acegi基于过滤器的设计

最新推荐文章于 2024-09-21 00:43:01 发布
最新推荐文章于 2024-09-21 00:43:01 发布
阅读量773 收藏
点赞数
分类专栏: Spring 文章标签: acegi filter spring aop websphere security
 

过滤器是Java EE平台中的标准技术,由于Acegi的认证策略是由过滤器驱动的,因此过滤器(Filter)是Acegi的重要支撑技术。也正因为Acegi采用了过滤器驱动整个认证过程,因此Acegi使能应用的便携性能够得到保证。与此同时,与认证源解耦也是Acegi的重要设计策略之一,这也是保证Acegi使能应用具有便携性特质的重要前提,因为实际企业应用会采用各种存储源存储用户的认证和授权信息。

本章内容将围绕Acegi(Spring Security)的认证策略展开论述,其中将主要围绕基于过滤器的设计、与认证源解耦、AcegiSecurityException异常体系展开。另外,我们还将简要介绍Acegi发布版和基代码的下载和安装。

4.1  基于过滤器的设计

过滤器是类似于AOP切面的对象。在Spring AOP领域中,大量的AOP切面能够同时作用于同一业务对象,并为这一对象提供各种基础服务,比如事务服务、安全性服务、日志服务。此时,大量的AOP切面(@AspectJ)构成了一个拦截器链。当客户调用处于这一拦截器链后端的业务对象时,整个调用过程必然会经过这一拦截器链的处理。

类似地,一旦若干过滤器拦截到Web请求时,被保护的目标Web页面也将处在过滤器链(FilterChain)的后端。比如,第3章阐述的acegifirstdemo Acegi使能应用启用了Acegi提供的4个过滤器,它们分别是HttpSessionContextIntegrationFilter、BasicProcessingFilter、ExceptionTranslationFilter、FilterSecurityInterceptor。这4个过滤器构成了一个过滤器链,一旦Web请求到来时,这一过滤器链将拦截到它,图4-1展示了整个处理过程。

图4-1  acegifirstdemo示例中由4个过滤器构成的过滤器链

熟悉Filter的开发者可能会问,过滤器及其映射应该配置在web.xml中,而acegifirstdemo项目却将它们配置在Spring DI容器中,这是怎么回事呢?默认时,过滤器确实应该配置在web.xml中,但一旦需要配置的过滤器数量很多时,而且这些过滤器可能要同DI容器进行交互时,直接配置在web.xml中并不是最佳做法,尽管Acegi也允许开发者将过滤器直接配置在web.xml中。因此,Acegi(Spring Security)基代码于org.acegisecurity.util包中提供了FilterToBeanProxy和FilterChainProxy辅助类,以简化过滤器的配置。开发者需要在web.xml中配置FilterToBeanProxy辅助类,并为它提供targetBean或targetClass参数值对,下面给出了相应的配置信息。

<filter>

      <filter-name>Acegi Filter Chain Proxy</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetBean</param-name>

          <param-value>filterChainProxy</param-value>

      </init-param>

</filter>

<filter-mapping>

      <filter-name>Acegi Filter Chain Proxy</filter-name>

      <url-pattern>/*</url-pattern>

</filter-mapping>

在启用Acegi使能应用期间,FilterToBeanProxy会依据targetBean或targetClass取值于当前DI容器中查找到目标受管POJO。比如,在acegifirstdemo Acegi使能应用中,targetBean参数的取值是filterChainProxy,这是Spring DI容器中一个受管POJO的名字,即对应于FilterChainProxy的受管POJO。一旦Web请求到来时,FilterToBeanProxy会将过滤操作(doFilter())委派给它引用的“filterChainProxy”。自然地,FilterToBeanProxy仅仅起到了一个桥梁作用,它本身并不会完成具体的过滤操作。但是,它的引入使得其他过滤器能够享受到依赖注入等Spring特性。

