第二章. 技術(shù)概覽

2.1. 運(yùn)行時環(huán)境

Acegi Security可以在JRE1.3中運(yùn)行。這個發(fā)行版本中支持也Java 5.0，盡管對應(yīng)的Java類型被分開打包到一個后綴是“tiger”的包中。因為Acegi Security致力于以一種自包含的方式運(yùn)行，因此不需要在JRE中放置任何特殊的配置文件。特別無需配置Java Authentication and Authorization Service (JAAS)策略文件或者將Acegi Security放置到通用的classpath路徑中。

 

同樣的，如果你使用EJB容器或者Servlet容器，同樣無需放置任何特別的配置文件或者將Acegi Security包含在服務(wù)器的類加載器（classloader）中。

 

上述的設(shè)計提供了最大的部署靈活性，你可以直接把目標(biāo)工件（JAR, WAR 或者 EAR)）直接從一個系統(tǒng)copy到另一個系統(tǒng)，它馬上就可以運(yùn)行起來。

 

2.2. 共享組件

讓我們來看看Acegi Security中最重要的一些共享組件。所謂共享組件是指在框架中處于核心地位，系統(tǒng)脫離了它們之后就不能運(yùn)行。這些Java類型代表了系統(tǒng)中其他部分的構(gòu)建單元，因此理解它們是非常重要的，即使你不需要直接和它們打交道。

 

最基礎(chǔ)的對象是SecurityContextHolder。在這里存儲了當(dāng)前應(yīng)用的安全上下文（security context），包括正在使用應(yīng)用程序的principal的詳細(xì)信息。SecurityContextHolder默認(rèn)使用ThreadLocal來存儲這些詳細(xì)信息，這意味著即便安全上下文（security context）沒有被作為一個參數(shù)顯式傳入，它仍然是可用的。如果在當(dāng)前principal的請求處理后清理線程,那么用這種方式使用ThreadLocal是非常安全的。當(dāng)然， Acegi Security自動為你處理這些，所以你無需擔(dān)心。

 

有些應(yīng)用程序由于使用線程的方式而并不是完全適用ThreadLocal。例如，Swing客戶端可能需要一個Java Virtual Machine中的所有線程都使用同樣的安全上下文（security context）。在這種情況下你要使用SecurityContextHolder.MODE_GLOBAL模式。另外一些應(yīng)用程序可能需要安全線程產(chǎn)生的線程擁有同樣的安全標(biāo)識符（security identity）。這可以通過SecurityContextHolder.MODE_INHERITABLETHREADLOCAL來實現(xiàn)。你可以通過兩種方法來修改默認(rèn)的SecurityContextHolder.MODE_THREADLOCAL。第一種是設(shè)置一個系統(tǒng)屬性。或者，調(diào)用SecurityContextHolder的一個靜態(tài)方法。大部分的應(yīng)用程序不需要修改默認(rèn)值，不過如果你需要，那么請查看SecurityContextHolder的JavaDocs獲取更多信息。

 

我們在SecurityContextHolder中存儲當(dāng)前和應(yīng)用程序交互的principal的詳細(xì)信息。Acegi Security使用一個Authentication對象來代表這個信息。盡管你通常不需要自行創(chuàng)建一個Authentication對象，用戶還是經(jīng)常會查詢Authentication對象。

 

你可以在你的應(yīng)用程序中的任何地方使用下述的代碼塊：

 

上述的代碼展示了一些有趣的聯(lián)系和關(guān)鍵的對象。首先，你會注意到在SecurityContextHolder和Authentication之間有一個媒介對象。SecurityContextHolder.getContext() 方法實際上返回一個SecurityContext。Acegi Security使用若干個不同的SecurityContext實現(xiàn)，以備我們需要存儲一些和principal無關(guān)的特殊信息。一個很好的例子就是我們的Jcaptcha集成，它需要知道一個需求是否是由人發(fā)起的。這樣的判斷和principal是否通過認(rèn)證完全沒有關(guān)系，因此我們將它保存在SecurityContext中。

