BlogJava-LiuTing-随笔分类-身份认证管理

Acegi工作流程

LiuTing — Sun, 20 May 2007 04:44:00 GMT

任何一个安全系统都包括authentication和authorization两部分，Acegi相同。

第一部分：authentication

1、acegi通过AuthenticationProcessingFilter拦截login请求获取Principal和Credential信息（通俗一点就是用户名和密码）；

2、验证用户名密码，由这个Filter调用认证管理器AuthenticatiomManager进行验证。

AuthenticatiomManager本身并不具备验证的功能，它相当与是一个验证控制器，由它来管理验证的过程及方式。AuthenticatiomManager是通过调用provider来进行验证的，一个manager中可以具有多个provider，但只要有一个provider验证通过，manager就认为验证成功。

这部分要明白三点：一，provider是可以配置进去的，因为acegi是基于spring的；二是AuthenticatiomManager是可以被重写的，你可以将manager改成你自己希望的控制器；三，好好利用event，这是标准的observer模式。acegi中的设计模式研究将在以后的贴子中讨论。

3、provider进行验证。

provider是真正的验证模块，并且决定了验证的模式。provider目前acegi提供了dao、jaas，cas，x509，ldap等几种验证方式，这些验证方式的具体内容可以查阅acegi的文档。provider验证通过后将Authentication对象返回。

4、AuthenticationProcessingFilter将对象保存到ContextHolder中。Authentication部分结束。

第二部分：authorization

1、用户提交请求，拦截器FilterSecurityInterceptor拦截请求，拦截器是一个Filter.

2 、鉴权，拦截器调用AccessDecisionManager进行鉴权。

AccessDecisionManager是通过投票的方式来决定是否有权限访问资源。所谓投票就要包括投票的参与者和投票的策略。

投票的参与者decisionVoters，这是AccessDecisionManager的一个属性。decisionVoter能从某一个角度决定用户是否能访问资源，例如RoleVoter来判断用户的角色是否有权限访问资源，MaxuserVoter来决定某个资源的访问用户数是否已经达到了最大值等。

投票策略。投票的策略是通过不同的AccessDecisionManager来实现的，例如acegi提供的AffirmativeBased对象，这个对象的策略就是只要有一个投票通过就全体通过。UnanimousBased对象的策略是必须全体投票通过才能通过。但在大多数情况下acegi提供的AccessDecisionManager不能满足我们的要求，这就需要我们去实现AccessDecisionManager接口，去定制适合自己项目的策略。

3、投票。投票对象必须实现AccessDecisionVoter接口。投票对象关注的是某一方面的决定权，如果投票通过则Vote方法来完成的。vote方法必须返回一个int型的数据代表投票结果，它们是AccessDecisionVoter的三个静态成员属性：ACCESS_ABSTAIN,，ACCESS_DENIED和ACCESS_GRANTED，它们分别是弃权，否决和赞成。

