菜鸟-手把手教你把Acegi应用到实际项目中(5)

最新推荐文章于 2018-04-23 10:55:00 发布
最新推荐文章于 2018-04-23 10:55:00 发布
阅读量91 收藏
点赞数
分类专栏: Acegi 文章标签: Acegi 企业应用 项目管理 Bean JavaEE

    在实际企业应用中,用户密码一般都会进行加密处理,这样才能使企业应用更加安全。既然密码的加密如此之重要,那么Acegi(Spring Security)作为成熟的安全框架,当然也我们提供了相应的处理方式。

 

    针对用户密码的加密工作,DaoAuthenticationProvider同时暴露了passwordEncoder和saltSource属性。PasswordEncoder和SaltSource是可选的属性,PasswordEncoder负责对认证库中的密码进行加解密。而SaltSource则是在产生密码时给它加点“盐”,以增强密码在认证库中的安全性。Acegi安全系统提供的PasswordEncoder实现中包括MD5、SHA和明文编码。
Acegi提供了三种加密器:
 PlaintextPasswordEncoder---默认,不加密,返回明文.
 ShaPasswordEncoder---哈希算法(SHA)加密
 Md5PasswordEncoder---消息摘要(MD5)加密

Acegi安全系统提供了两个SaltSource的实现:
 SystemWideSaltSource,它用同样的"盐"对系统中所有的密码进行编码
 ReflectionSaltSource只对从UserDetails对象返回的获得这种"盐"的指定属性进行检查。请参考JavaDoc以获取对这些可选特性的更详细信息。

      图1为Acegi内置的PasswordEncoder继承链。默认时,DaoAuthenticationProvider会实例化PlaintextPasswordEncoder对象,即应对用户密码未进行加密处理的情况。

PasswordEncoder继承链

 

      图2为Acegi内置的SaltSource继承链。默认时,SaltSource的取值为null,即未启用密码私钥。

SaltSource继承链

 

 

1、 PlaintextPasswordEncoder明文密码
      在使用明文密码期间,如果系统允许登录用户不区分密码大小写,则应设置ignorePasswordCase属性值为true。
 在Acegi安全配置文件中添加:

<bean id="daoAuthenticationProvider"
	class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
	<property name="userDetailsService" ref="inMemDaoImpl" />
	<!-- 增加 -->
	<property name="passwordEncoder" ref="plaintextPasswordEncoder" />
</bean>

<!-- 增加 -->
<bean id="plaintextPasswordEncoder"
	class="org.acegisecurity.providers.encoding.PlaintextPasswordEncoder">
	<property name="ignorePasswordCase" value="true"></property>
</bean>

 

2、 ShaPasswordEncoder哈希算法(SHA)加密
      在Acegi安全配置文件中添加:

<bean id="daoAuthenticationProvider"
	class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
	<property name="userDetailsService" ref="inMemDaoImpl" />
	<!-- 增加 -->
	<property name="passwordEncoder" ref="shaPasswordEncoder" />
	<!-- <property name="passwordEncoder" ref="shaMessageDigestPasswordEncoder" /> -->
</bean>

<!-- 增加, 以下两种配置方式等效 -->
<bean id="shaPasswordEncoder"
	class="org.acegisecurity.providers.encoding.ShaPasswordEncoder">
	<constructor-arg>
		<value>256</value>
	</constructor-arg>
	<property name="encodeHashAsBase64" value="false"></property>
</bean>
<!-- 
<bean id="shaMessageDigestPasswordEncoder"
	class="org.acegisecurity.providers.encoding.MessageDigestPasswordEncoder">
	<constructor-arg>
		<value>SHA-256</value>
	</constructor-arg>
	<property name="encodeHashAsBase64" value="false"></property>
</bean>
 -->

 

3、 Md5PasswordEncoder消息摘要(MD5)加密
      在Acegi安全配置文件中添加:

<bean id="daoAuthenticationProvider"
	class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
	<property name="userDetailsService" ref="inMemDaoImpl" />
	<!-- 增加 -->
	<property name="passwordEncoder" ref="md5PasswordEncoder" />
	<!-- <property name="passwordEncoder" ref="md5MessageDigestPasswordEncoder" /> -->
</bean>

<!-- 增加. 以下两种配法等效 -->
<bean id="md5PasswordEncoder"
	class="org.acegisecurity.providers.encoding.Md5PasswordEncoder">
	<property name="encodeHashAsBase64" value="false"></property>
</bean>
<!-- 
<bean id="md5MessageDigestPasswordEncoder"
	class="org.acegisecurity.providers.encoding.MessageDigestPasswordEncoder">
	<constructor-arg>
		<value>MD5</value>
	</constructor-arg>
	<property name="encodeHashAsBase64" value="false"></property>
</bean>
 -->

 

