确的认证,那么ProviderManager将发布一个AuthenticationSuccessEvent。如果一个AuthenticationException被捕获,那么最终被抛出的AuthenticationException将用来发布一个适当的失败事件。默认的,ProviderManager为这些事件映射了公用的异常,这些可以通过提供一个新的java.util.Properties类型的exceptionMappings属性来进行调整。在这个Properties对象中,每个键描述了一个异常的权限定类名,而每个值描绘了一个继承自AbstractAuthenticationFailureEvent并提供其自己的构造函数的事件的类名。

    ProviderManager实现了AuthenticationManager接口。下面是对Authentication接口的说明:

org.acegisecurity.AuthenticationManager
    处理一个认证请求。定义了如下方法:
    Authentication authenticate(Authentication authentication)
    尝试认证传入的Authentication对象,如果成功,返回一个组装完整(包含权限信息)的Authentication对象。
   一个AuthenticationManager必须遵守以下关于异常的约定:
    如果AuthenticationManager可以检测账户状态且该账户为失效的,则必须抛出DisabledException;
    如果AuthenticationManager可以监测账户状态且该账户为锁定的,则必须抛出LockedException;
    AuthenticationManager必须总是测试信任状(口令),如果错误,必须抛出BadCredentialsException。
    如果一个账户是失效的或是被锁定的,则认证请求将被立即拒绝而信任状(口令)的监测处理将不会执行。

org.acegisecurity.providers.dao.AbstractUserDetailsAuthenticationProvider
    基础的AuthenticationProvider允许子类覆盖并与UserDetails对象协作。这个类将响应UsernamePasswordAuthenticationToken认证请求。经过成功的认证,一个UsernamePasswordAuthenticationToken将被创建并返回给调用者。这个标记将包含由任意的字符串描述的用户名作为principal,或者是从认证仓库中返回的UserDetails作为Principal。返回String或UserDetails取决于使用的容器适配器。不推荐使用容器来控制principal的类型。默认返回的是UserDetails,如果希望返回字符串,则应调用setForcePrincipalAsString(true)。


    UserDetails可以被保存在UserCache中。这样确保了对后续的采用相同用户的请求的认证将不需要访问UserDetailsService。但是,如果用户提供了错误的密码,UserDetailsService将被访问。

    该抽象类定义了以下重要的方法:

    protected abstract void additionalAuthenticationChecks(UserDetails userDetails,UsernamePasswordAuthenticationToken authentication)throws AuthenticationException

    允许子类对从一个特定的认证请求中被返回的UserDetails进行任意的额外的检查。通常一个子类必须至少比较Authentication.getCredentials()方法的返回值与UserDetails.getPassword()方法的返回值。如果客户逻辑需要比较UserDetails或UsernamePasswordAuthenticationToken的额外的属性,则同样需要添加到这个方法中。

org.acegisecurity.userdetails.UserDetailsService

    为DaoAuthenticationProvider定义了提供数据访问服务实现的接口。
    这个接口只需要一个方法,即单一的新数据访问策略支持。

    UserDetails loadUserByUsername(String username)throws UsernameNotFoundException,org.springframework.dao.DataAccessException
    基于用户名取得用户信息。


org.acegisecurity.providers.dao.DaoAuthenticationProvider
    继承自AbstractUserDetailsAuthenticationProvider
    AuthenticationProvider实现了从UserDetailsService中取得用户详细信息的功能。

org.acegisecurity.ui.ExceptionTranslationFilter

处理从过滤器链中抛出的任何AccessDeniedException和AuthenticationException。
此过滤器是必须的。因为它提供了在Java异常与Http响应之间的桥梁。

如果AuthenticationException被发觉,则此过滤器将发动AuthenticationEntryPoint。它允许通用地处理源自AbstractSecurityInterceptor的任意子类的认证失败。
如果AccessDeniedException被发觉,无论用户是否是匿名用户此过滤器都将做出决断:如果是匿名用户,AuthenticationEntryPoint将被发动。如果不是匿名用户,
此过滤器将委派给AccessDeniedHandler。默认的,此过滤器使用AccessDeniedHandlerImpl。

要使用此过滤器,则必须定义如下属性:
authenticatioinEntryPooint:指出如果AuthenticationException被发觉将进行的认证处理。注意:这也许会将当前的协议从Http转换为Https的SSL登录。

