Acegi安全框架1.0.4版发布与社区讨论

Acegi 1.04正式版已于5月25日发布，该版中修正了前一版中许多令人困扰缺陷，如常见的登出时空指针异常、不同身份用户间切换失败、RememberMe失效以及ConcurrentSession与RememberMe冲突等问题已得到合理的解决，同时也有不少令人感到高兴的改进。

Acegi是为Java企业级安全应用而提供的一个灵活、强大而成熟的安全认证框架（尤其针对基于Spring Framework上的应用）。Acegi 提供了全面的认证、授权、对象访问控制、单点登陆、以及智能识别等安全控制功能，能解决各种复杂的企业安全需求。通过对过滤器与AOP的合理使用，能让你的应用实现无入侵式的权限管理。

Acegi的下一个版本是2.0.0M1版，你可在Acegi的SVN中获取官方最新的源代码，并查看它的开发进度与日后发展方向。当你查阅Acegi文档后，仍遇到问题时，可到Spring官方论坛的Acegi版块亲自向Ben Alax(Acegi发起人，Interface21成员)提问，他是一个很热心回答问题的人。

安全控制在任何系统中都是必不可少的，因此一直以来，国内技术社区对Acegi的研究与应用也颇为广泛。

Javaeye的Acegi专栏中就有多篇很值得关注的文章，其中包括了不少学习心得，以及实际应用Acegi到项目中的经验之谈。其中王政在Acegi资源配置动态扩展实现文章中提及了如何扩展Acegi以更好地适应实际项目的需要：

在使用Acegi Security Framework 的过程中，如果细心的话，会发现其资源和角色配置是在配置文件中的……

上面的配置从功能上实现了资源与角色的映射，但用户可能会提出在运行期动态改变权限分配的需求，配置文件策略可能略显不足，下面我将提供一种基于数据库的策略解决此问题……

 罗时飞近期出版的 《敏捷Acegi、CAS：构建安全的Java系统》 一书，基本上囊括了Acegi涉及的内容，可见作者确曾在Acegi的研究上下过一番苦工：

全书共分为4部分：第1部分介绍Web应用安全，主要围绕Java EE安全性编程模型、从宏观上看待Acegi及其初步使用等方面进行阐述；第2部分介绍Acegi认证支持，主要围绕Acegi支持的各种认证机制、各种认证提供者、各种企业级特性等内容展开论述，还重点介绍了Acegi内置的Captcha集成支持、Java EE容器适配器支持等；第3部分介绍Acegi授权支持，主要围绕Web资源、业务方法、领域对象的授权操作展开论述；第4部分介绍CAS 3认证支持，它主要从CAS 3服务器的使用及其内部架构角度给出论述。

除此外，《Spring in Action 中文版》也是不错的参考资料，其第11章重点讲述了Acegi中几个主要部分：安全拦截器、认证管理器、访问决策管理器、保护Web应用程序和保护方法调用等。

如果你并不想投入太多的精力学习Acegi，而想得到立即能集成到实际项目中的权限管理模块的话，那SpringSide的完整扩展实例会是个不错的选择：

SpringSide的Acegi扩展应用实例在SpringSide目录下的sandbox\security。该实例提供了完整而简洁的应用管理界面，应用示范，你可以在这基础进行自己管理系统的扩展。也可以在这基础上直接使用……

你可通过SVN获取源代码，并且集成过程中所遇到的大部分问题，都可在其相关文档与论坛中找到相关答案。