acegi在appfuse中的应用
转自:http://pipboy.group.iteye.com/group/topic/2262
|
Acegi是Spring Framework 下最成熟的安全系统,它提供了强大灵活的企业级安全服务,如完善的认证和授权机制,Http资源访问控制,Method 调用访问控制,Access Control List (ACL) 基于对象实例的访问控制,Yale Central Authentication Service (CAS) 耶鲁单点登陆,X509 认证,当前所有流行容器的认证适配器,Channel Security频道安全管理等功能。
我着重说明一下appfuse是怎么使用acegi的: 1)web.xml:
<filter>
<filter-name>securityFilter</filter-name>
<filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>
<init-param>
<param-name>targetClass</param-name>
<param-value>org.acegisecurity.util.FilterChainProxy</param-value>
</init-param>
</filter>
Acegi通过实现了Filter接口的FilterToBeanProxy提供一种特殊的使用Servlet Filter的方式,它委托Spring中的Bean -- FilterChainProxy来完成过滤功能,这好处是简化了web.xml的配置,并且充分利用了Spring IOC的优势。FilterChainProxy包含了处理认证过程的filter列表,每个filter都有各自的功能。 <filter-mapping>限定了FilterToBeanProxy的URL匹配模式,有如下的请求才会受到权限控制。
<filter-mapping>
<filter-name>securityFilter</filter-name>
<url-pattern>/j_security_check</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>securityFilter</filter-name>
<url-pattern>/dwr/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>securityFilter</filter-name>
<url-pattern>*.html</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>securityFilter</filter-name>
<url-pattern>*.jsp</url-pattern>
</filter-mapping>
这里配置了其他的xml文件我们主要看/WEB-INF/security.xml。
<context-param> <param-name>contextConfigLocation</param-name> <param-value>/WEB-INF/applicationContext-*.xml,/WEB-INF/security.xml</param-value> </context-param> 2)过滤的代理: 在security中我们首先看到的是过滤代理:
<!-- ======================== FILTER CHAIN ======================= -->
<bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
<property name="filterInvocationDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
/**=httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,securityContextHolderAwareRequestFilter,rememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor
</value>
</property>
</bean>
其中CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON是 将请求转变成为小写。 PATTERN_TYPE_APACHE_ANT是按照ant的方式进行匹配模式 FilterChainProxy会按顺序来调用这些filter,使这些filter能享用Spring ioc的功能。 3)基本验证管理: 我们先看一下它是怎么进行验证管理的。
<!-- 验证管理 -->
<bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
<property name="providers">
<list>
<!-- 从数据库中读取用户信息验证身份 -->
<ref local="daoAuthenticationProvider"/>
<!-- 匿名用户身份认证 -->
<ref local="anonymousAuthenticationProvider"/>
<!-- 已存cookie中的用户信息身份认证 -->
<ref local="rememberMeAuthenticationProvider"/>
</list>
</property>
</bean>
<!-- 从数据库中读取用户信息验证身份 -->
<bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
<property name="userDetailsService" ref="userDao"/>
<property name="userCache" ref="userCache"/>
<property name="passwordEncoder" ref="passwordEncoder"/>
</bean>
<!-- 匿名用户身份认证 -->
<bean id="anonymousAuthenticationProvider" class="org.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider">
<property name="key" value="anonymous"/>
</bean>
<!-- 已存cookie中的用户信息身份认证 -->
<bean id="rememberMeAuthenticationProvider" class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider">
<property name="key" value="appfuseRocks"/>
</bean>
首先daoAuthenticationProvider是从数据库中读取数据进行验证。 userDetailsService属性使用了userDao进行的读取(userDao实现 org.acegisecurity.userdetails.UserDetailsService接口,而user类实现 org.acegisecurity.userdetails.UserDetails才能userDetailsService里使用),还可以使用其 他的方式比如直接链接数据源等等。 userCache属性注明使用缓存,对于不经常改变的user放到缓存里可以大大减少数据库的负担。也可以选择不使用,如果不使用则每次都登录都从数据中查询用户信息。 passwordEncoder属性则注明密码加密的方法, 使用加密器对用户输入的明文进行加密。Acegi提供了三种加密器: PlaintextPasswordEncoder—默认,不加密,返回明文. ShaPasswordEncoder—哈希算法(SHA)加密 Md5PasswordEncoder—消息摘要(MD5)加密
<bean id="passwordEncoder" class="org.acegisecurity.providers.encoding.ShaPasswordEncoder"/> 这里使用的哈希算法(SHA)加密。 其次,anonymousAuthenticationProvider是给与匿名用户一个匿名的权限anonymous。 最后,rememberMeAuthenticationProvider则是把登录的权限存储在cookie里,不loginout时关闭浏览器,再度打开浏览器依旧保留权限(密码修改时有特殊的限制)。 验证管理者(authenticationManager)包含三个验证提供者(daoAuthenticationProvider, anonymousAuthenticationProvider,rememberMeAuthenticationProvider),当然可以适当 的简略。 怎么进行验证的呢? 3)过滤: 1.HttpSessionContextIntegrationFilter 每次request前 HttpSessionContextIntegrationFilter从Session中获取Authentication对象,在request完 后, 又把Authentication对象保存到Session中供下次request使用,此filter必须其他Acegi filter前使用,使之能跨越多个请求。 2. logoutFilter 该Filter负责处理退出登录后所需要的清理工作。它会把session销毁,把ContextHolder清空, 把rememberMeServices从cookies中清除掉,然后重定向到指定的退出登陆页面。 3. authenticationProcessingFilter 该Filter负责处理登陆身份验证。当接受到与filterProcessesUrl所定义相同的请求时,它会首先通过 AuthenticationManager来验证用户身份。如果验证成功,则重定向到defaultTargetUrl所定义的成功登陆页面。如果验证 失败,则再从rememberMeServices中获取用户身份,若再获取失败,则重定向到authenticationFailureUrl所定义登 陆失败页面。 配置如下:
<bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter"> <property name="authenticationManager" ref="authenticationManager"/> <property name="authenticationFailureUrl" value="/login.jsp?error=true"/> <property name="defaultTargetUrl" value="/"/> <property name="filterProcessesUrl" value="/j_security_check"/> <property name="rememberMeServices" ref="rememberMeServices"/> </bean> authenticationFailureUrl定义登陆失败时转向的页面 defaultTargetUrl定义登陆成功时转向的页面 filterProcessesUrl定义登陆请求的页面 rememberMeServices用于在验证成功后添加cookie信息 4.securityContextHolderAwareRequestFilter 该Filter负责通过Decorate Model(装饰模式),装饰的HttpServletRequest对象。其Wapper是ServletRequest包装类 HttpServletRequestWrapper的子类(SavedRequestAwareWrapper或 SecurityContextHolderAwareRequestWrapper),附上获取用户权限信息,request参数,headers, Date headers 和 cookies 的方法。 p.s. 如果把channelProcessingFilter放到securityContextHolderAwareRequestFilter前面则进行SSL的过滤。 5.rememberMeProcessingFilter 该Filter负责在用户登录后在本地机上记录用户cookies信息,免除下次再次登陆。检查AuthenticationManager 中是否已存在Authentication对象,如果不存在则会调用RememberMeServices的aotoLogin方法来从cookies中 获取Authentication对象 6.anonymousProcessingFilter 该Filter负责为当不存在任何授权信息时,自动为Authentication对象添加userAttribute中定义的匿名用户权限 7.exceptionTranslationFilter 该过滤器负责处理各种异常,然后重定向到相应的页面中。 8.filterInvocationInterceptor 该过滤器会首先调用AuthenticationManager判断用户是否已登陆认证,如还没认证成功,则重定向到登陆界面。认证成功,则并从 Authentication中获取用户的权限。然后从objectDefinitionSource属性获取各种URL资源所对应的权限。最后调用 AccessDecisionManager来判断用户所拥有的权限与当前受保华的URL资源所对应的权限是否相匹配。如果匹配失败,则返回403错误 (禁止访问)给用户。匹配成功则用户可以访问受保护的URL资源。
<bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager"/>
<property name="objectDefinitionSource">
<value>
PATTERN_TYPE_APACHE_ANT
/clickstreams.jsp*=admin
/flushCache.*=admin
/passwordHint.html*=ROLE_ANONYMOUS,admin,user
/reload.*=admin
/signup.html*=ROLE_ANONYMOUS,admin,user
/users.html*=admin
/**/*.html*=admin,user
</value>
</property>
</bean>
其中使用了accessDecisionManager,他是经过投票机制来决定是否可以访问某一资源(URL或方法)。 allowIfAllAbstainDecisions为false时如果有一个或以上的decisionVoters投票通过,则授权通过。可选的决策 机制有ConsensusBased和UnanimousBased。
<bean id="accessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased">
<property name="allowIfAllAbstainDecisions" value="false"/>
<property name="decisionVoters">
<list>
<bean class="org.acegisecurity.vote.RoleVoter">
<property name="rolePrefix" value=""/>
</bean>
</list>
</property>
</bean>
roleVoter表示必须是以rolePrefix设定的value开头的权限才能进行投票,如AUTH_ , ROLE_等,实现用户分组。 4)方法执行前权限验证
<!-- 类代理 -->
<aop:config>
<aop:advisor id="managerSecurity" advice-ref="methodSecurityInterceptor" pointcut="execution(* cn.scs.service.UserManager.*(..))"/>
<aop:advisor id="personManagerSecurity" advice-ref="methodSecurityInterceptor" pointcut="execution(* cn.scs.service.PersonManager.*(..))"/>
</aop:config>
<!-- 在执行方法前进行拦截,检查用户权限信息 -->
<bean id="methodSecurityInterceptor" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="accessDecisionManager"/>
<property name="objectDefinitionSource">
<value>
cn.scs.service.UserManager.getUsers=admin
cn.scs.service.UserManager.removeUser=admin
cn.scs.service.PersonManager.getPeople=ROLE_ANONYMOUS
</value>
</property>
</bean>
可以把类MethodSecurityInterceptor注入到代理了的类中,实现在方法执行之前进行验证。 大概就是这样了。有什么问题才讨论。 |
|
|
snowind9 2007-08-11
再介绍一个aecgi的常用标签(一共只有4个)
<authz:authorize> 这个标签来控制页面元素的显示与否。 主要有如下属性 ifAnyGranted 只要有任意权限相当于或者(||)这个经常使用 ifAllGranted 需要有所列出的全部权限 相当于并且(&&) ifNotGranted 不能有任意权限 相当于非(!)和第一个配合使用 用这些就可以控制页面元素的显示与否了 例:
<authz:authorize ifAnyGranted="ROLE_ADMIN">
<display:column property="infoId" sortable="true" href="infoContentform.html?typeId=${typeId}" media="html"
paramId="infoId" paramProperty="infoId" titleKey="infoContent.infoId"/>
</authz:authorize>
<authz:authorize ifNotGranted="ROLE_ADMIN">
<display:column property="infoId" sortable="true" titleKey="infoContent.infoId"/>
</authz:authorize>
结合了<authz:authorize>控制displayTag标签的显示。 |