二、基本概念
HttpSessionContextIntegrationFilter 存储SecurityContext in HttpSession
ChannelProcessingFilter 重定向到另一种协议，如http到https

ConcurrentSessionFilter 因为不使用任何SecurityContextHolder的功能，但是需要更新SessionRegistry来表示当前的发送请求的principal，通过在web.xml中注册Listener监听Session事件，并发布相关消息，然后由SessionRegistry获得消息以判断当前用户的Session数量。

AuthenticationProcessingFilter 普通认证机制(大多数用这个)

CasProcessingFilter CAS认证机制

BasicProcessingFilter Http协议的Basic认证机制

HttpRequestIntegrationFilter Authentication 从容器的HttpServletRequest.getUserPrincipal()获得

JbossIntegrationFilter 与Jboss相关。

SecurityContextHolderAwareRequestFilter 与servlet容器结合使用。

RememberMeProcessingFilter 基于Cookies方式进行认证。

AnonymousProcessingFilter 匿名认证。

ExceptionTranslationFilter 捕获所有的Acegi Security 异常，这样要么返回一个HTTP错误响应或者加载一个对应的AuthenticationEntryPoint

AuthenticationEntryPoint 认证入口

三、Acegi认证授权流程
1、FilterToBeanProxy 负责代理请求给FilterChainProxy

2、FilterChainProxy 方便的将多个Filter串联起来，如上面基本概念中提到的各种Filter，当然如果对URI进行授权保护，也可以包含FilterSecurityInterceptor。注意各Filter的顺序。

3、AbstractSecurityInterceptor 调度中心。负责调用各模块完成相应功能。
FilterSecurityInterceptor 对URI进行拦截保护
AspectJSecurityInterceptor 对方法进行拦截保护
MethodSecurityInterceptor 对方法进行拦截保护

4、AuthenticationManager 用户认证
-> AuthenticationProvider 实际进行用户认证的地方(多个)。
-> UserDetailsService 返回带有GrantedAuthority的UserDetail或者抛出异常。

5、AccessDecisionManager(UnanimousBased/AffirmativeBased/ConsensusBased) 授权
-> AccessDecisionVoter(RoleVoter/BaseAclEntryVoter) 实际投票的Voter(多个).

6、RunAsManager 变更GrantedAuthority

7、AfterInvocationManager 变更返回的对象
-> BaseInvocationProvider 实际完成返回对象变更的地方(多个)。

 1    < bean id = " channelProcessingFilter "   class = " org.acegisecurity.securechannel.ChannelProcessingFilter " >  
 2        < property name = " channelDecisionManager " >< ref local = " channelDecisionManager " /></ property >  
 3        < property name = " filterInvocationDefinitionSource " >  
 4           < value >  
 5                             CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 
 6                                 \A / secure / . * \Z = REQUIRES_SECURE_CHANNEL 
 7                                 \A / acegilogin.jsp. * \Z = REQUIRES_SECURE_CHANNEL 
 8                                 \A / j_acegi_security_check. * \Z = REQUIRES_SECURE_CHANNEL 
 9                                 \A. * \Z = REQUIRES_INSECURE_CHANNEL 
10           </ value >  
11        </ property >  
12     </ bean >  

我的理解： 

1           < value >  
2                             CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 
3                                 \A / secure / . * \Z = REQUIRES_SECURE_CHANNEL 
4                                 \A / acegilogin.jsp. * \Z = REQUIRES_SECURE_CHANNEL 
5                                 \A / j_acegi_security_check. * \Z = REQUIRES_SECURE_CHANNEL 
6                                 \A. * \Z = REQUIRES_INSECURE_CHANNEL 
7           </ value >  

应该是定义资源的访问权限，等号右侧的应该是能够访问该资源的角色吧。

问题是这个角色在哪里定义呢？

答案来了 ：

以最新的1.0.0讲解

acegi中人员信息用UserDetails接口表示，其中GrantedAuthority[] getAuthorities() 方法返回的数组代表该用户所拥有的授权。GrantedAuthority中的String getAuthority()方法一般可以理解为角色名称。

所以应用中用户角色是由userDetailsService返回的UserDetails获得的

拦截器有如下几种。

1  ： 针对类的方法的拦截器  ：MethodSecurityInterceptor

在appfuse中用到了这种方式。如下：

<bean id="txProxyTemplate" abstract="true"
        class="org.springframework.transaction.interceptor.TransactionProxyFactoryBean">
    <property name="transactionManager" ref="transactionManager"/>
    <property name="transactionAttributes">
        <props>
            <prop key="save*">PROPAGATION_REQUIRED</prop>
            <prop key="remove*">PROPAGATION_REQUIRED</prop>
            <prop key="*">PROPAGATION_REQUIRED,readOnly</prop>
        </props>
    </property>
</bean>

