spring acegi 安全问题

最新推荐文章于 2020-09-17 15:35:33 发布
最新推荐文章于 2020-09-17 15:35:33 发布
阅读量723 收藏
点赞数
分类专栏: JAVA 文章标签: acegi spring authentication 工作 access object

 Spring ACEGI
作为Spring丰富生态系统中的一个非常典型的应用,安全框架Spring ACEGI的使用是非常普遍的。尽管它不属于Spring平台的范围,但由于它建立在Spring的基础上,因此可以方便地与Spring应用集成,从而方便的为基于Spring的应用提供安全服务。
作为一个完整的Java EE安全应用解决方案,ACEGI能够为基于Spring构建的应用项目,提供全面的安全服务,它可以处理应用需要的各种典型的安全需求;例如,用户的身份验证、用户授权,等等。ACEGI因为其优秀的实现,而被Spring开发团队推荐作为Spring应用的通用安全框架,随着Spring的广泛传播而被广泛应用。在各种有关Spring的书籍,文档和应用项目中,都可以看到它活跃的身影。

Spring ACEGI的基本实现
关于ACEGI的基本设置,在这里就不多啰嗦了。我们关心的是ACEGI是怎样实现用户的安全需求的,比如最基本的用户验证,授权的工作原理和实现。
在ACEGI配置中,是通过AuthenticationProcessingFilter的过滤功能来启动Web页面的用户验证实现的。AuthenticationProcessingFilter过滤器的基类是AbstractProcessingFilter,在这个AbstractProcessingFilter的实现中,可以看到验证过程的实现模板,在这个实现模板中,可以看到它定义了实现验证的基本过程,如以下代码所示:

Java代码 复制代码
  1.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)   
  2.         throws IOException, ServletException {   
  3.         //检验是不是符合ServletRequest/SevletResponse的要求   
  4.         if (!(request instanceof HttpServletRequest)) {   
  5.             throw new ServletException("Can only process HttpServletRequest");   
  6.         }   
  7.   
  8.         if (!(response instanceof HttpServletResponse)) {   
  9.             throw new ServletException("Can only process HttpServletResponse");   
  10.         }   
  11.   
  12.         HttpServletRequest httpRequest = (HttpServletRequest) request;   
  13.         HttpServletResponse httpResponse = (HttpServletResponse) response;   
  14.   
  15.         if (requiresAuthentication(httpRequest, httpResponse)) {   
  16.             if (logger.isDebugEnabled()) {   
  17.                 logger.debug("Request is to process authentication");   
  18.             }   
  19. //这里定义ACEGI中的Authentication对象,从而通过这个Authentication对象,来持有用户验证信息   
  20.             Authentication authResult;   
  21.   
  22.             try {   
  23.                 onPreAuthentication(httpRequest, httpResponse);   
  24. //具体验证过程委托给子类完成,比如通过AuthenticationProcessingFilter来完成基于Web页面的用户验证   
  25.                 authResult = attemptAuthentication(httpRequest);   
  26.             } catch (AuthenticationException failed) {   
  27.                 // Authentication failed   
  28.                 unsuccessfulAuthentication(httpRequest, httpResponse, failed);   
  29.   
  30.                 return;   
  31.             }   
  32.   
  33.             // Authentication success   
  34.             if (continueChainBeforeSuccessfulAuthentication) {   
  35.                 chain.doFilter(request, response);   
  36.             }   
  37. //验证工作完成后的后续工作,跳转到相应的页面,跳转的页面路径已经做好了配置   
  38.             successfulAuthentication(httpRequest, httpResponse, authResult);   
  39.   
  40.             return;   
  41.         }   
  42.   
  43.         chain.doFilter(request, response);   
  44.     }  
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
		//检验是不是符合ServletRequest/SevletResponse的要求
        if (!(request instanceof HttpServletRequest)) {
            throw new ServletException("Can only process HttpServletRequest");
        }

        if (!(response instanceof HttpServletResponse)) {
            throw new ServletException("Can only process HttpServletResponse");
        }

