菜鸟-手把手教你把Acegi应用到实际项目中(3)

最新推荐文章于 2014-05-25 00:22:57 发布
最新推荐文章于 2014-05-25 00:22:57 发布
阅读量97 收藏
点赞数
分类专栏: Acegi 文章标签: Acegi 企业应用 应用服务器 Java Apache

        这一节我们将要了解的是AnonymousProcessingFilter、RememberMeProcessingFilter和LogoutFilter三个过滤器。

 

1、AnonymousProcessingFilter

       在大部分企业应用中,存在许多不需要用户登录就可以访问的资源,比如登录页面、退出页面、主页等。鉴于此,Acegi提供了匿名认证服务。这样能够使所有的Web资源得到保护,而不是某些资源不设权限控制,让任何人都可以访问,这样整个Acegi使能应用的Web安全策略模型将非常完美。与此同时,SecurityContextHolder(SecurityContext)将始终持有Authentication对象,因此代码的健壮性、可读性也将得到增强。

       AnonymousProcessingFilter,该过滤器是用来对匿名用户的处理。如果用户尚未登录,将生成一个匿名用户的Authentication存放到ContextHolder中。即当不存在任何授权信息时,自动为Authentication对象添加userAttribute中定义的匿名用户权限。

<bean id="anonymousProcessingFilter"
	class="org.acegisecurity.providers.anonymous.AnonymousProcessingFilter">
	<property name="key" value="changeThis" />
	<property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS" />
</bean>

       

 

 

 

说明:

l         key:用于指定用户的名称,其实这个属性指定的值只是一个简单的标识符,可以自己取值。

l         userAttribute:用于指定匿名用户的密码(anonymousUser)、权限信息(ROLE_ANONYMOUS)和启用状态(enabled/disabled),这里anonymousUser实际上是用户名。

 

        另外,和AuthenticationProcessingFilter的一样,AnonymousProcessingFilter也有自己的AuthenticationProvider,即AnonymousProcessingFilter。

<bean
	class="org.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider">
	<property name="key" value="changeThis" />
</bean>

 

 

 

 

      此处的key一般与AnonymousProcessingFilter中的key保持一致,用于保证Authentication对象的真实性,当然这只是Acegi内部的一个设计细节,开发者直接提供自身的key属性取值即可。同样将该Provider加到authenticationManager的providers属性列表中。(个人发现,如果不提供AnonymousAuthenticationProvider,同样能实现匿名认证的功能,或者key不相同也没影响,这一点本人暂时不太明白,如果有谁清楚的请留言给我,谢谢^_^)

 

2、RememberMeProcessingFilter
        该Filter会在用户登录后,在本地机器上记录用户cookies信息,这样下次访问就不用再登录了。它还负责对所有HTTP请求进行拦截,当发现SecurityContextHolder中没有包含有效的Authentication对象时,自动调用RememberMeServices#autoLogin()方法从Cookie中获取用户名/密码的编码串进行自动登录,所以rememberMeProcessingFilter首先要注入一个RememberMeServices Bean。
rememberMeProcessingFilter通过rememberMeServices获取对应Cookie中用户的UserDetails后,就必须进行用户身份认证。这项工作依然委托给authenticationManager完成,所以我们给rememberMeProcessingFilter注入了authenticationManager Bean。
       authenticationManager如何对基于Cookie的用户凭证进行认证呢?显然,不能采用原来的daoAuthenticationProvider所用的方法,因为Cookie所提供用户凭证和登录表单提供的用户凭证在格式上存在很大的差异。基于Remember-Me的用户名/密码信息是经过特殊编码的字符串,Acegi通过RememberMeAuthenticationProvider负责对基于Cookie的用户凭证信息进行认证。所以你必须将该认证提供者添加到authenticationManager中。