如果开发者打算启用targetClass参数来定位filterChainProxy,则可以采用如下配置。此时,web.xml中不会内置DI容器中受管POJO的名字,从而降低了web.xml同DI配置文件的耦合。但是,FilterToBeanProxy将启动动态类装载行为定位并装载FilterChainProxy类,不同Java EE容器的这一行为是存在不少差别的,尤其是IBM WebSphere,因此我们还是建议开发者尽量采用targetBean参数来显式引用FilterChainProxy实例。注意,如果同时配置了targetBean和targetClass参数,则Acegi会优先使用targetBean参数。

<filter>

      <filter-name>Acegi Filter Chain Proxy</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetClass</param-name>

          <param-value>org.acegisecurity.util.FilterChainProxy</param-value>

      </init-param>

</filter>

默认时,在启动Acegi使能应用期间,FilterToBeanProxy辅助类会到ServletContext中查找Spring DI容器。另一方面,为在Web应用中装载DI容器,开发者可以使用Spring 1.x/2.x提供的ContextLoaderServlet或ContextLoaderListener。一旦采用ContextLoaderServlet装载Spring DI容器,则FilterToBeanProxy和ContextLoaderServlet的实例化顺序可能会出现不一致。此时,FilterToBeanProxy可能试图在ContextLoaderServlet前完成初始化操作,然而它需要引用到Spring DI容器,而这一DI容器又是由ContextLoaderServlet装载完成的。因此,我们需要启用FilterToBeanProxy的延迟初始化策略,从而保证它能够正确操控到DI容器。下面给出了示例配置。

<filter>

      <filter-name>Acegi Filter Chain Proxy</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetBean</param-name>

          <param-value>filterChainProxy</param-value>

      </init-param>

      <init-param>

          <param-name>init</param-name>

          <param-value>lazy</param-value>

      </init-param>

</filter>

此时,为web.xml中的FilterToBeanProxy配置了init参数,其取值为lazy。一旦新的Web请求到来时,FilterToBeanProxy才会去查找Spring DI容器,并从中定位到targetBean指定的目标受管POJO。下面给出了FilterToBeanProxy中init()方法的源码。

public void init(FilterConfig filterConfig) throws ServletException {

      this.filterConfig = filterConfig;

      //获得<init-param>取值

      String strategy = filterConfig.getInitParameter("init");

      //判断init取值是否为lazy

      if ((strategy != null) && strategy.toLowerCase().equals("lazy")) {

          return;

      }

      //真正完成初始化工作,即去Spring DI容器中查找到FilterChainProxy实例

      doInit();

}

无论是使用ContextLoaderServlet,还是ContextLoaderListener,只要启用了延迟装载,Acegi使能应用的启动便不会出现异常。当然,我们建议尽可能采用ContextLoaderListener装载DI容器,而且此时的web.xml配置信息也更少一些。

4.1.1  接管过滤器的生命周期

由于各过滤器配置在Spring DI容器中,因此DI容器负责了过滤器的生命周期。比如,BasicProcessingFilter的部分源码如下。由于BasicProcessingFilter配置在DI容器中,因此各种Spring回调接口、生命周期服务能够应用到它上。相反,这一过滤器实现的init()和destroy()方法体却为空,而且在启动Acegi使能应用时,这些方法也不会被调用到。由于DI容器接管了BasicProcessingFilter的生命周期,因此Filter接口定义的各个生命周期自然失去了原有的价值,取而代之的是InitializingBean定义的相关回调方法,比如afterPropertiesSet()。

public class BasicProcessingFilter implements Filter, InitializingBean {

    ......

    public void afterPropertiesSet() throws Exception {

        Assert.notNull(this.authenticationManager, "An AuthenticationManager is required");

        Assert.notNull(this.authenticationEntryPoint, "An AuthenticationEntryPoint is required");

    }

    public void destroy() {}

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

        throws IOException, ServletException {

               //省略了许多内容

               ......

        chain.doFilter(request, response);

    }

    public void init(FilterConfig arg0) throws ServletException {}

    ......

