浅谈Acegi配置

最新推荐文章于 2020-07-09 09:23:50 发布
最新推荐文章于 2020-07-09 09:23:50 发布
阅读量90 收藏
点赞数
文章标签: 数据库 java ui
Acegi是基于Spring的一个开源的安全认证框架,现在的最新版本是1.04。Acegi的特点就是有很多的过滤器:不过我们也用不到这么多的过滤器,只是可以把它们看作为一个个的模块,在用的时候加上自己用的着的即可,由于认证的流程的方面比较复杂导致它的配置很复杂,如果能摸清它的工作原理还是不太难.下面用比较顺着人思维的流程过一遍
这里只列出常用的过滤器和拦载器
1. 过滤器:HttpSessionContextIntegrationFilter, authenticationProcessingFilter,BasicProcessingFilter,RememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter
2. 拦截器: filterSecurityInterceptor(其实它是过滤器,不过把它放在这里更能说明它的功能),methodSecurityInterceptor
看着上面的用红色标出的过滤器是用来认证(表单和HTTP基本认证,当然还有别的不过这两个比较长用)它们是资源访问的入口.其它的过滤器是用来辅助的:HttpSessionContextIntegrationFilter是用来把认证信息记录到Session中的RememberMeProcessingFilter是以cookie的形式来保存认证信息的. anonymousProcessingFilter是在匿名的时候(这时候是没有认证信息的)给这个用户分配一个匿名的认证信息,exceptionTranslationFilter总结一下异常并处理.在实际中选择适合程序的即可.
上面只是资源访问的入口,真正保护资源的是这两个拦截器:filterSecurityInterceptor,拦截URL的类(它是个过滤器)
metohdSecurityInterceptor,拦截类中方法的调用,它们为什么要拦截呢?就是想在访问或调用这些方法之前来判断一下用户是否有访问或调用的权限,有就通过,没有就踢出.
除此之外,Acegi专门做了两个管理器(实际上就是两个类,为什么会用做这两个管理器,因为认证和授权都有一些的操作,这就需要专门做两个管理器了):authenticationManager(class= org.acegisecurity.providers.ProviderManager),授权管理器accessDecisionManager(class=org.acegisecurity.vote.AffirmativeBased)
说白了一个用于认证用户,一个是用于权限的授于的
先来说认证用户,认证管理器有什么东西呢?只内置了一些提供者:这些提供者呢又是什么呢,他们是提供用户的验证身份信息的,比如从数据库或配置文件里读出用户名和密码,在用户的cookie里读出身份信息(rememberMeProcessingFilter用到的[前面讲了的,有印象吧]),或在Session里读出身份验证信息(HttpSessionContextIntegrationFilter起作用的),这里我们只说一下从数据库或配置文件里读出用户名密码来装配验证信息的,其它的配置类似可以找一下对应api在Spring里配置即可,daoAuthenticationProvider是数据库的提供者class=org.acegisecurity.providers.dao.DaoAuthenticationProvider,而它提供的服务呢又有几种,数据库和配置文件(这是Acegi的两个默认的实现)当然也可以自己实现(实现userDetailsService接口就行)
代码
  1. <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
  2. <property name="providers">
  3. <list>
  4. <ref local="daoAuthenticationProvider"/>
  5. list>
  6. property>
  7. bean>
  8. <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
  9. <!-- --&gt<!-- 这里有两种选择 --&gt
  10. <property name="userDetailsService"><ref local="jdbcDaoImpl"/>property>
  11. bean>

