`
garyli
  • 浏览: 176803 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Acegi配置文档

    博客分类:
  • java
阅读更多
Acegi是基于Spring的一个开源的安全认证框架,现在的最新版本是1.04。Acegi的特点就是有很多的过滤器:不过我们也用不到这么多的过滤器,只是可以把它们看作为一个个的模块,在用的时候加上自己用的着的即可,由于认证的流程的方面比较复杂导致它的配置很复杂,如果能摸清它的工作原理还是不太难.下面用比较顺着人思维的流程过一遍
这里只列出常用的过滤器和拦载器
1. 过滤器:HttpSessionContextIntegrationFilter,authenticationProcessingFilter,BasicProcessingFilter,RememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter
2. 拦截器:filterSecurityInterceptor(其实它是过滤器,不过把它放在这里更能说明它的功能),methodSecurityInterceptor
看着上面的用红色标出的过滤器是用来认证(表单和HTTP基本认证,当然还有别的不过这两个比较长用)它们是资源访问的入口.其它的过滤器是用来辅助的:HttpSessionContextIntegrationFilter是用来把认证信息记录到Session中的RememberMeProcessingFilter是以cookie的形式来保存认证信息的. anonymousProcessingFilter是在匿名的时候(这时候是没有认证信息的)给这个用户分配一个匿名的认证信息,exceptionTranslationFilter总结一下异常并处理.在实际中选择适合程序的即可.
上面只是资源访问的入口,真正保护资源的是这两个拦截器:filterSecurityInterceptor,拦截URL的类(它是个过滤器)
metohdSecurityInterceptor,拦截类中方法的调用,它们为什么要拦截呢?就是想在访问或调用这些方法之前来判断一下用户是否有访问或调用的权限,有就通过,没有就踢出.
除此之外,Acegi专门做了两个管理器(实际上就是两个类,为什么会用做这两个管理器,因为认证和授权都有一些的操作,这就需要专门做两个管理器了):authenticationManager(class= org.acegisecurity.providers.ProviderManager),授权管理器accessDecisionManager(class=org.acegisecurity.vote.AffirmativeBased)
说白了一个用于认证用户,一个是用于权限的授于的
先来说认证用户,认证管理器有什么东西呢?只内置了一些提供者:这些提供者呢又是什么呢,他们是提供用户的验证身份信息的,比如从数据库或配置文件里读出用户名和密码,在用户的cookie里读出身份信息(rememberMeProcessingFilter用到的[前面讲了的,有印象吧]),或在Session里读出身份验证信息(HttpSessionContextIntegrationFilter起作用的),这里我们只说一下从数据库或配置文件里读出用户名密码来装配验证信息的,其它的配置类似可以找一下对应api在Spring里配置即可,daoAuthenticationProvider是数据库的提供者class=org.acegisecurity.providers.dao.DaoAuthenticationProvider,而它提供的服务呢又有几种,数据库和配置文件(这是Acegi的两个默认的实现)当然也可以自己实现(实现userDetailsService接口就行)

代码
<bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">  
        <property name="providers">  
            <list>  
                <ref local="daoAuthenticationProvider"/>  
            </list>  
        </property>  
    </bean>  
<bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">  
        <!-- <property name="userDetailsService"><ref local="InMemoryDaoImpl"/></property> --><!-- 这里有两种选择 -->  
        <property name="userDetailsService"><ref local="jdbcDaoImpl"/></property>  
    </bean>  

如果用户名和密码在配置文件里可以用InMemoryDaoImpl,class=org.acegisecurity.userdetails.memory.InMemoryDaoImpl,在这个类的userMap里配置即可:javafish=java,ROLE_USER,配置了一个用户名为javafish,密码为java,用户组为ROLE_USER的用户,不过最常用的还是数据库的JDBC实现(两个二选一)org.acegisecurity.userdetails.jdbc.JdbcDaoImpl里面需要usersByUsernameQuery和authoritiesByUsernameQuery还有数据源dataSource(有人问为什么呢,userByUsernameQuery是用来通过用户名来查密码的,authoritiesByUsernameQuery是用来通过用户名来查权限的,查询数据库肯定的用数据源吧这个里是用的SpringFrameWork的DataSource)它们查询的sql语句是有讲究的,就是查密码的时候查三个第一个是username,第二个是password,第三个是是否可用,查权限的时候查两个:username和authorities(具体看例子)