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        if (requiresAuthentication(httpRequest, httpResponse)) {
            if (logger.isDebugEnabled()) {
                logger.debug("Request is to process authentication");
            }
//这里定义ACEGI中的Authentication对象,从而通过这个Authentication对象,来持有用户验证信息
            Authentication authResult;

            try {
                onPreAuthentication(httpRequest, httpResponse);
//具体验证过程委托给子类完成,比如通过AuthenticationProcessingFilter来完成基于Web页面的用户验证
                authResult = attemptAuthentication(httpRequest);
            } catch (AuthenticationException failed) {
                // Authentication failed
                unsuccessfulAuthentication(httpRequest, httpResponse, failed);

                return;
            }

            // Authentication success
            if (continueChainBeforeSuccessfulAuthentication) {
                chain.doFilter(request, response);
            }
//验证工作完成后的后续工作,跳转到相应的页面,跳转的页面路径已经做好了配置
            successfulAuthentication(httpRequest, httpResponse, authResult);

            return;
        }

        chain.doFilter(request, response);
    }


在看到上面的对WEB页面请求的拦截后,处理开始转到ACEGI框架中后台了,我们看到,完成验证工作的主要类在ACEGI中是AuthenticationManager。如以下代码所示:

Java代码 复制代码
  1. public final Authentication authenticate(Authentication authRequest)   
  2.     throws AuthenticationException {   
  3.     try {   
  4.  /*doAuthentication是一个抽象方法,由具体的AuthenticationManager实现,从而完成验证工作。传入的参数是一个Authentication对象,在这个对象中已经封装了从HttpServletRequest中得到的用户名和密码,这些信息都是在页面登录时用户输入的*/  
  5.         Authentication authResult = doAuthentication(authRequest);   
  6.         copyDetails(authRequest, authResult);   
  7.         return authResult;   
  8.     } catch (AuthenticationException e) {   
  9.         e.setAuthentication(authRequest);   
  10.         throw e;   
  11.     }   
  12. }   
  13.   
  14. /**  
  15.  * Copies the authentication details from a source Authentication object to a destination one, provided the  
  16.  * latter does not already have one set.  
  17.  */  
  18. private void copyDetails(Authentication source, Authentication dest) {   
  19.     if ((dest instanceof AbstractAuthenticationToken) && (dest.getDetails() == null)) {   
  20.         AbstractAuthenticationToken token = (AbstractAuthenticationToken) dest;   
  21.   
  22.         token.setDetails(source.getDetails());   
  23.     }   
  24. }   
  25. protected abstract Authentication doAuthentication(Authentication authentication)   
  26.     throws AuthenticationException;  
    public final Authentication authenticate(Authentication authRequest)
        throws AuthenticationException {
        try {
			  /*doAuthentication是一个抽象方法,由具体的AuthenticationManager实现,从而完成验证工作。传入的参数是一个Authentication对象,在这个对象中已经封装了从HttpServletRequest中得到的用户名和密码,这些信息都是在页面登录时用户输入的*/
            Authentication authResult = doAuthentication(authRequest);
            copyDetails(authRequest, authResult);
            return authResult;
        } catch (AuthenticationException e) {
            e.setAuthentication(authRequest);
            throw e;
        }
    }

    /**
     * Copies the authentication details from a source Authentication object to a destination one, provided the
     * latter does not already have one set.
     */
    private void copyDetails(Authentication source, Authentication dest) {
        if ((dest instanceof AbstractAuthenticationToken) && (dest.getDetails() == null)) {
            AbstractAuthenticationToken token = (AbstractAuthenticationToken) dest;

            token.setDetails(source.getDetails());
        }
    }
    protected abstract Authentication doAuthentication(Authentication authentication)
        throws AuthenticationException;


而读取用户信息的操作,我们举大家已经很熟悉的DaoAuthenticationProvider作为例子。可以看到,在配置的JdbcDaoImpl中,定义了读取用户数据的操作,如以下代码所示:

Java代码 复制代码
  1.  public static final String DEF_USERS_BY_USERNAME_QUERY = "SELECT username,password,enabled FROM users WHERE username = ?";   
  2.  public static final String DEF_AUTHORITIES_BY_USERNAME_QUERY = "SELECT username,authority FROM authorities WHERE username = ?";   
  3.  public UserDetails loadUserByUsername(String username)   
  4.      throws UsernameNotFoundException, DataAccessException {   
  5. //使用Spring JDBC SqlMappingQuery来完成用户信息的查询   
  6.      List users = usersByUsernameMapping.execute(username);   
  7. //根据输入的用户名,没有查询到相应的用户信息   
  8.      if (users.size() == 0) {   
  9.          throw new UsernameNotFoundException("User not found");   
  10.      }   
  11. //如果查询到一个用户列表,使用列表中的第一个作为查询得到的用户   
  12.      UserDetails user = (UserDetails) users.get(0); // contains no GrantedAuthority[]   
  13. //使用Spring JDBC SqlMappingQuery来完成用户权限信息的查询   
  14.      List dbAuths = authoritiesByUsernameMapping.execute(user.getUsername());   
  15.   
  16.      addCustomAuthorities(user.getUsername(), dbAuths);   
  17.   
  18.      if (dbAuths.size() == 0) {   
  19.          throw new UsernameNotFoundException("User has no GrantedAuthority");   
  20.      }   
  21.   
  22.      GrantedAuthority[] arrayAuths = (GrantedAuthority[]) dbAuths.toArray(new GrantedAuthority[dbAuths.size()]);   
  23.   
  24.      String returnUsername = user.getUsername();   
  25.   
  26.      if (!usernameBasedPrimaryKey) {   
  27.          returnUsername = username;   
  28.      }   
  29.  //根据查询的用户信息和权限信息,构造User对象返回   
  30.      return new User(returnUsername, user.getPassword(), user.isEnabled(), truetruetrue, arrayAuths);   
  31.  }  
    public static final String DEF_USERS_BY_USERNAME_QUERY = "SELECT username,password,enabled FROM users WHERE username = ?";
    public static final String DEF_AUTHORITIES_BY_USERNAME_QUERY = "SELECT username,authority FROM authorities WHERE username = ?";
    public UserDetails loadUserByUsername(String username)
        throws UsernameNotFoundException, DataAccessException {
			//使用Spring JDBC SqlMappingQuery来完成用户信息的查询
        List users = usersByUsernameMapping.execute(username);
			//根据输入的用户名,没有查询到相应的用户信息
        if (users.size() == 0) {
            throw new UsernameNotFoundException("User not found");
        }
			//如果查询到一个用户列表,使用列表中的第一个作为查询得到的用户
        UserDetails user = (UserDetails) users.get(0); // contains no GrantedAuthority[]
			//使用Spring JDBC SqlMappingQuery来完成用户权限信息的查询
        List dbAuths = authoritiesByUsernameMapping.execute(user.getUsername());

        addCustomAuthorities(user.getUsername(), dbAuths);

        if (dbAuths.size() == 0) {
            throw new UsernameNotFoundException("User has no GrantedAuthority");
        }

        GrantedAuthority[] arrayAuths = (GrantedAuthority[]) dbAuths.toArray(new GrantedAuthority[dbAuths.size()]);

        String returnUsername = user.getUsername();

        if (!usernameBasedPrimaryKey) {
            returnUsername = username;
        }
		  //根据查询的用户信息和权限信息,构造User对象返回
        return new User(returnUsername, user.getPassword(), user.isEnabled(), true, true, true, arrayAuths);
    }



ACEGI授权器的实现
ACEGI就像一位称职的,负责安全保卫工作的警卫,在它的工作中,不但要对来访人员的身份进行检查(通过口令识别身份),还可以根据识别出来的身份,赋予其不同权限的钥匙,从而可以去打开不同的门禁,得到不同级别的服务。从这点上看,与在这个场景中的“警卫”人员承担的角色一样,ACEGI在Spring应用系统中,起到的也是类似的保卫系统安全的作用,而验证和授权,就分别对应于警卫识别来访者身份和为其赋予权限的过程。
为用户授权是由AccessDecisionManager授权器来完成的,授权的过程,在授权器的decide方法中实现,这个decide方法是AccessDecisionManger定义的一个接口方法,通过这个接口方法,可以对应好几个具体的授权器实现,对于授权器完成决策的规则实现,在这里,我们以AffirmativeBased授权器为例,看看在AffirmativeBased授权器中,实现的一票决定授权规则是怎样完成的,这个实现过程,如以下代码所示:

