Acegi中的FilterInvocationDefinitionMap的局限性及小改进

最新推荐文章于 2018-04-27 14:50:00 发布
最新推荐文章于 2018-04-27 14:50:00 发布
阅读量180 收藏
点赞数
文章标签: Acegi 正则表达式 Ant Apache C
Acegi中的FilterInvocationDefinitionMap提供两种实现:PATTERN_TYPE_ANT_PATH及PATTERN_TYPE_PERL5。其中PATTERN_TYPE_ANT_PATH使用apache Ant的路径格式来进行url的模式匹配,由于只有**, *, ?少数几个通配符,所以使用起来比较简单,但是无法支持带参数的url,如/action.do?method=m这种url,在进行匹配之前,会先将?后面的部分截去。见PathBasedFilterInvocationDefinitionMap.java的代码:
java 代码
 
  1. public ConfigAttributeDefinition lookupAttributes(String url) {  
  2.     // Strip anything after a question mark symbol, as per SEC-161. See also SEC-321  
  3.     int firstQuestionMarkIndex = url.indexOf("?");  
  4.   
  5.     if (firstQuestionMarkIndex != -1) {  
  6.         url = url.substring(0, firstQuestionMarkIndex);  
  7.     }  
  8.   
  9.     if (isConvertUrlToLowercaseBeforeComparison()) {  
  10.         url = url.toLowerCase();  
  11.   
  12.         if (logger.isDebugEnabled()) {  
  13.             logger.debug("Converted URL to lowercase, from: '" + url + "'; to: '" + url + "'");  
  14.         }  
  15.     }  
  16.   
  17.     Iterator iter = requestMap.iterator();  
  18.   
  19.     while (iter.hasNext()) {  
  20.         EntryHolder entryHolder = (EntryHolder) iter.next();  
  21.   
  22.         boolean matched = pathMatcher.match(entryHolder.getAntPath(), url);  
  23.   
  24.         if (logger.isDebugEnabled()) {  
  25.             logger.debug("Candidate is: '" + url + "'; pattern is " + entryHolder.getAntPath() + "; matched="  
  26.                 + matched);  
  27.         }  
  28.   
  29.         if (matched) {  
  30.             return entryHolder.getConfigAttributeDefinition();  
  31.         }  
  32.     }  
  33.   
  34.     return null;  
  35. }  
在对Acegi的缺省实现不进行扩展的情况下,要实现对带参数URL的安全控制,可以使用PATTERN_TYPE_PERL5即正则表达式进行模式匹配(在RegExpBasedFilterInvocationDefinitionMap中实现),例如上述的路径可以用如下的模式来进行匹配:^/user\.do\?method=.*,采用这种方案的优点是可以利用正则表达式的强大表达能力,缺点是难以实现模式的自动生成。在一个实用的基于角色的权限管理体系中,通常对要进行安全控制的资源是由管理员通过管理界面来定制的,如果使用PATTERN_TYPE_PERL5的格式来制定模式,则需要管理员熟练掌握正则表达式的使用,有难度。考虑实现一个UrlFilterInvocationDefinitionMap,仅提供一种通配符*,又支持url参数,简单又实用。代码如下:
java 代码
 
  1. import org.acegisecurity.ConfigAttributeDefinition;  
  2. import org.acegisecurity.intercept.web.AbstractFilterInvocationDefinitionSource;  
  3. import org.acegisecurity.intercept.web.FilterInvocationDefinition;  
  4. import org.apache.commons.logging.Log;  
  5. import org.apache.commons.logging.LogFactory;  
  6.   
  7. import java.util.*;  
  8.   
  9. /** 
  10.  * User: user 
  11.  * Date: 2007-4-11 
  12.  * Time: 9:14:00 
  13.  */  
  14. public class UrlFilterInvocationDefinitionMap extends AbstractFilterInvocationDefinitionSource  
  15.     implements FilterInvocationDefinition {  
  16.   
  17.     private static final Log logger = LogFactory.getLog(UrlFilterInvocationDefinitionMap.class);  
  18.   
