亚洲成人一区在线观看_天堂网www_国产精品久久9_中文在线播放_伊人天天_久久精品久久久精品美女

當(dāng)前位置:首頁(yè) > 網(wǎng)站舊欄目 > 學(xué)習(xí)園地 > 設(shè)計(jì)軟件教程 > acegi參考手冊(cè)(v1.0.4)[譯]-第六章 通用認(rèn)證服務(wù)

acegi參考手冊(cè)(v1.0.4)[譯]-第六章 通用認(rèn)證服務(wù)
2010-01-13 23:25:27  作者:  來(lái)源:
第六章. 通用認(rèn)證服務(wù)
6.1. Mechanisms, Providers 和 Entry Points
如果你使用Acegi Security提供的認(rèn)證方法,那么通常你需要配置一個(gè)web filter,一個(gè)AuthenticationProvider
以及AuthenticationEntryPoint。在本節(jié)我們將要瀏覽一個(gè)示例應(yīng)用,它需要支持基于form的認(rèn)證(例如提供給用戶登錄的HTML頁(yè)面)以及基礎(chǔ)認(rèn)證(例如web service或者類似的可以訪問(wèn)受保護(hù)資源)。
 
web.xml中,這個(gè)應(yīng)用需要一個(gè)單獨(dú)的Acegi Security filter來(lái)使用FilterChainProxy。幾乎所有的Acegi Security應(yīng)用都有一個(gè)類似的項(xiàng),看起來(lái)象下面這樣:
 
 
xml 代碼
 
  1. <filter>  
  2. <filter-name>Acegi Filter Chain Proxy</filter-name>  
  3. <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>  
  4. <init-param>  
  5. <param-name>targetClass</param-name>  
  6. <param-value>org.acegisecurity.util.FilterChainProxy</param-value>  
  7. </init-param>  
  8. </filter>  
  9. <filter-mapping>  
  10. <filter-name>Acegi Filter Chain Proxy</filter-name>  
  11. <url-pattern>/*</url-pattern>  
  12. </filter-mapping>  
 
上述聲明將使每個(gè)web請(qǐng)求都要經(jīng)過(guò)Acegi SecurityFilterChainProxy。正如在本手冊(cè)的filter那節(jié)中所說(shuō),FilterChainProxy是一個(gè)通用類,它使得web請(qǐng)求按照URL模式被發(fā)送到不同的filter。那些被委派的filter是由application context管理的,因此它們可以享受依賴注射的好處。我們來(lái)看看在你的application contextFilterChainProxy的定義會(huì)是什么樣的:
 
 
xml 代碼
 
  1. <bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">  
  2. <property name="filterInvocationDefinitionSource">  
  3. <value>  
  4. CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON   
  5. PATTERN_TYPE_APACHE_ANT   
  6. /**=httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,basicProcessingFilter,securityContextHolderAwareRequestFilter,</value>  
  7. </property>  
  8. </bean>  
 
在內(nèi)部,Acegi Security會(huì)使用PropertyEditor來(lái)將上述XML片段中的字符串轉(zhuǎn)化為一個(gè)FilterInvocationDefinitionSource對(duì)象。在這個(gè)階段需要注意的是,一系列的filter會(huì)按照定義的順序運(yùn)行,并且這些filter實(shí)際就是application context中的bean<bean id>。所以,在我們的例子中,會(huì)在application context出現(xiàn)另外一些bean,它們會(huì)被命名為httpSessionContextIntegrationFilter, logoutFilter 等。Filter出現(xiàn)的順序會(huì)在手冊(cè)中filter那一節(jié)討論,雖然上述的例子中它們是正確的。
 
在我們的例子中,我們使用了AuthenticationProcessingFilterBasicProcessingFilter。它們分別對(duì)應(yīng)了基于form的認(rèn)證和BASIC HTTP header-based認(rèn)證的“認(rèn)證機(jī)制”(我們?cè)谑謨?cè)的前面部分討論了認(rèn)證機(jī)制扮演的角色)。如果你既不使用form也不使用BASIC認(rèn)證,就不需要定義這些bean了。取而代之的是你要定義對(duì)應(yīng)你所需要的認(rèn)證環(huán)境的filter,例如DigestProcessingFilter 或者CasProcessingFilter。請(qǐng)對(duì)照手冊(cè)中對(duì)應(yīng)的章節(jié)來(lái)了解如何配置這些認(rèn)證機(jī)制。
 
