Acegi学习笔记(修改)

最新推荐文章于 2022-08-08 23:56:08 发布
原创 最新推荐文章于 2022-08-08 23:56:08 发布 · 325 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Acegi安全框架的重要组件,包括安全拦截器、认证管理器、访问决策管理器和Run-As管理器的功能与作用。此外,还深入探讨了Acegi配置文件中的关键设置,例如ProviderManager的实现方式、DaoAuthenticationProvider的具体配置,以及FILTERCHAIN的应用。

Acegi提供了四项重要组件,在学习Acegi之前一定需要了解想、清楚:
 AbstractSecurityInterceptor(安全拦截器):借助于安全拦截器能够实现对客户请求的拦截,进而对用户进行认证、授权,或者给用户赋予不同的角色。
 AuthenticationManager(认证管理器):借助于认证管理器,能够实现对用户身份的识别。通常,它需要借助于用户名(Principal)及密码(Credential,凭证)进行认证。
 AccessDecisionManager(访问决策管理器),借助于访问决策管理器,能够实现对预访问资源的授权。如果用户对应的角色不满足目标资源的安全性需求,则将不能够访问到它。
 RunAsManager(Run-As管理器),能够更换用户对应的角色(在标准的JAVA EE Web应用和EJB应用中,也存在类似的行为)。在客户访问如:Servlet、EJB、POJO等资源(服务提供者)的同时,这些资源也可能被其他资源的用户直接或者地访问。因此,需要对用户对应的角色进行调整,这就是Run-As管理器所扮演的角色。
Acegi sample的学习
 首先三个配置文件的作用:
 applicationContext-acegi-security.xml
 applicationContext-common-business.xml
 applicationContext-common-authorization.xml
 这三个配置文件会在web.xml中事先声明。
 applicationContext-acegi-security.xml 中的配置。
 ProviderManager的作用,先看看示例:
 
    <!-- ======================== AUTHENTICATION ======================= -->

 <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
  <property name="providers">
   <list>
    <ref local="daoAuthenticationProvider"/>
    <ref local="anonymousAuthenticationProvider"/>
    <ref local="rememberMeAuthenticationProvider"/>
   </list>
  </property>
 </bean>
 ProviderManager是认证管理器(AuthenticationManager)的一个适用于大多数情况的实现。它将身份验证的责任委托给一个或多个认证提供者。上面的例子中,用到的三个认证提供者全部是由org.acegisecurity.providers.AuthenticationProvider定义的。由于上面用到了三个认证提供者,那么可以根据这三个身份认证提供者所具有的三方面身份认证源来提供认证,逐一遍历这个集合,直到某个人认证提供者能够成功地验证该用户的身份。
 DaoAuthenticationProvider,使用DaoAuthenticationProvider可以进行简单的基于数据库的身份验证(那么,我们做实验的时候,可以只写这样一个提供者就可以)。看示例:
 
 <bean id="daoAuthenticationProvider"
  class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
  <property name="userDetailsService">
   <ref local="jdbcDaoImpl" />
  </property>
  <property name="userCache">
   <ref local="userCache" />
  </property>
  <property name="passwordEncoder">
   <ref local="passwordEncoder" />
  </property>
 </bean>
 在上面的
 <property name="userDetailsService">
  <ref local="jdbcDaoImpl" />
 </property>
 部分,指定了一个用于从数据库中获取用户信息的Bean。这个Bean我们可以指定为jdbcDaoImpl,也可以通过赋予authenticationDao,然后用jdbcDaoImpl来实现,其实jdbcDaoImpl是authenticationDao的一个实例。
 
 <bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
  <property name="dataSource">
   <ref bean="dataSource" />
  </property>
 </bean>
 其实上面的property userDetailsService,我们还可以用一个简单的内存Dao(InMemoryDaoImpl)来实现,但是这种方式我不喜欢,这里不阐述。
 userCache与passwordEncoder,passwordEncoder是一中加密方式,可选。userCache是缓存用户信息而用的。
 
 FILTER CHAIN的作用。先看看示例:
 
