Spring— Acegi工作机制

最新推荐文章于 2020-05-28 17:22:22 发布
最新推荐文章于 2020-05-28 17:22:22 发布
阅读量644 收藏
点赞数
分类专栏: [19] 插件&框架 文章标签: acegi authentication Authentication bean Bean
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shxcodewarrior/article/details/8494917
版权

Acegi如何工作
为了说明Acegi安全系统如何工作,我们设想一个使用Acegi的例子。通常,一个安全系统需要发挥作用,它必须完成以下的工作:

l 首先,系统从客户端请求中获得Principal和Credential;
2 然后系统认证Principal和Credential信息;
3 如果认证通过,系统取出Principal的授权信息;
4 接下来,客户端发起操作请求;
5 系统根据预先配置的参数检查Principal对于该操作的授权;
6 如果授权检查通过则执行操作,否则拒绝。

那么,Acegi安全系统是如何完成这些工作的呢?首先,我们来看看Acegi安全系统的认证和授权的相关类图:

图中绿色部分是安全拦截器的抽象基类,它包含有两个管理类,AuthenticationManager和AccessDecisionManager,如图中灰色部分。AuthenticationManager用于认证ContextHolder中的Authentication对象(包含了Principal,Credential和Principal的授权信息)
AccessDecissionManager则用于授权一个特定的操作。

下面来看一个MethodSecurityInterceptor的例子:

<bean id="bankManagerSecurity" 
class="net.sf.acegisecurity.intercept.method.MethodSecurityInterceptor">
<property name="validateConfigAttributes">
<value>true</value>
</property>
<property name="authenticationManager">
<ref bean="authenticationManager"/>
</property>
<property name="accessDecisionManager">
<ref bean="accessDecisionManager"/>
</property>
<property name="objectDefinitionSource">
<value>
net.sf.acegisecurity.context.BankManager.delete*=
ROLE_SUPERVISOR,RUN_AS_SERVER
net.sf.acegisecurity.context.BankManager.getBalance=
ROLE_TELLER,ROLE_SUPERVISOR,BANKSECURITY_CUSTOMER,RUN_
</value>
</property>
</bean>

上面的配置文件中,MethodSecurityInterceptor是AbstractSecurityInterceptor的一个实现类。它包含了两个管理器,authenticationManager和accessDecisionManager。这两者的配置如下:

<bean id="authenticationDao" 
class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl">
<property name="dataSource"><ref bean="dataSource"/></property>
</bean>
<bean id="daoAuthenticationProvider" 
class="net.sf.acegisecurity.providers.dao.DaoAuthenticationProvider">
<property name="authenticationDao"><ref bean="authenticationDao"/></property>
</bean>
<bean id="authenticationManager" 
class="net.sf.acegisecurity.providers.ProviderManager">
<property name="providers">
<list><ref bean="daoAuthenticationProvider"/></list>
</property>
</bean>
<bean id="roleVoter" class="net.sf.acegisecurity.vote.RoleVoter"/>
<bean id="accessDecisionManager" class="net.sf.acegisecurity.vote.AffirmativeBased">
<property name="allowIfAllAbstainDecisions"><value>false</value></property>
<property name="decisionVoters">
<list><ref bean="roleVoter"/></list>
</property>
</bean>

准备工作做好了,现在我们来看看Acegi安全系统是如何实现认证和授权机制的。以使用HTTP BASIC认证的应用为例子,它包括下面的步骤:

1. 用户登录系统,Acegi从acegisecurity.ui子系统的安全拦截器(如BasicProcessingFilter)中得到用户的登录信息(包括Principal和Credential)并放入Authentication对象,并保存在ContextHolder对象中;
2. 安全拦截器将Authentication对象交给AuthenticationManager进行身份认证,如果认证通过,返回带有Principal授权信息的Authentication对象。此时ContextHolder对象的Authentication对象已拥有Principal的详细信息;
3. 用户登录成功后,继续进行业务操作;
4. 安全拦截器(bankManagerSecurity)收到客户端操作请求后,将操作请求的数据包装成安全管理对象(FilterInvocation或MethodInvocation对象);
5. 然后,从配置文件(ObjectDefinitionSource)中读出相关的安全配置参数ConfigAttributeDefinition;
6. 接着,安全拦截器取出ContextHolder中的Authentication对象,把它传递给AuthenticationManager进行身份认证,并用返回值更新ContextHolder的Authentication对象;
7. 将Authentication对象,ConfigAttributeDefinition对象和安全管理对象(secure Object)交给AccessDecisionManager,检查Principal的操作授权;
8. 如果授权检查通过则执行客户端请求的操作,否则拒绝;

 

