| Blog信息 |
|
blog名称:
日志总数:1304
评论数量:2242
留言数量:5
访问次数:7586196
建立时间:2006年5月29日 |
| |
|
 [Java Open Source]Acegi简介
软件技术, 电脑与网络
lhwork 发表于 2006/6/13 10:49:03 |
| Acegi安全系统,是一个用于Spring
Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean
Context,拦截器和面向接口的编程方式。因此,Acegi安全系统能够轻松地适用于复杂的安全需求。 Acegi安全系统,是一个用于Spring
Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean
Context,拦截器和面向接口的编程方式。因此,Acegi安全系统能够轻松地适用于复杂的安全需求。 安全涉及到两个不同的概念,认证和授权。前者是关于确认用户是否确实是他们所宣称的身份。授权则是关于确认用户是否有允许执行一个特定的操作。 在Acegi安全系统中,需要被认证的用户,系统或代理称为"Principal"。Acegi安全系统和其他的安全系统不同,它并没有角色和用户组的概念。Acegi系统设计关键组件 Acegi安全系统包含以下七个关键的功能组件: 1 Authentication对象,包含了Principal,Credential和Principal的授权信息。同时还可以包含关于发起认证请求的客户的其他信息,如IP地址。 2 ContextHolder对象,使用ThreadLocal储存Authentication对象的地方。 3 AuthenticationManager,用于认证ContextHolder中的Authentication对象。 4 AccessDecissionManager,用于授权一个特定的操作。 5 RunAsManager,当执行特定的操作时,用于选择性地替换Authentication对象。 6 Secure Object拦截器,用于协调AuthenticationManager,AccessDecissionManager,RunAsManager和特定操作的执行。 7 ObjectDefinitionSource,包含了特定操作的授权定义。 这七个关键的功能组件的关系如下图所示(图中灰色部分是关键组件):安全管理对象 Acegi安全系统目前支持两类安全管理对象。 第一类的安全管理对象管理AOP
Alliance的MethodInvocation,开发人员可以用它来保护Spring容器中的业务对象。为了使Spring管理的Bean可以作为
MethodInvocation来使用,Bean可以通过ProxyFactoryBean和BeanNameAutoProxyCreator来管
理,就像在Spring的事务管理一样使用。 第二类是FilterInvocation。它用过滤器(Filter)来创建,并简单地包装了HTTP的ServletRequest,
ServletResponse和FilterChain。FilterInvocation可以用来保护HTTP资源。通常,开发人员并不需要了解它的
工作机制,因为他们只需要将Filter加入web.xml,Acegi安全系统就可以工作了。安全配置参数 每个安全管理对象都可以描述数量不限的各种安全认证请求。例如,MethodInvocation对象可以描述带有任意参数的任意方法的调用,而FilterInvocation可以描述任意的HTTP URL。 Acegi安全系统需要记录应用于每个认证请求的安全配置参数。例如,对于BankManager.getBalance(int
accountNumber)方法和BankManager.approveLoan(int
applicationNumber)方法,它们需要的认证请求的安全配置很不相同。 为了保存不同的认证请求的安全配置,需要使用配置参数。从实现的视角来看,配置参数使用ConfigAttribute接口来表示。Acegi安全系统提
供了ConfigAttribute接口的一个实现,SecurityConfig,它把配置参数保存为一个字符串。 ConfigAttributeDefinition类是ConfigAttribute对象的一个简单的容器,它保存了和特定请求相关的ConfigAttribute的集合。 当安全拦截器收到一个安全认证请求时,需要决定应用哪一个配置参数。换句话说,它需要找出应用于这个请求的
ConfigAttributeDefinition对象。这个查找的过程是由ObjectDefinitionSource接口来处理的。这个接口的主
要方法是public ConfigAttributeDefinition getAttributes(Object
object),其中Object参数是一个安全管理对象。因为安全管理对象包含有认证请求的详细信息,所以
ObjectDefinitionSource接口的实现类可以从中获得所需的详细信息,以查找相关的ConfigAttributeDefiniton
对象。Acegi如何工作 为了说明Acegi安全系统如何工作,我们设想一个使用Acegi的例子。通常,一个安全系统需要发挥作用,它必须完成以下的工作: 1 首先,系统从客户端请求中获得Principal和Credential; 2 然后系统认证Principal和Credential信息; 3 如果认证通过,系统取出Principal的授权信息; 4 接下来,客户端发起操作请求; 5 系统根据预先配置的参数检查Principal对于该操作的授权; 6 如果授权检查通过则执行操作,否则拒绝。 那么,Acegi安全系统是如何完成这些工作的呢?首先,我们来看看Acegi安全系统的认证和授权的相关类: 安全拦截器的抽象基类,它包含有两个管理类,AuthenticationManager和AccessDecisionManager。
AuthenticationManager用于认证ContextHolder中的Authentication对象(包含了Principal,
Credential和Principal的授权信息);AccessDecissionManager则用于授权一个特定的操作。 下面来看一个MethodSecurityInterceptor的例子: <bean id="bankManagerSecurity" class="net.sf.acegisecurity.intercept.method.MethodSecurityInterceptor"> <property name="validateConfigAttributes"> <value>true</value> </property> <property name="authenticationManager"> <ref bean="authenticationManager"/> </property> <property name="accessDecisionManager"> <ref bean="accessDecisionManager"/> </property> <property name="objectDefinitionSource"> <value>net.sf.acegisecurity.context.BankManager.delete*= ROLE_SUPERVISOR,RUN_AS_SERVER net.sf.acegisecurity.context.BankManager.getBalance= ROLE_TELLER,ROLE_SUPERVISOR,BANKSECURITY_CUSTOMER,RUN_ </value> </property> </bean> 上面的配置文件中,MethodSecurityInterceptor是AbstractSecurityInterceptor的一个实现类。它包含