}

事实上,Acegi提供的各种过滤器实现类中的init()和destroy()方法体几乎为空,它们都是javax.servlet.Filter要求子类必须提供的方法集合。如果开发者打算让Java EE容器管理过滤器的生命周期,则可以启用lifecycle参数,下面给出了配置示例。

<filter>

      <filter-name>Acegi Filter Chain Proxy</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetBean</param-name>

          <param-value>filterChainProxy</param-value>

      </init-param>

      <init-param>

          <param-name>lifecycle</param-name>

          <param-value>servlet-container-managed</param-value>

      </init-param>

</filter>

此时,配置在Spring DI容器的过滤器中的init()和destroy()方法将被执行到,因为lifecycle参数取值为servlet-container-managed。FilterToBeanProxy负责调用各过滤器中定义的init()和destroy()方法。特定场合,开发者可能还是需要使用到这一特性,比如现有的某些Filter实现类的源码已经不复存在了,而且它们并不是基于Spring Framework开发的。再比如,开发者扩展了Acegi提供的各种过滤器,此时他们在这些过滤器的init()和destroy()方法中完成了大量的初始化和销毁工作。

第3章的acegifirstdemo仅仅使用到Acegi提供的若干过滤器实现。实际上,针对不同场合,Acegi提供了几十个过滤器实现,本书的后续内容会逐步介绍到剩下的大部分过滤器实现。

4.1.2  于web.xml中直接配置过滤器

当我们在Acegi使能应用中同时使用FilterToBeanProxy和FilterChainProxy辅助类时,web.xml中的配置信息非常少,而且开发者需要在DI容器中配置FilterChainProxy受管POJO。FilterToBeanProxy会将过滤操作请求委派给FilterChainProxy,而FilterChainProxy内部维护了一个过滤器链。正如我们从acegifirstdemo示例看到的一样,在执行doFilter()操作时,FilterChainProxy的doFilter()方法会逐个调用到acegifirstdemo定义的那4个过滤器中的doFilter()方法。下面给出了FilterChainProxy的doFilter()方法源码。

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

      throws IOException, ServletException {

      FilterInvocation fi = new FilterInvocation(request, response, chain);

      //判断Web请求是否受到过滤器链的保护

      ConfigAttributeDefinition cad = this.filterInvocationDefinitionSource.getAttributes(fi);

      //如果未受到保护,则直接绕过当前的过滤器链(VirtualFilterChain)

      if (cad == null) {

          if (logger.isDebugEnabled()) {

               logger.debug(fi.getRequestUrl() + " has no matching filters");

          }

          chain.doFilter(request, response);

          return;

      }

      //获得当前DI容器中已配置的过滤器集合

      Filter[] filters = obtainAllDefinedFilters(cad);

      if (filters.length == 0) {

          if (logger.isDebugEnabled()) {

               logger.debug(fi.getRequestUrl() + " has an empty filter list");

          }

          chain.doFilter(request, response);

          return;

      }

      //构建过滤器链,并逐个调用到DI容器中已配置的过滤器集合

      VirtualFilterChain virtualFilterChain = new VirtualFilterChain(fi, filters);

      virtualFilterChain.doFilter(fi.getRequest(), fi.getResponse());

}

如果开发者对过滤器(Filter)、过滤器链(FilterChain)的执行机理很熟悉,则应该能够看到,Acegi提供的FilterChainProxy辅助类手工创建了一个VirtaulFilterChain实例(即过滤器链),这是实现了javax.servlet.FilterChain的一个内部类。VirtaulFilterChain的源代码摘录如下,它位于FilterChainProxy之中。

private class VirtualFilterChain implements FilterChain {

      private FilterInvocation fi;

      private Filter[] additionalFilters;

      private int currentPosition = 0;

      public VirtualFilterChain(FilterInvocation filterInvocation, Filter[] additionalFilters) {

          this.fi = filterInvocation;

          this.additionalFilters = additionalFilters;

