基于Spring框架的WEB应用的安全框架——Acegi

最新推荐文章于 2013-10-11 10:22:58 发布
最新推荐文章于 2013-10-11 10:22:58 发布
阅读量84 收藏
点赞数
分类专栏: spring 文章标签: 框架 Acegi Spring Web 企业应用

Acegi简介
Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi安全系统能够轻松地适用于复杂的安全需求。
安全涉及到两个不同的概念,认证和授权。前者是关于确认用户是否确实是他们所宣称的身份。授权则是关于确认用户是否有允许执行一个特定的操作。
在Acegi安全系统中,需要被认证的用户,系统或代理称为"Principal"。Acegi安全系统和其他的安全系统不同,它并没有角色和用户组的概念。

Acegi系统设计
关键组件
Acegi安全系统包含以下七个关键的功能组件:
l Authentication对象,包含了Principal,Credential和Principal的授权信息。同时还可以包含关于发起认证请求的客户的其他信息,如IP地址。
2 ContextHolder对象,使用ThreadLocal储存Authentication对象的地方。
3 AuthenticationManager,用于认证ContextHolder中的Authentication对象。
4 AccessDecissionManager,用于授权一个特定的操作。
5 RunAsManager,当执行特定的操作时,用于选择性地替换Authentication对象。
6 Secure Object拦截器,用于协调AuthenticationManager,AccessDecissionManager,RunAsManager和特定操作的执行。
7 ObjectDefinitionSource,包含了特定操作的授权定义。

 

二、

对于任何一个完整的应用系统,完善的认证和授权机制是必不可少的。Acegi Security(以下简称Acegi)是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架,Acegi已经成为Spring官方的一个子项目,所以也称为Spring Security。它通过在Spring容器中配置一组Bean,充分利用Spring的IoC和AOP功能,提供声明式安全访问控制的功能。虽然,现在Acegi也可以应用到非Spring的应用程序中,但在Spring中使用Acegi是最自然的方式。

  Acegi可以实现业务对象方法级的安全访问控制粒度,它提供了以下三方面的应用程序的安全:

  •   URL资源的访问控制

  如所有用户(包括其名用户)可以访问index.jsp登录页面,而只有授权的用户可以访问/user/addUser.jsp页面。Acegi允许通过正则表达式或Ant风格的路径表达式定义URL模式,让授权用户访问某一URL匹配模式下的对应URL资源。

 

  •   业务类方法的访问控制

  Spring容器中所有Bean的方法都可以被Acegi管理,如所有用户可以调用BbtForum#getRefinedTopicCount()方法,而只有授权用户可以调用BbtForum#addTopic()方法。  

  •   领域对象的访问控制

  业务类方法代表一个具体的业务操作,比如更改、删除、审批等,业务类方法访问控制解决了用户是否有调用某种操作的权限,但并未对操作的客体(领域对象)进行控制。对于我们的论坛应用来说,用户可以调用BbtForum#updateUser(User user)方法更改用户注册信息,但应该仅限于更改自己的用户信息,也即调用BbtForum#updateUser()所操作的User这个领域对象必须是受限的。

  Acegi通过多个不同用途的Servlet过滤器对URL资源进行保护,在请求受保护的URL资源前,Acegi的Servlet过滤器判断用户是否有权访问目标资源,授权者被开放访问,而未未被授权者将被阻挡在大门之外。

  Acegi通过Spring AOP对容器中Bean的受控方法进行拦截,当用户的请求引发调用Bean的受控方法时,Acegi的方法拦截器开始工作,阻止未授权者的调用。

  对领域对象的访问控制建立在对Bean方法保护的基础上,在最终开放目标Bean方法的执行前,Acegi将检查用户的ACL(Aeccess Control List:访问控制列表)是否包含正要进行操作的领域对象,只有领域对象被授权时,用户才可以使用Bean方法对领域对象进行处理。此外,Acegi还可以对Bean方法返回的结果进行过滤,将一些不在当前用户访问权限范围内的领域对象剔除掉——即传统的数据可视域范围的控制。一般来说,使用Acegi控制数据可视域未非理想的选择,相反通过传统的动态SQL的解决方案往往更加简单易行。

 

 

  从本质特性上来说,Servlet过滤器就是最原始的原生态AOP,所以我们可以说Acegi不但对业务类方法、领域对象访问控制采用了AOP技术方案,对URL资源的访问控制也使用了AOP的技术方案。使用AOP技术方案的框架是令人振奋的,这意味着,开发者可以在应用程序业务功能开发完毕后,轻松地通过Acegi给应用程序穿上安全保护的“铁布衫”。