<!-- Generic manager that can be used to do basic CRUD operations on any objects -->
<bean id="manager" parent="txProxyTemplate">
    <property name="target">
        <bean class="org.appfuse.service.impl.BaseManager">
            <property name="dao" ref="dao"/>
        </bean>
    </property>
</bean>

<!-- Transaction declarations for business services.  To apply a generic transaction proxy to
         all managers, you might look into using the BeanNameAutoProxyCreator -->
<bean id="userManager" parent="txProxyTemplate">
    <property name="target">
        <bean class="org.appfuse.service.impl.UserManagerImpl">
            <property name="userDao" ref="userDao"/>
        </bean>
    </property>
    <!-- Override default transaction attributes b/c of UserExistsException -->
    <property name="transactionAttributes">
        <props>
            <prop key="save*">PROPAGATION_REQUIRED,-UserExistsException</prop>
            <prop key="remove*">PROPAGATION_REQUIRED</prop>
            <prop key="*">PROPAGATION_REQUIRED,readOnly</prop>
        </props>
    </property>
    <!-- This property is overriden in applicationContext-security.xml to add
             method-level role security -->
    <property name="preInterceptors">
        <list>
            <ref bean="userSecurityInterceptor"/>
        </list>
    </property>
</bean>

在 bean "userManager" 中的preInterceptors中有一个<ref bean="userSecurityInterceptor"/>。
bean "userSecurityInterceptor"的定义如下  ：

可以看到，当我们调用userManager的时候，通过spring的aop机制在它执行的前边要先执行userSecurityInterceptor.

Q:   能否脱离Spring框架来使用Acegi ?

A:  虽然Acegi 没有要求必须使用Spring Framework，但事实上Acegi很大程度上利用了Spring的IOC和AOP,很难脱离Spring的单独使用。

Q:  Acegi有对xfire的支持吗 ?

A: 有,详见http://jira.codehaus.org/browse/XFIRE-389

Q: 为何无论怎么设置都返回到登陆页面无法成功登陆 ?

A:  检查登陆页面或登陆失败页面是否只有ROLE_ANONYMOUS权限


二 ： Acegi 补习班

要了解Acegi,首先要了解以下几个重要概念：

1 ：Authentication  (认证）对象 ：



      
Authentication对象包含了 ：

1 principal
2 credentials
3 authorities(authorities要赋予给principal的),

同时也可以包含一些附加的认证请求信息,如

1 TCP / IP地址
2 Session id等。

2 ：SecurityContextHolder
 
        SecurityContextHolder包含ThreadLocal私有属性用于存取SecurityContext, 
        SecurityContext包含Authentication私有属性, 看以下一段程序

   public   void  getSecurityContextInformations()   {  
       //SecurityContextHolder包含ThreadLocal私有属性用于存取SecurityContext
    SecurityContext sc  =  SecurityContextHolder.getContext(); 
       // SecurityContext包含Authentication私有属性
    Authentication auth  =  sc.getAuthentication();  
        //Authentication对象包含了principal
    Object principal  =  auth.getPrincipal();  

     if  (principal  instanceof  UserDetails)   {   
         // 用户密码    
         String password  =  ((UserDetails) principal).getPassword();  
         // 用户名称    
         String username  =  ((UserDetails) principal).getUsername();  
         // 用户权限     authorities(authorities要赋予给principal的),
         GrantedAuthority[] authorities  =  ((UserDetails) principal).getAuthorities();   
         for  ( int  i  =   0 ; i  <  authorities.length; i ++ )   {    
            String authority  =  authorities[i].getAuthority();   
        }   
    }   

    Object details  =  auth.getDetails();  

     if  (details  instanceof  WebAuthenticationDetails)   {   
         // 用户session id    
         String SessionId  =  ((WebAuthenticationDetails) details).getSessionId();  
    }  
} 

通过Providers 验证 在当前 ContextHolder中的Authentication对象是否合法。

经过投票机制来审批是否批准操作 

当执行某个操作时,RunAsManager可选择性地替换Authentication对象 

拦截器(如FilterSecurityInterceptor,JoinPoint,MethodSecurityInterceptor等)用于协调授权,认证等操作