讓我們回憶一下,在HttpSessionContextIntegrationFilter中保存了每個(gè)HTTP session調(diào)用中的SecurityContext。這意味著認(rèn)證機(jī)制只會(huì)在principal最初嘗試認(rèn)證的時(shí)候被使用一次。在余下的時(shí)間內(nèi),認(rèn)證機(jī)制只是靜靜的待在那里,將請(qǐng)求發(fā)往filter鏈中的下一個(gè)filter。這個(gè)基于實(shí)際的需求源于這樣的一個(gè)事實(shí),很少有認(rèn)證實(shí)現(xiàn)在每一個(gè),每一次的調(diào)用的時(shí)候都會(huì)進(jìn)行認(rèn)證(BASIC認(rèn)證是一個(gè)值得注意的例外),但是如果一個(gè)pricipal在最初的認(rèn)證步驟之后帳號(hào)被取消了,或者被禁用了,或者被修改了(例如GrantedAuthority[]中增加或者減少)會(huì)怎么樣呢?讓我們來(lái)看看現(xiàn)在這些情況是如何處理的。
 
前面已經(jīng)介紹了安全對(duì)象的主要認(rèn)證provider AbstractSecurityInterceptor。這個(gè)類需要能夠訪問(wèn)一個(gè)AuthenticationManager。它同時(shí)有個(gè)可選配置可以設(shè)定一個(gè)認(rèn)證對(duì)象每次安全對(duì)象調(diào)用的時(shí)候是否需要重新認(rèn)證。如果Authentication.isAuthenticated()返回true,那么它默認(rèn)在SecurityContextHolder中的認(rèn)證對(duì)象是已認(rèn)證的。這樣做對(duì)于提高性能是非常好的,但是對(duì)于即時(shí)的認(rèn)證驗(yàn)證是不理想的。在這樣的情況下你可能需要將AbstractSecurityInterceptor.alwaysReauthenticate屬性設(shè)置為true
 
你可能會(huì)問(wèn)自己“這個(gè)AuthenticationManager是什么?”我們之前沒(méi)有見(jiàn)過(guò)它,但是我們?cè)?jīng)討論過(guò)AuthenticationProvider的概念。非常簡(jiǎn)單,AuthenticationManager負(fù)責(zé)在AuthenticationProvider鏈之間傳遞請(qǐng)求。它非常象我們之前討論過(guò)的filter鏈,雖然有一些不同。Acegi Security只提供了一個(gè)AuthenticationManager實(shí)現(xiàn),因此讓我們看看對(duì)于我們這章的例子,它是如何配置的:
 
xml 代碼
 
  1. <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">  
  2. <property name="providers">  
  3. <list>  
  4. <ref local="daoAuthenticationProvider"/>  
  5. <ref local="anonymousAuthenticationProvider"/>  
  6. <ref local="rememberMeAuthenticationProvider"/>  
  7. </list>  
  8. </property>  
  9. </bean>  
 
在這個(gè)時(shí)候,可能值得提到的是你的認(rèn)證機(jī)制(通常是filter)也被注入了一個(gè)AuthenticationManager的引用。所以和認(rèn)證機(jī)制都會(huì)使用上述的ProviderManager來(lái)輪詢一系列的AuthenticationProvider
 