 

從上述的代碼片段可以看出的另一個問題是你可以從一個Authentication對象中獲取一個principal。Principal只是一個對象。通常可以把它cast為一個UserDetails對象。UserDetails在Acegi Security中是一個核心接口，它以一種擴(kuò)展以及應(yīng)用相關(guān)的方式來展現(xiàn)一個principal。可以把UserDetails看作是你的用戶數(shù)據(jù)庫和Acegi Security在SecurityContextHolder所需要的東西之間的一個適配器（adapter）。作為你自己用戶數(shù)據(jù)庫的一個展現(xiàn)，你可能經(jīng)常要把它cast到你應(yīng)用程序提供的原始對象，這樣你就可以調(diào)用業(yè)務(wù)相關(guān)的方法(例如 getEmail(), getEmployeeNumber())。

 

現(xiàn)在你可能已經(jīng)開始疑惑，那我什么時候提供UserDetails對象呢？我要如何提供呢？

我想你告訴過我這個東西是聲明式的，我不需要寫任何Java代碼－那怎么做到呢？對此的簡短回答就是有一個叫做UserDetailsService的特殊接口。這個接口只有一個方法，接受一個Sring類型的參數(shù)并返回一個UserDetails。Acegi Security提供的大多數(shù)認(rèn)證提供器將部分認(rèn)證過程委派給UserDetailsService。UserDetailsService用來構(gòu)建保存在SecurityContextHolder中的Authentication對象。好消息是我們提供若干個UserDetailsService的實現(xiàn)，包括一個使用in-memory map和另一個使用JDBC的。

大多數(shù)用戶還是傾向于寫自己的實現(xiàn)，這樣的實現(xiàn)經(jīng)常就是簡單的構(gòu)建于已有的Data Access Object (DAO)上，這些DAO展現(xiàn)了他們的雇員、客戶、或者其他企業(yè)應(yīng)用程序中的用戶。要記得這樣做的好處，不論你的UserDetailsService返回什么，它總是可以從SecurityContextHolder中獲取，象上面的代碼顯示的那樣。

 

除了principal，Authentication提供的另一個重要方法就是getAuthorities（）。這個方法返回一個GrantedAuthority對象數(shù)組。GrantedAuthority，毫無疑問，就是授予principal的權(quán)限。這些權(quán)限通常是“角色”，例如ROLE_ADMINISTRATOR 或者ROLE_HR_SUPERVISOR。這些角色稍后配置到web授權(quán)，方法授權(quán)和領(lǐng)域?qū)ο笫跈?quán)。Acegi Security的其他部分能夠處理這些權(quán)限，并且期待他們被提供。通常你會從UserDetailsService中返回GrantedAuthority對象。

 

通常GrantedAuthority對象都是應(yīng)用范圍的權(quán)限。它們都不對應(yīng)特定的領(lǐng)域?qū)ο蟆Ｒ虼耍�你�?yīng)該不會有一個代表54號員工對象的GrantedAuthority，因為這樣會有數(shù)以千計的authority，你馬上就會用光所有內(nèi)存（或者，至少會讓系統(tǒng)花太長時間來認(rèn)證一個用戶）。當(dāng)然，Acegi Security會高效的處理這種普遍的需求，但是你不會使用領(lǐng)域?qū)ο蟀踩�功能來實現(xiàn)這個目的。

 

最后，但不是不重要，你有時候需要在HTTP 請求之間存儲SecurityContext。另外有些時候你在每次請求的時候都會重新認(rèn)證principal，不過大部分時候你會存儲SecurityContext。HttpSessionContextIntegrationFilter在HTTP之間存儲SecurityContext。正如類名字顯示的那樣，它使用HttpSession來進(jìn)行存儲。基于安全原因，你永遠(yuǎn)都不要直接和HttpSession交互。沒有理由這么做，所以記得使用SecurityContextHolder來代替。