 <!-- ======================== FILTER CHAIN ======================= -->

 <!--  if you wish to use channel security, add "channelProcessingFilter," in front
  of "httpSessionContextIntegrationFilter" in the list below -->
 <bean id="filterChainProxy"
  class="org.acegisecurity.util.FilterChainProxy">
  <property name="filterInvocationDefinitionSource">
   <value>
    CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
    PATTERN_TYPE_APACHE_ANT
    /**=httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,basicProcessingFilter,securityContextHolderAwareRequestFilter,rememberMeProcessingFilter,anonymousProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor,switchUserProcessingFilter
   </value>
  </property>
 </bean>
 首先,这个是一个过滤器,我们想让它生效,就必须在web.xml中声明<filter>和<filter-mapping>来配置它们:
 
 <filter>
  <filter-name>Acegi Filter Chain Proxy</filter-name>
  <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>
  <init-param>
   <param-name>targetClass</param-name>
   <param-value>org.acegisecurity.util.FilterChainProxy</param-value>
  </init-param>
 </filter>

 <filter-mapping>
  <filter-name>Acegi Filter Chain Proxy</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>
 如果我们这个过滤器必须引入一个Bean来完成它的工作。那么,由于web.xml并没有spring的Ioc功能,所以我们不能完成它(抛去在Servlet过滤器中编写Spring特定代码不说)。Acegi通过FilterToBeanProxy提供了更好的解决方法。其实上面的示例已经是一个FilterToBeanProxy过滤器了。那么我们只需要在Spring配置文件中配置真正的过滤器就可以了,因为FilterToBeanProxy将自己的工作委托给了Spring应用上下文中的Bean来完成。你可能不知道<filter-mapping>的作用,它是指,将过滤器与一个URL模式相关联,所有的请求都将被该过滤器处理。(/*是所有Acegi过滤器推荐的URL模式,这样做是说Acegi应该拦截所有的请求,并由其依赖的安全管理器来决定是否和如何保护请求。)
 httpSessionContextIntegrationFilter:每次request前 HttpSessionContextIntegrationFilter从Session中获取Authentication对象,在request完后, 又把Authentication对象保存到Session中供下次request使用,此filter必须其他Acegi filter前使用,使之能跨越多个请求。这些就犹如在web.xml声明一系列的过滤器,不过当把他们都声明在spring中就可以享受Spring给我们带来的方便了。
 a. logoutFilter:用户的注销
 b. authenticationProcessingFilter:处理登陆请求
 c. basicProcessingFilter:
 d. securityContextHolderAwareRequestFilter:
 e. rememberMeProcessingFilter:
 f. anonymousProcessingFilter:
 g. exceptionTranslationFilter:异常转换过滤器
 h. filterInvocationInterceptor:在访问前进行权限检查
 i. switchUserProcessingFilter:

Python学习笔记 - 探索内置字符串函数
Mr数据杨
07-08 437
通过本教程的学习,读者已经掌握了Python中常见的字符串操作方法,包括字符串索引、切片、步幅、变量插入和修改等。每一种操作都对应不同的应用场景,从解析和操作文本,到生成动态内容,再到处理用户输入,这些技巧在编程实践中至关重要。掌握这些字符串操作,不仅可以提高代码的灵活性和效率,还能够帮助开发者在面对复杂的文本处理任务时游刃有余。希望通过这份教程,读者能够更深入地理解和应用Python中的字符串操作,为今后的编程工作打下坚实的基础。
acegi学习笔记
03-23
Acegi Security是一个专门为Spring Framework设计的安全框架,它无缝集成了各种Web容器,提供了一套基于Spring的、灵活的安全服务,包括BeanContext、拦截器和面向接口的编程方式。Acegi Security能够有效地处理复杂...
Acegi spring 学习笔记
currying的博客
03-21 286
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> acegi提供了四项重要组件,在学习Acegi之前一定需要了解想、清楚:     AbstractSecurityInterceptor(
applicationContext.xml配置
Kyle的专栏
05-17 1510
xml version="1.0" encoding="UTF-8"?>web-app xmlns="http://java.sun.com/xml/ns/j2ee"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.4"    xsi:schemaLocation="http://java.sun.com/
Acegi 扩展验证码认证[原创]
Aspen13的专栏
11-24 275
很多网站的用户登录,从安全上考虑.不仅需要输入用户名和密码,而且也需要输入"验证码",何为验证码这里不着解释,网上也有很多说明.下面给出在Acegi框架下的实现验证码功能的主要代码. 一.新建AuthenticationProcessingFilter 类 java 代码 import net.sf.acegisecurity.Authentication;        ...
Spring Security学习笔记
小松鼠的博客
08-08 1337
Spring Security是基于Spring的一套权限框架,它有两大重要核心功能:用户认证和用户授权。用户认证指的是某个用户能否访问该系统,用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般在系统中,不同的用户会分配不同的角色,不同的角色也对应不同的权限。...
acegi-security 学习笔记
soleghost的专栏
09-05 4820
acegi security 是基于spring framework 开源安全解决方案。按自己的理解,其功能主要是提供了一个WEB应用安全解决方案框架。并提供了一些缺省的实现。所以,如果我们的应用中需要引入这套解决方案的话,可以根据自己的应用需求进行相应的扩充。另外,由于acegi security 是基于spring framework 的,所以可以和现有的基于spring framework
acegi-security-0.9.0 学习笔记
chenzijun20082008的专栏
12-08 1067
acegi security 是基于spring framework 开源安全解决方案。按自己的理解,其功能主要是提供了一个WEB应用安全解决方案框架。并提供了一些缺省的实现。所以,如果我们的应用中需要引入这套解决方案的话,可以根据自己的应用需求进行相应的扩充。另外,由于acegi security 是基于spring framework 的,所以可以和现有的基于spring framework
SpringSecurity学习笔记
Amxrjgcs的博客
06-29 280
1、SpringSecurity 框架简介 1.1 概要 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring S
acegi学习随感
morle
07-04 132
  自接触到acegi认证体系来,在网上搜了些资料,到目前为止,做个笔记,来加深对acegi的学习  acegi1.04,spring2.0 acegi 配置,涉及登陆验证filter,没有Interceptor xml 代码  xml version="1.0" encoding="UTF-8"?&gt;   &gt;      &lt;beans&...
Acegi学习笔记--Acegi详解实战Acegi实例
03-17
通过学习Acegi,我们可以了解到Web应用安全的基本思路和实践方法,这对于理解现代的Spring Security框架非常有帮助。虽然Acegi已经不再更新,但它的理念和架构仍对现代安全框架设计产生深远影响。
Acegi学习笔记(JAVA系统安全编程时用到)
06-30
Acegi 是一个强大的 Java 安全框架,专用于系统安全编程,尤其在处理认证和授权方面表现出色。在本文中,我们将深入探讨 Acegi 的基本概念、如何设置以及它如何与 Spring 框架集成。 首先,让我们了解 Acegi 的核心...
JAVA标准系列(JCP解释)
currying的博客
03-21 2235
JCP(Java Community Process)成立于<a href= "http://blog.163.com/wiki/1998%E5%B9%B4">1998年,是使有兴趣的各方参与定义Java的特征和未来版本的正式过程。 JCP使用JSR(Java规范请求,Java Specification Requests)作为正式规范文档,描述被提议加入到Java体系中的的规范和技术。 JSR
JAVA标准系列(JSR的标准化的一般…
currying的博客
03-21 1558
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> - JSR发起人提交最初草案 (INITIATION); - 领域内的执行委员会(EC:Executive Committee)Review这个草案并对此投票;
eclipse启动参数设置
currying的博客
03-21 1443
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 直接右键eclipse的快捷方式,在"目标"中填入下行 D:\eclipse\eclipse.exe -debug options -vm javaw.exe -
如何成为一个合格的java程序员
currying的博客
03-21 1226
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 1、语法:必须比较熟悉,在写代码的时候IDE的编辑器对某一行报错应该能够根据报错信息知道是什么样的语法错误并且知道任何修正。 2、命令
新的JSF组件,PRIMEFACES
currying的博客
03-21 889
非常棒的一套JSF组件库——PRIMEFACES,感觉上比richfaces速度快,组件多,准备使用一下看看效果。
netbeans下添加中文javadoc
currying的博客
03-21 733
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 在netbeans下添加sun下载下来的中文javadoc可能会不能显示,我有个解决方法。 这里使用netbeans-trunk-nightly-2007091
JAVA标准系列(JMX)
currying的博客
03-21 715
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> JMX(Java Management Extensions)是一个为应用程序植入管理功能的框架。JMX是一套标准的代理和服务,实际上,用户可以在任何Java应用
Acegi安全系统学习笔记与实战应用合集
#### acegi学习笔记.doc 该文档可能包含了学习者在学习过程中的一些关键点记录、遇到的问题以及解决方案,也可能会有关于如何安装和配置Acegi、如何使用它进行认证授权的实操指南。 #### Acegi使用.pdf 这个PDF文件...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值