安全拦截器

拦截器如何工作
MethodInvocation拦截器
FilterInvocation拦截器

认证

认证请求
认证管理器
Authentication Provider

授权

Access Decision Manager
Voting Decision Manager
授权管理推荐

ContextHolder的用户接口

用户接口目标
HTTP会话认证
HTTP Basic认证

LiuTing 2007-05-20 12:44 发表评论

使用Acegi时获取用户信息的几个函数

LiuTing — Sun, 20 May 2007 04:43:00 GMT

1 /**
2    * 取得当前用户名
3    * @return
4     */
5    public static String getUsername() {
6     Context context = ContextHolder.getContext();
7      if (context != null ) {
8        if (context instanceof SecureContext) {
9         SecureContext sc = (SecureContext)context;
10         Authentication auth = sc.getAuthentication();
11          if (auth != null ) {
12           Object principal = auth.getPrincipal();
13            if (principal instanceof UserDetails) {
14              return ((UserDetails)principal).getUsername();
15           } else {
16              return principal.toString();
17           }
18         }
19       }
20     }
21      return null ;
22   }
23    /**
24    * 取得当前用户密码
25    * @return
26     */
27    public static String getPassword() {
28     Context context = ContextHolder.getContext();
29      if (context != null ) {
30        if (context instanceof SecureContext) {
31         SecureContext sc = (SecureContext)context;
32         Authentication auth = sc.getAuthentication();
33          if (auth != null ) {
34           Object principal = auth.getPrincipal();
35            if (principal instanceof UserDetails) {
36              return ((UserDetails)principal).getPassword();
37           } else {
38              return null ;
39           }
40         }
41       }
42     }
43      return null ;
44   }
45    /** */ /**
46    * 取得当前用户ｓｅｓｓｉｏｎ　ｉｄ
47    * @return sessionid or null
48     */
49    public static String getSessionID() {
50     Context context = ContextHolder.getContext();
51      if (context != null ) {
52        if (context instanceof SecureContext) {
53         SecureContext sc = (SecureContext)context;
54         Authentication auth = sc.getAuthentication();
55          if (auth != null ) {
56           Object details = auth.getDetails();
57            if (details instanceof WebAuthenticationDetails) {
58              return ((WebAuthenticationDetails)details).getSessionId();
59           } else {
60              return null ;
61           }
62         }
63       }
64     }
65      return null ;
66   }

LiuTing 2007-05-20 12:43 发表评论

Acegi使用2

LiuTing — Sun, 20 May 2007 04:42:00 GMT

流程说完了，接下对上面提到的问题解释一下：

引用

先使用URL拦截的方式去对付大多数的情况，然后少数URL搞不定的再加一个接口，让Action自己去判别。这样用两个拦截器对Action进行拦截，如果Action实现了hasPermission接口，那么就交给Action自己判断，如果Action没有该接口，就查找内部的URL和权限的对照表来判断。

这个情况比较复杂，因为是要对Action进行调用，所以要看使用的web框架来定夺。是用不同Web框架要是用不同的Web框架拦截器。所以恐怕acegi力不从心，挺多在filter里面配置一下是否要是用Action自身校验。但是想法很好，赞。

引用

你怎么把信息有效的传递给Web层和其他的Facade层进行用户友好性的提示处理？

acegi校验失败的时候会抛出AuthenticationException异常，然后放在session里面，
在错误转向页面可以这样是用

代码

<%= ((AuthenticationException) session.getAttribute(AbstractProcessingFilter.ACEGI_SECURITY_LAST_EXCEPTION_KEY)).getMessage() %>
<%= session.getAttribute(AuthenticationProcessingFilter.ACEGI_SECURITY_LAST_USERNAME_KEY) %>
<%= session.getAttribute(SecurityEnforcementFilter.ACEGI_SECURITY_ACCESS_DENIED_EXCEPTION_KEY) %>

不过这么用实在太难看了，晕了。可以自己用tag来搞定

引用

很多系统需要根据权限不同，生成不同的UI组件(例如管理员的菜单和普通用户菜单就肯定不一样)，这也需要在Web层的View进行控制。

acegi对View的处理就是使用tag,原来的acegi好像没有什么tag，简直是烂，现在有了tag，说一下是用的方法，但是说实话他的tag实在是不够强。

老版的web.xml

代码

1<taglib>
2  <taglib-uri>http://acegisecurity.sf.net/authztaglib-uri>
3  <taglib-location>/WEB-INF/authz.tldtaglib-location>
4taglib>

在页面中使用

代码

1<authz:authorize ifAllGranted="ROLE_SUPERVISOR">
2<td>
3<A HREF="del.htm?id=/${contact.id}"/>">DelA>
4td>
5authz:authorize>

ifAllGranted是说所有的权限都有，用','分割权限
可以替换成ifAnyGranted: ifNotGranted:

代码

1<authz:authentication operation="username"/>

这个是用来显示你的权限信息的。

代码

1<authz:acl domainObject="${contact}" hasPermission="16,1">
2<td><A HREF="del.htm"><c:param name="contactId"
3value="${contact.id}"/>c:url>">DelA>td>
4authz:acl>