4、 SystemWideSaltSource
      SystemWideSaltSource会采用一个静态字符串表示密码私钥(salt),所有用户的密码处理都会采用这一私钥。同未启用密码私钥相比,SystemWideSaltSource更为安全,因为它使得密码的破解变得更困难。默认时,它会采用“密码{密码私钥}”形式加密密码。
      配置如下:

<bean id="daoAuthenticationProvider"
	class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
	<property name="userDetailsService" ref="userDetailsService" />
	<property name="passwordEncoder" ref="md5PasswordEncoder" /><!-- 增加 -->
	
	<!-- 增加 -->
	<property name="saltSource">
		<bean
			class="org.acegisecurity.providers.dao.salt.SystemWideSaltSource">
			<property name="systemWideSalt" value="javaee"></property>
		</bean>
	</property>
</bean>

 

5、 ReflectionSaltSource
      尽管采用SystemWideSaltSource能够加强密码的保护,但由于SystemWideSaltSource采用了全局性质的密码私钥,因此仍存在一定的缺陷。
      而ReflectionSaltSource采用了个案性质的密码私钥,即其密码加密所采用的私钥是动态变化的,因此它更为安全。ReflectionSaltSource仍采用“密码{密码私钥}”的形式加密密码。
      配置如下:

<bean id="daoAuthenticationProvider"
	class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
	<property name="userDetailsService" ref="userDetailsService" />
	<property name="passwordEncoder" ref="md5PasswordEncoder" />
	
	<!-- 增加 -->
	<property name="saltSource">
		<bean
			class="org.acegisecurity.providers.dao.salt.ReflectionSaltSource">
			<property name="userPropertyToUse" value="getUsername"></property>
		</bean>
	</property>
</bean>

 

      此时,ReflectionSaltSource将调用UserDetails对象的getUsername()方法获得各用户的密码私钥。比如:javaee(用户名)/password(密码) 用户的密码将被以“password{javaee}”的形式进行加密处理。
       通过指定userPropertyToUse属性的值,开发者能够控制密码私钥的来源。比如上述的getUsername的含义就是动态调用相应的getUsername()方法,并将返回结果直接作为密码的私钥。在实际企业应用中,Acegi应用开发者可能会提供自身的UserDetails实现类,这时userPropertyToUse属性的取值范围更加广泛。

 

 6、 在web.xml中,我提供了三种方式方便大家调试

 

<!-- 
	<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
	/WEB-INF/applicationContext-acegi-security-plaintext.xml
	</param-value>
	</context-param>
-->

<!-- 
	<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
	/WEB-INF/applicationContext-acegi-security-sha.xml
	</param-value>
	</context-param>
-->

<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
		/WEB-INF/applicationContext-acegi-security-md5.xml
	</param-value>
</context-param>

<!-- 
<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>
		/WEB-INF/applicationContext-acegi-security-md5-salt.xml
	</param-value>
</context-param>-->

 

 7、 这里我提供了一个用于生成加密密码的类

 

package org.acegi.sample;


import org.acegisecurity.providers.encoding.Md5PasswordEncoder;
import org.acegisecurity.providers.encoding.MessageDigestPasswordEncoder;
import org.acegisecurity.providers.encoding.ShaPasswordEncoder;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

/**
 * 加密管理类
 * 
 * @author zhanjia
 *
 */
public class PasswordProcessing {

	private static final Log log = LogFactory.getLog(PasswordProcessing.class);
	
	public static void processMd5() {
		log.info("以MD5方式加密......................");
		
		// 直接指定待采用的加密算法(MD5)
		MessageDigestPasswordEncoder mdpeMd5 = new MessageDigestPasswordEncoder("MD5");
		// 生成32位的Hex版, 这也是encodeHashAsBase64的默认值
		mdpeMd5.setEncodeHashAsBase64(false);
		log.info(mdpeMd5.encodePassword("password", null));
		// 生成24位的Base64版
		mdpeMd5.setEncodeHashAsBase64(true);
		log.info(mdpeMd5.encodePassword("password", null));
		
		// 等效于上述代码
		Md5PasswordEncoder mpe = new Md5PasswordEncoder();
		mpe.setEncodeHashAsBase64(false);
		log.info(mpe.encodePassword("password", null));
		mpe.setEncodeHashAsBase64(true);
		log.info(mpe.encodePassword("password", null));
	}
	
	public static void processSha() {
		log.info("以SHA方式加密......................");
		
		// 直接指定待采用的加密算法(SHA)及加密强度(256)
		MessageDigestPasswordEncoder mdpeSha = new MessageDigestPasswordEncoder("SHA-256");
		mdpeSha.setEncodeHashAsBase64(false);
		log.info(mdpeSha.encodePassword("password", null));
		mdpeSha.setEncodeHashAsBase64(true);
		log.info(mdpeSha.encodePassword("password", null));
		
