精品色欧美色国产一区国产

Acegi是為基于Spring的應用提供的聲明式安全框架。它通過(guò)在Spring的應用上下文中配置一系列的Bean完成安全設置，完成利用了Spring提供的依賴(lài)注入和IoC編程方式。

為了保證Web應用的安全需求，Acegi使用過(guò)濾器攔截servlet請求，并執行認證來(lái)執行安全措施。

Acegi通過(guò)安全方法級調用來(lái)執行更低層次的安全需求。通過(guò)使用Spring的AOP，Acegi使用代理對象來(lái)確保用戶(hù)有適當的權限來(lái)調用被保護的方法。

無(wú)論是較高層次的Web應用的安全，還是較低層次的方法級安全，Acegi都可以通過(guò)四個(gè)主要組件完成安全需求。

Security Interceptor 用于攔截那些需要訪(fǎng)問(wèn)受保護資源的請求。

Authentication Managers 用于驗證主體的身份，如你的principal(典型的如用戶(hù)名)和你的Credentials（典型的如密碼）。能過(guò)驗證，可以證明Who are you 。

Access Decision Mangers 用于決定已驗證通過(guò)的principal是否有訪(fǎng)問(wèn)受保護資源的特權。

Run-as Managers 盡管你通過(guò)了驗證和并得到授權可以訪(fǎng)問(wèn)資源，但可能還會(huì )有更多的安全約束：例如，你可能得到了查看某個(gè)Web頁(yè)面的權力，但是頁(yè)面中可以還有比Web頁(yè)面安全級別更高的對象。Run-as manager 正是用于這方面的驗證。盡管這方面的需求不多，但Acegi通過(guò)Run-as Managers可以做到這一點(diǎn)。

管理驗證

Acegi定義了AuthenticationManager接口，用于安全驗證，同時(shí)提供了代理類(lèi)ProviderManager以及它的相關(guān)實(shí)現，它們可以完成大部分相應的功能，而不需要我們自己開(kāi)發(fā)。

通過(guò)Acegi和CAS實(shí)現SSO

耶魯大學(xué)的CAS是SSO的一個(gè)解決方案。CAS的細節內容已經(jīng)超出了本文的討論范圍。為了理解Acegi如何與基于CAS驗證的應用相結合的問(wèn)題，有必要看一下一個(gè)典型的CAS驗證例子是如何工作的。詳見(jiàn)前面研究過(guò)的CAS的文檔。

你應該理解的一個(gè)關(guān)鍵概念就是這個(gè)受保護的應用根本不處理用戶(hù)的Credentials。當用戶(hù)打算登錄應時(shí)時(shí)，實(shí)際上他們登錄的是CAS Server.。應用根本不知道用戶(hù)的Credentials。唯一要做的就是驗證用戶(hù)的ticket是否有效，這個(gè)ticket是由CAS Server 發(fā)放的。這是一件好事，因為它意味著(zhù)只有一個(gè)應用（即CAS）負責處理用戶(hù)的驗證。

當CAS與Acegi配合使用時(shí)，Acegi要做的就是在應用上校驗CAS ticket的工作。這使得應用本身可以不管CAS的身份驗證過(guò)程。

Acegi通過(guò)CasAuthenticationProvider類(lèi)達到這個(gè)目的，它不關(guān)心用戶(hù)名和密碼，而是接受一個(gè)CAS Ticket作為它的Credentials。除了配置CasAuthenticationProvider類(lèi)以外，還需要在Spring的配置文件中配置其它幾個(gè)輔助類(lèi)，它們分別是.CasProxyDecider及其子類(lèi)。

訪(fǎng)問(wèn)控制

身份驗證只是Acegi的第一步。一旦Acegi知道用戶(hù)是誰(shuí)，接下來(lái)它必須決定用戶(hù)是否有權訪(fǎng)問(wèn)被保護的資源。這是通過(guò) Access Decision Managers完成的。Acegi定義了net.sf.acegisecurity.AccessDecisionManager接口，它的supports()方法決定該應用是否有權做出訪(fǎng)問(wèn)控制，decide()方法最終是否可以訪(fǎng)問(wèn)，如果不可以訪(fǎng)問(wèn)該資源，應拋出AccessDeniedException。

AccessDecisionManager有三個(gè)實(shí)現類(lèi)，分別是net.sf.acegisecurity.vote.AffirmativeBased，net.sf.acegisecurity.vote.ConsensusBased

net.sf.acegisecurity.vote.UnanimousBased。AccessDecisionManager做出決定并不是通過(guò)它自己，而是把輪詢(xún)一個(gè)或更多年對象，這些對象對這個(gè)用戶(hù)是否有權訪(fǎng)問(wèn)受保護的資源進(jìn)行投票。一旦得到所有的投票，AccessDecisionManager會(huì )對這些投票進(jìn)行計數，并做出最終決定。

保護Web應用

Acegi對Web應用的保護是強依賴(lài)于過(guò)濾器的。這些過(guò)濾器在請求被應用處理之前進(jìn)行攔截，并進(jìn)行安全控制。根據應用的實(shí)際需求，Acegi可以使用6個(gè)過(guò)濾器，它們分別是

過(guò)濾器

功能

Channel-processing filter

確保請求是通過(guò)SSL提交的（HTTPS）

Authentication-processing filter

接受驗證請求，并將其導向驗證管理器進(jìn)行驗證

CAS-processing filter

接受CAS服務(wù)的ticket作為經(jīng)過(guò)CAS驗證的證明

HTTP Basic authorization filter

Processes authentication performed using HTTP Basic authentication