  19.     private List<EntryHolder> requestMap = new ArrayList<EntryHolder>();  
  20.     private boolean convertUrlToLowercaseBeforeComparison = false;  
  21.   
  22.     public ConfigAttributeDefinition lookupAttributes(String url) {  
  23.         Iterator iter = requestMap.iterator();  
  24.   
  25.         if (isConvertUrlToLowercaseBeforeComparison()) {  
  26.             url = url.toLowerCase();  
  27.   
  28.             if (logger.isDebugEnabled()) {  
  29.                 logger.debug("Converted URL to lowercase, from: '" + url + "'; to: '" + url + "'");  
  30.             }  
  31.         }  
  32.   
  33.         while (iter.hasNext()) {  
  34.             EntryHolder entryHolder = (EntryHolder) iter.next();  
  35.   
  36.             boolean matched = UrlMatcher.matches(url, entryHolder.getUrlPattern());  
  37.   
  38.             if (logger.isDebugEnabled()) {  
  39.                 logger.debug("Candidate is: '" + url + "'; pattern is " + entryHolder.getUrlPattern()  
  40.                     + "; matched=" + matched);  
  41.             }  
  42.   
  43.             if (matched) {  
  44.                 return entryHolder.getConfigAttributeDefinition();  
  45.             }  
  46.         }  
  47.   
  48.         return null;  
  49.     }  
  50.   
  51.     public Iterator getConfigAttributeDefinitions() {  
  52.         Set<ConfigAttributeDefinition> set = new HashSet<ConfigAttributeDefinition>();  
  53.         for (EntryHolder aRequestMap : requestMap) {  
  54.             set.add(aRequestMap.getConfigAttributeDefinition());  
  55.         }  
  56.         return set.iterator();  
  57.     }  
  58.   
  59.     public void addSecureUrl(String urlPattern, ConfigAttributeDefinition attr) {  
  60.         requestMap.add(new EntryHolder(urlPattern, attr));  
  61.   
  62.         if (logger.isDebugEnabled()) {  
  63.             logger.debug("Added url pattern: " + urlPattern + "; attributes: " + attr);  
  64.         }  
  65.     }  
  66.   
  67.     public boolean isConvertUrlToLowercaseBeforeComparison() {  
  68.         return this.convertUrlToLowercaseBeforeComparison;    
  69.     }  
  70.   
  71.     public void setConvertUrlToLowercaseBeforeComparison(boolean convertUrlToLowercaseBeforeComparison) {  
  72.         this.convertUrlToLowercaseBeforeComparison = convertUrlToLowercaseBeforeComparison;  
  73.     }  
  74.   
  75.     protected class EntryHolder {  
  76.         private ConfigAttributeDefinition configAttributeDefinition;  
  77.         private String urlPattern;  
  78.   
  79.         public EntryHolder(String urlPattern, ConfigAttributeDefinition attr) {  
  80.             this.urlPattern = urlPattern;  
  81.             this.configAttributeDefinition = attr;  
  82.         }  
  83.   
  84.         protected EntryHolder() {  
  85.             throw new IllegalArgumentException("Cannot use default constructor");  
  86.         }  
  87.   
  88.         public String getUrlPattern() {  
  89.             return urlPattern;  
  90.         }  
  91.   
  92.         public ConfigAttributeDefinition getConfigAttributeDefinition() {  
  93.             return configAttributeDefinition;  
  94.         }  
  95.     }  
  96.   
  97. }  
其中模式匹配用了一个UrlMatcher类,代码及test列在下面:
java 代码
 
  1. import java.util.regex.Pattern;  
  2. import java.util.regex.Matcher;  
  3.   
  4. /** 
  5.  * User: user 
  6.  * Date: 2007-4-11 
  7.  * Time: 9:48:09 
  8.  */  
  9. public class UrlMatcher {  
  10.     public static boolean matches(String url, String urlPattern){  
  11.         StringBuffer buff = new StringBuffer();  
  12.         buff.append('^');  
  13.         buff.append(urlPattern.replaceAll("\\.""\\\\.").replaceAll("\\?""\\\\?").replaceAll("\\*"".*"));  
  14.         buff.append("$");  
  15.         Pattern pattern = Pattern.compile(buff.toString());  
  16.         Matcher matcher = pattern.matcher(url);  
  17.         boolean found = matcher.find();  
  18.         return found && matcher.group().equals(url);  
  19.     }  
  20. }  

java 代码
 
  1. /** 
  2.  * User: user 
  3.  * Date: 2007-4-11 
  4.  * Time: 10:07:07 
  5.  */  
  6.   