 

讓我們回憶一下，Acegi Security的基本組成構(gòu)件是：

• SecurityContextHolder,提供對SecurityContext的所有訪問方式。

• SecurityContext, 存儲Authentication以及可能的請求相關(guān)的安全信息。

• HttpSessionContextIntegrationFilter, 在web請求之間把SecurityContext存儲在HttpSession中。

• Authentication, 以Acegi Security的方式表現(xiàn)principal。

• GrantedAuthority, 表示賦予一個principal的應(yīng)用范圍的權(quán)限。

• UserDetails, 為從你的應(yīng)用程序DAO中獲取必要的信息來構(gòu)建一個Authentication 對象。

• UserDetailsService,用傳入的String類型的username（或者認(rèn)證ID，或類似）來創(chuàng)建一個UserDetails。

 

現(xiàn)在你已經(jīng)理解了這些重復(fù)使用的組件，讓我們仔細(xì)看看認(rèn)證過程吧。

 

2.3. 認(rèn)證

正如我們在手冊開始部分所說的那樣，Acegi Security適用于很多認(rèn)證環(huán)境。雖然我們建議大家使用Acegi Security自身的認(rèn)證功能而不是和容器管理認(rèn)證（Container Managed Authentication）集成，但是我們?nèi)匀恢С诌@種和你私有的認(rèn)證系統(tǒng)集成的認(rèn)證。讓我們先從Acegi Security完全自行管理管理web安全的角度來探究一下認(rèn)證，這也是最復(fù)雜和最通用的情形。

 

想象一個典型的web應(yīng)用的認(rèn)證過程：

 

1．你訪問首頁，點擊一個鏈接。

2．一個請求被發(fā)送到服務(wù)器，服務(wù)器判斷你是否請求一個被保護(hù)的資源。

3．因為你當(dāng)前未被認(rèn)證，服務(wù)器發(fā)回一個回應(yīng)，表明你必須通過認(rèn)證。這個回應(yīng)可能是一個HTTP回應(yīng)代碼，或者重定向到一個特定的網(wǎng)頁。

4．基于不同的認(rèn)證機(jī)制，你的瀏覽器會重定向到一個網(wǎng)頁好讓你填寫表單，或者瀏覽器會用某種方式獲取你的身份認(rèn)證（例如一個BASIC認(rèn)證對話框，一個cookie，一個X509證書等等。）。

5．瀏覽器會發(fā)回給服務(wù)器一個回應(yīng)。可能是一個包含了你填寫的表單內(nèi)容的HTTP POST，或者一個包含你認(rèn)證詳細(xì)信息的HTTP header。

6．接下來服務(wù)器會判斷提供的認(rèn)證信息是否有效。如果它們有效，你進(jìn)入到下一步。如果它們無效，那么通常請求你的瀏覽器重試一次（你會回到上兩步）。

7．你引發(fā)認(rèn)證的那個請求會被重試。但愿你認(rèn)證后有足夠的權(quán)限訪問那些被保護(hù)的資源。如果你有足夠的訪問權(quán)限，請求就會成功。否則，你將會受到一個意味“禁止”的HTTP403錯誤代碼。

 

在Acegi Security中，對應(yīng)上述的步驟，有對應(yīng)的類。主要的參與者（按照被使用的順序）是：ExceptionTranslationFilter， AuthenticationEntryPoint， 認(rèn)證機(jī)制(authentication mechanism)， 以及AuthenticationProvider。

 

ExceptionTranslationFilter是Acegi Security用來檢測任何拋出的安全異常的過濾器(filter)。這種異常通常是由AbstractSecurityInterceptor拋出的，它是授權(quán)服務(wù)的主要提供者。我們將會在下一部分討論AbstractSecurityInterceptor，現(xiàn)在我們只需要知道它產(chǎn)生Java異常，并且對于HTTP或者如何認(rèn)證一個principal一無所知。反而是ExceptionTranslationFilter提供這樣的服務(wù)，它負(fù)責(zé)要么返回403錯誤代碼(如果principal通過了認(rèn)證，只是缺少足夠的權(quán)限，象上述第7步那樣)，要么加載一個AuthenticationEntryPoint (如果principal還沒有被認(rèn)證，那么我們要從第3步開始)。

