好吧,我承认取的标题太笼统了,有点哗众取宠的嫌疑了。
首先说明,本篇要讨论的是对FilterSecurityInterceptor的扩展。
FilterSecurityInterceptor用于对所有URL资源进行拦截,并施加有效地访问控制。但是在实际当中,很多应用(包括springside)在使用Acegi的时候都扩展了FilterSecurityInterceptor,理由是资源和权限的关系配置在XML中,显得不灵活,无法修改。
我们首先看下一个关于FilterSecurityInterceptor的例子:
以上例子出自Spring Acegi Tutorial,在这个例子中[b][size=large]资源和权限的对应关系[/size][/b]是配置在objectDefinitionSource属性中,我们注意例子中把权限的名字以ROLE打头(很多例子中都是),其实有点误导人,这种命名容易让人产生一个误会:objectDefinitionSource里保存的是资源角色的对应关系:而如果真是这样,首先资源角色不好配置(不是一一对应),并且一旦配置后角色就固定了,在应用中就无法修改了。而有趣的是,不知道是否真的都受到了这个名字的影响,我们发现,目前网上基本所有对FilterSecurityInterceptor的扩展都是去获取资源角色的关系,扩展后它们的关系不用配置在XML中,可以去数据库中读取,但是这就不得不在修改角色的时候还要重新去查一次它们的关系。
所以我就很搞不清楚的一个问题是,为什么会这么关心角色这个对象?角色实际上只是起到连接用户和权限的作用,我们真正关心的不应该是它。如果我们在FilterSecurityInterceptor的objectDefinitionSource属性中配置资源权限的列表,并且在认证过程中获得用户拥有的权限信息,那么一切不是都简单了很多了吗?
如果说这里的资源就是一个URL,所谓的权限实际上也就是一个随便叫的字符串。只要它和URL资源一一对应就可以了,我们这样设计表:
[img]http://hiphotos.baidu.com/shaomengyang/pic/item/c5e4a747097f907e500ffef1.jpg[/img]
在认证过程中我们通过四张表的关联把用户和权限的关系给找出来:
然后我们在FilterSecurityInterceptor的属性objectDefinitionSource中保存资源和权限得对应关系:
这样由于objectDefinitionSource保存的是资源权限的关系,对角色的修改是不会影响到他的。所以我觉得FilterSecurityInterceptor是没有必要修改的,只要在使用的时候变通下就行了。而且我在做项目的时候也不觉的把资源权限的关系配置在XML中有多不灵活,所有数据我直接从数据库里导出来,复制粘贴下就好了~
如果有人觉得关联四张表很萎缩的话,还可以把权限名给冗余到角色权限关联表中去,这样就可以少关联一张表。
首先说明,本篇要讨论的是对FilterSecurityInterceptor的扩展。
FilterSecurityInterceptor用于对所有URL资源进行拦截,并施加有效地访问控制。但是在实际当中,很多应用(包括springside)在使用Acegi的时候都扩展了FilterSecurityInterceptor,理由是资源和权限的关系配置在XML中,显得不灵活,无法修改。
我们首先看下一个关于FilterSecurityInterceptor的例子:
<bean id="filterSecurityInterceptor"
class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
...
<property name="objectDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
/secure/admin/* = ROLE_ADMIN
/secure/app/* = ROLE_USER
</value>
</property>
</bean>
以上例子出自Spring Acegi Tutorial,在这个例子中[b][size=large]资源和权限的对应关系[/size][/b]是配置在objectDefinitionSource属性中,我们注意例子中把权限的名字以ROLE打头(很多例子中都是),其实有点误导人,这种命名容易让人产生一个误会:objectDefinitionSource里保存的是资源角色的对应关系:而如果真是这样,首先资源角色不好配置(不是一一对应),并且一旦配置后角色就固定了,在应用中就无法修改了。而有趣的是,不知道是否真的都受到了这个名字的影响,我们发现,目前网上基本所有对FilterSecurityInterceptor的扩展都是去获取资源角色的关系,扩展后它们的关系不用配置在XML中,可以去数据库中读取,但是这就不得不在修改角色的时候还要重新去查一次它们的关系。
所以我就很搞不清楚的一个问题是,为什么会这么关心角色这个对象?角色实际上只是起到连接用户和权限的作用,我们真正关心的不应该是它。如果我们在FilterSecurityInterceptor的objectDefinitionSource属性中配置资源权限的列表,并且在认证过程中获得用户拥有的权限信息,那么一切不是都简单了很多了吗?
如果说这里的资源就是一个URL,所谓的权限实际上也就是一个随便叫的字符串。只要它和URL资源一一对应就可以了,我们这样设计表:
[img]http://hiphotos.baidu.com/shaomengyang/pic/item/c5e4a747097f907e500ffef1.jpg[/img]
在认证过程中我们通过四张表的关联把用户和权限的关系给找出来:
<bean id="jdbcDaoImpl"
class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
...
<property name="authoritiesByUsernameQuery">
<value>
SELECT u.USER_NAME,a.AUTHORITY_NAME
FROM TUSER u,TUSER_ROLE t,TROLE_AUTHORITY r,TAUTHORITY a
WHERE u.ID =t.USER_ID AND r.ROLE_ID=t.ROLE_ID AND a.ID=r.AUTHORITY_id AND u.USER_NAME = ?
</value>
</property>
</bean>
然后我们在FilterSecurityInterceptor的属性objectDefinitionSource中保存资源和权限得对应关系:
<bean id="filterSecurityInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
...
<property name="objectDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
/secure/admin/* = auth_1
/secure/app/* = auth_2
</value>
</property>
</bean>
这样由于objectDefinitionSource保存的是资源权限的关系,对角色的修改是不会影响到他的。所以我觉得FilterSecurityInterceptor是没有必要修改的,只要在使用的时候变通下就行了。而且我在做项目的时候也不觉的把资源权限的关系配置在XML中有多不灵活,所有数据我直接从数据库里导出来,复制粘贴下就好了~
如果有人觉得关联四张表很萎缩的话,还可以把权限名给冗余到角色权限关联表中去,这样就可以少关联一张表。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