      }

      private VirtualFilterChain() {}

     

      public void doFilter(ServletRequest request, ServletResponse response)

          throws IOException, ServletException {

             if (currentPosition == additionalFilters.length) {

                 ......

                 fi.getChain().doFilter(request, response);

          } else {

                 currentPosition++;

                 ......

                 additionalFilters[currentPosition - 1].doFilter(request, response, this);

          }

      }

}

如果开发者不打算采用FilterChainProxy辅助类,即不在DI容器中配置FilterChainProxy辅助类实例,比如将filterChainProxy定义从acegi-appContext.xml中注释掉,具体如下。

<!-- 

<bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">

      <property name="filterInvocationDefinitionSource">

               <value>

                         PATTERN_TYPE_APACHE_ANT

                         /**=httpSessionContextIntegrationFilter,basicProcessingFilter,

                                           exceptionTranslationFilter,filterInvocationInterceptor

               </value>

      </property>

</bean>

-->

此时,开发者必须手工在web.xml描述符中逐一配置httpSessionContextIntegration- Filter、basicProcessingFilter、exceptionTranslationFilter、filterInvocationInterceptor等过滤器对应的FilterToBeanProxy实例,配置示例如下。

<filter>

      <filter-name>httpSessionContextIntegrationFilter</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetBean</param-name>

          <param-value>httpSessionContextIntegrationFilter</param-value>

      </init-param>

</filter>

<filter>

      <filter-name>basicProcessingFilter</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetBean</param-name>

          <param-value>basicProcessingFilter</param-value>

      </init-param>

</filter>

<filter>

      <filter-name>exceptionTranslationFilter</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetBean</param-name>

          <param-value>exceptionTranslationFilter</param-value>

      </init-param>

</filter>

<filter>

      <filter-name>filterInvocationInterceptor</filter-name>

      <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

      <init-param>

          <param-name>targetBean</param-name>

          <param-value>filterInvocationInterceptor</param-value>

      </init-param>

</filter>

<filter-mapping>

      <filter-name>httpSessionContextIntegrationFilter</filter-name>

      <url-pattern>/*</url-pattern>

</filter-mapping>

<filter-mapping>

      <filter-name>basicProcessingFilter</filter-name>

      <url-pattern>/*</url-pattern>

</filter-mapping>

<filter-mapping>

      <filter-name>exceptionTranslationFilter</filter-name>

      <url-pattern>/*</url-pattern>

</filter-mapping>

<filter-mapping>

      <filter-name>filterInvocationInterceptor</filter-name>

      <url-pattern>/*</url-pattern>

</filter-mapping>

由于VirtaulFilterChain实例不再负责这4个过滤器构成的过滤器链的创建工作了,因此过滤器链的创建工作移交给了Java EE容器。不幸的是,web.xml的内容迅速膨胀起来,相信开发者都不愿意看到这一场景。实际上,早期的Acegi基代码并不存在FilterChainProxy辅助类,因此早期的Acegi使能应用必须采用这一配置方式,即在web.xml中配置大量的Acegi元数据。看来,我们还是应该在acegi-appContext.xml中启用FilterChainProxy辅助类,如果开发者使用新近的Acegi发布版,则能够享受到FilterChainProxy辅助类带来的便利。

无论是启用FilterChainProxy类,还是直接在web.xml中配置若干FilterToBeanProxy,开发者一定要注意那些过滤器间的声明顺序,这一点非常重要。由于各过滤器的工作职责不同,而且它们之间存在依赖关系,因此要谨慎声明各Acegi过滤器的顺序。本书会在后续章节重点阐述这一问题。

