BlogJava-liuzheng-文章分类-Acegihttp://www.blogjava.net/liuzheng/category/34854.htmlzh-cnFri, 26 Sep 2008 10:35:56 GMTFri, 26 Sep 2008 10:35:56 GMT60Acegi验证授权的数据库设计http://www.blogjava.net/liuzheng/articles/231338.html刘铮 刘铮 Fri, 26 Sep 2008 09:24:00 GMThttp://www.blogjava.net/liuzheng/articles/231338.htmlhttp://www.blogjava.net/liuzheng/comments/231338.htmlhttp://www.blogjava.net/liuzheng/articles/231338.html#Feedback0http://www.blogjava.net/liuzheng/comments/commentRss/231338.htmlhttp://www.blogjava.net/liuzheng/services/trackbacks/231338.htmlCREATE DATABASE acegi;

USE acegi;



CREATE TABLE USERS(

USERNAME VARCHAR(50) NOT NULL PRIMARY KEY,

PASSWORD VARCHAR(50) NOT NULL,

ENABLED BIT NOT NULL

);



INSERT INTO USERS(username,password,enabled) values('caterpillar' ,'123456', 1);

INSERT INTO USERS(username,password,enabled) values('user1' ,'user1pwd', 1);

INSERT INTO USERS(username,password,enabled) values('user2' ,'user2pwd', 0);



CREATE TABLE AUTHORITIES(

USERNAME VARCHAR( 50 ) NOT NULL,

AUTHORITY VARCHAR( 50 ) NOT NULL,

CONSTRAINT FK_AUTHORITIES_USERS FOREIGN KEY(USERNAME) REFERENCES USERS(USERNAME)

);



INSERT INTO AUTHORITIES(USERNAME,AUTHORITY) values( 'caterpillar' , 'ROLE_SUPERVISOR');

INSERT INTO AUTHORITIES(USERNAME,AUTHORITY) values( 'user1', 'ROLE_USER');

INSERT INTO AUTHORITIES(USERNAME,AUTHORITY) values( 'user2', 'ROLE_USER');

刘铮 2008-09-26 17:24 发表评论
]]>从业务流程中取出Acegi的SecurityContexthttp://www.blogjava.net/liuzheng/articles/231333.html刘铮 刘铮 Fri, 26 Sep 2008 09:06:00 GMThttp://www.blogjava.net/liuzheng/articles/231333.htmlhttp://www.blogjava.net/liuzheng/comments/231333.htmlhttp://www.blogjava.net/liuzheng/articles/231333.html#Feedback0http://www.blogjava.net/liuzheng/comments/commentRss/231333.htmlhttp://www.blogjava.net/liuzheng/services/trackbacks/231333.html SecurityContext context = SecurityContextHolder.getContext();
就可以得到了context


刘铮 2008-09-26 17:06 发表评论
]]>Acegi系统元件http://www.blogjava.net/liuzheng/articles/231330.html刘铮 刘铮 Fri, 26 Sep 2008 09:01:00 GMThttp://www.blogjava.net/liuzheng/articles/231330.htmlhttp://www.blogjava.net/liuzheng/comments/231330.htmlhttp://www.blogjava.net/liuzheng/articles/231330.html#Feedback0http://www.blogjava.net/liuzheng/comments/commentRss/231330.htmlhttp://www.blogjava.net/liuzheng/services/trackbacks/231330.html
  • Filter
当一个请求到来时,在安全处理上最高层的元件,像是会话处理、验证、登出等,并呼叫对应的物件进行处理。
  • Manager
真正处理验证、登出等安全服务之元件,Manager管理Provider所提供的安全相关资讯。
  • Provider
提供安全相关资讯给Manager,安全资讯来源可能是记忆体中的物件、档案、资料库等储存媒介,安全资讯包括了使用者名称、密码、角色等讯息。
  • Handler
有时会将一个安全服务分作数个小任务来进行,每个小任务由一个Handler来进行处理,如此在处理安全服务或设定Acegi时可以更有弹性,例如依需求处理登出时Session的失效与Cookie的失效。

Acegi使用Filter来对请求进行验证与授权等安全服务:
    <!-- Filter Chain -->
     <bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">  
       <property name="filterInvocationDefinitionSource">  
          <value>  
            CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 
            PATTERN_TYPE_APACHE_ANT 
            /**=httpSessionContextIntegrationFilter,authenticationProcessingFilter,
                 exceptionTranslationFilter,filterSecurityInterceptor
         </value> 
      </property> 
    </bean>