如果用户名和密码在配置文件里可以用InMemoryDaoImpl,class=org.acegisecurity.userdetails.memory.InMemoryDaoImpl,在这个类的userMap里配置即可:javafish=java,ROLE_USER,配置了一个用户名为javafish,密码为java,用户组为ROLE_USER的用户,不过最常用的还是数据库的JDBC实现(两个二选一)org.acegisecurity.userdetails.jdbc.JdbcDaoImpl里面需要usersByUsernameQuery和authoritiesByUsernameQuery还有数据源dataSource(有人问为什么呢,userByUsernameQuery是用来通过用户名来查密码的,authoritiesByUsernameQuery是用来通过用户名来查权限的,查询数据库肯定的用数据源吧这个里是用的SpringFrameWork的DataSource)它们查询的sql语句是有讲究的,就是查密码的时候查三个第一个是username,第二个是password,第三个是是否可用,查权限的时候查两个:username和authorities(具体看例子)
代码
  1. <bean id="InMemoryDaoImpl" class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">
  2. <property name="userMap">
  3. <value>
  4. javajavafish=java,ROLE_USER
  5. value>
  6. property>
  7. bean>
  8. <bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
  9. <property name="usersByUsernameQuery">
  10. <value>select username,password,enabled from users where username=?value>
  11. property>
  12. <property name="authoritiesByUsernameQuery">
  13. <value>select username,authority from authorities where username=?value>
  14. property>
  15. <property name="dataSource">
  16. <ref local="dataSource"/>
  17. property>
  18. bean>
  20. <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
  21. <property name="driverClassName">
  22. <value>com.mysql.jdbc.Drivervalue>
  23. property>
  24. <property name="url">
  25. <value>jdbc:mysql://localhost:3306/testvalue>
  26. property>
  27. <property name="username">
  28. <value>rootvalue>
  29. property>
  30. <property name="password">
  31. <value>javafishvalue>
  32. property>
  33. bean>

下面说一下授权,授权管理器又有什么东西呢?accessDecisionManager,Acegi把授权方面弄的比较的形象化,把某个URL或方法是否可以被访问按投票的形式来决定,

Acegi提出来了几种方案:
1. 如果有一个赞成就同意(具体的说就是只要你在那个URL对应的几个用户组中的一个就让你访问)
2. 如果都赞成就同意(具本的说就是那个URL对应的几个用户组里都有你,你才能访问)
3. 如果都不反对就同意(这个在下面讲投票者的时候再说)

代码
  1. <bean id="accessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased">
  2. <property name="allowIfAllAbstainDecisions"><!-- 是否让全部弃权的通过 --&gt
  3. <value>falsevalue>
  4. property>
  5. <property name="decisionVoters"><!-- 投票者们 --&gt
  6. <ref bean="roleVoter"/>
  7. property>
  8. bean>

而投票者呢:Acegi自己实现了一个投票者的类RoleVoter:
现在我用第一种方案,RoleVoter只是在URL对应的用户组里有ROLE_为前缀的才进行投票,否则的话弃权.(我们也可以在配置RoleVoter的时候把ROLE_配置成为别的前缀如JAVA_),分别对URL对应的每个用户组投票,如果用户在这个用户组里就投赞成,不在投反对(在用户组的前缀是ROLE_的前提下)这样就不难体会第三种方案的用途了吧
代码
  1. <bean id="roleVoter" class="org.acegisecurity.vote.RoleVoter">
  2. <property name="rolePrefix">
  3. <value>ROLE_value><!-- 可以改成别的 --&gt
  4. property>
  5. bean>

这样认证管理器和授权管理器就ok了,别的无论是过滤器还是拦截器都会用到它们两个,因为它们都要验证而这两个就是凭证.
那么那两个访问过滤器呢,先说authenticationProcessingFilter是用于表单登陆的
代码
  1. <bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
  2. <property name="authenticationManager"><ref bean="authenticationManager"/>property>
  3. <property name="authenticationFailureUrl"><value>/failure.htmlvalue>property><!--登陆失败转向的页面 --&gt
  4. <property name="defaultTargetUrl"><value>/ok.htmlvalue>property><!-- 登陆成功转向的页面 --&gt
  5. <property name="filterProcessesUrl"><value>/checkvalue>property><!-- 要验证的地址 --&gt
  6. bean>