了两个管理器,authenticationManager和accessDecisionManager。这两者的配置如下: <bean id="authenticationDao" class="net.sf.acegisecurity.providers.dao.jdbc.JdbcDaoImpl"> <property name="dataSource"><ref bean="dataSource"/></property> </bean> <bean id="daoAuthenticationProvider" class="net.sf.acegisecurity.providers.dao.DaoAuthenticationProvider"> <property name="authenticationDao"><ref bean="authenticationDao"/></property> </bean> <bean id="authenticationManager" class="net.sf.acegisecurity.providers.ProviderManager"> <property name="providers"> <list><ref bean="daoAuthenticationProvider"/></list> </property> </bean> <bean id="roleVoter" class="net.sf.acegisecurity.vote.RoleVoter"/> <bean id="accessDecisionManager" class="net.sf.acegisecurity.vote.AffirmativeBased"> <property name="allowIfAllAbstainDecisions"><value>false</value></property> <property name="decisionVoters"> <list><ref bean="roleVoter"/></list> </property> </bean> 准备工作做好了,现在我们来看看Acegi安全系统是如何实现认证和授权机制的。以使用HTTP BASIC认证的应用为例子,它包括下面的步骤:
1.
用户登录系统,Acegi从acegisecurity.ui子系统的安全拦截器(如BasicProcessingFilter)中得到用户的登录信息
(包括Principal和Credential)并放入Authentication对象,并保存在ContextHolder对象中;
2.
安全拦截器将Authentication对象交给AuthenticationManager进行身份认证,如果认证通过,返回带有Principal
授权信息的Authentication对象。此时ContextHolder对象的Authentication对象已拥有Principal的详细信
息; 3. 用户登录成功后,继续进行业务操作; 4. 安全拦截器(bankManagerSecurity)收到客户端操作请求后,将操作请求的数据包装成安全管理对象(FilterInvocation或MethodInvocation对象); 5. 然后,从配置文件(ObjectDefinitionSource)中读出相关的安全配置参数ConfigAttributeDefinition; 6. 接着,安全拦截器取出ContextHolder中的Authentication对象,把它传递给AuthenticationManager进行身份认证,并用返回值更新ContextHolder的Authentication对象; 7. 将Authentication对象,ConfigAttributeDefinition对象和安全管理对象(secure Object)交给AccessDecisionManager,检查Principal的操作授权; 8. 如果授权检查通过则执行客户端请求的操作,否则拒绝;AccessDecisionVoter
注意上节的accessDecisionManager是一个AffirmativeBased类,它对于用户授权的投票策略是,只要通过其中的一个授权
投票检查,即可通过;它的allowIfAllAbstainDecisions属性值是false,意思是如果所有的授权投票是都是弃权,则通不过授权
检查。
Acegi安全系统包括了几个基于投票策略的AccessDecisionManager,上节的RoleVoter就是其中的一个投票策略实现,它是
AccessDecisionVoter的一个子类。AccessDecisionVoter的具体实现类通过投票来进行授权决策,
AccessDecisionManager则根据投票结果来决定是通过授权检查,还是抛出AccessDeniedException例外。 AccessDecisionVoter接口共有三个方法:public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config);public boolean supports(ConfigAttribute attribute);public boolean supports(Class clazz); 其中的vote方法返回int返回值,它们是AccessDecisionVoter的三个静态成员属性:ACCESS_ABSTAIN,,ACCESS_DENIED和ACCESS_GRANTED,它们分别是弃权,否决和赞成。
Acegi安全系统中,使用投票策略的AccessDecisionManager共有三个具体实现类:AffirmativeBased、
ConsensusBased和UnanimousBased。它们的投票策略是,AffirmativeBased类只需有一个投票赞成即可通过;
ConsensusBased类需要大多数投票赞成即可通过;而UnanimousBased类需要所有的投票赞成才能通过。
RoleVoter类是一个Acegi安全系统AccessDecisionVoter接口的实现。如果ConfigAttribute以ROLE_开
头,RoleVoter则进行投票。如果GrantedAuthority的getAutority方法的String返回值匹配一个或多个以ROLE_
开头的ConfigAttribute,则投票通过,否则不通过。如果没有以ROLE_开头的ConfigAttribute,RoleVoter则弃
权。安全拦截器 拦截器如何工作 MethodInvocation拦截器 FilterInvocation拦截器认证 认证请求 认证管理器 Authentication Provider授权 Access Decision Manager Voting Decision Manager 授权管理推荐ContextHolder的用户接口 用户接口目标 HTTP会话认证 HTTP Basic认证 |
|
|