代码
<bean id="InMemoryDaoImpl" class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">  
        <property name="userMap">  
            <value>  
                javajavafish=java,ROLE_USER   
            </value>  
        </property>  
    </bean>  
    <bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">  
        <property name="usersByUsernameQuery">  
            <value>select username,password,enabled from users where username=?</value>  
        </property>  
        <property name="authoritiesByUsernameQuery">  
            <value>select username,authority from authorities where username=?</value>  
        </property>  
        <property name="dataSource">  
            <ref local="dataSource"/>  
        </property>  
    </bean>  
       
    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">  
        <property name="driverClassName">  
            <value>com.mysql.jdbc.Driver</value>  
        </property>  
        <property name="url">  
            <value>jdbc:mysql://localhost:3306/test</value>  
        </property>  
        <property name="username">  
            <value>root</value>  
        </property>  
        <property name="password">  
            <value>javafish</value>  
        </property>  
    </bean>  

下面说一下授权,授权管理器又有什么东西呢?accessDecisionManager,Acegi把授权方面弄的比较的形象化,把某个URL或方法是否可以被访问按投票的形式来决定,


Acegi提出来了几种方案:
1. 如果有一个赞成就同意(具体的说就是只要你在那个URL对应的几个用户组中的一个就让你访问)
2. 如果都赞成就同意(具本的说就是那个URL对应的几个用户组里都有你,你才能访问)
3. 如果都不反对就同意(这个在下面讲投票者的时候再说)


代码
<bean id="accessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased">  
        <property name="allowIfAllAbstainDecisions"><!-- 是否让全部弃权的通过 -->  
            <value>false</value>  
        </property>  
        <property name="decisionVoters"><!-- 投票者们 -->  
            <ref bean="roleVoter"/>  
        </property>  
    </bean>  

而投票者呢:Acegi自己实现了一个投票者的类RoleVoter:
现在我用第一种方案,RoleVoter只是在URL对应的用户组里有ROLE_为前缀的才进行投票,否则的话弃权.(我们也可以在配置RoleVoter的时候把ROLE_配置成为别的前缀如JAVA_),分别对URL对应的每个用户组投票,如果用户在这个用户组里就投赞成,不在投反对(在用户组的前缀是ROLE_的前提下)这样就不难体会第三种方案的用途了吧

代码
<bean id="roleVoter" class="org.acegisecurity.vote.RoleVoter">  
        <property name="rolePrefix">  
            <value>ROLE_</value><!-- 可以改成别的 -->  
        </property>  
    </bean>  

这样认证管理器和授权管理器就ok了,别的无论是过滤器还是拦截器都会用到它们两个,因为它们都要验证而这两个就是凭证.
那么那两个访问过滤器呢,先说authenticationProcessingFilter是用于表单登陆的

代码
<bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">  
        <property name="authenticationManager"><ref bean="authenticationManager"/></property>  
        <property name="authenticationFailureUrl"><value>/failure.html</value></property><!--登陆失败转向的页面  -->  
        <property name="defaultTargetUrl"><value>/ok.html</value></property><!-- 登陆成功转向的页面 -->  
        <property name="filterProcessesUrl"><value>/check</value></property><!-- 要验证的地址 -->  
    </bean>  

这样的话加上上面配置的认证管理器就已经可以处理登陆了(注意的是它没有用到授权管理器,因为它只是个访问入口还没有权限的授予)
再说一下HTTP基本认证:它比上面的略复杂一点
需要配置一个