AccessDecisionVoter

注意上节的accessDecisionManager是一个AffirmativeBased类,它对于用户授权的投票策略是,只要通过其中的一个授权投票检查,即可通过;它的allowIfAllAbstainDecisions属性值是false,意思是如果所有的授权投票是都是弃权,则通不过授权检查。

Acegi安全系统包括了几个基于投票策略的AccessDecisionManager,上节的RoleVoter就是其中的一个投票策略实现,它是AccessDecisionVoter的一个子类。AccessDecisionVoter的具体实现类通过投票来进行授权决策,AccessDecisionManager则根据投票结果来决定是通过授权检查,还是抛出AccessDeniedException例外。

AccessDecisionVoter接口共有三个方法:

public int vote(Authentication authentication, Object object, 
ConfigAttributeDefinition config);
public boolean supports(ConfigAttribute attribute);
public boolean supports(Class clazz);

其中的vote方法返回int返回值,它们是AccessDecisionVoter的三个静态成员属性:ACCESS_ABSTAIN,ACCESS_DENIED和ACCESS_GRANTED,它们分别是弃权,否决和赞成。

Acegi安全系统中,使用投票策略的AccessDecisionManager共有三个具体实现类:AffirmativeBased、ConsensusBased和UnanimousBased。它们的投票策略是,AffirmativeBased类只需有一个投票赞成即可通过;ConsensusBased类需要大多数投票赞成即可通过;而UnanimousBased类需要所有的投票赞成才能通过。

RoleVoter类是一个Acegi安全系统AccessDecisionVoter接口的实现。如果ConfigAttribute以ROLE_开头,RoleVoter则进行投票。如果GrantedAuthority的getAutority方法的String返回值匹配一个或多个以ROLE_开头的ConfigAttribute,则投票通过,否则不通过。如果没有以ROLE_开头的ConfigAttribute,RoleVoter则弃权。


