【分享】《基于Spring Security的ACL实现与扩展》内附ppt下载

上次朋友间技术交流整理的ppt文档，因为之前一直在整理Spring Security安全权限管理手册，所以这次的主题就是《基于Spring Security的ACL实现与扩展》。

什么是ACL呢？最通俗易懂的解释就是每个业务员只能查看自己签署的合同信息，它也被成为数据的行级权限控制。

实际上Spring Security自从acegi-0.x时代起就提供了ACL实现，但是市场上却鲜见深入研究和复杂应用的范例，目前所能找到的最前端的扩展还是来自 Spring Side-1.x时代，差沙提交的acegi扩展模块。实际上因为Spring Security的目标是做一个通用框架，所以具体某个领域，比如专门基于db的方面，还是有些不足的，这里分享一下ppt，也算是抛砖引玉，希望大家提 出自己的宝贵建议。

下载地址：
http://code.google.com/p/family168/downloads/detail?name=spring-security-acl.rar

评论

3 楼 melin 2009-09-21  

2007 版本的，打不开

2 楼 xyz20003 2009-09-21  

第一，acl的适用范围是用户少，权限控制粒度细的情况。
第二，1.x时代的acl是建立在acegi-0.x的老式acl模块上的，现在官方推荐的是新acls模块，功能扩充了不少。
第三，如果确实只针对db操作，一定要用acl，而不是AfterInvocation这种不靠谱的东西。讨论过程中提到了从其他数据源，比如全文搜索中获得数据，这时AfterInvocation就能显示出效果了。

下一步打算实测一下Acl的效率，目前想到了几种优化策略，测一下才知道哪些可以用到。

1 楼 ronghao 2009-09-21  

Spring Side-1.x时代我用过ACL，虽然可以做到很好的控制，但是效率是相当的低，不建议使用，还是根据具体业务定制sql比较靠谱。数据权限做不到一个通用的框架。