acegi提供了四项重要组件,在学习Acegi之前一定需要了解想、清楚:
AbstractSecurityIntercep
tor(安全拦截器):借助于安全拦截器能够实现对客户请求的拦截,进而对用户进行认证、授权,或者给用户赋予不同的角色。
AuthenticationManager(认证管理器):借助于认证管理器,能够实现对用户身份的识别。通常,它需要借助于用户名(Principal)及密码(Credential,凭证)进行认证。
AccessDecisionManager(访问决策管理器),借助于访问决策管理器,能够实现对预访问资源的授权。如果用户对应的角色不满足目标资源的安全性需求,则将不能够访问到它。
RunAsManager(Run-As管理器),能够更换用户对应的角色(在标准的JAVA EE Web应用和EJB应用中,也存在类似的行为)。在客户访问如:Servlet、EJB、POJO等资源(服务提供者)的同时,这些资源也可能被其他资源的用户直接或者地访问。因此,需要对用户对应的角色进行调整,这就是Run-As管理器所扮演的角色。
对acegi sample的学习
首先三个配置文件的作用:
applicationContext-acegi-security.xml
applicationContext-common-business.xml
applicationContext-common-authorization.xml
这三个配置文件会在web.xml中事先声明。
applicationContext-acegi-security.xml 中的配置。
ProviderManager的作用,先看看示例:
<!-- ======================== AUTHENTICATION ======================= -->
<bean >
<property >
<list>
<ref local="daoAuthenticationProvide
r"/>
<ref local="anonymousAuthenticationP
rovider"/>
<ref local="rememberMeAuthentication
Provider"/>
</list>
</property>
</bean>
ProviderManager是认证管理器(AuthenticationManager)的一个适用于大多数情况的实现。它将身份验证的责任委托给一个或多个认证提供者。上面的例子中,用到的三个认证提供者全部是由org.acegisecurity.providers.AuthenticationProvider定义的。由于上面用到了三个认证提供者,那么可以根据这三个身份认证提供者所具有的三方面身份认证源来提供认证,逐一遍历这个集合,直到某个人认证提供者能够成功地验证该用户的身份。
DaoAuthenticationProvide
r,使用DaoAuthenticationProvide
r可以进行简单的基于数据库的身份验证(那么,我们做实验的时候,可以只写这样一个提供者就可以)。看示例:
<bean
class="org.acegisecurity.providers.dao.DaoAuthenticationProvide
r">
<property >
<ref local="jdbcDaoImpl" />
</property>
<property >
<ref local="userCache" />
</property>
<property >
<ref local="passwordEncoder" />
</property>
</bean>
FILTER CHAIN的作用。先看看示例:
<!-- ======================== FILTER CHAIN ======================= -->
<!--
if you wish to use channel security, add "channelProcessingFilter," in front
of "httpSessionContextIntegr
ationFilter" in the list below -->
<bean
class="org.acegisecurity.util.FilterChainProxy">
<property >
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
/**=httpSessionContextIntegr
ationFilter,logoutFilter,authenticationProcessing
Filter,basicProcessingFilter,securityContextHolderAwa
reRequestFilter,rememberMeProcessingFilt
er,anonymousProcessingFilte
r,exceptionTranslationFilt
er,filterInvocationIntercep
tor,switchUserProcessingFilt
er
</value>
</property>
</bean>
httpSessionContextIntegr
ationFilter:每次request前 HttpSessionContextIntegr
ationFilter从Session中获取Authentication对象,在request完后, 又把Authentication对象保存到Session中供下次request使用,此filter必须其他Acegi filter前使用,使之能跨越多个请求。这些就犹如在web.xml声明一系列的过滤器,不过当把他们都声明在spring中就可以享受Spring给我们带来的方便了。
a.logoutFilter:用户的注销
b.authenticationProcessing
Filter:处理登陆请求
c.basicProcessingFilter:
d.securityContextHolderAwa
reRequestFilter:
e.rememberMeProcessingFilt
er:
f.anonymousProcessingFilte
r:
g.exceptionTranslationFilt
er:异常转换过滤器
h.filterInvocationIntercep
tor:在访问前进行权限检查
i.switchUserProcessingFilt
er: