- 浏览: 3506949 次
- 性别:
- 来自: 北京
文章分类
最新评论
-
wanglf1207:
EJB的确是个不错的产品,只是因为用起来有点门槛,招来太多人吐 ...
weblogic-ejb-jar.xml的元素解析 -
qwfys200:
总结的不错。
Spring Web Flow 2.0 入门 -
u011577913:
u011577913 写道也能给我发一份翻译文档? 邮件437 ...
Hazelcast 参考文档-4 -
u011577913:
也能给我发一份翻译文档?
Hazelcast 参考文档-4 -
songzj001:
DbUnit入门实战
关键词
Spring ;Acegi ;认证; 授权
引言
近年来,随着Internet
技术的迅猛发展,计算机网络
已深入到了人们的工作、学习和日常生活中,于是,怎样构建安全的web应用
也
成为了当前最热门的话题。Spring是一个基于IoC(Inversion of Control)和AOP(Aspect Oriented
Programming)的构架多层J2EE应用系统的框架。Spring框架正在以其优良的特性吸引了越来越多的开发人员的关注,并在大量的系统开发
中被使用。然而,现有的Spring框架本身并没有提供对系统安全
性的支持,本文通过介绍一种可用于Spring框架中的安全框架Acegi,并对在Spring框架中使用Acegi实现安全用户认证和资源授权控制进行了较深入的研究和扩展,同时给出了可行的解决方案
。
Spring框架和Acegi安全框架介绍
1、spring 框架
Spring框架是由Open Source开发的一个优秀的多层J2EE系统框架,它为企业级应用提供了一个非常轻量级的解决方案,大大地降低了应用开发的难度与复杂度,提高了开发的速度。
Spring框架的核心是IoC和AOP。IoC是一种设计模式,即IoC模式。IoC模式进一步降低了类之间的耦合度,并且改变了传统的对象的创建方法,实现了一种配置
式的对象管理方式,Spring框架中由IoC容器负责配置性的对象的管理。IoC模式极大的提高了系统开发与维护的灵活性。
AOP是一种编程模式,它是从系统的横切面关注问题。传统的面向对象编程OOP主要从系统的垂直切面对问题进行关注,对于系统的横切面关注很少,或者说
很难关注,这样当考虑到系统的安全性、日志、事务以及其他企业级服务时,OOP就无能为力了,只能在所有相关类中加入类似的系统服务级的代码。AOP为解
决系统级服务问题提供了一种很好的方法。AOP将系统服务分解成方面看待,并为类提供一种声明式系统服务方式。Java
类不需要知道日志服务的存在也不需要考虑相关的代码。所以,用AOP编写的应用程序是松耦合的,代码的复用性就提高了。
2、Acegi 安全框架
借助于Spring框架,开发者能够快速构建结构良好的WEB应用,但现有的Spring框架本身没有提供安全相关的解决方案。同样来自于Open
Source
社区的Acegi安全框架为实现基于Spring框架的WEB应用的安全控制提供了一个很好的解决方案。Acegi本身就是利用Spring提供的IoC
和AOP机制实现的一个安全框架,它将安全性服务作为J2EE平台中的系统级服务,以AOP
Aspect形式发布。所以借助于Acegi安全框架,开发者能够在Spring使能应用中采用声明式方式实现安全控制。
Acegi安全框架主要由安全管理
对
象、拦截器以及安全控制管理组件组成。安全管理对象是系统可以进行安全控制的实体,Acegi框架主要支持方法和URL请求两类安全管理对象;拦截器是
Acegi中的重要部件,用来实现安全控制请求的拦截,针对不同的安全管理对象的安全控制请求使用不同的拦截器进行拦截;安全控制管理部件是实际实现各种
安全控制的组件,对被拦截器拦截的请求进行安全管理与控制,主要组件包括实现用户身份认证
的AuthenticationManager、实现用户授权的AccessDecisionManager 以及实现角色转换的RunAsManager。安全管理对象、拦截器以及安全控制管理组件三者关系如图1所示。
Acegi安全框架在基于Spring框架的系统中的应用
1、分析系统安全性需求
首先,需要明确进行安全控制的对象,可为业务方法和URL资源。
其次,需要进一步明确,系统身份认证资料和资源授权信息的数据持久化形式。
2、Acegi安全系统数据库设计
在Acegi框架中支持多种安全信息的持久化方式,可以在配置文件
中
配置或存放在关系数据库。由于在实际应用中,需求是经常发生变化的。所以,在配置文件中配置是满足不了实际应用需求的。然而,Acegi本身对权限表的设
计非常简单,users表{username,password,enabled}
和authorities表{username,authority},这样简单的设计肯定无法适用复杂的权限需求。为了解决权限管理的复杂性,在这里引
入了role(角色)的概念,使得用户和权限分离,一个用户拥有多个角色,一个角色拥有多个相应的权限,这样就更灵活地支持安全策略
。
同时,为了更好地配合Acegi安全框架,还引入resource(资源)的概念,资源可分为URL和FUNCTION(方法)两种,一个权限可以对应多个资源。具体的数据库设计见图2。
实现系统的安全控制,首先需要对系统的安全管理 器和授权管理器进行配置,系统进行认证和授权需要获取安全信息,Acegi本身提供了对认证信息的获取机制,在实现认证与授权过程中,系统将主动根据配制信息和相应的信息解释安全信息的读取。图3给出了一个将用户安全信息存储在数据库 中的认证管理器的配置示意图。
对应于图示的XML配置文件的代码如下:
/* 配置数据库datasource 和Acegi 的 jdbcDao */ <bean id=”dataSource” class=”org.springframework.jdbc.datasource.DriverManagerDataSource”> <property name=”driverClassName”> <value>${jdbc.driverClassName}</value> </property> <property name=”url”> <value>${jdbc.url}</value> </property> |
<property name=”username”> <value>${jdbc.username}</value> </property> <property name=”password”> <value>${jdbc.password}</value> </property> </bean> <bean id=”jdbcDaoImpl” class=”org.acegisecurity. roviders. dao.jdbc.JdbcDaoImpl”> <property name=”dataSource”> <ref bean=”dataSource”/> </property> </bean> /*配置用户信息的加密算法*/ <bean id=”passwordEncoder” Class=”org.acegisecurity.providers.encoding.Md5passwordEncoder”/> /*配置缓存有效时间*/ <bean id=”userCache” class=”org.acegiSecurity. providers. dao.cache.EhCacheBasedUserCache”> …//这里对缓存有效时间进行设置 </bean> /*配置daoAuthenticationProvider*/ <bean id=”daoAuthenticationProvider” class=”org.acegisecurity.providers.dao.DaoAuthenticationProvider”> <property name=”authenticationDao”> <ref local=”JdbcDaoImpl”/> </property> <property name=”passwordEncoder”> <ref local=” passwordEncoder”/> </property> <property name=”userCache”> <ref local=” userCache”/> </property> </bean> /*配置认证管理器*/ <bean id=”authenticationManager” class=”org.acegisecurity. providers.ProviderManager”> <property name=”providers”> <list> <ref local=”daoAuthenticationProvider”/> </list> </property> </bean> |
授权管理器的配置方法与认证管理器的配置基本类似,这里不再讨论。
4、安全请求拦截器的配置
以上配置完成后,就需要配置安全拦截器。不同的安全管理对象需要使用不同的安全拦截器。对于方法级的安全认证需要使用的拦截器为 MethodSecurityInterceptor,而应用于URL资源的安全拦截器为FilterSecurityInterceptor 。其中,MethodSecurityInterceptor拦截器是借助于Spring Aop实现的,而FilterSecurityInterceptor拦截器是借助于Servlet Filter 实现的。本文以URL资源请求的安全拦截器为例说明配置情况。
由于URL资源请求安全拦截是借助于过滤器进行的。因此首先要配置 Acegi Servlet过滤器。过滤器类似于AOP Around装备,实现在web资源调用前后进行的一些操作6种过滤器,他们依次构成Servlet过滤器链,依次处理客户请求。需要注意的是过滤器配置 的顺序是不能交换的,当不需要使用某个过滤器时,可直接将其删除和注释。过滤器在web.xml中配置形式为
<filter> <filter-name>Acegi HTTP Request Security Filter</filter-name> <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class> <init-param> <param-name>targetClass</param-name> <param-value> Org.acegisecurity.intercept.web.SecurityEnforcementFilter </param-value> </init-param> </filter> <filter-mapping> <filter-name>Acigi HTTP Request Security Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> |
在spring applicationContext.xml文件中的配置形式为
<bean id=”securityEnforcementFilter” class=””> <property name=”filterSecurityInterceptor”> <ref bean=”filterInvocationInteceptor”/> </property> <property name=”authenticationEntryPoint”> <ref bean=”authenticationProcessingFilterEntryPoint”/> </property> |
以上代码是SecurityEnforcementFilter的配置,该过滤器对用户是否有权访问web资源作出最后的决定。其它的过滤器的配置类同。
配置完过滤器后,需要对拦截器FilterSecurityInterceptor进行配置,
<bean id=”filterInvocationInterceptor” Class=””> <property name=”authenuserCacheticationManager”>1 <property name=”accessDecisionManager”> <property name=”objectDefinitionSource”> <ref local="filterObjectDefinitionSource"/> </property> <bean id="filterObjectDefinitionSource" class="org.xiaohongli.acegi.db.DBFilterObjectDefinitionSource"> <constructor-arg><refbean="jdbcTemplate"/> </constructor-arg> </bean> |
objectDefinitionSource属性定义了那些受保护的URL资源,其中引用了一个本地对象 filterObjectDefinitionSource。filterObjectDefinitionSource类从数据库中读取需要保护的 URL安全信息,它扩展了PathBasedFilterInvocationDefinition Map类。
同样,实现了另外一个methodObjectDefinitionSource类从数据库中读取需要保护的FUNCTION资源,它扩展了MethodDefinitionMap类。限于篇幅,在这里就不列出具体实现的源代码。
<bean id="methodObjectDefinitionSource" class="org.xiaohongli.acegi.db.DBMethodObjectDefinitionSource"> <constructor-arg><refbean="jdbcTemplate"/> </constructor-arg> </bean> |
结束语
由于Spring在越来越多的项目中的应用,因此基于Spring应用的安全控制系统的研究就显得非常重要。Acegi提供了对Spring应用安全的 支持,然而 Acegi本身提供的实例并不能满足大规模的复杂的权限需求,本文通过扩展Acegi的数据库设计即可满足复杂的权限需求。然而,怎样将Acegi应用到 非Spring的系统中,还有待进一步研究。
发表评论
-
ActiveX控件在签名以后,仍然被IE浏览器默认安全级阻止而无法安装。
2011-11-18 08:56 5442使用代码签名证书签名后的控件在运行时报“Internet ... -
网络数据库的访问控制
2011-06-25 12:54 1940... -
PKI与PMI技术 - 基于角色管理的系统访问控制
2011-06-25 12:44 19481. 引言 ... -
PKI标准可以分为第一代和第二代标准
2011-04-24 11:47 1943第一代PKI标准主要包括 ... -
EJBCA安装的文档
2010-06-13 23:32 1592一 准备工作(本文档中的路径均为我自己在安装时的路径) 使用 ... -
EJBCA Quick start guide
2010-06-07 22:46 4901Quick start guide ... -
免费开源安全网关Untangle
2010-03-05 15:50 3477Untangle Gateway是基于KNOP ... -
Zabbix - 基于WEB企业级的系统与网络信息监视系统
2010-03-05 15:45 2199zabbix能监视各种网络参数,保证服务器系统的安全运营;并提 ... -
EJBCA初步探究(配置)
2010-01-14 23:03 4241EJBCA技术概述: EJB:EJB(Enterpris ... -
EJBCA安装的文档
2010-01-14 22:54 2278一 准备工作(本文档中的路径均为我自己在安装时的路径) 使用 ... -
EJBCA+JBOSS+Oracle 安装手册
2009-10-20 01:26 2779EJBCA是一个全功能的CA系统软件,它基于J2EE技术, ... -
EJBCA详细安装过程
2009-10-20 01:17 73561.准备 :(1)安装j2sdk1.4.2_02到C ... -
EJBCA+MySQL准备与安装配置
2009-10-20 01:15 2214测试需要 (winxp pro,2003s ... -
EJBCA安装步骤
2009-10-20 01:14 3028经过几天的努力终于把EJBCA安装上了,下面是我的安装文档,希 ... -
EJBCA--免费的CA证书管理中心
2009-10-18 02:44 4198最近要做ca认证中心,找 ... -
对网站安全性测试的个人见解
2009-06-03 11:53 2094本人从事网站测试工作已经三年了我个人认为一个完整的Web安 ... -
在网站测试中如何做好安全性测试?
2009-06-03 11:50 2674软件测试每周一问:随着网络发展的趋势,对于网站的安全性的要求 ... -
SSO(Single Sign-on) in Action(上篇)
2009-02-25 13:34 2153http://www.blogjava.net/securit ... -
不可逆加密算法
2008-10-09 16:25 2587不可逆加密算法的特征是加密过程中不需要使用密钥,输入明文后 ... -
信息系统安全等级2
2008-09-18 00:55 18992 定 ...
相关推荐
本文将详细讨论如何在基于Spring框架的应用中实现权限控制系统,重点介绍Acegi安全框架的使用及其在权限管控方面的解决方案。 首先,我们要了解Spring框架的核心特点。Spring框架通过控制反转(IoC)和面向切面编程...
在基于Spring框架的应用中,构建一个有效的权限控制系统至关重要,因为它确保了只有授权用户才能访问特定的资源或执行特定的操作。Spring框架虽然提供了强大的IoC(Inversion of Control)和AOP(Aspect Oriented ...
基于Spring Cloud框架的权限管理系统 内容概要 本项目是一个基于Spring Cloud框架的权限管理系统,旨在提供一个高效、灵活且易于扩展的微服务架构解决方案。系统支持前后端分离,后端开发专注于服务实现,前端开发...
《构建基于Spring框架的酒店管理系统详解》 在现代信息技术的支持下,酒店管理系统的开发已经成为提升服务质量、优化运营效率的重要手段。本系统以Spring框架为基础,结合Eclipse开发环境和SQL Server数据库,实现...
- 如果默认的过滤器不能满足需求,可以编写自定义过滤器,插入到Spring Security的过滤器链中,实现更复杂的逻辑,比如基于URL、方法或自定义条件的权限控制。 5. **JWT令牌**: - 为了支持API的无状态认证,可以...
操作权限系统支持细粒度的操作权限控制,可以精确到每个接口和按钮。 数据权限系统支持数据权限管理,可以根据用户角色控制数据的访问范围。 ### 2. 前后端分离 前端框架使用adminLTE、vue.js、bootstraptable等...
7. **Spring Security**:Spring的认证和授权框架,用于实现复杂的权限控制,如登录验证、角色权限分配等,保护Web应用的安全。 8. **Spring Batch**:针对批量处理任务的设计,提供了一套完整的解决方案,包括读取...
本项目是一个基于Spring Boot和Shiro框架的权限管理系统,实现了前后端分离的权限控制,支持按钮和接口级别的细粒度权限管理。系统采用RBAC(基于角色的访问控制)模型,通过Shiro进行后端权限验证,前端使用Vue和...
【物资治理系统基于Spring框架的实现】 随着信息化和网络技术的快速发展,企业的物资治理系统已成为提升工作效率和企业管理水平的重要工具。传统的物资管理方式由于效率低下、易出错,已无法满足现代企业的运营需求...
# 基于Spring Security框架的RBAC权限管理...4. 权限控制基于Spring Security实现细粒度的权限控制,确保不同角色用户只能访问其权限范围内的资源。 5. 分页查询支持对用户、角色和菜单的分页查询,提高数据查询效率。
3. 权限管理:实现细粒度的权限控制,确保不同用户只能访问其被授权的资源。 4. 数据字典:存储系统中的固定选项,如性别、状态等,便于管理和维护。 5. 操作日志:记录用户的操作行为,便于追踪问题和审计。 6. ...
OAuth2是一种授权协议,常用于实现第三方应用的访问权限控制。在这个系统中,OAuth2可能被用来保护API接口,确保只有经过授权的用户或应用才能访问特定资源。通过OAuth2,用户可以将权限授予第三方应用,而无需分享...