代码
<bean id="BasicProcessingFilterEntryPoint" class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint">  
        <property name="realmName"><value>javafish</value></property><!-- 基本认证对话框上显示的字 -->  
    </bean>  
然后   
<bean id="BasicProcessingFilter" class="org.acegisecurity.ui.basicauth.BasicProcessingFilter">  
        <property name="authenticationManager">  
            <ref bean="authenticationManager"/>  
        </property>  
        <property name="authenticationEntryPoint">  
            <ref bean="BasicProcessingFilterEntryPoint"/>  
        </property>  
    </bean>  

即可.
不过在HTTP基本认证里需要注意的地方是:好多人配置好了怎么看不到效果啊,一开始我也是很郁闷,看了BasicProcessingFilter的源代码:
String header = httpRequest.getHeader("Authorization");//我们一般进入网页测试的时候这里的header始终是null的

代码
if (logger.isDebugEnabled()) {   
            logger.debug("Authorization header: " + header);   
        }   
        if ((header != null) && header.startsWith("Basic ")) {//从这里可以看到一般的登陆基本认证是不起作用的   
.................   

只有在服务器上配置哪个目录在访问的时候用HTTP基本认证,它才会起作用(一开始还以为是Acegi的BUG呢)
下面说一下真正对URL资源的保护了filterSecurityInterceptor它的本质是个过滤器,有了前面*管理器的基础了这就很容易了:

代码
<bean id="filterSecurityInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">  
        <property name="authenticationManager">  
            <ref local="authenticationManager"/>  
        </property>  
        <property name="accessDecisionManager">  
            <ref local="accessDecisionManager"/>  
        </property>  
        <property name="objectDefinitionSource"><!-- 把URL和可访问的用户组对应起来 -->  
            <value>  
                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON<!-- 把URL全部转化为小写 -->  
                PATTERN_TYPE_APACHE_ANT<!-- 以ANT的形式来配置路径 -->  
                /ok.html=ROLE_USER  
            </value>  
        </property>  
    </bean>  

光这样配置还是不够的,因为当授权失败的时候会抛出异常的,我们应该配置一个异常过滤器来捕获它,exceptionTranslationFilter它是用来捕获异常的,看一下配置吧:

代码
<bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">  
      <property name="authenticationEntryPoint"><ref local="authenticationProcessingFilterEntryPoint"/></property>  
      <property name="accessDeniedHandler">  
        <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">  
            <property name="errorPage" value="/failure.html"/><!-- 发生异常转向的网页 -->  
        </bean>  
      </property>  
   </bean>  
   <bean id="authenticationProcessingFilterEntryPoint" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">  
        <property name="loginFormUrl"><value>/Login.html</value></property><!-- 得到表单的信息 -->  
        <property name="forceHttps"><value>false</value></property><!-- 不用https -->  
   </bean>  

这样就OK了
最后说一下对类中方法的保护:
首先写一个类并在spring中配置好:

代码
package org.li.acegi;   
  
public class TestAcegi   
{   
    public void Role()   
    {   
        System.out.println("javafish");   
    }   
}   
<bean id="testAcegi" class="org.li.acegi.TestAcegi"/>   

然看写个servlet访问一下它

代码
package org.li.servlet;   
  
import java.io.IOException;   
import java.io.PrintWriter;   
  
import javax.servlet.ServletException;   
import javax.servlet.http.HttpServlet;   
import javax.servlet.http.HttpServletRequest;   
import javax.servlet.http.HttpServletResponse;   
  
import org.li.acegi.TestAcegi;   
import org.springframework.context.ApplicationContext;   
import org.springframework.web.context.support.WebApplicationContextUtils;   
  
public class TestServlet extends HttpServlet   
{   
    private static final long serialVersionUID = -5610016980827214773L;   
  
    public void doGet(HttpServletRequest request, HttpServletResponse response)   
            throws ServletException, IOException   
    {   
        response.setContentType("text/html;charset=GBK");   
        PrintWriter out = response.getWriter();   
        ApplicationContext ctx =    
            WebApplicationContextUtils.getRequiredWebApplicationContext(request.getSession().getServletContext());   
        TestAcegi test = (TestAcegi)ctx.getBean("testAcegi");   
        test.Role();//访问TestAcegi类的Role方法   
        out.println("调用成功");   
    }   
  
    public void doPost(HttpServletRequest request, HttpServletResponse response)   
            throws ServletException, IOException   
    {   
        doGet(request,response);   
    }   
  
}   

准备工作做好了,开始配置Acegi
先在Spring里给Acegi做个代理:

代码
<bean id="autoProxyCreator" class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">  
        <property name="beanNames">  
            <list>  
                <value>testAcegi</value><!-- 要代理的Bean的id -->  
            </list>  
        </property>  
        <property name="interceptorNames">  
            <list>  
                <value>methodSecurityInterceptor</value><!-- 代理为... -->  
            </list>  
        </property>  
    </bean>  

里面的methodSecurityInterceptor呢配置为:

代码
<bean id="methodSecurityInterceptor" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">  
        <property name="authenticationManager">  
            <ref bean="authenticationManager"/>  
        </property>  
        <property name="accessDecisionManager">  
            <ref bean="accessDecisionManager"/>  
        </property>  
        <property name="objectDefinitionSource"><!-- 对代理的类的方法开始配置权限 -->  
            <value>org.li.acegi.TestAcegi.Role=ROLE_USER</value>  
        </property>  
    </bean>  

这样当直接访问http://localhost:8080/AcegiWeb/servlet/TestServlet的时候会发现不可访问,控件台也不输出”javafish”,当输入正确的用户名和密码之后便可以访问.
这样它就对类的方法调用起了保护的作用,这一点可以把Acegi应用到DWR上效果是很理想的.
对于Acegi有很多的过滤器不用全写在web.xml里,acegi提供了一个特殊的过滤器我们可以写成这样,在Web.xml里:

代码
<filter>  
        <filter-name>Acegi</filter-name>  
        <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>  
        <init-param>  
            <param-name>targetClass</param-name>  
            <param-value>org.acegisecurity.util.FilterChainProxy</param-value>  
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>Acegi</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <context-param>  
        <param-name>contextConfigLocation</param-name>  
        <param-value>  
            /WEB-INF/applicationContext.xml   
        </param-value>  
    </context-param>  
    <listener>  
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>  
    </listener>  
       
    <listener>  
        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>  
    </listener>  
    <listener>  
        <listener-class>org.acegisecurity.ui.session.HttpSessionEventPublisher</listener-class>  
    </listener>  
  <servlet>  
    <servlet-name>TestServlet</servlet-name>  
    <servlet-class>org.li.servlet.TestServlet</servlet-class>  
  </servlet>  
  
  <servlet-mapping>  
    <servlet-name>TestServlet</servlet-name>  
    <url-pattern>/servlet/TestServlet</url-pattern>  
  </servlet-mapping>  

在Spring的配置文件里:

代码
<bean id="chainProxy" class="org.acegisecurity.util.FilterChainProxy">  
        <property name="filterInvocationDefinitionSource">  
            <value>  
                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON   
            PATTERN_TYPE_APACHE_ANT   
            /**=HttpSessionContextIntegrationFilter,authenticationProcessingFilter,BasicProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,filterSecurityInterceptor   
            </value>  
        </property>  
    </bean>  
分享到:
评论

相关推荐

    acegi配置文件

    acegi配置文件清单

    ldap与Acegi? ----Acegi配置文件解剖

    被解剖的acegi配置文件. 博文链接:https://rmn190.iteye.com/blog/175041

    spring acegi 详细文档

    在Spring Acegi中,安全配置通常通过XML配置文件完成,但也可以使用注解进行简化。配置包括定义访问控制规则、配置认证和授权策略,以及设置安全过滤器链。 例如,以下是一个简单的XML配置示例,定义了一个URL访问...

    Acegi配置指南[整理].pdf

    首先,我们需要在 `web.xml` 文件中配置 Acegi 的过滤器。在示例代码中,定义了一个名为 `Acegi Filter Chain Proxy` 的过滤器,其类为 `org.acegisecurity.util.FilterToBeanProxy`。这个过滤器的作用是创建一个...

