- 浏览: 400451 次
- 性别:
- 来自: 广州
文章分类
最新评论
-
xxbb77:
说的有点道理
保持好奇心,把时间花在刀刃上 -
JavaAiHaoZhezh:
有时候需要学会放手,别让自己太劳累 -
1011729483:
你好:楼主我想请问一下刚开始你访问项目进去login.jsp页 ...
菜鸟-手把手教你把Acegi应用到实际项目中(2) -
zhglance:
很赞,胜过好多出版物
程序员必备:Linux日常维护命令 -
zizhi9999:
为什么我的总是说timeout呢 很急 啊
利用SNMP获取、走访节点值
在实际应用中,开发者有时需要将Web资源授权信息(角色与授权资源之间的定义)存放在RDBMS中,以便更好的管理。事实上,我觉得一般的企业应用都应当如此,因为这样可以使角色和Web资源的管理更灵活,更自由。那么,我们应当如何实现这个需求呢?在接下来的内容当中,我们将一一解说。
我们都知道,一般Web资源授权信息的配置类似如下代码:
<bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor"> …… <property name="objectDefinitionSource"> <value> <![CDATA[ CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /secure/**=ROLE_SUPERVISOR /authenticate/**=ROLE_USER,ROLE_SUPERVISOR /**=IS_AUTHENTICATED_ANONYMOUSLY ]]> </value> </property> </bean>
objectDefinitionSource 属性定义发Web资源授权信息(角色与授权资源之间的关系)
objectDefinitionSource 属性指定了”PATTERN_TYPE_APACHE_ANT”,即希望启用Apache Ant路径风格的URL匹配模式,则FilterInvocationDefinitionSourceEditor会实例化PathBasedFilterInvocationDefinitionMap实例。如果未指定这一字符串,即希望采用默认的正是表达式,则RegExpBasedFilterInvocationDefinitionMap会被实例化。注意,PathBasedFilterInvocationDefinitionMap和RegExpBasedFilterInvocationDefinitionMap都是FilterInvocationDefinitionSource的实现类。
当Web容器装载Acegi时,Spring会自动找到FilterInvocationDefinitionSourceEditor属性编辑器,并采用它解析上述Web资源授权信息。由于FilterInvocationDefinitionSource同FilterInvocationDefinitionSourceEditor处在同一个Java包中,因此开发者不用显式注册这一属性编辑器,Spring会透明地为开发者考虑到这一切。
为了能够通过RDBMS维护Web资源授权信息,我们必须提供自身的FilterInvocationDefinitionSource实现类。
Acegi 安全系统需要记录一些配置信息,这些配置信息用于各种可能的请求。为了存储针对各种不同请求的各种安全配置,就要使用配置属性。在实现上配置属性通过ConfigAttribute接口来表示。SecurityConfig是ConfigAttribute接口的一个具体实现,它简单地把配置属性当作一个串(String)来存储。
与特定请求相联系的ConfigAttributes 集合保存在ConfigAttributeDefinition中。这个类只是一个简单的ConfigAttributes存储器,并不做其它特别的处理。
当安全性拦截器收到一个请求时,它需要判断使用哪些配置属性。换句话说,它需要找到用于这种请求的ConfigAttributeDefinition.这种判别是通过ObjectDefinitionSource接口来处理的.这个接口提供的主要方法是 public ConfigAttributeDefinition getAttributes(Object object),其中的Object 就是要保护的安全对象。因为安全对象包含了请求的细节,所以ObjectDefinitionSource实现类将能够抽取它所需要的细节来检查相关的ConfigAttributeDefinition。
1、 增加Web资源授权信息表
create table webresdb( id bigint not null primary key, url varchar(60) not null, roles varchar(100) not null ); INSERT INTO WEBRESDB VALUES(1,'/secure/**','ROLE_SUPERVISOR') INSERT INTO WEBRESDB VALUES(2,'/authenticate/**','ROLE_USER,ROLE_SUPERVISOR') INSERT INTO WEBRESDB VALUES(3,'/**','IS_AUTHENTICATED_ANONYMOUSLY')
2、增加类似于EntryHolder的辅助类RdbmsEntryHolder
通过分析PathBasedFilterInvocationDefinitionMap类,我们发现,对于每行Web 资源授权需求,比如“/secure/**=ROLE_SUPERVISOR”,它会借助于内部类EntryHolder存储各行内容。EntryHolder暴露了antPath和configAttributeDefinition属性,前者存储类似“/secure/**”的内容,而后者会通过configAttributeDefinition对象存储类似“ROLE_USER,ROLE_SUPERVISOR”的内容。在ConfigAttributeDefinition对象内部,它将各个角色拆分开,并分别借助SecurityConfig对象存储它们,即ROLE_USER和ROLE_SUPERVISOR,从而保存在configAttributes私有变量中。
在此,我们提供了类似于EntryHolder的辅助类:
public class RdbmsEntryHolder implements Serializable { private static final long serialVersionUID = 2317309106087370323L; // 保护的URL模式 private String url; // 要求的角色集合 private ConfigAttributeDefinition cad; public String getUrl() { return url; } public ConfigAttributeDefinition getCad() { return cad; } public void setUrl(String url) { this.url = url; } public void setCad(ConfigAttributeDefinition cad) { this.cad = cad; } }
3、增加从RDBMS装载所有的Web资源授权信息的类
public class RdbmsSecuredUrlDefinition extends MappingSqlQuery{ protected static final Log logger = LogFactory.getLog(RdbmsSecuredUrlDefinition.class); protected RdbmsSecuredUrlDefinition(DataSource ds) { super(ds, Constants.ACEGI_RDBMS_SECURED_SQL); logger.debug("进入到RdbmsInvocationDefinition构建器中........."); compile(); } /** * convert each row of the ResultSet into an object of the result type. */ protected Object mapRow(ResultSet rs, int rownum) throws SQLException { logger.debug("抽取webresdb中的记录........."); RdbmsEntryHolder rsh = new RdbmsEntryHolder(); // 设置URL rsh.setUrl(rs.getString(Constants.ACEGI_RDBMS_SECURED_URL).trim()); ConfigAttributeDefinition cad = new ConfigAttributeDefinition(); String rolesStr = rs.getString(Constants.ACEGI_RDBMS_SECURED_ROLES).trim(); // commaDelimitedListToStringArray:Convert a CSV list into an array of Strings // 以逗号为分割符, 分割字符串 String[] tokens = StringUtils.commaDelimitedListToStringArray(rolesStr); // 角色名数组 // 构造角色集合 for(int i = 0; i < tokens.length;++i) cad.addConfigAttribute(new SecurityConfig(tokens[i])); //设置角色集合 rsh.setCad(cad); return rsh; } }
这样,我们可以利用RdbmsSecuredUrlDefinition将webresdb中的各行记录组装成RdbmsEntryHolder对象,进而返回RdbmsEntryHolder集合给调用者。
4、增加FilterInvocationDefinitionSource的实现类
/** * FilterInvocationDefinitionSource实现类1 * * @author qiuzj * */ public class RdbmsFilterInvocationDefinitionSource extends JdbcDaoSupport implements FilterInvocationDefinitionSource { protected static final Log logger = LogFactory.getLog(RdbmsFilterInvocationDefinitionSource.class); private RdbmsSecuredUrlDefinition rdbmsInvocationDefinition; private PathMatcher pathMatcher = new AntPathMatcher(); private Ehcache webresdbCache; /** * 实现ObjectDefinitionSource接口的方法 * 最核心的方法, 几乎可以认为RdbmsFilterInvocationDefinitionSource的其他大部分方法都是为这一方法服务的 * * Accesses the <code>ConfigAttributeDefinition</code> that applies to a given secure object.<P>Returns * <code>null</code> if no <code>ConfigAttribiteDefinition</code> applies.</p> * * @param object the object being secured * * @return the <code>ConfigAttributeDefinition</code> that applies to the passed object * @返回 适用于传入对象的ConfigAttributeDefinition(角色集合) * * @throws IllegalArgumentException if the passed object is not of a type supported by the * <code>ObjectDefinitionSource</code> implementation */ public ConfigAttributeDefinition getAttributes(Object object) throws IllegalArgumentException { if ((object == null) || !this.supports(object.getClass())) { throw new IllegalArgumentException("抱歉,目标对象不是FilterInvocation类型"); } // 抽取出待请求的URL String url = ((FilterInvocation) object).getRequestUrl(); logger.info("待请示的URL: " + url); // 获取所有RdbmsEntryHolder列表(url与角色集合对应列表) List list = this.getRdbmsEntryHolderList(); if (list == null || list.size() == 0) return null; // 去掉待请求url参数信息 int firstQuestionMarkIndex = url.indexOf("?"); if (firstQuestionMarkIndex != -1) { url = url.substring(0, firstQuestionMarkIndex); } Iterator iter = list.iterator(); // 循环判断用户是否有权限访问当前url, 有则返回ConfigAttributeDefinition(角色集合) while (iter.hasNext()) { RdbmsEntryHolder entryHolder = (RdbmsEntryHolder) iter.next(); // 判断当前访问的url是否符合entryHolder.getUrl()模式, 即判断用户是否有权限访问当前url // 如url="/secure/index.jsp", entryHolder.getUrl()="/secure/**", 则有权限访问 boolean matched = pathMatcher.match(entryHolder.getUrl(), url); if (logger.isDebugEnabled()) { logger.debug("匹配到如下URL: '" + url + ";模式为 " + entryHolder.getUrl() + ";是否被匹配:" + matched); } // 如果在用户所有被授权的URL中能找到匹配的, 则返回该ConfigAttributeDefinition(角色集合) if (matched) { return entryHolder.getCad(); } } return null; } /** * 实现接口方法 * * If available, all of the <code>ConfigAttributeDefinition</code>s defined by the implementing class.<P>This * is used by the {@link AbstractSecurityInterceptor} to perform startup time validation of each * <code>ConfigAttribute</code> configured against it.</p> * * @return an iterator over all the <code>ConfigAttributeDefinition</code>s or <code>null</code> if unsupported * @返回 ConfigAttributeDefinition迭代集合(Iterator) */ public Iterator getConfigAttributeDefinitions() { Set set = new HashSet(); Iterator iter = this.getRdbmsEntryHolderList().iterator(); while (iter.hasNext()) { RdbmsEntryHolder entryHolder = (RdbmsEntryHolder) iter.next(); set.add(entryHolder.getCad()); } return set.iterator(); } /** * 实现接口方法, 检验传入的安全对象是否是与FilterInvocation类相同类型, 或是它的子类 * getAttributes(Object object)方法会调用这个方法 * 保证String url = ((FilterInvocation) object).getRequestUrl();的正确性 * * Indicates whether the <code>ObjectDefinitionSource</code> implementation is able to provide * <code>ConfigAttributeDefinition</code>s for the indicated secure object type. * * @param clazz the class that is being queried * * @return true if the implementation can process the indicated class */ public boolean supports(Class clazz) { if (FilterInvocation.class.isAssignableFrom(clazz)) { return true; } else { return false; } } /** * 覆盖JdbcDaoSupport中的方法, 用于将数据源传入RdbmsSecuredUrlDefinition中 * JdbcDaoSupport实现了InitializingBean接口, 该接口中的afterPropertiesSet()方法 * 用于在所有spring bean属性设置完毕后做一些初始化操作, BeanFactory会负责调用它 * 而在JdbcDaoSupport的实现中, afterPropertiesSet()方法调用了initDao()方法, 故我们 * 借此做一些初始化操作. * 在此用于将数据源传入RdbmsSecuredUrlDefinition中 */ protected void initDao() throws Exception { logger.info("第一个执行的方法: initDao()"); this.rdbmsInvocationDefinition = new RdbmsSecuredUrlDefinition(this.getDataSource()); // 传入数据源, 此数据源由Spring配置文件注入 if (this.webresdbCache == null) throw new IllegalArgumentException("必须为RdbmsFilterInvocationDefinitionSource配置一EhCache缓存"); } /** * 获取所有RdbmsEntryHolder列表(url与角色集合对应列表) * * @return */ private List getRdbmsEntryHolderList(){ List list = null; Element element = this.webresdbCache.get("webres"); if (element != null){ // 如果缓存中存在RdbmsEntryHolder列表, 则直接获取返回 list = (List) element.getValue(); } else { // 如果缓存中不存在RdbmsEntryHolder列表, 则重新查询, 并放到缓存中 list = this.rdbmsInvocationDefinition.execute(); Element elem = new Element("webres", list); this.webresdbCache.put(elem); } //list = this.rdbmsInvocationDefinition.execute(); return list; } /** * 用于Spring注入 * * @param webresdbCache */ public void setWebresdbCache(Ehcache webresdbCache) { this.webresdbCache = webresdbCache; } }
由于RdbmsFilterInvocationDefinitionSource是针对Web资源的,因此它实现的supports()方法需要评估FilterInvocation对象。另外,为了减少同RDBMS的交互次数,我们启用了Spring EhCache服务。
5、通过Spring DI注入RdbmsFilterInvocationDefinitionSource
<bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor"> ...... <property name="objectDefinitionSource" ref="rdbmsFilterInvocationDefinitionSource" /> </bean> <bean id="rdbmsFilterInvocationDefinitionSource" class="sample.RdbmsFilterInvocationDefinitionSource"> <property name="dataSource" ref="dataSource" /> <property name="webresdbCache" ref="webresCacheBackend" /> </bean> <bean id="webresCacheBackend" class="org.springframework.cache.ehcache.EhCacheFactoryBean"> <property name="cacheManager"> <ref local="cacheManager" /> </property> <property name="cacheName"> <value>webresdbCache</value> </property> </bean>
6、运行说明
下载源代码,我提供了相应脚本,存放在Acegi8WebRoot\rdbms目录下。
1)、在rdbms目录下运行server.bat文件,启动hsqldb数据库。关于hsqldb的使用说明,请参考“菜鸟-手把手教你把Acegi应用到实际项目中(6)” http://zhanjia.iteye.com/blog/258282
2)、运行Acegi8项目
3)、用户名为javaee、qiuzj,密码为password
至此,我们此节所讲的内容已结束,大家可以下载源代码以便调试。另外,代码中还提供了另一个版本的实现类RdbmsFilterInvocationDefinitionSourceVersion2,它继承了AbstractFilterInvocationDefinitionSource,在一定程序上减少了代码量,朋友们可以自行研究。
7、其他说明
开发环境:
MyEclipse 5.0GA
Eclipse3.2.1
JDK1.5.0_10
tomcat5.5.23
acegi-security-1.0.7
Spring2.0
Jar包:
acegi-security-1.0.7.jar
Spring.jar(2.0.8)
commons-codec.jar
jstl.jar (1.1)
standard.jar
commons-logging.jar(1.0)
hsqldb.jar(1.8.0.10)
log4j-1.2.13.jar
ehcache-1.3.0.jar
更正注释, 红色部分为更改后的注释:
// 循环判断是否对当前url设置了安全角色访问机制, 有则返回相应的ConfigAttributeDefinition(角色集合), 否则返回null
while (iter.hasNext()) { RdbmsEntryHolder entryHolder = (RdbmsEntryHolder) iter.next(); boolean matched = pathMatcher.match(entryHolder.getUrl(), url); if (logger.isDebugEnabled()) { logger.debug("匹配到如下URL: '" + url + ";模式为 " + entryHolder.getUrl() + ";是否被匹配:" + matched); } if (matched) { return entryHolder.getCad(); } }
- 例子源码_9_Acegi8.rar (23.9 KB)
- 下载次数: 603
评论
主要有两个地方:
一个是设置用户对应的角色:
<bean id="inMemDaoImpl" class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl"> <property name="userMap"> <value> javaee=password,ROLE_SUPERVISOR sam=password,ROLE_USER qiuzj=password,ROLE_SUPERVISOR,disabled </value> </property> </bean>
另一个是角色与资源的对应关系:
<bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor"> …… <property name="objectDefinitionSource"> <value><![CDATA[ CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /secure/**=ROLE_SUPERVISOR /authenticate/**=ROLE_USER,ROLE_SUPERVISOR ]]></value> </property> </bean>
从第一篇开始看,一篇一篇的看就会明白了
跟踪一天了的spring security 还是兄台的全!期待方法控制,也出来. 谢谢了!
我也正在学习中,东抄西抄的总结一下,方便自己查看,也有利于大家学习Acegi。
因为我本身就感觉到刚学Acegi的时候好痛苦,每项配置都是似懂非懂的
还是兄台的全!期待方法控制,也出来.
谢谢了!
发表评论
-
菜鸟-手把手教你把Acegi应用到实际项目中(12)-Run-As认证服务
2008-11-25 18:00 4644有这样一些场合,系统用户必须以其他角色身份去操作某 ... -
菜鸟-手把手教你把Acegi应用到实际项目中(11)-切换用户
2008-11-15 23:48 4254在某些应用场合中,我们可能需要用到切换用户的功能, ... -
菜鸟-手把手教你把Acegi应用到实际项目中(10)-保护业务方法
2008-11-09 00:35 4454前面已经讲过关于保护Web资源的方式,其中包括直接 ... -
菜鸟-手把手教你把Acegi应用到实际项目中(8)-扩展UserDetailsService接口
2008-10-29 13:04 13211一个能为DaoAuthenticationProv ... -
菜鸟-手把手教你把Acegi应用到实际项目中(7)-缓存用户信息
2008-10-28 21:52 4512首先讲讲EhCache ... -
菜鸟-手把手教你把Acegi应用到实际项目中(6)
2008-10-26 22:51 5954在企业应用中,用户的用户名、密码和角色等信 ... -
菜鸟-手把手教你把Acegi应用到实际项目中(5)
2008-10-25 22:00 7418在实际企业应用中,用户密码一般都会进行加密处理,这样才 ... -
菜鸟-手把手教你把Acegi应用到实际项目中(4)
2008-10-23 22:27 7660今天就讲个ConcurrentSessionFilte ... -
菜鸟-手把手教你把Acegi应用到实际项目中(3)
2008-10-20 23:04 7574这一节我们将要了解的是AnonymousPro ... -
菜鸟-手把手教你把Acegi应用到实际项目中(2)
2008-10-16 23:16 7255上一篇是基于BasicProcessingFil ... -
菜鸟-手把手教你把Acegi应用到实际项目中(1.2)
2008-10-16 02:20 77757) daoAuthenticationProvider 进 ... -
菜鸟-手把手教你把Acegi应用到实际项目中(1.1)
2008-10-16 02:13 10740相信不少朋友们对于学 ...
相关推荐
在“菜鸟-手把手教你把Acegi应用到实际项目中(3)”这篇博文中,博主可能会深入讲解如何将 Acegi 集成到实际的项目中,为读者提供一个逐步的指南。下面,我们将探讨 Acegi 的核心概念、配置以及在项目中的应用。 1. ...
本教程将引导初学者逐步了解如何在实际项目中应用Acegi安全框架,以便为你的Web应用提供强大的身份验证和授权功能。 首先,让我们理解Acegi的基础概念。Acegi的核心组件包括SecurityContext、Authentication和...
在本文中,我们将深入理解如何将Acegi应用到实际项目中,特别关注其核心配置——web.xml中的过滤器设置和Acegi安全文件的配置。 首先,我们来看web.xml中的过滤器配置: 1. **FilterToBeanProxy**:Acegi通过...
在使用这个压缩包时,首先需要将其解压,然后将`acegi-security-tiger-1.0.0-RC2.jar`添加到项目的类路径中。如果项目是基于Spring的,需要在配置文件中启用Acegi Security,并根据应用需求配置相应的安全策略。同时...
通过学习Acegi,我们可以了解到Web应用安全的基本思路和实践方法,这对于理解现代的Spring Security框架非常有帮助。虽然Acegi已经不再更新,但它的理念和架构仍对现代安全框架设计产生深远影响。
这篇博客将深入解析一个配置了Acegi Security的`applicationContext-acegi-security.xml`文件,帮助我们理解如何将LDAP与Acegi集成以实现更安全的Web应用。 **LDAP基础** LDAP是一种标准的网络协议,用于存储和...
包含acegi-security-1.0.7.jar,acegi-security-1.0.7-sources.jar,acegi-security-cas-1.0.7.jar,acegi-security-cas-1.0.7-sources.jar,acegi-security-catalina-1.0.7.jar,acegi-security-catalina-1.0.7-...
acegi-security-0.8.3驱动程序
acegi-security 1.0.2.jar
这个压缩包中的"acegi-sample"部分可能包含了一个示例项目,展示了如何在实际应用中配置和使用Acegi Security。而"spring-1.2.4.jar"则是Spring框架的一个较旧版本,表明Acegi Security是在Spring 1.x时代设计的,那...
Acegi是一个专门为SpringFramework提供安全机制的项目,全称为Acegi Security System for Spring.
- 首先,我们需要在 Acegi 安全配置文件(例如 `acegi-context-cas.xml`)中引入 CAS 客户端的相关依赖。这通常包括添加 CAS 的过滤器,如 `CasAuthenticationFilter` 和 `CasValidationFilter`,以及 `...
这个"acegi-sample.rar_acegi"项目提供了一个详细的示例,帮助开发者理解并应用Acegi框架的核心功能。下面我们将深入探讨Acegi的主要特性及其在实际开发中的应用。 1. **认证与授权**: Acegi框架的核心是它对用户...
在实际应用中,开发者可以通过创建自定义的`AuthenticationProvider`实现特定的身份验证逻辑,或者通过扩展`AbstractAccessDecisionManager`来自定义授权策略。此外,还可以利用`FilterSecurityInterceptor`进行URL...
在本教程中,作者旨在帮助那些在学习Acegi过程中遇到困难的开发者,通过一步步的指导,使他们能够成功地将Acegi集成到实际项目中,并理解其核心配置和工作原理。 首先,Acegi的配置是其难点之一,因为涉及许多不同...
AcegiSecurity-1_0_6-Api 最新版本已经变更为Spring Security 2.0
标题“spring的acegi应用”指的是在Spring框架中使用Acegi安全模块进行权限管理和用户认证的一个主题。Acegi是Spring早期的一个安全组件,后来发展成为Spring Security,是Spring生态系统中的重要部分,用于提供全面...