Acegi源码研究(六): Acegi编码/设计碎得

最新推荐文章于 2025-07-22 12:22:01 发布
最新推荐文章于 2025-07-22 12:22:01 发布
阅读量138 收藏
点赞数
分类专栏: Source Codes Study 文章标签: Acegi Hibernate 框架 Web Security
本文探讨 Acegi 安全框架的关键组件和技术细节,包括 Filter 的工作原理、SecurityContextHolder 的实现方式及其重要性,同时深入分析 Acegi 中的一些核心配置选项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      前些天通过一个Acegi的Web实例,我们感受了下受保护的好处,也通过一步步的跟踪,感觉到Acegi里"七剑"的存在.本来是想着继续再往下做扩展的,后来一想还是回过头来整理下研究Acegi过程中的碎得吧,毕竟这样的碎得写起轻松些,我也稍稍放松下.   

 

      信马由缰地溜达了下,又想起了当时一开始看Acegi源码时的如下问题:

 

      1, FilterToBeanProxy --> FilterChainProxy, 一个VirtualFilterChain来模仿Web 容器中的FilterChain, 内容类   (自己写代码时也有意识地用protected, private了).
              方法的实现与调用 --> 代码块的重用.
              FilterChainProxy类里filterInvocationDefinitionSource属性从String到相应类的自动转换.

2, Filter调用与方法栈的吻合,画一个序列图来表示.

3, SecurityContextHolder的多种实现, 为什么要有多种实现,每一种实现又有什么特点?
    HttpSession中放没放SecurityContext? 在SecurityContextHolder里也有放. 这种有问题了: 如何让它们俩同步? 删了一个后又怎样?

4, 另处一些常用的配置:
     logoutFilter, securityContextHolderAwareRequestFilter, anonymousProcessingFilter

    出于什么考虑提出这样的概念?

5, 这一段的作用:
      if (request.getAttribute(FILTER_APPLIED) != null) {
            // ensure that filter is only applied once per request
            chain.doFilter(request, response);

            return;
     }

    要防止在 filterInvocationDefinitionSource中配置了多个httpSessionContextIntegrationFilter, httpSessionContextIntegrationFilter总是在第一个的. 多配置了也没用, 若不加有什么害处不?
6, 为什么如下这种方式来取HttpSession?
          try {
            httpSession = request.getSession(forceEagerSessionCreation);
        }
        catch (IllegalStateException ignored) {
        }
         若getSesssion时传一个False会是什么样的?一个HttpSession一般什么时机创建? 现在越来越不考虑这些问题了.
7, 为什么要把response再包装下? OnRedirectUpdateSessionResponseWrapper
8, 为什么每次都要有 SecurityContextHolder.clearContext();这不挺浪费的吗? 防止Authentication里的用户名/密码/权限在用户操作时有改? 作为一个通用的安全框架应该支持这个功能的, 把权限控制存放到数据库中太常见了.
9, 如下代码段的的注意点:
          if (cloneFromHttpSession) {
            Assert.isInstanceOf(Cloneable.class, contextFromSessionObject,
                    "Context must implement Clonable and provide a Object.clone() method");
            try {
                Method m = contextFromSessionObject.getClass().getMethod("clone", new Class[]{});
                if (!m.isAccessible()) {
                    m.setAccessible(true);
                }
                contextFromSessionObject = m.invoke(contextFromSessionObject, new Object[]{});
            }
            catch (Exception ex) {
                ReflectionUtils.handleReflectionException(ex);
            }
        }
         9.1 为什么要 cloneFromHttpSession? 联想到Hibernate的PersistentContext, 它会自动来做dirty check的, 若不clone一个,直接把一个原来的return给client的话,会影响dirty check的速度.
         9.2 自己写例子试试clone接口的实现与深度拷贝.
10, 从方法 readSecurityContextFromSession看框架级代码的书写:
    10.1 考虑到多种可能层层设防. 从而确保return一个 non-null,且为实现 SecurityContext接口的HttpSession里以" ACEGI_SECURITY_CONTEXT_KEY "存放的对象, 不要被"狸猫换太子"了.
    10.2, log的书写.

 

 