<bean id="rememberMeProcessingFilter"
	class="org.acegisecurity.ui.rememberme.RememberMeProcessingFilter">
	<property name="authenticationManager" ref="authenticationManager" />
	<property name="rememberMeServices" ref="rememberMeServices" /><!-- 增加 -->
</bean>
<bean id="authenticationManager"
	class="org.acegisecurity.providers.ProviderManager">
	<property name="providers">
		<list>
			<ref local="daoAuthenticationProvider" />
			<!-- 增加 -->
			<bean
				class="org.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider">
				<property name="key" value="changeThis" />
			</bean>
			<!-- 增加 -->
			<bean
				class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider">
				<property name="key" value="foobar" /><!-- key必须和rememberMeServices中的key一致 -->
			</bean>
		</list>
	</property>
</bean>
<!-- 增加, 默认tokenValiditySeconds = 1209600L, 即保留两周 -->
<bean id="rememberMeServices"
	class="org.acegisecurity.ui.rememberme.TokenBasedRememberMeServices">
	<property name="userDetailsService" ref="inMemDaoImpl" />
	<!-- cookie中的键值, 防止保存到客户端的cookie中的加密串被恶意篡改 -->
	<property name="key" value="foobar" />
	<!-- cookie有效时间, 单位为秒, 这里设定为5天内不用再登陆 -->
	<property name="tokenValiditySeconds" value="432000" />
</bean>
另外,必须在AuthenticationProcessingFilter中加入rememberMeServices。这样,当用户勾选了记住密码并登录后,rememberMeServices会将用户信息保存到Cookie中
<bean id="authenticationProcessingFilter"
	class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
	……
	<property name="rememberMeServices" ref="rememberMeServices" /><!-- 增加, 可别忘了此处 -->
</bean>

 

 

 

 

3、LogoutFilter
        该Filter负责处理退出登录后所需要的清理工作。包括:
1) 销毁session
2) 清空 ContextHolder
3) 把rememberMeServices从cookies中清除掉
4) 最后重定向到指定的退出登陆页面。

<bean id="logoutFilter" class="org.acegisecurity.ui.logout.LogoutFilter">
      <constructor-arg value="/index.jsp"/> <!-- URL redirected to after logout 退出页面url -->
      <constructor-arg>
         <list>
              <ref bean="rememberMeServices"/><!-- 用于清空cookies -->
              <bean class="org.acegisecurity.ui.logout.SecurityContextLogoutHandler"/>
         </list>
      </constructor-arg>
</bean>

 

 

 

 

        最后,请注意,Acegi默认的自动登陆设定参数名为_acegi_security_remember_me,注销链接为/j_acegi_logout。
        登录时,在页面添加以下代码:

 

<input type="checkbox" name="_acegi_security_remember_me">

 

 

        退出时,在页面添加以下代码:

 

<a href="<%=request.getContextPath() %>/j_acegi_logout">Logout</a>

 

 
 

 

开发环境:

MyEclipse 5.0GA

Eclipse3.2.1

JDK1.5.0_10

tomcat5.5.23

acegi-security-1.0.7

Spring2.0

 

Jar包:

acegi-security-1.0.7.jar

Spring.jar

commons-codec.jar

jstl.jar (1.1)

standard.jar

 

 

 

 

 