这样的话加上上面配置的认证管理器就已经可以处理登陆了(注意的是它没有用到授权管理器,因为它只是个访问入口还没有权限的授予)
再说一下HTTP基本认证:它比上面的略复杂一点
需要配置一个
代码
  1. <bean id="BasicProcessingFilterEntryPoint" class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint">
  2. <property name="realmName"><value>javafishvalue>property><!-- 基本认证对话框上显示的字 --&gt
  3. bean>
  4. 然后
  5. <bean id="BasicProcessingFilter" class="org.acegisecurity.ui.basicauth.BasicProcessingFilter">
  6. <property name="authenticationManager">
  7. <ref bean="authenticationManager"/>
  8. property>
  9. <property name="authenticationEntryPoint">
  10. <ref bean="BasicProcessingFilterEntryPoint"/>
  11. property>
  12. bean>

即可.
不过在HTTP基本认证里需要注意的地方是:好多人配置好了怎么看不到效果啊,一开始我也是很郁闷,看了BasicProcessingFilter的源代码:
String header = httpRequest.getHeader("Authorization");//我们一般进入网页测试的时候这里的header始终是null的
代码
  1. if (logger.isDebugEnabled()) {
  2. logger.debug("Authorization header: " + header);
  3. }
  4. if ((header != null) && header.startsWith("Basic ")) {//从这里可以看到一般的登陆基本认证是不起作用的
  5. .................

只有在服务器上配置哪个目录在访问的时候用HTTP基本认证,它才会起作用(一开始还以为是Acegi的BUG呢)
下面说一下真正对URL资源的保护了filterSecurityInterceptor它的本质是个过滤器,有了前面*管理器的基础了这就很容易了:
代码
  1. <bean id="filterSecurityInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
  2. <property name="authenticationManager">
  3. <ref local="authenticationManager"/>
  4. property>
  5. <property name="accessDecisionManager">
  6. <ref local="accessDecisionManager"/>
  7. property>
  8. <property name="objectDefinitionSource"><!-- 把URL和可访问的用户组对应起来 --&gt
  9. <value>
  10. CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON<!-- 把URL全部转化为小写 --&gt
  11. PATTERN_TYPE_APACHE_ANT<!-- 以ANT的形式来配置路径 --&gt
  12. /ok.html=ROLE_USER
  13. value>
  14. property>
  15. bean>

光这样配置还是不够的,因为当授权失败的时候会抛出异常的,我们应该配置一个异常过滤器来捕获它,exceptionTranslationFilter它是用来捕获异常的,看一下配置吧:
代码
  1. <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
  2. <property name="authenticationEntryPoint"><ref local="authenticationProcessingFilterEntryPoint"/>property>
  3. <property name="accessDeniedHandler">
  4. <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">
  5. <property name="errorPage" value="/failure.html"/><!-- 发生异常转向的网页 --&gt
  6. bean>
  7. property>
  8. bean>
  9. <bean id="authenticationProcessingFilterEntryPoint" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
  10. <property name="loginFormUrl"><value>/Login.htmlvalue>property><!-- 得到表单的信息 --&gt
  11. <property name="forceHttps"><value>falsevalue>property><!-- 不用https --&gt
  12. bean>

这样就OK了
最后说一下对类中方法的保护:
首先写一个类并在spring中配置好:
代码
  1. package org.li.acegi;
  3. public class TestAcegi
  4. {
  5. public void Role()
  6. {
  7. System.out.println("javafish");
  8. }
  9. }
  10. "testAcegi" class="org.li.acegi.TestAcegi"/>

然看写个servlet访问一下它
代码
  1. package org.li.servlet;
  3. import java.io.IOException;
  4. import java.io.PrintWriter;
  6. import javax.servlet.ServletException;
  7. import javax.servlet.http.HttpServlet;
  8. import javax.servlet.http.HttpServletRequest;
  9. import javax.servlet.http.HttpServletResponse;
  11. import org.li.acegi.TestAcegi;
  12. import org.springframework.context.ApplicationContext;
  13. import org.springframework.web.context.support.WebApplicationContextUtils;
  15. public class TestServlet extends HttpServlet
  16. {
  17. private static final long serialVersionUID = -5610016980827214773L;
  19. public void doGet(HttpServletRequest request, HttpServletResponse response)
  20. throws ServletException, IOException
  21. {
  22. response.setContentType("text/html;charset=GBK");
  23. PrintWriter out = response.getWriter();
  24. ApplicationContext ctx =
  25. WebApplicationContextUtils.getRequiredWebApplicationContext(request.getSession().getServletContext());
  26. TestAcegi test = (TestAcegi)ctx.getBean("testAcegi");
  27. test.Role();//访问TestAcegi类的Role方法
  28. out.println("调用成功");
  29. }
  31. public void doPost(HttpServletRequest request, HttpServletResponse response)
  32. throws ServletException, IOException
  33. {
  34. doGet(request,response);
  35. }
  37. }