acegi-security-1.0.4-src.zip源码,jar(全套)
01-08
Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 Acegi Security专注于在企业应用安全层为您提供帮助,你将会发现和各式各样的需求和商业问题领域一样多。银行系统的需求和电子商务应用的需求不同。电子商务应用和售卖军用自动工具的公司的需求不同。这些客户化的需求使得应用安全显得有趣,富有挑战性而且物有所值。 Acegi Security为基于J2EE的企业软件应用提供全面的安全服务。特别是使用领先的J2EE解决方案-Srping框架开发的项目。如果您不是使用Spring开发企业应用,我们温馨提醒您仔细研究一下。熟悉Spring,尤其是依赖注射原理,会极大的帮助你快速掌握Acegi Security
Spring源代码解析():Spring_Acegi框架授权的实现.doc
08-04
Spring源代码解析():Spring_Acegi框架授权的实现.doc
Acegi源码研究():七剑下天山
rmn190
02-17 235
     在Acegi初体验及初解剖(http://rmn190.iteye.com/blog/332711)里, 通过对web.xml和applicationContext-acegi-security.xml的跟踪,我们得出被Acegi拦截下的请求最终交到 了filterInvocationDefinitionSource配置下的几个Filter的实现类来处理. 它们是怎么处理这个请求的呢? ...
acegi源码分析
u010090557的博客
02-17 134
           AbstractProcessingFilter中doFilter方法源码 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 这里检验是不...
Acegihibernate 动态实现基于角色的权限管理()
寒光2008
07-21 192
最近在做项目遇到了权限管理,用户要求可以自己建立不同的角色对系统的资源进行控制, 不同的用户有不同的角色,又恰恰框架中用到了struts+spring+hibernate,要求在web层调用 业务逻辑层 时不考虑权限,web层可以控制用户的显示界面,逻辑层处理用户权限问题。 想来想去好像只有spring 的aop 可以做到,在调用到 接口 中的方法时,首先检查用户的权限,如果检查通过则继续...
Acegi研究
Hello World!
03-15 1698
原文网址:http://rmn190.iteye.com/category/29638 Acegi():酝酿将近一年后的提高 过年后回到公司,工作上的事还没有正式开始, 于是就又开始学习Acegi这个框架了. 说起这个框架,真是有太多话想说:这个框架是除SSH外我自己独立学习分析的第一个框架, 从这方面第一篇博客 到现在快一年了, 这么长时间里断断续续在用, 也偶尔心血来潮地以de
SpringSecurity学习笔记,爆肝8w字,再也别说我不会权限认证了‍
风归去.
10-22 843
SpringSecurity 1. SpringSecurity简介 安全框架概述: 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 常用安全框架: Spring Security:Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(
Acegi(十四): 第一阶段收获汇总
rmn190
04-01 128
       对Acegi第一阶段的研究结束有些日子了, 还些天忙别的,也没来得及汇总下. 前两天看到了个网友的回复, 于是"顺水人情"地汇总一下, 发到这里,希望大家多多提出意见建议,不要吝啬手中的板砖.     以下十一篇是比较系统地逐个分析,也是第一阶段分析/研究的主要收获: Acegi(): Acegi? Who are you? Acegi():Acegi初体验及初解剖 ...
探索Spring Security源码:从核心架构到安全细节
weixin_42573757的博客
07-22 779
Spring Security是一个功能强大且可高度定制的身份验证和访问控制框架,它为Spring应用提供了全面的安全服务。最初作为Acegi Security System for Spring的替代品而开发,它不仅保护应用免受常见的攻击手段,如CSRF(跨站请求伪造)、Session Fixation以及点击劫持,而且可以轻松地集成到Spring MVC应用中,支持多种认证方式,包括基于表单的登录、LDAP认证、以及OAuth 2.0。
使用 Acegi 保护 Java 应用程序: 续二
03-01
6. **源码分析**:由于标签中有“源码”一词,博文可能深入讲解了 Acegi 源码的某个部分,帮助读者理解其内部工作原理,或者展示了如何根据需求自定义 Acegi 组件。 7. **工具使用**:标签中的“工具”可能指的是 ...
Acegi 概述
03-01
Acegi与Spring框架紧密集成,使得在Spring应用中实现安全性变得简单。 **身份验证**:Acegi支持多种身份验证机制,如基于表单的认证、HTTP基本认证和摘要认证。开发者可以根据项目需求选择合适的认证方式,并可以...
实战Acegi
03-01
Acegi是Spring Security的前身,它是一个强大的、可扩展的安全框架,专为基于Spring的应用程序设计。本实战Acegi的主题将深入探讨如何利用Acegi来实现Web应用的安全性,包括身份验证、授权、会话管理等多个关键领域...
深入解析Acegi安全源码实现Http Basic认证
然而,由于提供的文件名称列表中只有一个文件名“acegi security源码解析.docx”,这里未能提供更具体的源码解析内容。 总结一下,以上内容涵盖了一个典型的基于Acegi Security框架实现数据库用户信息认证和...
