Acegi源码研究(六): Acegi编码/设计碎得

最新推荐文章于 2025-07-22 12:22:01 发布
最新推荐文章于 2025-07-22 12:22:01 发布 · 146 阅读 · 0
文章标签:

#Acegi #Hibernate #框架 #Web #Security

本文探讨 Acegi 安全框架的关键组件和技术细节,包括 Filter 的工作原理、SecurityContextHolder 的实现方式及其重要性,同时深入分析 Acegi 中的一些核心配置选项。

      前些天通过一个Acegi的Web实例,我们感受了下受保护的好处,也通过一步步的跟踪,感觉到Acegi里"七剑"的存在.本来是想着继续再往下做扩展的,后来一想还是回过头来整理下研究Acegi过程中的碎得吧,毕竟这样的碎得写起轻松些,我也稍稍放松下.   

 

      信马由缰地溜达了下,又想起了当时一开始看Acegi源码时的如下问题:

 

      1, FilterToBeanProxy --> FilterChainProxy, 一个VirtualFilterChain来模仿Web 容器中的FilterChain, 内容类   (自己写代码时也有意识地用protected, private了).
              方法的实现与调用 --> 代码块的重用.
              FilterChainProxy类里filterInvocationDefinitionSource属性从String到相应类的自动转换.

2, Filter调用与方法栈的吻合,画一个序列图来表示.

3, SecurityContextHolder的多种实现, 为什么要有多种实现,每一种实现又有什么特点?
    HttpSession中放没放SecurityContext? 在SecurityContextHolder里也有放. 这种有问题了: 如何让它们俩同步? 删了一个后又怎样?

4, 另处一些常用的配置:
     logoutFilter, securityContextHolderAwareRequestFilter, anonymousProcessingFilter

    出于什么考虑提出这样的概念?

5, 这一段的作用:
      if (request.getAttribute(FILTER_APPLIED) != null) {
            // ensure that filter is only applied once per request
            chain.doFilter(request, response);

            return;
     }

    要防止在 filterInvocationDefinitionSource中配置了多个httpSessionContextIntegrationFilter, httpSessionContextIntegrationFilter总是在第一个的. 多配置了也没用, 若不加有什么害处不?
6, 为什么如下这种方式来取HttpSession?
          try {
            httpSession = request.getSession(forceEagerSessionCreation);
        }
        catch (IllegalStateException ignored) {
        }
         若getSesssion时传一个False会是什么样的?一个HttpSession一般什么时机创建? 现在越来越不考虑这些问题了.
7, 为什么要把response再包装下? OnRedirectUpdateSessionResponseWrapper
8, 为什么每次都要有 SecurityContextHolder.clearContext();这不挺浪费的吗? 防止Authentication里的用户名/密码/权限在用户操作时有改? 作为一个通用的安全框架应该支持这个功能的, 把权限控制存放到数据库中太常见了.
9, 如下代码段的的注意点:
          if (cloneFromHttpSession) {
            Assert.isInstanceOf(Cloneable.class, contextFromSessionObject,
                    "Context must implement Clonable and provide a Object.clone() method");
            try {
                Method m = contextFromSessionObject.getClass().getMethod("clone", new Class[]{});
                if (!m.isAccessible()) {
                    m.setAccessible(true);
                }
                contextFromSessionObject = m.invoke(contextFromSessionObject, new Object[]{});
            }
            catch (Exception ex) {
                ReflectionUtils.handleReflectionException(ex);
            }
        }
         9.1 为什么要 cloneFromHttpSession? 联想到Hibernate的PersistentContext, 它会自动来做dirty check的, 若不clone一个,直接把一个原来的return给client的话,会影响dirty check的速度.
         9.2 自己写例子试试clone接口的实现与深度拷贝.
10, 从方法 readSecurityContextFromSession看框架级代码的书写:
    10.1 考虑到多种可能层层设防. 从而确保return一个 non-null,且为实现 SecurityContext接口的HttpSession里以" ACEGI_SECURITY_CONTEXT_KEY "存放的对象, 不要被"狸猫换太子"了.
    10.2, log的书写.