为了达到用户认证和授权目的,开发者需要在Acegi使能应用中配置大量的过滤器,而这些过滤器都是Acegi已提供好的。开发者可以将Acegi提供的过滤器看成AOP技术中的具体AOP切面(@AspectJ)。AOP开发者都知道,各个切面的工作职责各不相同,有些切面负责事务处理,一些切面负责安全性控制,而另一些切面负责日志记录等。类似地,Acegi提供的各个Filter实现承担了不同的任务,这些Acegi过滤器有机地构成了过滤器链,它们共同应对客户的认证和授权请求。

Acegi巧妙地借助于标准过滤器技术实现了安全性控制,这是Acegi中最为重要、明智的设计决定之一。当然,Servlet过滤器技术的使用场合非常广泛。

fengyungl
关注
专栏目录
acegi security实践教程—简单定制logoutFilter
03-12 3274
回顾:     logoutFilter过滤器,我已经带大家了解过了。其中注销是由handler.logout完成的。这就需要在配置文件中配置具体的handler,比如securitycontextlogouthandler,或者tokenbasedremembermeservices,大家可以看到logouthandler具体的实现类如下:        若我程序中就想只用Securit
基于Acegi的Web系统安全架构的设计与实现 (2011年)
05-23
用户请求服务器资源时,会被Acegi过滤器拦截并进行安全认证。Acegi过滤器不直接实现安全服务,而是将用户信息提交给安全认证管理器处理。管理器根据配置文件调度合适的提供者程序,如会话器、无效处理程序、删除用户...
acegi过滤器
wangchao_17915566的专栏
10-22 128
    最近研究了下acegi,原因是我要进行flex的项目,但是不知道flex的权限如何实现,所以就想到了acegi。     从网上下载了acegi发布的0.8版本的,这个版本所有接口都在net.sf中,我使用的是acegi1.7版本,这就面临着根据别人的例子自己做。     首先谈下acegi中最重要的acegi filter。     一,httpSessionContextIntegra...
acegi几个常用过滤器
wj.king
12-11 189
安全过滤器 (http://www.ibm.com/developerworks/cn/java/j-acegi1/index.html) 正如我前面提到的一样,Acegi 使用安全过滤器为企业应用程序提供身份验证和授权服务。您可以根据应用程序的需要使用和配置不同类型的过滤器。这一节将介绍五种最重要的 Acegi 安全过滤器。 Session Integration Filter...
使用Acegi进行身份认证(之一)
neil-jh
10-10 234
Acegi是专门为Spring Web应用提供安全保护的开源框架,它通过配置的方式就可以对业已存在的应用实施安全控制。在Acegi实施安全控制之前,必须获取操作者的身份,并进一步获知用户的权限,这样Acegi才可能对应用资源实施安全控制。在本文中,我们将介绍Acegi如何对操作者进行身份认证的内容。 将Acegi集成到Web应用程序中 Acegi通过多个不同用途的Servlet过滤器截取HTTP请...
[转载]使用 Acegi 保护 Java 应用程序,第 1 部分: 架构概览和安全过滤器
congji3817的博客
07-12 131
使用 Acegi 保护 Java 应用程序,第 1 部分: 架构概览和安全过滤器2007 年 5 月 08 日这份共分三部分的系列文章介绍了 Acegi 安全系统(Acegi Security System),它是用于 J...
Acegi框架介绍
WGH100817的博客
06-14 223
开发四年只会写业务代码,分布式高并发都不会还做程序员?->>> 概述 对于任何一个完整的应用系 统,完善...
acegi安全框架使用
共勉
09-21 164
acegi安全框架使用:第二部分 二、dbms实现鉴权 1.dbms鉴权,修改FilterSecurityInterceptor中的objectDefinitionSource属性,注入rdbmsFilterInvocationDefinitionSource,可加入Ehcahe提高性能 [code="java"] ...
Acegi安全系统介绍
zzh_0221的专栏
06-07 1000
一 Acegi安全系统介绍     Author: cac 差沙     AcegiSpring Framework下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如完善的认证和授权机制,Http资源访问控制,Method 调用访问控制,AccessControl List (ACL) 基于对象实例的访问控制,Yale Central Authentication Service
