Part I. 架構(gòu)概覽

象其他的軟件一樣，Acegi Security也有在整個框架中都會使用的特定核心接口，類，和概念抽象。在手冊的這一部分，在檢視這些規(guī)劃和執(zhí)行Acegi Security集成所必須的核心要素之前，我們先介紹Acegi Security。

第一章. 簡介

1.1. Acegi Security是什么?

Acegi Security為基于J2EE的企業(yè)軟件應(yīng)用提供全面的安全服務(wù)。特別是使用領(lǐng)先的J2EE解決方案－Srping框架開發(fā)的項目。如果您不是使用Spring開發(fā)企業(yè)應(yīng)用，我們溫馨提醒您仔細(xì)研究一下。熟悉Spring，尤其是依賴注射原理，會極大的幫助你快速掌握Acegi Security。

人們使用Acegi Security有很多種原因，不過通常吸引他們到這個項目的原因是他們在J2EE的 Servlet Specification 或者 EJB Specification中找不到迫切需要的典型企業(yè)應(yīng)用場景。提到這些規(guī)范，特別要提出的是他們不是在WAR或者EAR級別可移植的。這樣，如果你切換服務(wù)器環(huán)境，一般來說你要在目標(biāo)環(huán)境中花費(fèi)很多工夫來重新配置你的應(yīng)用安全。使用Acegi Security解決了這些問題，并且為你提供了很多其他有用的，完全可定制的安全特性。

如你所知，安全包含兩個主要操作。第一個被稱為“認(rèn)證”，是為用戶建立一個它所聲明的principal。Principal通常代表用戶，設(shè)備，或者其他能在你的應(yīng)用中執(zhí)行操作的其他系統(tǒng)。“授權(quán)”指判定一個principal能否在你的系統(tǒng)中執(zhí)行某個操作。在到達(dá)授權(quán)判斷之前，principal的的身份認(rèn)證已經(jīng)由認(rèn)證過程執(zhí)行過了。這些概念是通用的，不是Acegi Security特有的。

在認(rèn)證層面，Acegi Security廣泛支持各種認(rèn)證模塊。這些認(rèn)證模塊絕大多數(shù)是第三方提供，或者相關(guān)的標(biāo)準(zhǔn)組織開發(fā)的，例如Internet Engineering Task Force。作為補(bǔ)充，Acegi Security自己也提供了一些認(rèn)證功能。Acegi Security當(dāng)前支持如下的認(rèn)證技術(shù)。

• HTTP BASIC authentication headers (an IEFT RFC-based standard)

• HTTP Digest authentication headers (an IEFT RFC-based standard)

• HTTP X.509 client certificate exchange (an IEFT RFC-based standard)

• LDAP (a very common approach to cross-platform authentication needs, especially in large environments)

• Form-based authentication (for simple user interface needs)

• Computer Associates Siteminder

• JA-SIG Central Authentication Service (otherwise known as CAS, which is a popular open source single sign on system)

• Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (a Spring remoting protocol)

• Automatic "remember-me" authentication (so you can tick a box to avoid re-authentication for a predetermined period of time)

• Anonymous authentication (allowing every call to automatically assume a particular security identity)

• Run-as authentication (which is useful if one call should proceed with a different security identity)

• Java Authentication and Authorization Service (JAAS)

• Container integration with JBoss, Jetty, Resin and Tomcat (so you can still use Container Manager Authentication if desired)

• 你自己的認(rèn)證系統(tǒng) (如下所示)

很多獨(dú)立軟件供應(yīng)商(ISVs)選擇Acegi Security是因為它具有豐富的認(rèn)證模塊。這樣無論他們的終端客戶需要什么，他們都可以快速集成到他們的系統(tǒng)中，不用花很多工夫或者讓終端客戶改變環(huán)境。如果Acegi Security System for Spring的7個認(rèn)證模塊還沒有滿足你的需求的話，Acegi Security是一個開放的系統(tǒng)，很容易寫你自己的認(rèn)證機(jī)制。許多Acegi Security的企業(yè)用戶需要和“遺留”系統(tǒng)集成，這些遺留系統(tǒng)不遵循任何安全標(biāo)準(zhǔn)，Acegi Security能夠和這樣的系統(tǒng)“合作愉快”。