在我們例子中有三個(gè)provider。它們按照上述的順序調(diào)用(使用list而不是set來(lái)顯示是按照順序調(diào)用的),每個(gè)provider都能夠嘗試認(rèn)證,或者僅僅返回一個(gè)null來(lái)跳過(guò)認(rèn)證。如果所有的實(shí)現(xiàn)都返回nullProviderManager會(huì)拋出一個(gè)相應(yīng)的異常。如果你想了解更多chaining providers的信息,請(qǐng)參閱ProviderManagerJavaDoc
 
authentication mechanism使用的那些provider有時(shí)候是可以互換的,而有時(shí)候它們又依賴于特定的authentication mechanism。例如,DaoAuthenticationProvider只需要一個(gè)基于字符串的用戶名和密碼。若干個(gè)認(rèn)證機(jī)制會(huì)產(chǎn)生基于字符串的用戶名和密碼的集合,包括(但不限于)BASIC form 認(rèn)證。同時(shí),有些認(rèn)證機(jī)制會(huì)產(chǎn)生一個(gè)只能和特定類型的AuthenticationProvider交互的認(rèn)證請(qǐng)求對(duì)象。一個(gè)這種一對(duì)一映射的例子是JA-SIG CAS,它使用service ticket的概念,只能被Common Authentication Services CasAuthenticationProvider認(rèn)證。一個(gè)更加深入的一對(duì)一映射的例子是LDAP認(rèn)證機(jī)制,它只能由LdapAuthenticationProvider處理。這種特定的對(duì)應(yīng)關(guān)系在每個(gè)類的JavaDoc以及在本手冊(cè)的特定認(rèn)證方法章節(jié)中有詳細(xì)說(shuō)明。你不用擔(dān)心這些實(shí)現(xiàn)的細(xì)節(jié),因?yàn)槿绻阃涀?cè)一個(gè)合適的provider,你在嘗試認(rèn)證時(shí)只會(huì)收到一個(gè)ProviderNotFoundException異常。
 
當(dāng)你在FilterChainProxy中正確配置了認(rèn)證機(jī)制,并且確保注冊(cè)了對(duì)應(yīng)的AuthenticationProvider,你的最后一步是配置一個(gè)AuthenticationEntryPoint。回憶一下早先我們討論過(guò)的ExceptionTranslationFilter的角色,當(dāng)一個(gè)基于HTTP的請(qǐng)求收到一個(gè)HTTP頭或者一個(gè)HTTP重定向以開(kāi)始認(rèn)證時(shí)它被使用。繼續(xù)我們?cè)缦鹊睦樱?/span>
 
xml 代碼
 
  1. <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">  
  2. <property name="authenticationEntryPoint"><ref  
  3. local="authenticationProcessingFilterEntryPoint"/></property>  
  4. <property name="accessDeniedHandler">  
  5. <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">  
  6. <property name="errorPage" value="/accessDenied.jsp"/>  
  7. </bean>  
  8. </property>  
  9. </bean>  
  10. <bean id="authenticationProcessingFilterEntryPoint"  
  11. class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">  
  12. <property name="loginFormUrl"><value>/acegilogin.jsp</value></property>  
  13. <property name="forceHttps"><value>false</value></property>  
  14. </bean>  
 
注意到ExceptionTranslationFilter需要兩個(gè)協(xié)作者。第一個(gè)AccessDeniedHandlerImpl,使用一個(gè)RequestDispatcher導(dǎo)向顯示特定的訪問(wèn)拒絕的錯(cuò)誤頁(yè)面。我們使用forwad所以SecurityContextHolder中仍然保留principal的詳細(xì)信息,這些對(duì)于顯示給用戶來(lái)說(shuō)是有用的(在Acegi Security的老版本中,我們依賴rervlet容器來(lái)處理403錯(cuò)誤信息,它缺乏這個(gè)有用的上下文信息)。AccessDeniedHandlerImpl同時(shí)將會(huì)將HTTP頭設(shè)置為403,它是訪問(wèn)拒絕的正式錯(cuò)誤代碼。至于AuthentionEntryPoint,這里設(shè)置如果一個(gè)未受認(rèn)證的principal嘗試執(zhí)行一個(gè)受保護(hù)的操作時(shí),我們需要執(zhí)行那些動(dòng)作。因?yàn)樵谖覀兊睦又幸褂没?/span>form的認(rèn)證,因此我們?cè)O(shè)定AuthenticationProcessinFilterEntryPoint以及登錄頁(yè)面的URL。你的應(yīng)用系統(tǒng)通常只需要一個(gè)entry point,并且大多數(shù)的認(rèn)證方法都定義了自己特有的AuthenticationEntryPoint。每個(gè)認(rèn)證方式所對(duì)應(yīng)的特定entry point的詳細(xì)情況會(huì)在本手冊(cè)特定的認(rèn)證方法章節(jié)中介紹。
6.2. UserDetails 和 Associated Types
正如在第一部分中提到的,大多數(shù)認(rèn)證provider要用到UserDetails UserDetailsService 接口。后面那個(gè)接口只包含一個(gè)方法:
 