    Acegi 详细配置说明

    例如,为了配置认证管理器,我们可以创建一个`UserDetailsService`实现,然后在Acegi配置中引用它: ```xml &lt;bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager"&gt; ...

    Spring acegi 3 文档

    在提供的压缩包文件中,可能包含了 Spring Acegi 3 的官方文档,这将帮助开发者深入理解框架的工作原理和使用方法。文档通常会涵盖安装指南、配置示例、API 参考等内容,对于学习和使用 Spring Acegi 3 极为重要。...

    Acegi配置指南

    在配置Acegi时,首先需要在`web.xml`文件中定义一个名为`Acegi Filter Chain Proxy`的过滤器。这个过滤器是Acegi安全机制的核心,它负责拦截所有请求并根据配置执行相应的安全策略。下面是一段典型的`web.xml`配置...

    acegi

    - "aopacegi"可能是一个包含Acegi与AOP相关配置或实现的文件,可能涉及切面的定义和安全策略的配置。 Acegi Security在过去的开发实践中扮演了重要角色,它的设计理念和实现方式对后来的安全框架产生了深远影响。...

    acegi实例,acegi详细配置和代码实现

    在本实例中,我们将探讨Acegi Security的配置、详细设置以及如何通过代码实现其功能。 首先,让我们理解Acegi Security的核心概念。该框架提供了一种基于角色的访问控制(RBAC)机制,允许开发人员定义用户权限并...

    Acegi 数据库配置安全策略 源代码及图解

    4. **XML配置转换**:在传统的Acegi配置中,安全规则通常写在XML配置文件中。这个资源可能包含了将这些静态XML配置转换为动态数据库配置的方法,这样可以更方便地根据用户角色和权限来调整安全策略。 5. **过滤器与...

    springside 玩转acegi

    applicationContext-acegi-security.xml acegi配置文件 博文链接:https://yahaitt.iteye.com/blog/143432

    acegi安全策略与CAS整合

    文档接下来的部分将详细描述每一个配置步骤,包括XML配置文件的修改,代码的编写,以及可能遇到的问题和解决方法。 5. 示例和最佳实践: 文档可能还会包含实际示例代码,以及在不同场景下最佳的配置实践,帮助读者...

    CAS及客户端Acegi的安装配置指南

    这可能需要在Acegi的配置文件中添加如下的bean定义: ```xml &lt;bean id="casAuthenticationProvider" class="org.acegisecurity.providers.cas.CasAuthenticationProvider"&gt; &lt;bean class="org....

    acegi的详细配置实现

    这主要是通过配置属性文件来实现的,这些文件包含了不同语言的文本信息。 ##### 3.2 过滤器(Filters) 过滤器是Acegi Security实现安全性的一个关键组成部分,它们负责处理HTTP请求并执行相应的安全检查。例如,**...

    spring acegi 使用工程demo

    3. **配置**:在Spring配置文件中,我们需要定义`&lt;security:global-method-security&gt;`来启用Acegi,然后配置`&lt;security:http&gt;`元素来设置URL过滤规则,如登录页面、访问权限等。 4. ** acegi.sql**:这个文件可能...

    基于java的ACEGI

    2. **配置Spring**:在Spring的配置文件中,定义Acegi的安全上下文,包括认证和授权策略。 3. **定义安全元数据**:创建XML配置或使用注解来指定哪些URL、方法需要进行安全控制。 4. **实现认证和授权逻辑**:根据...

    Acegi学习笔记(JAVA系统安全编程时用到)

    在 Web 应用程序中集成 Acegi 和 Spring,你需要在 `web.xml` 文件中配置 `ContextLoaderListener`,这会启动 Spring 上下文并加载配置文件。例如,你可以指定 `contextConfigLocation` 为 `/WEB-INF/acegi-config....

    acegi+ldap

    "server.xml"是Apache Tomcat或其他Servlet容器的配置文件,可能包含了关于如何配置和连接到LDAP服务器以及设置Acegi安全过滤器链的细节。在该文件中,我们可以找到关于端口设置、部署应用上下文路径、数据源配置...

Global site tag (gtag.js) - Google Analytics