基于SSM的一线式酒店管理系统-su0v7503【附万字论文+PPT+包部署+录制讲解视频】.zip
最新发布
08-15
基于SSM的一线式酒店管理系统-su0v7503【附万字论文+PPT+包部署+录制讲解视频】.zip
STM32F4高级定时器定时器应用示例代码
08-15
STM32F4高级定时器定时器应用示例代码
【python毕业设计】基于数据挖掘的音乐推荐系统(django)(完整项目源码+mysql+说明文档).zip
08-15
基于数据挖掘的音乐推荐系统设计与实现 需要一个代码说明,不需要论文 采用python语言,django框架,mysql数据库开发 编程环境:pycharm,mysql8.0 系统分为前台+后台模式开发 网站前台: 用户注册, 登录 搜索音乐,音乐欣赏(可以在线进行播放) 用户登陆时选择相关感兴趣的音乐风格 音乐收藏 音乐推荐算法:(重点) 本课题需要大量用户行为(如播放记录、收藏列表)、音乐特征(如音频特征、歌曲元数据)等数据 (1)根据用户之间相似性或关联性,给一个用户推荐与其相似或有关联的其他用户所感兴趣的音乐; (2)根据音乐之间的相似性或关联性,给一个用户推荐与其感兴趣的音乐相似或有关联的其他音乐。 基于用户的推荐和基于物品的推荐 其中基于用户的推荐是基于用户的相似度找出相似相似用户,然后向目标用户推荐其相似用户喜欢的东西(和你类似的人也喜欢**东西); 而基于物品的推荐是基于物品的相似度找出相似的物品做推荐(喜欢该音乐的人还喜欢了**音乐); 管理员 管理员信息管理 注册用户管理,审核 音乐爬虫(爬虫方式爬取网站音乐数据) 音乐信息管理(上传歌曲MP3,以便前台播放) 音乐收藏管理 用户 用户资料修改 我的音乐收藏 完整前后端源码,部署后可正常运行! 环境说明 开发语言:python后端 python版本:3.7 数据库:mysql 5.7+ 数据库工具:Navicat11+ 开发软件:pycharm
MPU6050.zip
08-15
MPU6050是一款广泛应用在无人机、机器人和运动设备中的轴姿态传感器,它集成了三轴陀螺仪和三轴加速度计。这款传感器能够实时监测并提供设备的角速度和线性加速度数据,对于理解物体的动态运动状态至关重要。在Arduino平台上,通过特定的库文件可以方便地与MPU6050进行通信,获取并解析传感器数据。 `MPU6050.cpp`和`MPU6050.h`是Arduino库的关键组成部分。`MPU6050.h`是头文件,包含了定义传感器接口和函数声明。它定义了类`MPU6050`,该类包含了初始化传感器、读取数据等方法。例如,`begin()`函数用于设置传感器的工作模式和I2C地址,`getAcceleration()`和`getGyroscope()`则分别用于获取加速度和角速度数据。 在Arduino项目中,首先需要包含`MPU6050.h`头文件,然后创建`MPU6050`对象,并调用`begin()`函数初始化传感器。之后,可以通过循环调用`getAcceleration()`和`getGyroscope()`来不断更新传感器读数。为了处理这些原始数据,通常还需要进行校准和滤波,以消除噪声和漂移。 I2C通信协议是MPU6050与Arduino交互的基础,它是一种低引脚数的串行通信协议,允许多个设备共享一对数据线。Arduino板上的Wire库提供了I2C通信的底层支持,使得用户无需深入了解通信细节,就能方便地与MPU6050交互。 MPU6050传感器的数据包括加速度(X、Y、Z轴)和角速度(同样为X、Y、Z轴)。加速度数据可以用来计算物体的静态位置和动态运动,而角速度数据则能反映物体转动的速度。结合这两个数据,可以进一步计算出物体的姿态(如角度和角速度变化)。 在嵌入式开发领域,特别是使用STM32微控制器时,也可以找到类似的库来驱动MPU6050。STM32通常具有更强大的处理能力和更多的GPIO口,可以实现更复杂的控制算法。然而,基本的传感器操作流程和数据处理原理与Arduino平台相似。 在实际应用中,除了基本的传感器读取,还可能涉及到温度补偿、低功耗模式设置、DMP(数字运动处理器)功能的利用等高级特性。DMP可以帮助处理传感器数据,实现更高级的运动估计,减轻主控制器的计算负担。 MPU6050是一个强大的轴传感器,广泛应用于各种需要实时运动追踪的项目中。通过 Arduino 或 STM32 的库文件,开发者可以轻松地与传感器交互,获取并处理数据,实现各种创新应用。博客和其他开源资源是学习和解决问题的重要途径,通过这些资源,开发者可以获得关于MPU6050的详细信息和实践指南
【python毕业设计】通用排课系统(django)(完整项目源码+mysql+说明文档+LW+PPT).zip
08-15
对于学生端,核心需求在于能够轻松访问并管理自己的课程表[8]。学生需要能够方便地完成注册、登录,并查看专属于自己的课程详细信息,包括不限于时间、地点、教师等。系统应支持当课程表中任何课程时间发生变动,需要及时在系统内进行更新,保障课程信息的时效性。 教师端的功能需求主要集中在课程表的查看和管理。教师与学生一样,同样需要能够方便地查看自己的教学课表,了解课程时间、地点和相关学生班级信息。系统应允许教师接收课程安排的更新通知,并查看学生的出勤情况,以便及时跟进学生的课程进展。 管理员的功能需求主要集中在课程维护和用户管理。管理员负责管理用户的权限设置,包括教师和学生的账户管理。与此同时,管理员负责监控系统的性能和安全状态,并执行必要的系统升级和维护。管理员重点需要管理课程信息、班级信息,并进行教室分配和课程表生成,确保系统功能的正常运行,满足教师和学生的日常使用需求。 完整前后端源码,部署后可正常运行! 环境说明 开发语言:python后端 python版本:3.7 数据库:mysql 5.7+ 数据库工具:Navicat11+ 开发软件:pycharm
nctoolbox20121106用于matlab读取GRIB数据
08-15
nctoolbox20121106用于matlab读取GRIB数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值