		// 等效于上述代码
		ShaPasswordEncoder spe = new ShaPasswordEncoder(256);		
		spe.setEncodeHashAsBase64(false);
		log.info(spe.encodePassword("password", null));
		spe.setEncodeHashAsBase64(true);
		log.info(spe.encodePassword("password", null));
	}
	
	public static void processSalt() {
		log.info("以MD5方式加密、加私钥(盐)......................");
		
		Md5PasswordEncoder mpe = new Md5PasswordEncoder();
		mpe.setEncodeHashAsBase64(false);
		
		// 等效的两行地代码
		log.info(mpe.encodePassword("password{javaee}", null)); // javaee为密码私钥
		log.info(mpe.encodePassword("password", "javaee")); // javaee为密码私钥
		// 结果:87ce7b25b469025af0d5c6752038fb56
	}
	
	/**
	 * @param args
	 */
	public static void main(String[] args) {
		processMd5();
		processSha();
		processSalt();
	}

}

 

 

 

 

开发环境:
MyEclipse 5.0GA
Eclipse3.2.1
JDK1.5.0_10
tomcat5.5.23
acegi-security-1.0.7
Spring2.0

Jar包:
acegi-security-1.0.7.jar
Spring.jar(2.0.8)
commons-codec.jar
jstl.jar (1.1)
standard.jar
commons-logging.jar(1.0)



 