Java代码 复制代码
  1.     public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)   
  2.         throws AccessDeniedException {   
  3.            //取得配置投票器的迭代器,可以用来遍历所有的投票器   
  4.         Iterator iter = this.getDecisionVoters().iterator();   
  5.         int deny = 0;   
  6.   
  7.         while (iter.hasNext()) {   
  8.               //取得当前投票器的投票结果   
  9.             AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();   
  10.             int result = voter.vote(authentication, object, config);   
  11.               //对投票结果进行处理,如果是遇到ACCESS_GRANT的结果,授权直接通过   
  12.               //否则,累计ACCESS_DENIED的投票票数   
  13.             switch (result) {   
  14.             case AccessDecisionVoter.ACCESS_GRANTED:   
  15.                 return;   
  16.   
  17.             case AccessDecisionVoter.ACCESS_DENIED:   
  18.                 deny++;   
  19.   
  20.                 break;   
  21.   
  22.             default:   
  23.                 break;   
  24.             }   
  25.         }   
  26. //如果有反对票,那么拒绝授权   
  27.         if (deny > 0) {   
  28.             throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",   
  29.                     "Access is denied"));   
  30.         }   
  31. // 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,这种处理情况,是由allowIfAllAbstainDecisions变量来控制的   
  32.         // To get this far, every AccessDecisionVoter abstained   
  33.             checkAllowIfAllAbstainDecisions();   
  34.     }  
    public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)
        throws AccessDeniedException {
		   //取得配置投票器的迭代器,可以用来遍历所有的投票器
        Iterator iter = this.getDecisionVoters().iterator();
        int deny = 0;

        while (iter.hasNext()) {
			  //取得当前投票器的投票结果
            AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();
            int result = voter.vote(authentication, object, config);
			  //对投票结果进行处理,如果是遇到ACCESS_GRANT的结果,授权直接通过
			  //否则,累计ACCESS_DENIED的投票票数
            switch (result) {
            case AccessDecisionVoter.ACCESS_GRANTED:
                return;

            case AccessDecisionVoter.ACCESS_DENIED:
                deny++;

                break;

            default:
                break;
            }
        }
//如果有反对票,那么拒绝授权
        if (deny > 0) {
            throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",
                    "Access is denied"));
        }
// 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,这种处理情况,是由allowIfAllAbstainDecisions变量来控制的
        // To get this far, every AccessDecisionVoter abstained
			checkAllowIfAllAbstainDecisions();
    }



可以看到,在ACEGI的框架实现中,应用的安全需求管理,主要是由过滤器、验证器、用户数据提供器、授权器、投票器,这几个基本模块的协作一起完成的。这几个基本模块的关系,刻画出了ACEGI内部架构的基本情况,也是我们基于ACEGI实现Spring安全应用,需要重点关注的地方。