以下介绍主要的几个Filter:
  • Session Integration Filter
通常是Filter Chain中第一个Filter,会建立Security Context 物件用以储存安全相关资讯,后续的Filter若有需要储存或取得安全相关资讯,即可利用Security Context 物件,如果Security Context物件中的资讯有所变动,Session Integration Filter会将变动储存至Session物件之中,否则将Security Context物件弃置,例如“第一个Acegi程式”中所使用的Authentication Processing Filter,即利用Security Context物件来储存使用者名称、密码等使用者资讯。

  • Authentication Processing Filter
当使用者存取受保护资源而需要登入时,Authentication Processing Filter可提供表单来源给使用者,之后从使用者的请求(物件)中取得名称、密码并建立authentication token以储存资讯,接着将之交给验证管理员(authentication manager)进行以进行使用者的比对,所以基本上,Authentication Processing Filter需要设定以下的资讯:
<!-- 验证处理,使用表单 -->
    <bean id="authenticationProcessingFilter"
          class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter"> 
        <!-- 验证管理员,处理验证资讯提供者  -->
        <property name="authenticationManager" ref="authenticationManager"/> 
        <!-- 验证失败URL -->
        <property name="authenticationFailureUrl" value="/acegilogin.jsp"/> 
        <!-- 验证成功预设URL -->
        <property name="defaultTargetUrl" value="/protected/userinfo.jsp"/> 
        <!-- 验证处理的提交位址 -->
        <property name="filterProcessesUrl" value="/j_acegi_security_check"/> 
    </bean>

当验证管理员进行使用者的比对、取得细节资讯并返回Authentication Processing Filter后,Authentication Processing Filter会建立Authentication并将取得的使用者资讯储存在Security Context物件中,然后交给下一个Filter继续进行处理。

  • Exception Translation Filter
当验证或授权过程中发生例外时,Exception Translation Filter处理例外。
    <!-- 发生验证错误或权限错误时的处理 -->
    <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter"> 
        <property name="authenticationEntryPoint"> 
            <bean class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint"> 
                <property name="loginFormUrl" value="/acegilogin.jsp"/> 
                <property name="forceHttps" value="false"/> 
            </bean> 
        </property> 
        <property name="accessDeniedHandler"> 
            <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl"> 
                <property name="errorPage" value="/accessDenied.jsp"/> 
            </bean> 
        </property> 
    </bean>      

  • Logout Processing Filter
管理登出的处理,实际的登出处理会交给Handler,您可以设置登出后的显示页面来源,在 第一个Acegi 程式 - 登出、自动Cookies登入 中,使用了SecurityContextLogoutHandler来让Session交效。
     <!-- 登出处理 --> 
    <bean id="logoutFilter" class="org.acegisecurity.ui.logout.LogoutFilter"> 
        <constructor-arg value="/acegilogin.jsp"/> <!-- 登出后的显示页面 --> 
            <constructor-arg> 
               <list> 
                   <bean class="org.acegisecurity.ui.logout.SecurityContextLogoutHandler"/> 
               </list> 
        </constructor-arg> 
    </bean>

  • Interceptor filters
用来决定是否授权,验证与授权是一体的,所以在Authentication Processing Filter之后必须设定Interceptor filters,Interceptor filters使用您所设定的存取控制策略(access control policy)来决定是否授权,一个使用者的存取控制策略定义了使用者、密码、角色等资讯:
caterpillar=123456,ROLE_SUPERVISOR

您使用Interceptor filters来进行存取控制策略的设定,设定验证管理者与存取决策理员(Access Decision Manager),受保护的资源可存取之角色,存取决策管理员会以投票方式决定资源是否授权,例如:
    <!-- FilterSecurityInterceptor 对 URI 进行保护 -->
    <bean id="filterSecurityInterceptor"
          class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
        <!-- 验证管理员 -->
        <property name="authenticationManager" ref="authenticationManager" />
        <!-- 授权管理员 -->
        <property name="accessDecisionManager" ref="accessDecisionManager" />
        <property name="objectDefinitionSource">
            <value>
                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
                PATTERN_TYPE_APACHE_ANT
                /protected/**=ROLE_SUPERVISOR,ROLE_USER
            </value>
        </property>
    </bean>

刘铮 2008-09-26 17:01 发表评论
]]>Acegi架构http://www.blogjava.net/liuzheng/articles/231331.html刘铮 刘铮 Fri, 26 Sep 2008 09:01:00 GMThttp://www.blogjava.net/liuzheng/articles/231331.htmlhttp://www.blogjava.net/liuzheng/comments/231331.htmlhttp://www.blogjava.net/liuzheng/articles/231331.html#Feedback0http://www.blogjava.net/liuzheng/comments/commentRss/231331.htmlhttp://www.blogjava.net/liuzheng/services/trackbacks/231331.html 下图为Acegi的架构流程简图:



  1. 浏览器发出请求。
  2. 容器将请求包装为请求物件与回应物件,然后呼叫Acegi的Filter Chain Proxy,将请求物件与回应物件传递给它。
  3. Filter Chain Proxy呼叫Filter Chain的第一个Filter,通常是Session Integration Filter,将请求物件与回应物件传递给它。
  4. Session Integration Filter检查Session物件是否存在,并且包括Security Context物件,如果否则建立Security Context物件并将之放入security context holder之中,一个存在于application scope的物件。
  5. 每个Filter完成后会呼叫下一个Filter。
  6. 每 个Filter会读取或变更Security Context,每个Filter处理完成之后,最后控制权再度回到Session Integration Filter后,Session Integration Filter检查Security Context是否有变更,如果有变更,使用Security Context中的资讯更新Session物件。
  7. 完成Filter Chain,控制权进入应用程式,开始处理请求并准备回应。
  8. 将结果回应传回至浏览器。


刘铮 2008-09-26 17:01 发表评论
]]>Acegi基本配置 -信息放在数据库中http://www.blogjava.net/liuzheng/articles/231327.html刘铮 刘铮 Fri, 26 Sep 2008 09:00:00 GMThttp://www.blogjava.net/liuzheng/articles/231327.htmlhttp://www.blogjava.net/liuzheng/comments/231327.htmlhttp://www.blogjava.net/liuzheng/articles/231327.html#Feedback0http://www.blogjava.net/liuzheng/comments/commentRss/231327.htmlhttp://www.blogjava.net/liuzheng/services/trackbacks/231327.html
   <bean id="inMemoryDaoImpl" class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">
        <property name="userMap">   
            <value>   
                caterpillar=123456,ROLE_SUPERVISOR
                user1=user1pwd,ROLE_USER
                user2=user2pwd,disabled,ROLE_USER    
            </value>   
        </property>   
    </bean>

您可以撰写一个属性档案/WEB-INF/users.properties:
  • users.properties
caterpillar=123456,ROLE_SUPERVISOR

user1=user1pwd,ROLE_USER

user2=user2pwd,disabled,ROLE_USER

然后改设定inMemoryDaoImpl的userProperties:
   <bean id="inMemoryDaoImpl" class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">
       <property name="userProperties">
           <bean class="org.springframework.beans.factory.config.PropertiesFactoryBean">
               <property name="location" value="/WEB-INF/users.properties" />
           </bean>
       </property>
   </bean>

如此在需要使用者讯息时,就可以从users.properties中提取。

如果想要将使用者的相关讯息储存在资料库中,例如使用以下的SQL在MySQL中建立使用者讯息:
  • users.sql
CREATE DATABASE acegi;

USE acegi;



CREATE TABLE USERS(  

USERNAME VARCHAR(50) NOT NULL PRIMARY KEY,  

PASSWORD VARCHAR(50) NOT NULL,  

ENABLED BIT NOT NULL

);



INSERT INTO USERS(username,password,enabled) values('caterpillar' ,'123456', 1);

INSERT INTO USERS(username,password,enabled) values('user1' ,'user1pwd', 1);

INSERT INTO USERS(username,password,enabled) values('user2' ,'user2pwd', 0);



CREATE TABLE AUTHORITIES(  

USERNAME VARCHAR( 50 ) NOT NULL,  

AUTHORITY VARCHAR( 50 ) NOT NULL,  

CONSTRAINT FK_AUTHORITIES_USERS FOREIGN KEY(USERNAME) REFERENCES USERS(USERNAME)  

);  



INSERT INTO AUTHORITIES(USERNAME,AUTHORITY) values( 'caterpillar' , 'ROLE_SUPERVISOR');

INSERT INTO AUTHORITIES(USERNAME,AUTHORITY) values( 'user1', 'ROLE_USER');  

INSERT INTO AUTHORITIES(USERNAME,AUTHORITY) values( 'user2', 'ROLE_USER');

您可以使用org.acegisecurity.userdetails.jdbc.JdbcDaoImpl作为userDetailsService,它需要一个DataSource,这可以使用Spring的DriverManagerDataSource,例如:
  • acegi-config.xml
<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN" "http://www.springframework.org/dtd/spring-beans.dtd">