 

 

acegi-security-1.0.4-src.zip源码,jar(全套)
01-08
Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 Acegi Security专注于在企业应用安全层为您提供帮助,你将会发现和各式各样的需求和商业问题领域一样多。银行系统的需求和电子商务应用的需求不同。电子商务应用和售卖军用自动工具的公司的需求不同。这些客户化的需求使得应用安全显得有趣,富有挑战性而且物有所值。 Acegi Security为基于J2EE的企业软件应用提供全面的安全服务。特别是使用领先的J2EE解决方案-Srping框架开发的项目。如果您不是使用Spring开发企业应用,我们温馨提醒您仔细研究一下。熟悉Spring,尤其是依赖注射原理,会极大的帮助你快速掌握Acegi Security
Acegi源码研究():七剑下天山
rmn190
02-17 244
     在Acegi初体验及初解剖(http://rmn190.iteye.com/blog/332711)里, 通过对web.xml和applicationContext-acegi-security.xml的跟踪,我们得出被Acegi拦截下的请求最终交到 了filterInvocationDefinitionSource配置下的几个Filter的实现类来处理. 它们是怎么处理这个请求的呢? ...
acegi源码分析
u010090557的博客
02-17 146
           AbstractProcessingFilter中doFilter方法源码 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 这里检验是不...
Spring源代码解析():Spring_Acegi框架授权的实现.doc
08-04
Spring源代码解析():Spring_Acegi框架授权的实现.doc
Acegihibernate 动态实现基于角色的权限管理()
寒光2008
07-21 205
最近在做项目遇到了权限管理,用户要求可以自己建立不同的角色对系统的资源进行控制, 不同的用户有不同的角色,又恰恰框架中用到了struts+spring+hibernate,要求在web层调用 业务逻辑层 时不考虑权限,web层可以控制用户的显示界面,逻辑层处理用户权限问题。 想来想去好像只有spring 的aop 可以做到,在调用到 接口 中的方法时,首先检查用户的权限,如果检查通过则继续...
Acegi研究
Hello World!
03-15 1712
原文网址:http://rmn190.iteye.com/category/29638 Acegi():酝酿将近一年后的提高 过年后回到公司,工作上的事还没有正式开始, 于是就又开始学习Acegi这个框架了. 说起这个框架,真是有太多话想说:这个框架是除SSH外我自己独立学习分析的第一个框架, 从这方面第一篇博客 到现在快一年了, 这么长时间里断断续续在用, 也偶尔心血来潮地以de
SpringSecurity学习笔记,爆肝8w字,再也别说我不会权限认证了‍
风归去.
10-22 861
SpringSecurity 1. SpringSecurity简介 安全框架概述: 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 常用安全框架: Spring Security:Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(
Acegi(十四): 第一阶段收获汇总
rmn190
04-01 133
       对Acegi第一阶段的研究结束有些日子了, 还些天忙别的,也没来得及汇总下. 前两天看到了个网友的回复, 于是"顺水人情"地汇总一下, 发到这里,希望大家多多提出意见建议,不要吝啬手中的板砖.     以下十一篇是比较系统地逐个分析,也是第一阶段分析/研究的主要收获: Acegi(): Acegi? Who are you? Acegi():Acegi初体验及初解剖 ...
探索Spring Security源码:从核心架构到安全细节
weixin_42573757的博客
07-22 863
Spring Security是一个功能强大且可高度定制的身份验证和访问控制框架,它为Spring应用提供了全面的安全服务。最初作为Acegi Security System for Spring的替代品而开发,它不仅保护应用免受常见的攻击手段,如CSRF(跨站请求伪造)、Session Fixation以及点击劫持,而且可以轻松地集成到Spring MVC应用中,支持多种认证方式,包括基于表单的登录、LDAP认证、以及OAuth 2.0。
使用 Acegi 保护 Java 应用程序: 续二
03-01
6. **源码分析**:由于标签中有“源码”一词,博文可能深入讲解了 Acegi 源码的某个部分,帮助读者理解其内部工作原理,或者展示了如何根据需求自定义 Acegi 组件。 7. **工具使用**:标签中的“工具”可能指的是 ...
Acegi 概述
03-01