准备工作做好了,开始配置Acegi
先在Spring里给Acegi做个代理:
代码
  1. <bean id="autoProxyCreator" class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">
  2. <property name="beanNames">
  3. <list>
  4. <value>testAcegivalue><!-- 要代理的Bean的id --&gt
  5. list>
  6. property>
  7. <property name="interceptorNames">
  8. <list>
  9. <value>methodSecurityInterceptorvalue><!-- 代理为... --&gt
  10. list>
  11. property>
  12. bean>

里面的methodSecurityInterceptor呢配置为:
代码
  1. <bean id="methodSecurityInterceptor" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
  2. <property name="authenticationManager">
  3. <ref bean="authenticationManager"/>
  4. property>
  5. <property name="accessDecisionManager">
  6. <ref bean="accessDecisionManager"/>
  7. property>
  8. <property name="objectDefinitionSource"><!-- 对代理的类的方法开始配置权限 --&gt
  9. <value>org.li.acegi.TestAcegi.Role=ROLE_USERvalue>
  10. property>
  11. bean>

这样当直接访问http://localhost:8080/AcegiWeb/servlet/TestServlet的时候会发现不可访问,控件台也不输出”javafish”,当输入正确的用户名和密码之后便可以访问.
这样它就对类的方法调用起了保护的作用,这一点可以把Acegi应用到DWR上效果是很理想的.
对于Acegi有很多的过滤器不用全写在web.xml里,acegi提供了一个特殊的过滤器我们可以写成这样,在Web.xml里:
代码
  1. <filter>
  2. <filter-name>Acegifilter-name>
  3. <filter-class>org.acegisecurity.util.FilterToBeanProxyfilter-class<

    来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/8271432/viewspace-902547/,如需转载,请注明出处,否则将追究法律责任。

0
0
上一篇: JSP和JSF双剑合并 打造完美Web应用
下一篇: 椭圆曲线法在微软安全保护CDKey的应用
user_pic_default.png
请登录后发表评论 登录
全部评论
<%=items[i].createtime%>

<%=items[i].content%>

<%if(items[i].items.items.length) { %>
<%for(var j=0;j
<%=items[i].items.items[j].createtime%> 回复

<%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%><%=items[i].items.items[j].content%>

<%}%> <%if(items[i].items.total > 5) { %>
还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看
<%}%>
<%}%>
<%}%>