  7. import junit.framework.*;  
  8. import com.vnv.basicacegi.security.UrlMatcher;  
  9.   
  10. public class UrlMatcherTest extends TestCase {  
  11.   
  12.     public void testMatches() throws Exception {  
  13.         assertTrue(UrlMatcher.matches("/user.do?method=home""/user.do?method=*"));  
  14.         assertTrue(UrlMatcher.matches("/user/home/abc/action.do""/user/*/action.do"));  
  15.         assertTrue(UrlMatcher.matches("/user/home/abc/action.do?method=a&c=d""/user/*/action.do*"));  
  16.         assertTrue(UrlMatcher.matches("/user/home/abc/action.do?method=a&c=d""/user/*/action.do?*"));  
  17.         assertTrue(UrlMatcher.matches("/user/home/abc/action.do?method=a&c=d""/user/*/action.do?method=*"));  
  18.         assertFalse(UrlMatcher.matches("/user/action.do?method=a&c=d""/user/*/action.do?method=*"));  
  19.         assertTrue(UrlMatcher.matches("/action.do?method=a&c=d""*/action.do?method=*"));  
  20.     }  
  21. }
这下可以爽了。
iteye_6756
关注
Spring Security学习总结二
pureboy的专栏
04-01 741
<br /><br />前一篇文章里介绍了Spring Security的一些基础知识,相信你对Spring Security的工作流程已经有了一定的了解,如果你同时在读源代码,那你应该可以认识的更深刻。在这篇文章里,我们将对Spring Security进行一些自定义的扩展,比如自定义实现UserDetailsService,保护业务方法以及如何对用户权限等信息进行动态的配置管理。<br />说明:<br />如果你通过Google搜索,可以找到很 多类似主题的文章,本文的目的在于通过这些实例来介绍的工作
acegi 之 FilterInvocationDefinitionSourceEditor
sctom123
05-18 205
引用自 http://www.iteye.com/post/475224 Spring Reference Guide states: Quote: Spring uses the java.beans.PropertyEditorManager to set the search-path for property editors that might be n...
用Hibernate 实现 FilterInvocationDefinitionSource(Acegi
melin1204的博客
06-08 240
整个工程在附件中,去掉了lib 目录,需要的jar包在jar.jpg。带有数据脚本,还有好多去完善,有空会更新 下面的代码缓存好像没有起作用。以后在调试,如果那位调试缓存起作用,请回复 [code]public class RdbmsFilterInvocationDefinitionSource extends AbstractFilterInvocationDefinitionSource...
关于Acegi配置文件中filterChainProxy的属性filterInvocationDefinitionSource的解析问题
Michael的专栏
03-11 3128
今天研究acegi时遇到一个问题,filterChainProxy类中的filterInvocationDefinitionSource是FilterInvocationDefinitionSource类型,而在配置文件中传入了一个String类型的值。其间怎么转化,没弄明白,源码中也没有找到。但是在网上搜到这样一个帖子,原理解释的很明白。原帖地址:http://www.javaeye.com/t
关于Acegi配置文件中filterChainProxy的属性filterInvocationDefinitionSource的解析问题(转载)...
天庚天空
01-20 197
今天研究acegi时遇到一个问题,filterChainProxy类中的filterInvocationDefinitionSource是 FilterInvocationDefinitionSource类型,而在配置文件中传入了一个String类型的值。其间怎么转化,没弄明白,源码 中也没有找到。但是在网上搜到这样一个帖子,原理解释的很明白。原帖地址:http://www.iteye.com...