有時候基本的認(rèn)證是不夠的。有時候你需要根據(jù)principal和應(yīng)用交互的方式來應(yīng)用不同的安全措施。例如，你可能為了防止密碼被竊取，或者防止終端用戶受到“中間人”攻擊，需要保證到達(dá)的是請求通過HTTPS的。或者，你要確保是一個真正的人而不是某種機(jī)器人或者自動進(jìn)程在發(fā)送請求。這對于保護(hù)密碼恢復(fù)不受暴力破解攻擊，或者防止他人很容易的復(fù)制你應(yīng)用的關(guān)鍵內(nèi)容。為了幫助你實現(xiàn)這些目標(biāo)，Acegi Security完全支持自動“通道安全”("channel security")，以及集成Jcaptcha來檢測是否是真正人類用戶。

Acegi Security不僅提供了認(rèn)證功能，而且提供了完備的授權(quán)功能。在授權(quán)方面主要有三個領(lǐng)域，授權(quán)web請求，授權(quán)方法調(diào)用，授權(quán)存取單個領(lǐng)域?qū)ο髮嵗�。為了幫助你理解這些區(qū)別，對照考慮一下Servlet 規(guī)范中的web模式安全的授權(quán)功能，EJB容器管理安全以及文件系統(tǒng)安全。Acegi Security提供了所有這些重要領(lǐng)域的完備功能，我們將在本手冊的后面介紹。

1.2. 歷史

Acegi Security始于2003年晚期，當(dāng)時在Spring Developers郵件列表中有人提問是否有人考慮提供一個基于Spring的安全實現(xiàn)。當(dāng)時，Srping的社區(qū)是相對比較小的（尤其是和今天相比！），實際上Spring本身也是2003年早期才作為一個SourceForge項目出現(xiàn)的。對此問題的回應(yīng)是它確實是一個值得研究的領(lǐng)域，雖然限于時間無法進(jìn)行深入。

有鑒于此，這個簡單的安全實現(xiàn)雖然構(gòu)建了但是并沒有發(fā)布。幾周以后，Spring社區(qū)的其他成員詢問了安全框架，代碼就被提供給了他們。

隨后又有人請求，到了2004年一月，大約有20人左右在使用這些代碼。另外一些人加入到這些先行的用戶中來，并建議建立一個SourceForge項目，這個項目在2004年3月建立起來。

在早期，該項目自身并布具備任何認(rèn)證模塊。認(rèn)證過程依賴容器管理安全（Container Managed Security）而Acegi Security注重授權(quán)。在一開始這樣是合適的，但是隨著越來越多的用戶要求額外的容器支持，基于容器的認(rèn)證的限制就顯示出來了。另外一個相關(guān)的問題是添加新的JAR文件到容器的classpath，通常會讓最終用戶感到困惑并且配置錯誤。

隨后，Acegi Security加入了認(rèn)證服務(wù)。大約一年后，Acegi Security成為了一個Spring Framework官方子項目。在2年半多的在多個軟件項目中的活躍使用以及數(shù)以百計的改進(jìn)和社區(qū)貢獻(xiàn)，1.0.0最終版在2006年5月發(fā)布。

今天，Acegi Security成為一個強(qiáng)大而活躍的社區(qū)。在支持論壇上有數(shù)以千計的帖子。14位開發(fā)人員專職開發(fā)，一個活躍的社區(qū)也定期共享補(bǔ)丁并支持他們的同儕。

 

1.3. 發(fā)行版本號

理解Acegi Security的版本號是非常好處的，它可以幫助你判定升級的到新的版本是否需要花費(fèi)很大精力。我們的正式發(fā)行版本使用Apache Portable Runtime Project版本指引，可以在下述網(wǎng)站查看http://apr.apache.org/versioning.html。為了您查看方便，我們引用該頁的說明部分如下：

“版本號由三個部分的整數(shù)組成：主版本號（MAJOR）、副版本號（MINOR）、補(bǔ)丁版本號（PATCH）。主要的含義是主版本號（MAJOR）是不兼容的，API大規(guī)模升級。副版本號（MINOR）在源文件和可執(zhí)行版和老版本保持兼容，補(bǔ)丁版本號（PATCH）則意味著向前和向后的完全兼容”。

安徽新華電腦學(xué)校專業(yè)職業(yè)規(guī)劃師為你提供更多幫助【在線咨詢】