请把acegi替换成Spring Security（内附视频）

在对web项目进行权限管理时，采用的方法无非是写一大堆JSP或者干脆一个Filter搞定。写完简单的权限功能后，又开始考虑如何自动记忆上次用户信息，限制每台机器只能有一个用户登录，把用户密码进行加密。接着更上一层楼，尝试实现单点登录，使用HTTPS保护传输数据，防御会话伪造攻击等等。

于是好几年前出现了名叫acegi的东西，它建立在spring的基础上，提供了可以丰盛的权限功能集合，同时也以极为变态的复杂配置给了我们这些初试权限的人闷头一棍。甚至网上已经有人流传“every time you use acegi, a fairy die”——每当有人使用acegi时，就会有一个精灵死去。

正因为如此，acegi在加入spring阵营时，不但改头换面改名成为Spring Security，而且在配置方面进行了极大的简化，形象的来说就是：“现在只需要20行的配置文件就可以完成之前几百行才能实现的功能”。

遗憾的是，现在依然可以看到还有人在使用acegi，甚至还有人在学习acegi，这种情况无疑让我们感到痛心疾首。

为了世界上不会再有精灵无谓牺牲，也为了大家的身心健康，我在此大声疾呼：“请把acegi替换成Spring Security。”尤其对那些希望学习acegi的同志，请直接学习Spring Security。

下面是《请把acegi替换成Spring Security》的附带视频，希望大家了解Spring Security的简洁。
http://code.google.com/p/family168/downloads/detail?name=springsecurity.zip

评论

18 楼 wuzhihui001 2011-09-27  

网上找到了整理的文档  在这里把地址贴出，以方面后面看此博文的人
http://www.docin.com/p-104501208.html
《Spring Security安全权限管理手册》

17 楼 wuzhihui001 2011-09-27  

感谢楼主，正在学习中……

16 楼 熊笨笨 2010-05-12  

向高手学习了

15 楼 former 2010-03-24  

xyz20003 写道

Spring security 3里使用了很多Collection替换了原来的数组，null检验和操作都方便了很多。

但是要说3比2增强的最大地方，还是SpEl表达式，它为权限配置提供了更灵活的配置方案。至少把ACL那部分简化了很多（说到acl，又该有很多人来说acl垃圾了，这个暂且不提）

3里还额外提供了session management，把同步会话控制，会话失效检测都放到了一起，但是没感觉这部分改好了，和之前一样不好用。

3还提供了login success的handler，可是不支持链装，只能继承原来的handler，替代，所以还是不轻便。

目前不打算换到3，原因是3重新分包，把所有类的包名都改了，又要依赖spring3，现在就等着列级acl这个功能实现以后，再转换到3上去撒。

session management不知道是个什么东东，是检测应用中多人重复认证的session问题的吗？这个要去看一下。
换包也是个头疼的时，之前由于acegi的功能不是很完善，在其上做了很多的扩展，现在升级的话，这块的代码也得改，麻烦。

14 楼 kjj 2010-03-24  

按照楼主的逻辑,我曾经让无数的精灵死去,真是罪过啊,罪过!!

13 楼 xyz20003 2010-03-24  

Spring security 3里使用了很多Collection替换了原来的数组，null检验和操作都方便了很多。

但是要说3比2增强的最大地方，还是SpEl表达式，它为权限配置提供了更灵活的配置方案。至少把ACL那部分简化了很多（说到acl，又该有很多人来说acl垃圾了，这个暂且不提）

3里还额外提供了session management，把同步会话控制，会话失效检测都放到了一起，但是没感觉这部分改好了，和之前一样不好用。

3还提供了login success的handler，可是不支持链装，只能继承原来的handler，替代，所以还是不轻便。

目前不打算换到3，原因是3重新分包，把所有类的包名都改了，又要依赖spring3，现在就等着列级acl这个功能实现以后，再转换到3上去撒。

12 楼 Angel_Night 2010-03-24  

在单位没法看视频。

看这视频之前需要会acegi么？

11 楼 fansofjava 2010-03-24  

former 写道

这点的确有不爽的地方：
1.很多返回值用对象或对象数组，再处理的时候需要用到强类型转换。这么一说，acegi里面的权限对象也是这么玩的。不知道spring security是否可以解决。
2.曾经想将FilterInvocationDefinitionSource做远程调用（Hessian），由于其参数为Ojbect，无法实现，最后只能去重载FilterSecurityInterceptor中的invoke方法来实现了。
不知道这些地方spring security是否做了增强，保证了这些安全验证的方法有比较好的参数实现。

这个问题在2.0的时候没有解决，但在3.0上已经得到解决了，返回的时候采用Collection，所以类型就很好解决了。基本上Object[]都替换成了Collection，如返回ConfigAttributeDefinition，算是个比较垃圾的作法了，在3.0改成了Collection<ConfigAttribute>，总之，到3.0上，基本上解决了原来一些实现比较丑陋的地方。

10 楼 former 2010-03-24  

fansofjava 写道

JackAndroid 写道

fansofjava 写道

former 写道

fansofjava 写道

spring security2.0 其实只能说一般，有些地方甚至可以说比较丑陋，不过不久前3.0出来了，仔细看了一下，是要比2.0好一些，现在一定要用的话，建议直接3.0。