此外,还有以下属性:
createSessionAllowed:
如果为真,则指出可以将目标URL和异常信息存储在HttpSession中(默认)。
在某些情形下,如果你因为用户代理知道失败的URL,例如BASI或Digest认证而不想去不必要地创建HttpSession,你也许想将这个属性设定为false。记住如果你将
此属性设定为false,你同样需要将HttpSessionIntergrationFilter.allowSessionCreation为false。
comliu
关注
专栏目录
Acegi Security -- Spring下最优秀的安全系统
cfhgcvb的博客
01-17 1420
Acegi Security -- Spring下最优秀的安全系统
acegi学习笔记
03-23
Acegi Security是一个专门为Spring Framework设计的安全框架,它无缝集成了各种Web容器,提供了一套基于Spring的、灵活的安全服务,包括BeanContext、拦截器和面向接口的编程方式。Acegi Security能够有效地处理复杂...
UserDetial.getPassword返回null
RocZhang的博客
09-14 668
if (!passwordEncoder.matches(password, userDetails.getPassword())) { throw new BadCredentialsException("密码不正确"); } 问题描述: passwordEncoder.matches() 参数一个未加密和一个加密的变量。加密的变量是使用Springboot的BCryptPasswordEncoder加密得来。加密密码通过查询数据库获。已经设置到UserDetail里面了。 这段代码,pass
、Acegi安全系统的配置
weixin_34064653的博客
06-08 117
转载于:http://www.springside.org.cn/docs/reference/Acegi3.htm Acegi安全系统的配置 Acegi 的配置看起来非常复杂,但事实上在实际项目的安全应用中我们并不需要那么多功能,清楚的了解Acegi配置中各项的功能,有助于我们灵活的运用Acegi于实践中。 2.1 在Web.xml中的配置 1) FilterToBe...
在项目中应用Spring的Acegi安全框架的步骤
小头猪
11-26 151
0、准备:配置数据源 1、配置认证管理器(org.acegisecurity.providers.ProviderManager) 1.1声明一个DAO认证提供者 即:配置AuthenticationDao的实例(依赖0步骤): Acegi提供了两个可供选择的AuthenticationDao的实例:InMemoryDaoImpl(内存DAO)和JdbcDao...
acegi 安全系统的配置
wangpei930228的博客
10-14 514
第一步:在web.xml中的配置   1、filter Acegi Filter Chain Proxy org.acegisecurity.util.FilterToBeanProxy targetClass org.acegisecurity.util.FilterChainProxy(FilterChainProxy包含了处理认证过程的filter列表,每个fi
acegi-security-jetty-0.8.3.jar.zip
07-17
在实际开发中,为了正确使用这个包,你需要了解Acegi Security的配置和API,学习如何在Jetty服务器上部署和配置安全拦截器。同时,由于Acegi Security后来被Spring Security代,因此在新项目中,你可能需要考虑...
Acegi学习笔记--Acegi详解实战Acegi实例
03-17
通过学习Acegi,我们可以了解到Web应用安全的基本思路和实践方法,这对于理解现代的Spring Security框架非常有帮助。虽然Acegi已经不再更新,但它的理念和架构仍对现代安全框架设计产生深远影响。
acegi-security-resin-0.9.0.jar.zip
07-17
Acegi Security是一款已退役的安全框架,它为Java应用程序提供了全面的身份验证、授权和服务层安全功能...虽然Acegi已被Spring Security代,但理解它的原理和用法对于维护老项目或学习安全框架的历史演变仍然有价
Acegi(02): Acegi管理身份验证
技术的本质是生活
06-06 223
2.管理身份验证 决定是否允许用户访问受保护资源的的第一步是判断用户的身份。在大多数应用系统中,这意味着用户在一个登录界面上提供用户名和密码。用户名告诉应用系统用户声明自己是谁。为了确保用户的身份,用户需要同时提供一个密码。如果应用系统的安全机制确认密码是正确的,则系统假设用户的实际身份与他声明的身份相同。 在Acegi中,是由认证管理器负责确定用户身份的。一个认证管理器由接口 ...
acegi-security-1.0.3.jar.zip
07-17
标签:acegi-security-1.0.3.jar.zip,acegi,security,1.0.3,jar.zip包下载,依赖包
Spring Acegi Security实例解析三
飘蓝
11-01 4783
1、新建一个Web工程,将以下Jar包导进工程:acegi-security-1.0.3.jar、commons-codec-1.3.jar、commons-logging-1.0.4.jar、mysql-connector-java-5.0.3-bin.jar和spring.jar。 2、在MySql中执行以下SQL语句: Drop TABLE IF EXISTS `test`.`stude
Acegi安全系统介绍
zzh_0221的专栏
06-07 1013
一 Acegi安全系统介绍     Author: cac 差沙     Acegi是Spring Framework下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如完善的认证和授权机制,Http资源访问控制,Method 调用访问控制,AccessControl List (ACL) 基于对象实例的访问控制,Yale Central Authentication Service
Acegi安全系统详解
02-06 5359
 Acegi是Spring Framework 下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如:    1 : 完善的认证和授权机制,    2 : Http资源访问控制,    3 : Method 调用访问控制,    4 : Access Control List (ACL) 基于对象实例的访问控制,    5 : Yale Central Authentication Servi
配置ProviderManager
huangronaldo
11-25 391
Spring 配置文件中ProviderManger的一种典型配置: <bean id="authenticationManager" class="org.acegiseurity.providers.ProviderManger" > <property name="providers"> <list> ..
acegi配置文件:applicationContext-acegi-security.xml
Mokily的专栏
07-27 839
(View Source for full doctype...)> - beans default-lazy-init="false" default-autowire="no" default-dependency-check="none"> FilterChainProxy会按顺序来调用这些filter,使这些filter能享用Spring ioc的功能,
spring2.0 security与acegi的结合配置
shoubuliaolebu的专栏
12-28 1785
一、web.xml的配置(摘自:http://blog.csdn.net/anyoneking/article/details/1748317) (1)  FilterToBeanProxy    Acegi通过实现了Filter接口的FilterToBeanProxy提供一种特殊的使用Servlet Filter的方式,它委托Spring 中的Bean -- FilterChainProxy
使用 Acegi Security 集成 CAS
05-20 2047
一、背景 公司早期开发的一系统S
acegi security实践教程—form认证
webdev
02-26 216
上篇博客给大家介绍了basic认证,同时也带领大家debug了一下源码,所以流程想必大家都已经了解了,那么现在只剩下各种认证的配置了。 具体步骤如下: 开发环境: MyEclispe10.7.1+tomcat6.0.37+acegi1.0.5+spring2.0 项目目录如下: 其中readme主要用来记录本次验证目的 配置文件 web.xml: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值