Acegi与Spring框架紧密集成,使得在Spring应用中实现安全性变得简单。 **身份验证**:Acegi支持多种身份验证机制,如基于表单的认证、HTTP基本认证和摘要认证。开发者可以根据项目需求选择合适的认证方式,并可以...
实战Acegi
03-01
Acegi是Spring Security的前身,它是一个强大的、可扩展的安全框架,专为基于Spring的应用程序设计。本实战Acegi的主题将深入探讨如何利用Acegi来实现Web应用的安全性,包括身份验证、授权、会话管理等多个关键领域...
深入解析Acegi安全源码实现Http Basic认证
然而,由于提供的文件名称列表中只有一个文件名“acegi security源码解析.docx”,这里未能提供更具体的源码解析内容。 总结一下,以上内容涵盖了一个典型的基于Acegi Security框架实现数据库用户信息认证和...
Acegi数据库动态安全配置与源码图解
Acegi Security 是 Spring 框架早期用于实现企业级应用安全控制的核心安全框架,其设计理念先进、模块化程度高,广泛应用于 Java Web 应用中的认证(Authentication)与授权(Authorization)管理。本文所涉及的...
STM32电源设计原理图(Orcad绘制)
12-01
提供了一份STM32电源设计的原理图,该原理图采用Orcad软件绘制。该资源适用于需要进行STM32电源设计的工程师和电子爱好者,帮助他们快速理解和实现STM32系统的电源设计。 资源内容 STM32电源设计原理图:该原理图详细展示了STM32系统的电源设计方案,包括电源输入、稳压电路、滤波电路等关键部分。 Orcad格式文件:原理图以Orcad格式保存,方便用户直接在Orcad软件中打开和编辑。
(58页PPT)人工智能集团数字化转型SAP解决方案.pptx
12-01
(58页PPT)人工智能集团数字化转型SAP解决方案.pptx
这是一个专为2024年度国家自然科学基金申请设计的LaTeX模板项目_极简说明为提供简单易用且格式规范的申请书撰写工具_内容关键词包括青年项目申请书模板_中易字体配置指南_蓝字提纲.zip
12-01
这是一个专为2024年度国家自然科学基金申请设计的LaTeX模板项目_极简说明为提供简单易用且格式规范的申请书撰写工具_内容关键词包括青年项目申请书模板_中易字体配置指南_蓝字提纲.zip
基于粒子群优化算法的p-Hub选址优化(Matlab代码实现)
最新发布
12-01
基于粒子群优化算法的p-Hub选址优化(Matlab代码实现)内容概要:本文介绍了基于粒子群优化算法(PSO)的p-Hub选址优化问题的研究与实现,重点利用Matlab进行算法编程和仿真。p-Hub选址是物流与交通网络中的关键问题,旨在通过确定最优的枢纽节点位置和非枢纽节点的分配方式,最小化网络总成本。文章详细阐述了粒子群算法的基本原理及其在解决组合优化问题中的适应性改进,结合p-Hub中转网络的特点构建数学模型,并通过Matlab代码实现算法流程,包括初始化、适应度计算、粒子更新与收敛判断等环节。同时可能涉及对算法参数设置、收敛性能及不同规模案例的仿真结果分析,以验证方法的有效性和鲁棒性。; 适合人群:具备一定Matlab编程基础和优化算法理论知识的高校研究生、科研人员及从事物流网络规划、交通系统设计等相关领域的工程技术人员。; 使用场景及目标:①解决物流、航空、通信等网络中的枢纽选址与路径优化问题;②学习并掌握粒子群算法在复杂组合优化问题中的建模与实现方法;③为相关科研项目或实际工程应用提供算法支持与代码参考。; 阅读建议:建议读者结合Matlab代码逐段理解算法实现逻辑,重点关注目标函数建模、粒子编码方式及约束处理策略,并尝试调整参数或拓展模型以加深对算法性能的理解。
PHP开发基于8.3新特性的全栈技术体系构建:从语法入门到云原生微服务实战应用
12-01
内容概要:本文系统梳理了PHP从基础语法到云原生实战的完整学习路径,涵盖PHP 8.3新特性、主流框架(Laravel、ThinkPHP、Symfony)应用、性能优化、安全防护及微服务、全栈整合、云原生部署等前沿技术。通过分阶段的学习计划(入门、进阶、实战),结合具体项目案例(如博客系统、电商API、即时通讯服务)和实用工具(Docker、Redis、Swoole、Elasticsearch),帮助开发者构建完整的现代PHP技术体系,并展望PHP在AI、物联网、Serverless等领域的未来发展趋势。; 适合人群:具备基本编程概念、希望系统掌握现代PHP开发的初学者及工作1-3年的PHP开发者,尤其适合想向全栈或架构方向发展的技术人员。; 使用场景及目标:①系统学习PHP 8.3核心语法与主流框架最佳实践;②掌握高性能、高并发PHP应用的设计与优化方法;③实现从传统Web开发到微服务、云原生架构的技术跃迁;④了解PHP在企业服务、电商、物联网等行业的实际应用。; 阅读建议:建议按照“基础→框架→实战”的路径循序渐进学习,每个阶段配合文档中的代码示例和GitHub项目动手实践,重点关注Docker环境搭建、Laravel框架应用、Swoole异步编程及性能调优等关键环节,并结合Blackfire、Xdebug等工具进行调试与分析。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值