 
java 代碼
 
  1. public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException,   
  2. DataAccessException;  
 
 
返回值UserDetails是一個(gè)接口,它提供了若干個(gè)getter保證返回非null值,例如用戶名,密碼,授予的權(quán)限以及用戶是啟用還是禁用狀態(tài)。大部分認(rèn)證provider都會(huì)使用一個(gè),即使它在認(rèn)證判斷過(guò)程中實(shí)際并不使用用戶名和密碼。通常這些provider只會(huì)使用返回的UserDetails中的GrantedAuthority[]信息,因?yàn)橛行┫到y(tǒng)(例如LDAP X509 CAS)已經(jīng)承擔(dān)了實(shí)際的身份驗(yàn)證的責(zé)任。
 
Acegi Security提供了一個(gè)UserDetails的實(shí)體類實(shí)現(xiàn)-UserAcegi Security用戶需要確定什么時(shí)候?qū)崿F(xiàn)UserDetailsService以及返回什么樣的UserDetails實(shí)體類。通常,直接使用User類或者繼承User類就可以了,盡管有一些特殊情況(例如 object relational mappers),需要用戶從頭寫他們自己的UserDetails實(shí)現(xiàn)。這種情況也時(shí)有發(fā)生,用戶只要返回他們正常的代表系統(tǒng)用戶的領(lǐng)域?qū)ο缶涂梢粤恕L貏e是UserDetails經(jīng)常被用來(lái)存儲(chǔ)額外的principal相關(guān)屬性(例如他們的電話號(hào)碼以及email地址),這樣它們可以很容易被web視圖使用。
 
特定的UserDetailsService實(shí)現(xiàn)起來(lái)是很簡(jiǎn)單的,它應(yīng)該很容易由用戶來(lái)選擇持久化策略來(lái)獲取認(rèn)證信息。說(shuō)到這里,Acegi Security確實(shí)包含了一些有用的基礎(chǔ)實(shí)現(xiàn),下面讓我們看一下。
 
6.2.1. In-Memory 認(rèn)證
雖然用戶可以創(chuàng)建一個(gè)定制的UserDetailsService實(shí)現(xiàn)來(lái)從一個(gè)持久化引擎中獲取信息,很多應(yīng)用不需要這種復(fù)雜性。特別是如果你正在進(jìn)行快速原型開(kāi)發(fā)或者剛開(kāi)始集成Acegi Security,當(dāng)你不需要花費(fèi)時(shí)間來(lái)進(jìn)行數(shù)據(jù)庫(kù)配置或者寫UserDetailsService的實(shí)現(xiàn)。這種情況之下,你有一個(gè)簡(jiǎn)單的選擇,就是配置InMemoryDaoImpl實(shí)現(xiàn)。
 
 
xml 代碼
 
  1. <bean id="inMemoryDaoImpl" class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">  
  2. <property name="userMap">  
  3. <value>  
  4. marissa=koala,ROLE_TELLER,ROLE_SUPERVISOR   
  5. dianne=emu,ROLE_TELLER   
  6. scott=wombat,ROLE_TELLER   
  7. peter=opal,disabled,ROLE_TELLER   
  8. </value>  
  9. </property>  
  10. </bean>  
 