shx516857593
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring集成Acegi安全框架在J2EE中的应用
01-31
然而对于一个完整的应用系统,完善的认证和授权机制是必不可少的,Acegi是一个基于Spring的安全框架,探讨了Spring框架集成Acegi的方法,即在Spring的IOC配置文件中定义所有的安全逻辑,改变了传统的通过编写代码的...
高通pmic voter
5念since
02-19 7867
voter create_votable() vote() pmic voter debugfs xxxx:/sys/kernel/debug/pmic-votable # cd FCC xxxx:/sys/kernel/debug/pmic-votable/FCC # ls force_active force_val status xxxx:/sys/kernel/debug/pmic-votable/FCC # cat status
选民投票
weixin_30642305的博客
07-11 1652
需求说明:模拟实现选民投票过程:一群选民进行投票,每个选民只允许投一次,并且当投票综述达到100时,就停止投票。 选民代码: /** * @author Mr.Wang * 选民类,并定义计票方法 * */ public class Vote { private String name;//选民名字 static int ballot;//定义静态变量...
python挑战题 http://www.pythonchallenge.com/pc/def/map.html
虫儿去哪儿
12-31 2217
http://www.pythonchallenge.com/ 很好玩的一个网站 把url中的pc改为pcc,可以查看前一关的答案 第0关:http://www.pythonchallenge.com/pc/def/0.html Hint: try to change the URL address 第一反应当然是将url中的0改为1,果然可以打开,页面提示【2**38 is m
Java的类和对象
VON
09-03 1187
今天来到了Java核心的类和对象这里,如果这里都不会的话,那么Java基本就宣布走远吧。 今天印象最深的就是——设计UML。也因为这学期开设了这门课,老师也说了这门课就是区分我们软件工程和其它专业的最重要的一门课。上学期学java时也没太注意,今天对这个深有体会。在写代码之前,一个好的前期设计,能为代码带来顺畅的编写,不论是定义还是逻辑编写,类与类之间的关系等。 首先work_1是一个对于手机
模拟选民投票
07-11 505
package Month.JUL.JUL11; public class XuanMing { static int num = 0; private String name; public XuanMing() {} public XuanMing(String name) { this.name = name; ...
Acegi安全系统介绍(一)
02-21
AcegiSpringFramework下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如:完善的认证和授权机制,Http资源访问控制,Method调用访问控制,AccessControlList(ACL)基于对象实例的访问控制,...
Acegi_使用.doc
04-28
ACEGI SECURITY FOR SPRINGFRAMEWORK 1 目录 2 Acegi简介 3 Acegi系统设计 3 关键组件 3 安全管理对象 4 安全配置参数 5 Resuest Contexts 5 Contexts 5 Secure Contexts 6 Custom Contexts 6 Context Storage 7 ...
Spring 技术内幕
03-04
第一部分详细分析了spring的核心:ioc容器和aop的实现,能帮助读者了解spring的运行机制;第二部分深入阐述了各种基于ioc容器和aop的java ee组件在spring中的实现原理;第三部分讲述了acegi安全框架、dm模块以及flex...
static修饰符
weixin_33756418的博客
02-21 109
2019独角兽企业重金招聘Python工程师标准>>> ...
HDOJ1031投票问题
° ﹎.- 看淡1.苆х.
10-05 376
#include #include #include #include #include #include using namespace std; const int inf = 0x3f3f3f; bool vis[10000]; int n,m,k; d
基于以太坊的联盟链?Quorum机制初探(中)
about_blockchain的博客
12-08 6148
摩根大通的Quorum平台是区块链行业的关注热点(Quorum是由摩根大通最初在去年秋季公布的一种基于以太坊的区块链网络),并且摩根大通近期与零币电子货币公司(Zerocoin Electronic Coin Company)的合作更是引发热议。有专家称,这种将零知识密码学与Quorum相结合的举措,是区块链行业的一大进步,因为这样一来,以太坊将构建更适合的企业级解决方案,并推动区块链的企业应用。
多数投票算法
多看多听多总结
10-08 5620
在一个数组中,元素个数为n(假设最多投票元素存在),输出元素出现次数大于n/2的数 算法思路:1、一个变量cand表示所求的元素,一个变量count统计个数,将count初始化为0.                   2、在遍历数组的过程上                       (1)如果count=0,则将count=1,cand=array[I];
用VB设计“投票评选”程序的简单方法
neder2的专栏
11-25 3584
简介:正逢2005年年末,国内各媒体都掀起了“2005年度XXXX投票评选”的热潮,就拿CCTV央视来说,各种命题的“投票评选”活动就不下十多项;对这样题目在编程中如何实现呢?我想主要从三个方面入手;第一,解决好参加评比候选人数据装入;第二,采集好投票人有效点击次数的相关信息;第三,确保参加评比候选人获票数与投票人的投出票数的一致性。掌握好这三点后,其它问题就会迎刃而解。使用Delphi、PB、V
电话订餐信息处理(c语言--数组版)
xiaofeilong321的专栏
07-01 4304
#include #include #define MAXSIZE 20 void Insert(int*); void Delete(int*); void Search(int); void Update(int); void Show(int); struct guest { char name[10];//姓名 int num;//编号 char ti
例9.3 有3个候选人,每个选民只能投票选一人,要求编一个统计选票的程序,先后输入被选人的名字,最后输出各人得票结果。
热门推荐
zhuzhu_小妖的专栏
07-24 2万+
解题思路: 设一个结构体数组,数组中包含3个元素每个元素中的信息应包括候选人的姓名(字符型)和得票数(整型)输入被选人的姓名,然后与数组元素中的“姓名”成员比较,如果相同,就给这个元素中的“得票数”成员的值加1输出所有元素的信息 #include #include struct person // 声明结构体类型struc
7.static变量使用
weixin_30301183的博客
05-27 100
package staticDemo; /* * 一群选民进行投票,每个选民只允许投一次票,并且当投票总数达到100时,就停止投票 * Voter:选民类 * */ public class Voter { private static int count; // 所有选民都会改变同一个数据:投票次数 private static final int M...
Apache软件基金会总裁:Docker是善意的独裁者
weixin_34318326的博客
04-10 109
Ross Gardler是Apache 软件基金会现任总裁,在开源技术领域拥有丰富的经验,长期致力于开源技术的推广和开源社区的治理工作。Ross Gardler是开源项目的积极贡献者,指导了大批开发者融入开源社区理解并遵从开源社区规则。在开源社组织的一次媒体见面会中,InfoQ有幸采访到了Ross Gardler先生,听他阐释了Apache的社区治理之道。本文根据采访内容整理而成。\\没有领导者,...
7-7 选民投票 STL
马角的逆袭的博客
05-28 1157
7-7 选民投票 编程统计候选人的得票数。有若干位候选人(n<=10),候选人姓名从键盘输入(候选人姓名不区分大小写,姓名最长为9个字节),若干位选民,选民每次输入一个得票的候选人的名字(姓名最长为9个字节),若选民输错候选人姓名,则按废票处理。程序自动统计各候选人的得票结果,并按照得票数由高到低的顺序排序。最后输出各选票人得票结果和废票信息。 输入格式: 先输入候选人人数n和n名候选人姓名,再输入选民人数m和m位选民的选票。 输出格式: 先根据选票结果由高到低输出各候选人得票结果,再根据废票情况输出
SpringSecurity6
最新发布
08-31
它最早开始于2003年年底,当时被称为"springacegi安全系统"。当时有人在Spring开发者邮件列表中提出了关于提供基于Spring的安全实现的问题。然而,直到2013年晚些时候,它才以"The Acegi Security System for ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值