ageofnodoubt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
acegi的一个异常错误
silence1214的专栏
12-01 4290
<br />昨天学习acegi,发现一个异常<br />org.acegisecurity.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext at org.acegisecurity.intercept.AbstractSecurityInterceptor.credentialsNotFound(AbstractSecurityInterce
-手把手你把Acegi应用实际项目(1.2)
03-01
程将引导初学者逐步了解如何在实际项目应用Acegi安全框架,以便为你的Web应用提供强大的身份验证和授权功能。 首先,让我们理解Acegi的基础概念。Acegi的核心组件包括SecurityContext、Authentication和...
学习Acegi应用实际项目(5)
dashabi201412的博客
04-23 119
  实际企业应用,用户密码一般都会进行加密处理,这样才能使企业应用更加安全。既然密码的加密如此之重要,那么Acegi(Spring Security)作为成熟的安全框架,当然也我们提供了相应的处理方式。   针对用户密码的加密工作,DaoAuthenticationProvider同时暴露了passwordEncoder和saltSource属性。PasswordEncoder和Sa...
-手把手你把Acegi应用实际项目(1.1)
共勉
09-21 72
-手把手你把Acegi应用实际项目(1.1) 博客分类: Acegi Acegi项目管理应用服务器BeanSpring 相信不少朋友们对于学习Acegi的过程是比较痛苦的,而且可能最初一个例子都没能真正运行起来。即使能运行起来,对于里面那么多的配置,更搞不清楚为什么要那么配,多配一个和少配一个究竟有什么区别? 最终头都大了^_^ 基于各方面的原因,本人决定写一系列关于Aceg...
-手把手你把Acegi应用实际项目(2)
共勉
09-21 95
-手把手你把Acegi应用实际项目(2) 博客分类: Acegi Acegi项目管理BeanJSPUI 上一篇是基于BasicProcessingFilter的基本认证,这篇我们改用AuthenticationProcessingFilter基于表单的认证方式。 1、authenticationProcessingFilter   处理认证请求...
-手把手你把Acegi应用实际项目(3)
共勉
09-22 75
这一节我们将要了解的是AnonymousProcessingFilter、RememberMeProcessingFilter和LogoutFilter三个过滤器。 1、AnonymousProcessingFilter 在大部分企业应用,存在许多不需要用户登录就可以访问的资源,比如登录页面、退出页面、主页等。鉴于此,Acegi提供了匿名认证服务。这样能够使所有的W...
-手把手你把Acegi应用实际项目(4)
共勉
09-22 85
今天就讲个ConcurrentSessionFilter。 在Acegi 1.x版本,控制并发HttpSession和Remember-Me认证服务不能够同时启用,它们之间存在冲突问题,这是该版本的一个Bug,希望他们尽快改进!!关于这方面的资料,网上很多有说,不明白的朋友可以去了解了解。 在一些应用场合,企业可能需要限制同一帐号在同一时间登录到同一Web应用的次数,即控制并发Http...
-手把手你把Acegi应用实际项目(6)
共勉
09-22 102
在企业应用,用户的用户名、密码和角色等信息一般存放在RDBMS(关系数据库)。前面几节我们采用的是InMemoryDaoImpl,即基于内存的存放方式。这节我们将采用RDBMS存储用户信息。 UserDetailsService的接口实现有JdbcDaoImpl和InMemoryDaoImpl。JdbcDaoImpl通过数据库获取用户名、密码和角色信息,它将是接下来...
-手把手你把Acegi应用实际项目(7)-缓存用户信息
共勉
09-23 95
首先讲讲EhCache。在默认情况下,即在用户未提供自身配置文件ehcache.xml或ehcache-failsafe.xml时,EhCache会依据其自身Jar存档包含的ehcache-failsafe.xml文件所定制的策略来管理缓存。如果用户在classpath下提供了ehcache.xml或ehcache-failsafe.xml文件,那么EhCache将会应用这个文件。如果两个文件同时...
-手把手你把Acegi应用实际项目
08-13
在本文,我们将深入理解如何将Acegi应用实际项目,特别关注其核心配置——web.xml的过滤器设置和Acegi安全文件的配置。 首先,我们来看web.xml的过滤器配置: 1. **FilterToBeanProxy**:Acegi通过...
acegi-sample.rar_acegi
09-19
这个"acegi-sample.rar_acegi"项目提供了一个详细的示例,帮助开发者理解并应用Acegi框架的核心功能。下面我们将深入探讨Acegi的主要特性及其在实际开发应用。 1. **认证与授权**: Acegi框架的核心是它对用户...
acegi-sample.rar_acegi-1.0.7_acegi-sample.part2_spring-1.2.4.jar
09-23
这个压缩包的"acegi-sample"部分可能包含了一个示例项目,展示了如何在实际应用配置和使用Acegi Security。而"spring-1.2.4.jar"则是Spring框架的一个较旧版本,表明Acegi Security是在Spring 1.x时代设计的,那...
centos7安装jdk1.8新
07-08
centos7安装jdk1.8
2024年东南亚防火门市场深度研究及预测报告.pdf
最新发布
07-08
东南亚位于我国倡导推进的“一带一路”海陆交汇地带,作为当今全球发展最为迅速的地区之一,近年来区域内生产总值实现了显著且稳定的增长。根据东盟主要经济体公布的最新数据,印度尼西亚2023年国内生产总值(GDP)增长5.05%;越南2023年经济增长5.05%;马来西亚2023年经济增速为3.7%;泰国2023年经济增长1.9%;新加坡2023年经济增长1.1%;柬埔寨2023年经济增速预计为5.6%。 东盟国家在“一带一路”沿线国家的总体GDP经济规模、贸易总额与国外直接投资均为最大,因此有着举足轻重的地位和作用。当前,东盟与国已互相成为双方最大的交易伙伴。-东盟贸易总额已从2013年的443亿元增长至 2023年合计超逾6.4万亿元,占国外贸总值的15.4%。在过去20余年,东盟国家不断在全球多变的格局里面临挑战并寻求机遇。2023东盟国家主要经济体受到国内消费、国外投资、货币政策、旅游业复苏、和大宗商品出口价企稳等方面的提振,经济显现出稳步增长态势和强韧性的潜能。 本调研报告旨在深度挖掘东南亚市场的增长潜力与发展机会,分析东南亚市场竞争态势、销售模式、客户偏好、整体市场营商环境,为国内企业出海开展业务提供客观参考意见。 本文核心内容: 市场空间:全球行业市场空间、东南亚市场发展空间。 竞争态势:全球份额,东南亚市场企业份额。 销售模式:东南亚市场销售模式、本地代理商 客户情况:东南亚本地客户及偏好分析 营商环境:东南亚营商环境分析 本文纳入的企业包括国外及印尼本土企业,以及相关上下游企业等,部分名单 QYResearch是全球知名的大型咨询公司,行业涵盖各高科技行业产业链细分市场,横跨如半导体产业链(半导体设备及零部件、半导体材料、集成电路、制造、封测、分立器件、传感器、光电器件)、光伏产业链(设备、硅料/硅片、电池片、组件、辅料支架、逆变器、电站终端)、新能源汽车产业链(动力电池及材料、电驱电控、汽车半导体/电子、整车、充电桩)、通信产业链(通信系统设备、终端设备、电子元器件、射频前端、光模块、4G/5G/6G、宽带、IoT、数字经济、AI)、先进材料产业链(金属材料、高分子材料、陶瓷材料、纳米材料等)、机械制造产业链(数控机床、工程机械、电气机械、3C自动化、工业机器人、激光、工控、无人机)、食品药品、医疗器械、农业等。邮箱:market@qyresearch.com
赚积分午点爬虫,我也没太看懂
07-08
赚积分午点爬虫,我也没太看懂
右键单功能实现.html
07-08
html+js+css实现 右键单功能
ACEGI
08-06
ACEGI Security是一个为基于J2EE的企业应用提供全面安全服务的框架,特别适用于使用Spring框架开发的项目。如果您不是使用Spring开发企业应用,我们强烈建议您仔细研究一下ACEGI Security。熟悉Spring,特别是理解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值