在上面的例子中,userMap屬性包含了每個(gè)用戶的用戶名,密碼,一個(gè)授權(quán)列表以及一個(gè)可選的啟用/禁用關(guān)鍵詞。使用逗號(hào)分隔。用戶名必須在等號(hào)的左側(cè),密碼必須在等號(hào)右側(cè)第一個(gè)出現(xiàn)。啟用和禁用關(guān)鍵詞(大小寫敏感)可以出現(xiàn)在第二個(gè)或者之后任意位置。剩余的字符串被看作是授予的權(quán)限,這些權(quán)錢被創(chuàng)建為GrantedAuthorityImpl對(duì)象(僅供參考-大多數(shù)的應(yīng)用不需要自定義的GrantedAuthority實(shí)現(xiàn),所以使用默認(rèn)的實(shí)現(xiàn)就可以了)。注意如果一個(gè)用戶沒(méi)有密碼及或沒(méi)有被授予權(quán)限,該用戶不會(huì)在in-memory 認(rèn)證庫(kù)中創(chuàng)建。
 
InMemoryDaoImpl也提供了一個(gè)setUserProperties(Properties)方法,可以允許你用另一個(gè)Spring的配置好的bean或者一個(gè)外部的properties文件來(lái)實(shí)例化屬性。你可能要使用SpringPropertiesFactoryBean,它在加載外部屬性文件的時(shí)候非常有用。這個(gè)setter可能對(duì)于有大量用戶的應(yīng)用,或者開(kāi)發(fā)期配置變更有所助益,但是不要指望使用整個(gè)數(shù)據(jù)庫(kù)來(lái)處理認(rèn)證細(xì)節(jié)。
 
6.2.2. JDBC 認(rèn)證
也包括了一個(gè)從JDBC數(shù)據(jù)源獲取認(rèn)證信息的UserDetailsService。使用Spring內(nèi)部的JDBC,避免了僅僅為了存儲(chǔ)用戶信息而使用復(fù)雜的對(duì)象關(guān)系Common Authentication Services 映射(ORM)。如果你確實(shí)使用ORM工具,你可能要寫一個(gè)定制的UserDetailsService來(lái)重用你已經(jīng)創(chuàng)建的映射文件。回到JdbcDaoImpl,下面是一個(gè)配置的例子:
 
xml 代碼
 
  1. <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">  
  2. <property name="driverClassName"><value>org.hsqldb.jdbcDriver</value></property>  
  3. <property name="url"><value>jdbc:hsqldb:hsql://localhost:9001</value></property>  
  4. <property name="username"><value>sa</value></property>  
  5. <property name="password"><value></value></property>  
  6. </bean>  
  7. <bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">  
  8. <property name="dataSource"><ref bean="dataSource"/></property>  
  9. </bean>  
  10.    
你可能要修改上述的DriverManagerDataSource來(lái)使用不同的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。你還可以使用從JNDI獲取的全局?jǐn)?shù)據(jù)源,如上的常規(guī)Spring選項(xiàng)。不論是使用什么數(shù)據(jù)庫(kù)以及如何獲取數(shù)據(jù)源,必須使用一個(gè)按照dbinit.txt中寫明的數(shù)據(jù)庫(kù)模式。你可以從Acegi Security網(wǎng)站下載這個(gè)文件。
 
如果你的默認(rèn)數(shù)據(jù)庫(kù)模式不能滿足需要,JdbcDaoImpl提供了兩個(gè)屬性允許定制SQL語(yǔ)句。如果需要進(jìn)一步定制,你可以繼承JdbcDaoImpl。請(qǐng)參考JavaDocs獲取詳情,不過(guò)請(qǐng)注意這個(gè)類并不是為了復(fù)雜的自定義繼承而寫的。如果你的需求比較復(fù)雜(例如數(shù)據(jù)庫(kù)結(jié)構(gòu)比較特殊或者需要返回一個(gè)特定的UserDetails實(shí)現(xiàn)),那么你最好寫自己的UserDetailsService實(shí)現(xiàn)。Acegi Security提供的基礎(chǔ)實(shí)現(xiàn)只是為了典型場(chǎng)景,并沒(méi)有提供無(wú)限的配置靈活性。
 