菜鸟-教你把Acegi应用到实际项目(9)-实现FilterInvocationDefinition
二进制之路
11-02 168
      在实际应用中,开发者有时需要将Web资源授权信息(角色与授权资源之间的定义)存放在RDBMS中,以便更好的管理。事实上,我觉得一般的企业应用都应当如此,因为这样可以使角色和Web资源的管理更灵活,更自由。那么,我们应当如何实现这个需求呢?在接下来的内容当中,我们将一一解说。      我们都知道,一般Web资源授权信息的配置类似如下代码: &lt;bean id="filterInvo...
Spring集成Acegi安全框架在J2EE中的应用
01-31
然而对于一个完整的应用系统,完善的认证和授权机制是必不可少的,Acegi是一个基于Spring的安全框架,探讨了Spring框架集成Acegi的方法,即在Spring的IOC配置文件中定义所有的安全逻辑,改变了传统的通过编写代码的...
Acegi Security 1.0.5全面安全解决方案及扩展性介绍
这些文件表明了 Acegi Security 的广泛适用性及它如何能够被集成到各种不同的服务器和认证系统中。此外,文本文件(license.txt、readme.txt、notice.txt)通常包含了关于如何使用该框架、它的许可信息以及相关的...
ehCache在acegi中的应用
04-23
而在acegi安全框架(现已被Spring Security替代)中,ehCache被用来增强安全性相关的性能,例如缓存用户权限信息,减少数据库查询频率。 acegi是Spring的一个安全模块,主要用于处理应用程序的认证和授权。通过集成...
acegi-sample.rar_acegi
09-19
Acegi Security,现已被Spring Security所取代,是Java EE应用程序中的一个强大且灵活的安全框架,主要用于处理Web应用程序的安全性问题。这个"acegi-sample.rar_acegi"项目提供了一个详细的示例,帮助开发者理解并...
Acegi安全框架简体中文详细入门教程
总结来看,Acegi Security中文教程将帮助读者了解并掌握如何在Spring框架中使用这一安全框架来增强应用程序的安全性。虽然Acegi Security已不再是主流选择,但通过学习它,我们能够更好地理解安全机制背后的基本原理...
学习Acegi应用到实际项目中(9)- 实现FilterInvocationDefinition
dashabi201412的博客
04-27 132
  在实际应用中,开发者有时需要将Web资源授权信息(角色与授权资源之间的定义)存放在RDBMS中,以便更好的管理。事实上,一般的企业应用都应当如此,因为这样可以使角色和Web资源的管理更灵活,更自由。那么,应当如何实现这个需求呢?在接下来将一一解说。  我们都知道,一般Web资源授权信息的配置类似如下代码: <bean id="filterInvocationInterce...
java Spring Security 总结二 6
lion222
12-24 133
    1 自定义FilterInvocationDefinitionSource     在2.0中,系统没有在系统抽象类,所以我们还是使用1.x中的实现方式,首先通过一个抽象类来实现ObjectDefinitionSource接口。代码如下: &lt;!--&lt;br /&gt; &lt;br /&gt; Code highlighting produced by A...
关于spring security的URL路径验证问题
qiuqiuit的专栏
02-15 1517
在前一篇文章中,还是有些地方没讲清楚,但那篇文章已经有点长了,所以还是另外单独讲一下吧。见SecureResourceFilterInvocationDefinitionSource代码: [code="java"] /** * RegexUrlPathMatcher默认不进行小写转换,而AntUrlPathMatcher默认要进行小写转换 */ public void ...
Spring Security使用数据库管理资源整理
weixin_34348174的博客
08-26 118
转载  http://alimama.iteye.com/blog/6168541.网上常见的重写FilterInvocationDefinitionSource的做法 http://www.family168.com/oa/springsecurity/html/ch005-resource-db.html#d0e585 具体方法参照这里 http://www.iteye.com/topic/...
Spring Security 认证 根据数据库自动授权
狮子座人生
12-18 216
&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://ww
springSecurity源码分析---FilterInvocation类
冰冻非一日之寒
05-03 5606
最近在研究spring security时,发现程序中出现了如下一行代码:     System.out.println("********************MySecurityFilter**********************"); FilterInvocation fi = new FilterInvocation(request, respo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值