 

lehsyh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring web flow demo
08-20
最新的 Spring Web Flow 2.0 则明确声明是基于 Spring Web MVC 的一个扩展。 • 提供了处理 Ajax 事件的能力 Ajax 事件的处理与 Web Flow 事件的处理相一致,在处理完成后, flow 即可刷新客户端相关 界面代码。 • ...
spring2.0中文开发参考手册.chm.zip
06-02
6. **MVC框架**:Spring MVC是Spring框架的一部分,用于构建Web应用程序。它提供了模型-视图-控制器架构,将业务逻辑、用户界面和控制逻辑分离,增强了代码的可维护性。 7. **Spring表达式语言(SpEL)**:Spring ...
spring中的acegi
qwtfps的专栏
10-11 1380
spring中的Acegi Acegi作为web项目的一种资源保护安全机制,已经得到广泛应用。配置也十分简单,受先在web.xml加入下段代码,为其工作提供入口 Acegi Filter Chain Proxy org.acegisecurity.util.FilterToBeanProxy targetClass org.
spring acegi 权限设计
必应@珠峰
09-23 651
一般在一个应用系统中都会有权限的设计,最基本的权限设计会关系到五张表,用户表,角色表,权限表用户和角色的中间表,角色和权限的中间表,这样五张表,在负责一些的权限设计还会进行分组,将资源放入表中,并建立权限和资源的中间关系表, http://p.blog.csdn.net/images/p_blog_csdn_net/cailiang517502214/EntryImages/20090
Spring框架Acegi安全框架介绍
在水一方
11-23 592
1、spring   框架  Spring框架是由Open   Source开发的一个优秀的多层J2EE系统框架,它为企业级应用提供了一个非常轻量级的解决方案,大大地降低了应用开发的难度与复杂度,提高了开发的速度。  Spring框架的核心是IoC和AOP。IoC是一种设计模式,即IoC模式。IoC模式进一步降低了类之间的耦合度,并且改变了传统的对象的创建方法,实现了一种配置式
权限管理系统(Struts2+Spring4+Hibernate5框架整合)
04-26
**Struts2** 是一个开源的MVC框架,它是基于Java Servlet的,用于构建可维护性高、结构清晰的Web应用。Struts2的核心是Action类,它处理HTTP请求并调用业务逻辑。通过使用拦截器(Interceptor),Struts2能够实现...
springjar.rar
08-26
1. **Spring Core Container**: 这是Spring框架的基础,主要包括两个主要模块——`Core`和`Beans`。`Core`模块提供了基本的IoC(Inversion of Control,控制反转)和DI(Dependency Injection,依赖注入)功能,`...
菜鸟-手把手教你把Acegi应用到实际项目中
08-13
在本文中,我们将深入理解如何将Acegi应用到实际项目中,特别关注其核心配置——web.xml中的过滤器设置和Acegi安全文件的配置。 首先,我们来看web.xml中的过滤器配置: 1. **FilterToBeanProxy**:Acegi通过...
html css js网页设计
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
2023年数字乡村建设解决方案PPT(34页).pptx
07-12
数字乡村建设解决方案旨在通过数字化转型促进乡村振兴和农业农村现代化。该方案强调了数字乡村建设的战略机遇,以"1+3+5"工程为总体框架,即一个大数据中心、三大服务平台和五类主题应用。方案着重于乡村治理、产业发展和公共服务三大问题,通过完善治理体系、升级治理能力、强化产业链条和改善资源配置来推动乡村全面振兴。 方案中提出的数字乡村大数据中心是信息资源的集散地,依托大数据、AI、物联网等新技术,实现数据驱动的决策支持。三大服务平台包括产业服务、民生服务和治理服务,旨在提升农业生产智能化、经营网络化,同时优化乡村治理结构和提升服务效能。五类主题应用覆盖生产管理、流通营销、行业监管、公共服务和乡村治理,通过具体业务应用体系,实现农业全产业链的数字化管理和服务。 预期建设效益包括通过信息技术促进乡村优势产业发展,形成城郊融合型数字乡村治理新模式,以及创新服务方式,提升服务能力,保障农民权益。整体而言,该方案以数字化为手段,推动乡村经济、治理、文化等多方面的全面升级和发展。
脉冲强光技术在灭菌烧结固化应用解决方案
07-12
脉冲强光技术在灭菌烧结固化应用解决方案,已经得到厂家授权,可以对外公示。
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
07-12
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
1ewqeqweqweqweq
07-12
1ewqeqweqweqweq
DS18B20资源useless,don‘t download
07-12
DS18B20资源useless,don‘t download
Go语言实现冒泡、快排及堆排序.docx
07-12
Go语言实现冒泡、快排及堆排序.docx Go语言实现冒泡、快排及堆排序.docx Go语言实现冒泡、快排及堆排序.docx Go语言实现冒泡、快排及堆排序.docx
[OGSM]认识年度经营计划管理.pptx
最新发布
07-12
[OGSM]认识年度经营计划管理.pptx
哈尔滨理工大学考研15个学院,71个专业课历年考试真题及答案汇总,备考资料题库笔记,录用名单汇总
07-12
哈尔滨理工大学考研15个学院,71个专业课历年考试真题及答案汇总,备考资料题库笔记,录用名单汇总
ACEGI
08-06
ACEGI Security是一个为基于J2EE的企业应用提供全面安全服务的框架,特别适用于使用Spring框架开发的项目。如果您不是使用Spring开发企业应用,我们强烈建议您仔细研究一下ACEGI Security。熟悉Spring,特别是理解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值