DJBCAINIAO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring集成Acegi安全框架在J2EE中的应用
01-31
Spring Framework是一个开发J2EE应用的优秀框架,Spring本身没有提供对系统安全方面的...使得系统的安全逻辑和业务逻辑完全分离,通过在Spring中引入Acegi安全框架不仅节省工作量,提高编码效率,同时提高代码质量。
Spring Acegi
03-16
Spring Acegi 是一个基于 Spring 框架的安全解决方案,主要用于企业级应用的身份验证和授权。它提供了一套全面的、可扩展的安全管理基础设施,帮助开发者处理复杂的用户认证与授权问题。在本文中,我们将深入探讨 ...
Spring框架和Acegi安全框架介绍
在水一方
11-23 594
1、spring   框架  Spring框架是由Open   Source开发的一个优秀的多层J2EE系统框架,它为企业级应用提供了一个非常轻量级的解决方案,大大地降低了应用开发的难度与复杂度,提高了开发的速度。  Spring框架的核心是IoC和AOP。IoC是一种设计模式,即IoC模式。IoC模式进一步降低了类之间的耦合度,并且改变了传统的对象的创建方法,实现了一种配置式
史上最简单的Spring Security教程(二十七):AuthenticationManager默认实现之ProviderManager详解
银河架构师的博客
09-17 3381
Spring Security 框架中的另一个重要接口AuthenticationManager, 被设计用于处理Authentication请求。 与AuthenticationProvider接口一致,AuthenticationManager接口中有且只有一个方法,即authenticate(Authentication authentication)方法。 Authentication authenticate(Authentication authentication) ...
acegi的认证过程
xly_971223的专栏
04-05 150
AuthenticationManager是认证核心接口,其作用是验证客户端输入端用户名是否正确 这个接口只有一个方法 [code]public Authentication authenticate(Authentication authentication) throws AuthenticationException;[/code] 这个方法就是去验证用户名 密码时候...
Spring技术内幕:深入解析Spring架构与设计原理》笔记之八(安全框架ACEGI的设计与实现)
dyhdengyahui的专栏
04-07 216
1.Spring ACEGI安全框架概述1.1概述ACEGI能够为基于Spring构建的应用项目提供全面的安全服务,处理应用需要的各种典型的安全需求,如用户的身份验证和用户授权等。1.2设计原理与基本实现过程ACEGI安全应用模块与其他Spring的上层应用模块一样,都建立在IOC容器和AOP的基础上,也可以把ACEGI看成是一个特殊的Spring应用。作为Spring应用,ACEGI提供的安全服...
spring中的acegi
qwtfps的专栏
10-11 1380
spring中的Acegi Acegi作为web项目的一种资源保护安全机制,已经得到广泛应用。配置也十分简单,受先在web.xml加入下段代码,为其工作提供入口 Acegi Filter Chain Proxy org.acegisecurity.util.FilterToBeanProxy targetClass org.
Spring Acegi权限控制
06-09
Acegi Security(现已被Spring Security替代)是一个功能强大的安全框架,它主要解决了认证(Authentication)和授权(Authorization)这两个核心的安全问题。 首先,让我们理解认证和授权的基本概念: - **认证**...
spring Acegi
01-17
Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi安全...
Spring ACEGI手册(部份)
03-01
在阅读《Spring ACEGI手册(部分)》.doc文档时,可以深入学习如何配置和使用该框架,以及如何解决常见的安全问题。 **总结** Spring ACEGI作为一个强大的安全框架,为开发者提供了丰富的工具和机制来保护应用程序...
spring acegi 详细文档
01-27
Acegi文档 spring acegi 详细文档
acegi security实践教程—form认证之debug调试
webdev
03-03 129
运行基于form表单的acegitest2demo,你是否发现有什么不妥? 测试不妥处如下: 1.在IE中运行http://localhost:8080/acegitest2/userinfo.jsp 2.肯定会转到login页面,然后登陆进去test/1,进入accessdefined无权限页面。使用lisi/1,进入当前用户信息。 但是: 假如你用test/1登陆进去...
Spring Acegi鉴权管理之基础模式(BASIC)
甘谷天蚕网络技术有限公司
05-01 287
Acegi久负盛名,这个家伙是一个spring中广泛使用的认证和安全工具,最初由spring社区爱好者发起,目的是为spring应用提供一个安全服务,比如用户认证及授权等。后来spring官方觉得这个东西很不错,就收编了,并且在2006年发布了spring官方的1.0版本。虽然是基于Acegi,但springsecurity已经在原有基础上增加了很多新的特性进来。为了能够方便一窥Acegi的真容...
Spring ACEGI的基本实现原理
记事本
04-07 127
Spring ACEGI 作为Spring丰富生态系统中的一个非常典型的应用,安全框架Spring ACEGI的使用是非常普遍的。尽管它不属于Spring平台的范围,但由于它建立在Spring的基础上,因此可以方便地与Spring应用集成,从而 方便的为基于Spring的应用提供安全服务。 作为一个完整的Java EE安全应用解决方案,ACEGI能够为基于Spring构建的应用项目...
Spring技术内幕——深入解析Spring架构与设计原理(六)Spring ACEGI
jiwenke的专栏
11-20 115
[b]Spring ACEGI[/b] 作为Spring丰富生态系统中的一个非常典型的应用,安全框架Spring ACEGI的使用是非常普遍的。尽管它不属于Spring平台的范围,但由于它建立在Spring的基础上,因此可以方便地与Spring应用集成,从而方便的为基于Spring的应用提供安全服务。 作为一个完整的Java EE安全应用解决方案,ACEGI能够为基于Spring构建的应用项目...
Acegi (Spring Security)入门
热门推荐
wengyupeng 蜗牛一步一步向前。。。
08-27 2万+
Acegi (Spring Security)入门
Spring Security(Acegi)实现原理与应用二
胡小远的专栏
10-29 1068
接上篇—– 1.FilterSecurityInterceptor 上篇说到如下代码会自动初始化FilterChainProxy ,当然了那是 spring自己默认的初始化,这个就不多说了,我们直接从自定义开始来进步了解这个过程,这样也便于我们灵活的去运用,我们重点关注FilterSecurityInterceptor http auto-config='true'> i
spring security 起源之 Acegi
helloWorldAndYou的博客
04-19 259
来谈一谈Acegi的基础知识,Acegi的架构比较复杂,但是我希望我下面的只言片语能够把它说清楚。大家都知道,如果要对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。Acegi对Web资源的保护,就是靠Filter实现的。如下图: 一般来说,我们的Filter都是配置在web.xml中,但是Acegi不一样,它在web.xml中配置的只是一个代理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值