AcegiSecurity学习记录(三)

最新推荐文章于 2022-11-10 17:07:10 发布
最新推荐文章于 2022-11-10 17:07:10 发布
阅读量1.9k 收藏
点赞数
分类专栏: JavaEE1 开源框架 JavaEE 文章标签: authentication interceptor security acegi object 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/comliu/article/details/2462592
版权
JavaEE 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
JavaEE1
6 篇文章 0 订阅
订阅专栏
开源框架
6 篇文章 0 订阅
订阅专栏

org.acegisecurity.userdetails.UserDetails
提供核心的用户信息

该接口的实现不会被Acegi Security直接用于安全用途。它们只是简单地存储用户信息。那些用户信息将被封装进Authentication对象。这就允许与用户相关的非安全信息如Email,被保存在方便的地方。

具体的实现必须特别留意每个详细方法的非空契约。进行扩展时可以参考org.acegisecurity.userdetails.User类。
具体的实现还必须是不变的,因为UserDetails将存储在缓存中以,同一个实例会被多个线程使用。

org.acegisecurity.intercept.AbstractSecurityInterceptor

AbstractSecurityInterceptor确保security interceptor得到正确的启动配置,它将同样实现的对安全对象的操作有:

从SecurityContextHolder对象中获得Authentication对象
依靠对ObjectDefinitionSource查询获得的安全对象访问来判断请求涉及的是一个受保护的对象或是一个公用的对象

---------------------------------------------------------------------------------------------------------------------------------------------
如果对象是受保护的,即对于安全对象有一个ConfigAttributeDefinition ,则进行如下流程:
1.如果Authentication.isAuthenticated()方法返回false,或者alwaysReauthenticate为true,则通过配置的AuthenticationManager对
请求进行认证。如果认证成功,将返回的Authentication对象放回SecurityContextHolder中。
2.通过配置的AccessDecisionManager对请求授权
3.通过RanAsManager处理所有的run-as替换
4.将控制传递给实际的子类继续执行。为了确保AbstractSecurityInterceptor被重新调用,当子类完成处理后个InterceptorStatusToken将被返回。
具体的子类将通过afterInvocation(InterceptorStatusToken, Object) 方法重新调用AbstractSecurityInterceptor。
5.如果RunAsManager替换了Authentication对象,则为该对象返回SecurityContextHolder。
6.如果一个AfterInvocationManager被定义,那么执行它,并允许其替换应返回给调用者的对象。

对于公共的对象,即对此安全对象没有对应的ConfigAttributeDefinition:
具体的子类在安全对象被执行后返回的InterceptorStatusToken随后将传回AbstractSecurityInterceptor,Abstract
SecurityInterceptor在afterInvocation(InterceptorStatusToken,Object)方法被调用后将不继续进行其它动作。

---------------------------------------------------------------------------------------------------------------------------------------------

之后控制重新返回给实际子类,子类将返回结果或异常给原始的调用者。

org.acegisecurity. ConfigAttribute

存储安全系统设计的配置参数

当一个AbstractSecurityInterceptor启动,一组为安全对象模式的配置参数被定义。
通过ConfigAttributeDefinition在运行时为同一各安全对象目标保存其它的ConfigAttribute。

org.acegisecurity.ConfigAttributeDefinition
持有与安全对象目标关联的一组ConfigAttribute对象。
所有与AbstractSecurityInterceptor关联的ConfigAttributeDefinition被保存在ObjectDefinitionSource中。

org.acegisecurity.vote.AbstractAccessDecisionManager
处理在bean context中定义的一系列AccessDecisionVoter,以及如果所有AccessDecisionVoter在投票中弃权时的访问控制行为。
默认为拒绝访问。

有三个实现类:

AffirmativeBased: 任意投票者投赞成票即放行
ConsensusBased: 所有投票者投赞成票才放行
UnanimousBased: 所有投票者全部投赞成票或弃权票才放行