<beans>

    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">  

         <property name="driverClassName">  

             <value>com.mysql.jdbc.Driver</value>              

         </property>  

         <property name="url">  

             <value>jdbc:mysql://localhost:3306/acegi</value>  

         </property>  

         <property name="username">  

             <value>root</value>  

         </property>  

         <property name="password">  

             <value>123456</value>  

         </property>  

     </bean>  



<!-- 验证处理,使用表单 -->

<bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">  

<!-- 验证管理员,处理验证资讯提供者  -->

<property name="authenticationManager" ref="authenticationManager"/>  

<!-- 验证失败URL -->

<property name="authenticationFailureUrl" value="/acegilogin.jsp"/>  

<!-- 验证成功预设URL -->

<property name="defaultTargetUrl" value="/protected/loginsuccess.jsp"/>  

<!-- 验证处理的提交位址 -->

<property name="filterProcessesUrl" value="/j_acegi_security_check"/>  

</bean>



<!-- 验证管理员,管理验证资讯提供者 -->

<bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">  

<property name="providers"><!-- 可有多个提供者,其中一个验证通过即可以了 -->  

<list>  

<ref local="daoAuthenticationProvider"/> 

<ref local="rememberMeAuthenticationProvider"/>

</list>  

</property>  

</bean>



<!-- 验证提供者,指定使用资料库来源中的验证资讯 -->

<bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">  

<property name="userDetailsService" ref="jdbcDaoImpl"/>

</bean> 



   <bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">  

       <property name="dataSource" ref="dataSource"/>

   </bean>  



<!-- 发生验证错误或权限错误时的处理 -->

<bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">  

<property name="authenticationEntryPoint">  

<bean class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">  

<property name="loginFormUrl" value="/acegilogin.jsp"/>  

<property name="forceHttps" value="false"/>  

</bean>  

</property>  

<property name="accessDeniedHandler">  

<bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">  

<property name="errorPage" value="/accessDenied.jsp"/>  

</bean>  

</property>  

</bean>    



<!-- FilterSecurityInterceptor 对 URI 进行保护 -->

<bean id="filterSecurityInterceptor"

class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">

<!-- 验证管理员 -->

<property name="authenticationManager" ref="authenticationManager" />

<!-- 授权管理员 -->

<property name="accessDecisionManager" ref="accessDecisionManager" />

<property name="objectDefinitionSource">

<value>

CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON

PATTERN_TYPE_APACHE_ANT

/protected/**=ROLE_SUPERVISOR,ROLE_USER

</value>

</property>

</bean>



<!-- 授权管理员 -->

<bean id="accessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased">

<!-- 是否全部弃权时视为通过 -->

<property name="allowIfAllAbstainDecisions" value="false" />

<property name="decisionVoters">

<list>

<bean class="org.acegisecurity.vote.RoleVoter" />

</list>

</property>

</bean>        



<!-- 利用cookie自动登入 -->  

<bean id="rememberMeProcessingFilter"  

class="org.acegisecurity.ui.rememberme.RememberMeProcessingFilter">  

<property name="authenticationManager"  ref="authenticationManager"/>  

<property name="rememberMeServices" ref="rememberMeServices"/>  

</bean>      

<bean id="rememberMeServices"  

class="org.acegisecurity.ui.rememberme.TokenBasedRememberMeServices">  

<property name="userDetailsService" ref="jdbcDaoImpl"/>  

<property name="key" value="javauser"/>  

</bean>

<bean id="rememberMeAuthenticationProvider"  

class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider">  

<property name="key" value="javauser"/>  

</bean>   



<!-- 登出处理 -->  

<bean id="logoutFilter" class="org.acegisecurity.ui.logout.LogoutFilter">  

<constructor-arg value="/acegilogin.jsp"/> <!-- 登出后的显示页面 -->  

<constructor-arg>  

<list>  

<bean class="org.acegisecurity.ui.logout.SecurityContextLogoutHandler"/>  

</list>  

</constructor-arg>  

</bean> 



<bean id="httpSessionContextIntegrationFilter"

class="org.acegisecurity.context.HttpSessionContextIntegrationFilter" />



<!-- Filter Chain -->

<bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">  

<property name="filterInvocationDefinitionSource">  

<value>  

CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 

PATTERN_TYPE_APACHE_ANT 

/**=httpSessionContextIntegrationFilter,authenticationProcessingFilter,exceptionTranslationFilter,

filterSecurityInterceptor,logoutFilter,rememberMeProcessingFilter

</value> 

</property> 

</bean>    

</beans>

当然,别忘了在您的Web应用程式的lib中,加入JDBC驱动程式程式库。

刘铮 2008-09-26 17:00 发表评论
]]>Acegi学习笔记http://www.blogjava.net/liuzheng/articles/231325.html刘铮 刘铮 Fri, 26 Sep 2008 08:59:00 GMThttp://www.blogjava.net/liuzheng/articles/231325.htmlhttp://www.blogjava.net/liuzheng/comments/231325.htmlhttp://www.blogjava.net/liuzheng/articles/231325.html#Feedback0http://www.blogjava.net/liuzheng/comments/commentRss/231325.htmlhttp://www.blogjava.net/liuzheng/services/trackbacks/231325.html http://caterpillar.onlyfun.net/GossipCN/AcegiGossip/AcegiGossip.html


刘铮 2008-09-26 16:59 发表评论
]]>