 

AuthenticationEntryPoint負(fù)責(zé)上述的第3步。如你所想，每個web應(yīng)用都有一個默認(rèn)的認(rèn)證策略（象Acegi Security中幾乎所有的東西一樣，它也是可配置的，不過我們現(xiàn)在還是還是從簡單開始）。每個主流的認(rèn)證系統(tǒng)都有它自己的AuthenticationEntryPoint實現(xiàn)，負(fù)責(zé)執(zhí)行第3步中描述的動作。

 

當(dāng)瀏覽器確定要發(fā)送你的認(rèn)證信息（HTTP 表單或者HTTP header），服務(wù)器上需要有什么東西來“收集”這些認(rèn)證信息。現(xiàn)在我們在上述的第6步。在Acegi Security中對從用戶代理（通常是瀏覽器）收集認(rèn)證信息有一個特定的名字，這個名字是“認(rèn)證機(jī)制（authentication mechanism）”。當(dāng)認(rèn)證信息從客戶代理收集過來以后，一個“認(rèn)證請求（Authentication request）”對象被創(chuàng)建，并發(fā)送到AuthenticationProvider。

 

Acegi Security中認(rèn)證的最后一環(huán)是一個AuthenticationProvider。非常簡單，它的職責(zé)是取用一個認(rèn)證請求（Authentication request）對象，并且判斷它是否有效。這個provider要么拋出一個異常，要么返回一個組裝完畢的Authentication對象。還記得我們的好朋友UserDetails 和 UserDetailsService吧？如果沒有，回到前一部分重新回憶一下。大部分的AuthenticationProviders都會要求UserDetailsService提供一個UserDetails對象。如前所述，大部分的應(yīng)用程序會提供自己的UserDetailsService，盡管有些會使用Acegi Security提供的JDBC或者 in-memory實現(xiàn)。作為成品的UserDetails 對象，特別是其中的GrantedAuthority[]s，在構(gòu)建完備的Authentication對象時會被使用。

 

當(dāng)認(rèn)證機(jī)制（authentication mechanism）取回組裝完全的Authentication對象后，它將會相信請求是有效的，將Authentication放到SecurityContextHolder中，并且將原始請求取回（上述第7步）。反之，AuthenticationProvider則拒絕請求，認(rèn)證機(jī)制（authentication mechanism）會請求用戶重試（上述第2步）。

 

在講述典型的認(rèn)證流程的同時，有個好消息是Acegi Security不關(guān)心你是如何把Authentication放到SecurityContextHolder內(nèi)的。唯一關(guān)鍵的是在AbstractSecurityInterceptor授權(quán)一個請求之前，在SecurityContextHolder中包含一個代表了principal的Authentication。

 

你可以（很多用戶確實）實現(xiàn)自己的過濾器（filter）或者MVC控制器（controller）來提供和不是基于Acegi Security的認(rèn)證系統(tǒng)交互。例如，你可能使用使用容器管理認(rèn)證（Container Managed Authentication），從ThreadLocal 或者JNDI中獲取當(dāng)前用戶信息，使得它有效。或者，你工作的公司有一個遺留的私有認(rèn)證系統(tǒng)，而它是公司“標(biāo)準(zhǔn)”，你對它無能為力。在這種情況之下也是非常容易讓Acegi Security運(yùn)作起來，提供認(rèn)證能力。你所需要做的是寫一個過濾器（或等價物）從某處讀取第三方用戶信息，構(gòu)建一個Acegi Security式的Authentication對象，把它放到SecurityContextHolder中。這非常容易做，也是一種廣泛支持的集成方式。