转载于:http://blog.itpub.net/8271432/viewspace-902547/

cuanwanlan1243
关注
Acegi配置指南
08-23
配置Acegi时,首先需要在`web.xml`文件中定义一个名为`Acegi Filter Chain Proxy`的过滤器。这个过滤器是Acegi安全机制的核心,它负责拦截所有请求并根据配置执行相应的安全策略。下面是一段典型的`web.xml`配置...
Acegi框架介绍
java屌丝
12-23 1262
【IT168 专稿】对于任何一个完整的应用系统,完善的 认证和授权机制是必不可少的。Acegi Security(以下简称Acegi)是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架,Acegi已经成为 Spring官方的一个子项目,所以也称为Spring Security。它通过在Spring容器中配置一组Bean,充分利用Spring的IoC和AOP功能,提供声明式
Acegi安全系统详解
02-06 5359
 Acegi是Spring Framework 下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如:    1 : 完善的认证和授权机制,    2 : Http资源访问控制,    3 : Method 调用访问控制,    4 : Access Control List (ACL) 基于对象实例的访问控制,    5 : Yale Central Authentication Servi
acegi_使用Acegi Security保护Grails应用程序的安全
cunfu6353的博客
07-09 243
acegi 目录 介绍 设置RaceTrack示例应用程序 安装Grails Acegi插件 创建Acegi Security组件 配置Acegi Security以保护应用程序安全 测试中 介绍 本文讨论了grails-acegi插件与示例Grails应用程序的集成。 作为此集成的一部分,将使用三个主要组件-Groovy , Grails和Acegi Security 。 ...
Acegi 详细配置说明
03-01
在本文中,我们将深入探讨Acegi的详细配置,并通过实际示例来理解其工作原理。 首先,我们要明白Acegi的核心功能是提供身份验证(Authentication)和授权(Authorization)服务。身份验证是确认用户的身份,而授权...
Acegi配置指南[整理].pdf
10-11
Acegi 配置指南中,我们主要关注如何设置和配置 Acegi 框架来保护 Web 应用程序的安全。 首先,我们需要在 `web.xml` 文件中配置 Acegi 的过滤器。在示例代码中,定义了一个名为 `Acegi Filter Chain Proxy` 的...
acegi配置文件
07-07
acegi配置文件清单
acegi-security-1.0.4-src.zip源码,jar(全套)
01-08
Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 Acegi Security专注于在企业应用安全层为您提供帮助,你将会发现和各式各样的需求和商业问题领域一样多。银行系统的需求和电子商务应用的需求不同。电子商务应用和售卖军用自动工具的公司的需求不同。这些客户化的需求使得应用安全显得有趣,富有挑战性而且物有所值。 Acegi Security为基于J2EE的企业软件应用提供全面的安全服务。特别是使用领先的J2EE解决方案-Srping框架开发的项目。如果您不是使用Spring开发企业应用,我们温馨提醒您仔细研究一下。熟悉Spring,尤其是依赖注射原理,会极大的帮助你快速掌握Acegi Security。
acegi
04-26
acegiacegiacegi
spring acegi 详细文档
01-27
Acegi文档 spring acegi 详细文档
Acegi 学习笔记
langzhiwang888的专栏
06-10 100
Acegi Security System 是一种功能强大并易于使用的替代性方案,使您不必再为 Java 企业应用程序编写大量的安全代码。虽然它专门针对使用 Spring 框架编写的应用程序,但是任何类型的 Java 应用程序都没有理由不去使用 Acegi。本文的主要目的是希望能够说明如何在基于Spring构架的Web应用中使用Acegi,而不是详细介绍其中的每个接口、每个类。注意,即使对...
Acegi详解
Clay's Coding Life
11-16 183
本文转自:http://www.yuanma.org/data/2007/0213/article_2302.htm Acegi是Spring Framework 下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如: 1 : 完善的认证和授权机制, 2 : Http资源访问控制, 3 : Method 调用访问控制, 4 : Access Control List (ACL) ...
Acegi简介
拨云见日
10-30 6211
Acegi安全框架简介Acegi是为基于Spring的应用提供的声明式安全框架。它通过在Spring的应用上下文中配置一系列的Bean完成安全设置,完成利用了Spring提供的依赖注入和IoC编程方式。为了保证Web应用的安全需求,Acegi使用过滤器拦截servlet请求,并执行认证来执行安全措施。Acegi通过安全方法级调用来执行更低层次的安全需求。通过使用Spring的AOP
Acegi (Spring Security)入门
热门推荐
wengyupeng 蜗牛一步一步向前。。。
08-27 2万+
Acegi (Spring Security)入门
Spring源代码解析(九):Spring Acegi框架鉴权的实现
子夜轻风
03-18 158
简单分析一下Spring Acegi的源代码实现: Servlet.Filter的实现 AuthenticationProcessingFilter启动Web页面的验证过程 - 在AbstractProcessingFilter定义了整个验证过程的模板: Java代码 public   void  doFilter(ServletRequest reque...
Acegi配置详解与Spring Security前身解析
"Acegi配置指南提供了关于Acegi在Spring Security之前的配置方法,包括web.xml和acegi.xml的设置,以及各个过滤器的作用和配置。" Acegi是Spring Security的前身,它提供了一套安全框架,用于实现企业级应用的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值