org.acegisecurity.vote.AccessDecisionVoter
负责对授权进行投票 

comliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java拦截器放行某些请求
晓梦初醒的博客
12-09 9489
在java开发中,拦截器使用是很普遍的,最常用的就是登陆拦截了,然后并不是所有的请求我们都需要拦截,比如index页面的请求我们是不拦截的.通常情况下我们有两种方式:先贴出来springboot使用拦截器的case: 1.自定义拦截器,实现HandlerInterceptor ,也可以采用继承的方式(HandlerInterceptorAdapter),内容不重要,看过程 public cl...
Acegi Security 学习
蓝色忧郁
01-28 2838
最近刚弄了acegi的一本书,学习了下怎么将这一权限控制框架集成到我们的日常使用的web程序中去:),Let`s Go!什么是acegi?Acegi Security 是用于企业 Web 应用程序的一个强大、灵活的安全性解决方案。Acegi 构建在 Java EE 的声明式安全性方法之上,并将 URL 和业务方法许可扩展至任意 Java 对象。Acegi Security 为应用程序提供全面的身份
Spring Security学习笔记
小松鼠的博客
08-08 989
Spring Security是基于Spring的一套权限框架,它有两大重要核心功能:用户认证和用户授权。用户认证指的是某个用户能否访问该系统,用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般在系统中,不同的用户会分配不同的角色,不同的角色也对应不同的权限。...
AcegiSecurity学习记录(二)
大北房
05-19 1942
org.acegisecurity.providers.ProviderManager    一个认证请求贯穿一系列AuthenticationProvider对象。可以通过ConcurrentSessionController来随意的限定一个用户可以拥有的会话数量。    AuthenticationProvider序列将按顺序尝试直到其中一个AuthenticationProvider提供
AcegiSecurity学习记录(四)
大北房
05-22 613
HttpSessionContextIntegrationFilter、具体的认证过滤器、AuthenticationManager、AuthenticationProviderd等类构成了Acegi安全认证体系的核心,下图展示了这些类之间的关系:
acegi-security 学习笔记
soleghost的专栏
09-05 4763
acegi security 是基于spring framework 开源安全解决方案。按自己的理解,其功能主要是提供了一个WEB应用安全解决方案框架。并提供了一些缺省的实现。所以,如果我们的应用中需要引入这套解决方案的话,可以根据自己的应用需求进行相应的扩充。另外,由于acegi security 是基于spring framework 的,所以可以和现有的基于spring framework
Acegi Security System学习
weixin_34392435的博客
02-06 104
一 可以为如下任务配置ACEGI安全过滤器: 在访问一个安全资源之前提示用户登录。 通过检查安全标记(如密码),对用户进行身份验证。 检查经过身份验证的用户是否具有访问某个安全资源的特权。 将成功进行身份验证和授权的用户重定向到所请求的安全资源。 对不具备访问安...
AcegiSecurity学习记录(一)
大北房
05-19 1582
  org.acegisecurity.context.HttpSessionContextIntegrationFilter  使用从 HttpSession中取出的信息组装SecurityContextHolder对象。SecurityContextHolder负责与当前执行线程提供的SecurityContext对象结合。SecurityContext定义了与当前执行线程关联的最小的安全
SpringSecurity学习笔记(一)
最新发布
qq_43427808的博客
11-10 217
spring security 第一篇视频学习笔记
acegi学习笔记
03-23
Acegi Security是一个专门为Spring Framework设计的安全框架,它无缝集成了各种Web容器,提供了一套基于Spring的、灵活的安全服务,包括BeanContext、拦截器和面向接口的编程方式。Acegi Security能够有效地处理复杂...
acegi权限控制学习笔记
06-06
Acegi权限控制学习笔记 Acegi安全框架是Spring Security的前身,它提供了一种强大的、灵活的、基于组件的安全解决方案,用于实现企业级应用的安全控制。在这个学习笔记中,我们将探讨两个关键点:身份认证成功后的...
acegi——笔记学习
07-31
通过深入学习Acegi,你可以了解Spring Security的基本架构和原理,这对于理解现代的Spring Security配置和使用非常有帮助。尽管Acegi已不再更新,但其思想和技术仍在Spring Security中得到沿用和发展。如果你正在...
acegi-security-jetty-0.8.3.jar.zip
07-17
在实际开发中,为了正确使用这个包,你需要了解Acegi Security的配置和API,学习如何在Jetty服务器上部署和配置安全拦截器。同时,由于Acegi Security后来被Spring Security所取代,因此在新项目中,你可能需要考虑...
一个通过反射改变request的请求参数的方法
大北房
04-26 6513
现在在做的项目需要用一个WebWork拦截器从request的请求参数中读取一些数据并把它们从parameterMap中remove掉。一开始这样写:Map requestParams=request.getParameterMap();......requestParams.remove("key");运行时会报错误:Cannot find message associated with
创建自己的ActionContext对象简化开发
大北房
08-05 1902
在Webwork和Struts2框架中,ActionContext扮演了全局上下文的功能。无论是在JSP页面、Action类、或是其他诸如Service、DAO或工具类中,都可以通过这个类提供的方法,来访问诸如Request、Session等范围对象,以及所谓的“值栈(ValueStack)”对象。该类内部采用ThreadLocal保存当前线程的实例,因此使用时只需要调用ActionContext
使用fValidator+iMask实现客户端验证
大北房
06-27 1685
    fValidator和iMask都是来自http://zend.lojcomm.com.br的JS脚本。http://zend.lojcomm.com.br还提供了实现内容滚动特效和图片的鱼眼特效的js脚本。但是在这里,只讨论如何通过fValidator和iMask来快速构建客户端验证。    首先,还是先看http://zend.lojcomm.com.br提供的例子:http://
在WebLogic 9.x下配置JTDS驱动的数据源
大北房
04-09 1500
参考了网上的一些资料,终于配置通过了。1.编辑 BEA_HOME/WEBLOGIC_HOME/common/bin/commEnv.cmd,找到"set WEBLOGIC_CLASSPATH="一行,在行末把jtds的jar文件的路径加上;2.启动WebLogic,进入console,在服务-JDBC-数据源中新建一个数据源,在选择驱动程序时选择其他,之后在事务配置界面将全局事务取消选中,
WebWork拦截器(做个种子先,内容陆续添加)
大北房
04-13 1433
1.Alias Interceptor可以为传入的参数(request parameters)设定别名,而不会将原有的名称删除。使用方法:在中做如下配置:#{userName:name,userPassword:password}            alias如果在Action中只有别名对应的属性,而没有原名对应的属性,如只有name属性而没有userName属性,在开发模
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值