Acegi(三): Acegi？ Who are you?

Acegi 安全框架解析

最新推荐文章于 2012-03-15 22:19:52 发布

最新推荐文章于 2012-03-15 22:19:52 发布 · 117 阅读

文章标签：

#Acegi #Spring #AOP #框架 #Security

Source Codes Study 专栏收录该内容

29 篇文章

订阅专栏

Acegi是一款基于Spring的安全框架，支持Web和对象级别的安全控制。它利用Servlet Filter和AOP实现URI保护和对象访问控制。核心概念包括认证与授权，通过七个关键组件实现安全策略。

Acegi是个什么?
        是一个基于Spring的开源框架,用来做安全控制. 基于Spring? 能不能在不用Spring的情况下配置Acegi呢?Acegi官网上有一个链接:Use Withou Spring ,看来是可以的,自己还没有动手做过. 实现安全控制? 原理是什么? Servlet的Filter和AOP机制: 利用Filter, Acegi实现了基于Web实用的URI保护; 通过AOP,Acegi实现了对象访问方法的保护;利用ACL,Acegi实现了对prototype类型的Object进行过滤和保护。

Acegi的核心概念是什么？类似实现又哪些？
        Acegi本质上是一种security solution的实现.
       而一般而言,security solution都有哪些基本概念呢? 基本概念有两个:认证(Authentication )与授权(Authorization). 随便说一下, 我一直认为这两个词翻译的很不直观, 若光看这两个字,觉得很是摸不着头脑. 我们来看下Acegi官方文档的解释。 authentication is the process of establishing a principal is who they claim to be. A "principal" generally means a user, device or some other system which can perform an action in your application. 这里边有个核心词principal，通俗的理解是要在咱们所写系统中操作的东东，这个东东可以是人（当然这是最见的），可以是某一个别的什么设备（机器人啥的，呵呵），还可以是别的系统。有了这个，authentication的理解就顺理成章了： authentication 就是看看要操作咱们系统的东东是不是真的，这在实际应用中大多是通过密码验证来实现的，也就是对暗号，如暗号对上了，你就是真的了。而Authorization呢？ "Authorization" refers to the process of deciding whether a principal is allowed to perform an action in your application. 上面我们说到一个principal要操作咱们的系统,假若这个principal是真的, 那接下来很自然的就是看Ta有没有权限来做Ta想要的操作了. 这也正是Authorization要干的事儿.
      有了这两个根本的概念,接下的所有事理解起来就容易了. 这个接下来的事就是Acegi怎么设计实现. 要是自己来设计实现那还真是个问题, 不过看别人的还不至于那么难.

      对这两个最核心的概念说的有点多了, 下面看下Acegi的类似实现，也就是Acegi的兄弟们,以及跟他们相比,Acegi自身又有什么优势.

      要说Acegi的兄弟, 人们最容易想起来的还是JAAS.大家知道, 这是Java EE里标准实现, 那是由于JAAS的什么缺点致使小弟Acegi把风头给抢了呢? JAAS配置繁琐、提供的安全访问机制粒度不够和JAAS在WAR和EAR层面上没有移植性这些缺点是江湖流传很广的说法，当然本人也没机会做这方面的详细比较，姑且就人云亦云地接受这种说法吧。

      另外一个兄弟我也是这些天刚认识，一个叫Crowd的框架，由于一点也没有接触过，也就不刚妄下判断。看一些文章知道这个Crowd可以跟Acegi结合起来用，想必是它弥补了些Acegi的缺点吧。

核心部件都有哪些？
    按理解的深度，Acegi有两个层次上的核心部件。第一层的核心部件是以配置的角度来看的, 也就是说我们要想配置一个Acegi保护的系统都要涉及到哪些. 第二层是实现的核心, 也就是说它们整个Acegi就玩不转了. 这个第二层跟配置不一样, 第一层所说的配置仅仅是应用的一方面,Acegi可以有多种实用并加自己的扩展, 而所有所有的这一切都是围绕第二层的核心部件组建的.
    第一层的部件放到下一篇结合实例来说明,这里重点说下实现层面上的核心部件,它们依次是:SecurityContextHolder , SecurityContext , HttpSessionContextIntegrationFilter(这个虽放到这里,它在这里也可以说是代表了它们一个群体) , Authentication , GrantedAuthority , UserDetails , UserDetailsService . 一共七个, 我们在这里称之为"七剑". 写到这里,脑子里隐隐约约感觉到老子的道家思想了. 你看, Acegi的核心思想是"保护", 围绕这个核心思想分出两个概念Authentication 和Authorization, 具体到怎么来实现这个两个概念就有了我们所说的"七剑", 再往下就是针对不同场合应用的支撑,而再往下就是现在千千万万项目中用到的Acegi配置及扩展.这一个演变系列是不是有点像"道生一,一生二,二生三,三生万物"呢?
   对这"七剑"的理解很重要, 只有理解了它们,才能达到万变不离其宗地灵活配置.

    这"七剑"在这也先不展开讨论, 等在体会了实例及分析了"第一层核心部件"后再回过头看吧, 那样理解上更自然些.

   絮絮叨叨写了不少, 回头总结下,也为下篇写下开头: 这篇以静态的角度了Acegi的核心概念及其核心部件，下一篇中将动手配置一个小例子，来个真切感受下Web实用中围绕"七剑"都有哪些部件可用。