LiuTing 2007-05-20 12:42 发表评论

Acegi使用1

LiuTing — Sun, 20 May 2007 04:41:00 GMT

首先要配置一个filter，这个filter用一个代理bean写在了spring里面，其实根正常的filter没有任何区别。

代码

1<bean id="securityEnforcementFilter"
2    class="org.acegisecurity.intercept.web.SecurityEnforcementFilter">
3    <property name="filterSecurityInterceptor">
4        <ref local="filterInvocationInterceptor" />
5    property>
6    <property name="authenticationEntryPoint">
7        <ref local="authenticationProcessingFilterEntryPoint" />
8    property>
9bean>

"filterInvocationInterceptor" 是一个拦截器，说是拦截器，其实就是在filter里面执行一下他的拦截方法，这里可没有什么aop.
authenticationEntryPoint 交验失败的时候转到的地方，为什么说是地方，因为通过配置可以转到其它的url甚至其它的协议下(http 转到 https等等)

代码

1<bean id="authenticationProcessingFilterEntryPoint"
2    class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
3    <property name="loginFormUrl">
4        <value>/error.securityvalue>
5    property>
6    <property name="forceHttps">
7        <value>falsevalue>
8    property>
9bean>
10

这个就是失败的时候转到的地方，我们可以配置url和是否使用https

代码

1<bean id="filterInvocationInterceptor"
2    class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
3    <property name="authenticationManager">
4        <ref bean="authenticationManager" />
5    property>
6    <property name="accessDecisionManager">
7        <ref local="httpRequestAccessDecisionManager" />
8    property>
9    <property name="objectDefinitionSource">
10        <value>
11            CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
12            PATTERN_TYPE_APACHE_ANT
13            /index.jsp=ROLE_ANONYMOUS,ROLE_USER
14            /j_acegi_switch_user=ROLE_SUPERVISOR
15            /login.security=ROLE_ANONYMOUS,ROLE_USER                /test.do=ROLE_CODER
16            /**.do*=ROLE_USER
17        value>
18    property>
19bean>

这个就是前面提到的拦截器。简单解释一下：
authenticationManager 在acegi里面的主要作用就是管理维护用户的权限角色等信息，比方说想要用户的ROLE就要在这里面拿了。里面配置了多种全县的来源，可以从DAO里面来(就是数据库里面)，可以是cookies里面的，也可以是匿名的权限，每种权限都以一种Provider的形式提供：

代码

1<bean id="authenticationManager"
2    class="org.acegisecurity.providers.ProviderManager">
3    <property name="providers">
4        <list>
5            <ref local="daoAuthenticationProvider" />
6            <ref local="anonymousAuthenticationProvider" />
7            <ref local="rememberMeAuthenticationProvider" />
8        list>
9    property>
10bean>

objectDefinitionSource在acegi里面就是配置权限信息，说明哪一个url需要什么权限才能访问，acegi默认用来表示，其实这正是acegi的不足之处，还好能够补救。我来说明一下：
我们知道在spring里面标签比较特殊，spring首先找到这个属性的类型，然后把value里面的内容以String的类型取出来(Spring做了一下包装，为TypedString)。然后根据这个属性的类型找他的Editer，然后用Editer来处理String为需要的类型。但是我们不希望用String来表达url，很明显url里面有=就不会玩了。我们可以把这个信息写到数据库里面，然后读取，这里面不说了以前有一位高手已经解释过了。

接下来就是httpRequestAccessDecisionManager了，AccessDecisionManager在acegi里面是决策者，就是根据你所拥有的权限和访问URL需要的权限来决定你到底能不能访问。

代码

1<bean id="httpRequestAccessDecisionManager"
2    class="org.acegisecurity.vote.AffirmativeBased">
3    <property name="allowIfAllAbstainDecisions">
4        <value>falsevalue>
5    property>
6    <property name="decisionVoters">
7        <list>
8            <ref bean="roleVoter" />
9        list>
10    property>
11bean>

决策者里面是投票者，这个上面已经解释过了，一个投票者校验一种权限。整个流程已经说完了。

LiuTing 2007-05-20 12:41 发表评论