6.3. 并行Concurrent Session 處理
Acegi Security能夠限定次數(shù)防止一個(gè)principal多次并行認(rèn)證到同一個(gè)應(yīng)用。許多ISV利用這一點(diǎn)來(lái)加強(qiáng)授權(quán)管理,網(wǎng)管也喜歡這個(gè)特性因?yàn)榭梢苑乐挂粋(gè)用戶名被重復(fù)使用。例如,你可以限制“Batman”用戶從兩個(gè)不同的session登錄系統(tǒng)。
 
使用并行session支持,你需要在web.xml中增加如下內(nèi)容:
 
xml 代碼
 
  1. <listener>  
  2. <listener-class>org.acegisecurity.ui.session.HttpSessionEventPublisher</listener-class>  
  3. </listener>  
 
而且,你需要在中FilterChainProxy增加org.acegisecurity.concurrent.ConcurrentSessionFilter to your FilterChainProxyConcurrentSessionFilter需要兩個(gè)屬性,sessionRegistry用來(lái)指向一個(gè)SessionRegistryImpl實(shí)例,expiredUrl指向一個(gè)session實(shí)效時(shí)顯示的頁(yè)面。
 
當(dāng)一個(gè)HttpSession開(kāi)始或者結(jié)束的時(shí)候web.xml HttpSessionEventPublisher發(fā)送一個(gè)ApplicationEventSpring ApplicationContext。這很關(guān)鍵,因?yàn)樗_保session終止的時(shí)候SessionRegistryImpl會(huì)收到通知。
 
你還要裝配ConcurrentSessionControllerImpl并在ProviderManager中引用:
 
 
xml 代碼
 
  1. <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">  
  2. <property name="providers">  
  3. <!-- your providers go here -->  
  4. </property>  
  5. <property name="sessionController"><ref bean="concurrentSessionController"/></property>  
  6. </bean>  
  7. <bean id="concurrentSessionController"  
  8. class="org.acegisecurity.concurrent.ConcurrentSessionControllerImpl">  
  9. <property name="maximumSessions"><value>1</value></property>  
  10. <property name="sessionRegistry"><ref local="sessionRegistry"/></property>  
  11. </bean>  
  12. <bean id="sessionRegistry" class="org.acegisecurity.concurrent.SessionRegistryImpl"/>  
6.4. 認(rèn)證標(biāo)簽庫(kù)
AuthenticationTag只是用來(lái)把principalAuthentication.getPrincipal()對(duì)象的屬性顯示到web頁(yè)面。
 
下面的JSP片段展示了如何使用AuthenticationTag
 
java 代碼
 
  1. <authz:authentication operation="username"/>  
 
這個(gè)標(biāo)簽將會(huì)顯示pricipal的名字。這里我們假設(shè)Authentication.getPrincipal()是一個(gè)UserDetails對(duì)象,這在使用典型的DaoAuthenticationProvider時(shí)候的一般狀況。

安徽新華電腦學(xué)校專業(yè)職業(yè)規(guī)劃師為你提供更多幫助【在線咨詢
主站蜘蛛池模板: 青青草视频在线免费观看 | 国产精品18hdxxxⅹ在线 | 在线免费av观看 | 国产精品福利在线 | 日韩综合网 | 久久精品亚洲一区 | 亚洲成人免费视频在线观看 | 国产精品久久精品 | 国产一区二 | 欧洲精品乱码久久久久蜜桃 | 日韩a∨ | 久久久精品日本 | 日韩精品免费在线视频 | 亚洲免费观看视频 | 国产精品日韩在线观看 | 精品久久久网站 | 天天插天天操 | 黄色片免费观看 | 国产 高清 在线 | 射久久| 国产不卡在线 | www久久国产 | 欧美精品一区二区视频 | 国产综合精品一区二区三区 | 中字一区| 国产午夜精品久久久 | 成人午夜剧场 | 久久人 | aⅴ色国产 欧美 | 97在线观看视频 | 成人精品一区二区 | 国产精品日韩一区二区 | 自拍偷拍第一页 | www.xxx免费 | h片观看 | 成人精品久久 | jizzjizz亚洲中国少妇 | aa毛片 | 中文字幕加勒比 | 亚洲精品久久久一区二区三区 | 久草免费福利 |