ageofnodoubt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
acegi-security-1.0.7.jar
03-23
acegi-security-1.0.7.jar
acegi-security-1.0.7.jar.zip
07-17
标签:acegi-security-1.0.7.jar.zip,acegi,security,1.0.7,jar.zip包下载,依赖包
使用 Acegi Security 集成 CAS
05-20 1982
一、背景 公司早期开发的一系统S
acegi-security-1.0.4-src.zip acegi-security-1.0.7-sources.jar源代码免费下载
睿智科技
11-13 333
Acegi Security是为企业级软件提供的一个强大的、灵活的安全解决方案,尤其是那些使用了Spring的应用Acegi提供了全面的认证、授权、基于实例的访问控制、信道安全以及人类用户检测能力。 在实际项目应用,可以看它的源代码,能跟踪调试,便于理解。 所以附上源码,希望能共享和交流,共同提高。 acegi-security-1.0.4-src.zip为源代码 aceg...
菜鸟-手把手你把Acegi应用实际项目(1.2)
03-01
NULL 博文链接:https://zhanjia.iteye.com/blog/253396
菜鸟-手把手你把Acegi应用实际项目
08-13
在本文,我们将深入理解如何将Acegi应用实际项目,特别关注其核心配置——web.xml的过滤器设置和Acegi安全文件的配置。 首先,我们来看web.xml的过滤器配置: 1. **FilterToBeanProxy**:Acegi通过...
acegi-sample.rar_acegi
09-19
安全框架 Acegi 的主要功能示例Project
acegi-sample.rar_acegi-1.0.7_acegi-sample.part2_spring-1.2.4.jar
09-23
acegi权限管理框架,作为基于Spring框架的WEB应用的安全框架
acegi用session控制并发和RememberMe的冲突问题
weishuwei
06-01 220
首先先介绍一下怎么使用这些服务 1,rememberMe服务 a,配置过滤器 &lt;!--authenticationProcessingFilter  start--&gt;   &lt;bean id="authenticationProcessingFilter"       class="org.acegisecurity.ui.webapp.Authent...
使用acegi 控制用户权限
孙杰的博客
06-09 188
      公司现有一项目需要使用acegi控制身份验证,所以这几天都在学习acegi,经过网上查找资料,个人比较推崇网友zhanjia写的程,发现比较完善的(http://zhanjia.iteye.com/category/43399)。       acegi配置与spring security配置比较相似,现在我也把自己经过修改后的并且可以运行的项目放在此blog,以供大家交流。 ...
Acegi学习心得《二》
kyleo
03-26 101
在配置Acegi Filter Chain Proxy是设定了targetClass,并制定了其代表的类,并在其他配置文件声明了其具体的实现。其实现是通过指定filterInvocationDefinitionSource的。如下: [code="java"] CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON ...
Acegi (Spring Security)入门
热门推荐
wengyupeng 蜗牛一步一步向前。。。
08-27 2万+
Acegi (Spring Security)入门
TokenBasedRememberMeServices 加密解密
fendou4533的专栏
05-25 1833
代码来自  http://java2s.com/Open-Source/Java/Security/acegi-security/org/acegisecurity/ui/rememberme/TokenBasedRememberMeServices.java.htm
AcegiSession并发和RememberMe冲突问题解决方法
weishuwei
07-24 205
这个问题着实让我费了好大功夫,本来想放弃Rememberme功能了,后来在邮件列表发现了解决之道,特此贴出来为大家共享.   &lt;bean id="httpSessionContextIntegrationFilter" class="org.acegisecurity.context.HttpSessionContextIntegrationFilter"&gt;   ...
Acegi框架介绍
Hello World!
03-16 958
原文网址:http://www.oschina.net/question/12_8396 概述     对于任何一个完整的应用系 统,完善的认证和授权机制是必不可少的。Acegi Security(以下简称Acegi)是一个能为基于Spring的企业应用提供强大而灵活安全访问控制解决方案的框架,Acegi已经成为 Spring官方的一个子项目,所以也称为Spring Security。它通过
基于STM32控制遥控车的蓝牙应用程序
06-27
基于STM32控制遥控车的蓝牙应用程序
Memcached 1.2.4 版本源码包
最新发布
06-27
粤嵌gec6818开发板项目Memcached是一款高效分布式内存缓存解决方案,专为加速动态应用程序和减轻数据库压力而设计。它诞生于Danga Interactive,旨在增强LiveJournal.com的性能。面对该网站每秒数千次的动态页面请求和超过七百万的用户群,Memcached成功实现了数据库负载的显著减少,优化了资源利用,并确保了更快的数据访问速度。。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值