spring security自定义过滤器
热门推荐
空灵游侠
06-04 1万+
转载:http://blog.csdn.net/u012367513/article/details/38866465 spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也
acegi-sample.rar_acegi
09-19
当用户请求到达服务器时,Acegi过滤器链会检查请求,执行认证和授权过程。如果用户未认证或无权访问,Acegi将阻止请求,返回相应的错误信息。 3. **会话管理**: Acegi提供了一套完整的会话管理策略,包括会话...
acegi
07-30
6. **实战指南**:提供的实战指南可能涵盖了如何设置 Acegi配置过滤器链,定义安全约束,以及如何处理登录、注销、会话超时等问题。这些实践示例对于理解 Acegi 的实际应用非常有帮助。 7. **acegi-sample.rar**...
基于java的ACEGI
01-14
4. **过滤器链(Filter Chain)**:Acegi通过Servlet过滤器实现其功能,这使得它可以与其他Web框架无缝集成。过滤器链可以根据配置拦截请求,进行身份验证和授权检查。 在《实战Acegi:使用Acegi作为基于Spring框架...
acegi_help.zip_Help!_acegi
09-23
3. **过滤器链**:讲述Acegi如何利用Servlet过滤器来保护应用程序,以及如何定制过滤器链以满足特定需求。 4. **认证与授权**:介绍不同的认证策略,如基于表单的登录,以及如何实现细粒度的权限控制,如角色和权限...
SpringCloud】Spring Cloud 开发环境搭建与基础工程构建
Hsusan的博客
09-15 1785
Oracle从JDK9开始每半年发布⼀个新版本, 新版本发布后, ⽼版本就不再进⾏维护. 但是会有⼏个⻓期维护的版本.⽬前⻓期维护的版本有: JDK8, JDK11, JDK17, JDK21在 JDK版本的选择上,尽量选择⻓期维护的版本.为什么选择JDK17?
Spring Session
2401_84881237的博客
09-18 415
它把 servlet 容器实现的 httpSession 替换为 spring-session ,Session 信息存储在 Redis 或其它数据库中统一管理,解决了 session 共享的问题。Spring Session 是 Spring 家族中的一个子项目,Spring Session 提供了用于管理用户会话信息的 API 和实现。在 Web 项目开发中,Session 会话管理是一个很重要的部分,用于存储与记录用户的状态或相关的数据。
springboot每次都需要重设密码?明明在springboot的配置中设置了密码
最新发布
Mero技术博客
09-21 158
接着,修改redis的配置文件,找到redis的安装目录,找到相关的conf文件,找到#requirepass,打开redis-cli.exe,输入config get requirepass,查看当前的密码是什么?第二步:重启redis服务生效。第一步:查看当前的密码是什么?去掉# 修改密码。
SpringBoot中基于Mybatis-Plus多表联查(无xml,通过注解实现)
weixin_45653328的博客111
09-19 695
主要是第三个@Result,通过javaType=List.class,many=@Many来指定这个Result的属性(通过CourseMapper中的方法来查询这个list集合)注意:要写方法名的全名称,包名+类名+方法名。@Results注解:有个id属性,可以理解为定义了一个方法,可以通过id引用,引用方式:ResultMap(“”)。首先,外部查询出这个学生对象,在@Results注解内,表示返回的实际结果集,学生id,学生name,课程Course对象的list集合。下面我们就学生来解决。
深入解析acegi安全框架源码
1. Web配置:在`web.xml`中,Acegi通过`FilterToBeanProxy`过滤器进行配置。这个过滤器的作用是将Acegi的安全过滤链转换成Spring的bean。`targetClass`设置为`FilterChainProxy`,`targetBean`是Spring容器中的bean...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值