哪里比较丑陋(⊙o⊙)？
正在考虑是否要做acegi到spring security的迁移呢……

主要是原来版本是基于JDK1.4，很多地方实现起来不太优雅，搞到3。0用泛型，感觉好多了，自己的感受是写那个验证的自定义过滤器。

因为不能用泛型就丑陋了？？那你JDK 5.0之前是怎么活过来的？

不要单从概念上来分析好不好，用过就知道，2.0有验证的时候是通过','相隔的方式传递字符串的，返回的时候用的是Object[]，看起来很是不爽。

这点的确有不爽的地方：
1.很多返回值用对象或对象数组，再处理的时候需要用到强类型转换。这么一说，acegi里面的权限对象也是这么玩的。不知道spring security是否可以解决。
2.曾经想将FilterInvocationDefinitionSource做远程调用（Hessian），由于其参数为Ojbect，无法实现，最后只能去重载FilterSecurityInterceptor中的invoke方法来实现了。
不知道这些地方spring security是否做了增强，保证了这些安全验证的方法有比较好的参数实现。

9 楼 terrycong 2010-03-24  

JackAndroid 写道

fansofjava 写道

former 写道

fansofjava 写道

spring security2.0 其实只能说一般，有些地方甚至可以说比较丑陋，不过不久前3.0出来了，仔细看了一下，是要比2.0好一些，现在一定要用的话，建议直接3.0。

哪里比较丑陋(⊙o⊙)？
正在考虑是否要做acegi到spring security的迁移呢……

主要是原来版本是基于JDK1.4，很多地方实现起来不太优雅，搞到3。0用泛型，感觉好多了，自己的感受是写那个验证的自定义过滤器。

因为不能用泛型就丑陋了？？那你JDK 5.0之前是怎么活过来的？

哈哈，楼上激进了。
的确之前2.0的时候好多使用数组，现在3.0用集合的话会方便很多，而且自定义过滤器也有所简化

8 楼 fansofjava 2010-03-24  

JackAndroid 写道

fansofjava 写道

former 写道

fansofjava 写道

spring security2.0 其实只能说一般，有些地方甚至可以说比较丑陋，不过不久前3.0出来了，仔细看了一下，是要比2.0好一些，现在一定要用的话，建议直接3.0。

哪里比较丑陋(⊙o⊙)？
正在考虑是否要做acegi到spring security的迁移呢……

主要是原来版本是基于JDK1.4，很多地方实现起来不太优雅，搞到3。0用泛型，感觉好多了，自己的感受是写那个验证的自定义过滤器。

因为不能用泛型就丑陋了？？那你JDK 5.0之前是怎么活过来的？

不要单从概念上来分析好不好，用过就知道，2.0有验证的时候是通过','相隔的方式传递字符串的，返回的时候用的是Object[]，看起来很是不爽。

7 楼 JackAndroid 2010-03-24  

fansofjava 写道

former 写道

fansofjava 写道

spring security2.0 其实只能说一般，有些地方甚至可以说比较丑陋，不过不久前3.0出来了，仔细看了一下，是要比2.0好一些，现在一定要用的话，建议直接3.0。

哪里比较丑陋(⊙o⊙)？
正在考虑是否要做acegi到spring security的迁移呢……

主要是原来版本是基于JDK1.4，很多地方实现起来不太优雅，搞到3。0用泛型，感觉好多了，自己的感受是写那个验证的自定义过滤器。

因为不能用泛型就丑陋了？？那你JDK 5.0之前是怎么活过来的？

6 楼 fansofjava 2010-03-23  

former 写道

fansofjava 写道

spring security2.0 其实只能说一般，有些地方甚至可以说比较丑陋，不过不久前3.0出来了，仔细看了一下，是要比2.0好一些，现在一定要用的话，建议直接3.0。

哪里比较丑陋(⊙o⊙)？
正在考虑是否要做acegi到spring security的迁移呢……

主要是原来版本是基于JDK1.4，很多地方实现起来不太优雅，搞到3。0用泛型，感觉好多了，自己的感受是写那个验证的自定义过滤器。

5 楼 former 2010-03-23  

fansofjava 写道

spring security2.0 其实只能说一般，有些地方甚至可以说比较丑陋，不过不久前3.0出来了，仔细看了一下，是要比2.0好一些，现在一定要用的话，建议直接3.0。

哪里比较丑陋(⊙o⊙)？
正在考虑是否要做acegi到spring security的迁移呢……

4 楼 fansofjava 2010-03-23  

spring security2.0 其实只能说一般，有些地方甚至可以说比较丑陋，不过不久前3.0出来了，仔细看了一下，是要比2.0好一些，现在一定要用的话，建议直接3.0。

3 楼 bdifn 2010-03-23  

多点了几次又好了.不好意思!

2 楼 bdifn 2010-03-23  

链接无效啊?!
字数补足

1 楼 former 2010-03-22  

acegi一直在用，spring security虽然自己没用，但是搞cas的时候看到它在玩，感觉差不多，也是一堆filter+beans，这玩意儿原理都是一样的，也许加入了些技巧和扩展的tag和其他。
个人觉得初学者看哪个都差不多，原理懂了，也就一通百通了。
另外，如果真的再企业应用，例子里的那些配置还是不足，还是要自己定制一些beans+xml。