Acegi+(version104)中文參考手冊.doc

Acegi （version1.0.4）中文參考手冊acegi參考手冊(v1.0.4)譯序言序言Acegi Security為基于J2EE的企業(yè)應用軟件提供全面的安全解決方案。正如你在本手冊中看到的那樣，我們嘗試為您提供有用的，高可配置的安全系統(tǒng)。安全是一個永無止境的目標，獲取一個全面的，系統(tǒng)級的實現方式是至關重要的。在安全界，我們鼓勵你采用“分層安全”，這樣每個層都確保自身盡可能的安全，另外的層提供另外的安全。每個層自身越“緊密”，你的系統(tǒng)就越魯棒和安全。在底層，你要處理傳輸入安全和系統(tǒng)認證，減少“中間人攻擊”（man-in-the-middle attacks）。接下來你要使用防火墻，結合VPN或者IP安全來確保只有認證過的系統(tǒng)能夠嘗試連接。在企業(yè)環(huán)境中，你可能部署DMZ（demilitarized zone，隔離區(qū)）來把面向公眾的服務器和后端的數據和應用服務器分隔開。在以非授權用戶運行進程和文件系統(tǒng)安全最大化上，你的操作系統(tǒng)也將扮演一個關鍵的角色。接下來你要防止針對系統(tǒng)的拒絕服務和暴力攻擊。入侵檢測系統(tǒng)在檢測和應對攻擊方面尤其有用，這些系統(tǒng)可以實時屏蔽惡意TCP/IP地址。在更高層上，你的Java虛擬機需要進行配置，將授予不同Java類型的權限最小化，然后，你的應用程序要對添加針對自身特定問題域的安全配置。Acegi Security使后者應用程序安全變得容易。當然，你要正確對待上述提到的每個安全層，以及包含于每個層的管理因素。這樣的管理因素具體包括：安全公告監(jiān)測，補丁，人工診斷，審計，變更管理，工程管理系統(tǒng)，數據備份，災難恢復，性能評測，負載監(jiān)測，集中日志，應急反應程序等等。Acegi Security專注于在企業(yè)應用安全層為您提供幫助，你將會發(fā)現和各式各樣的需求和商業(yè)問題領域一樣多。銀行系統(tǒng)的需求和電子商務應用的需求不同。電子商務應用和售賣軍用自動工具的公司的需求不同。這些客戶化的需求使得應用安全顯得有趣，富有挑戰(zhàn)性而且物有所值。本手冊為Acegi Security 1.0.0的發(fā)布而大規(guī)模重新組織。請先閱讀Part I 架構概覽。手冊的其余部分按照傳統(tǒng)的手冊方式編排，需要一定的基礎才能閱讀。我們希望您會覺得手冊有用，并且歡迎您提供反饋意見和建議。最后，歡迎加入Acegi Security社區(qū)。acegi參考手冊(v1.0.4)譯第一章 簡介Part I. 架構概覽象其他的軟件一樣，Acegi Security也有在整個框架中都會使用的特定核心接口，類，和概念抽象。在手冊的這一部分，在檢視這些規(guī)劃和執(zhí)行Acegi Security集成所必須的核心要素之前，我們先介紹Acegi Security。第一章. 簡介1.1. Acegi Security是什么?Acegi Security為基于J2EE的企業(yè)軟件應用提供全面的安全服務。特別是使用領先的J2EE解決方案Srping框架開發(fā)的項目。如果您不是使用Spring開發(fā)企業(yè)應用，我們溫馨提醒您仔細研究一下。熟悉Spring，尤其是依賴注射原理，會極大的幫助你快速掌握Acegi Security。人們使用Acegi Security有很多種原因，不過通常吸引他們到這個項目的原因是他們在J2EE的 Servlet Specification 或者 EJB Specification中找不到迫切需要的典型企業(yè)應用場景。提到這些規(guī)范，特別要提出的是他們不是在WAR或者EAR級別可移植的。這樣，如果你切換服務器環(huán)境，一般來說你要在目標環(huán)境中花費很多工夫來重新配置你的應用安全。使用Acegi Security解決了這些問題，并且為你提供了很多其他有用的，完全可定制的安全特性。如你所知，安全包含兩個主要操作。第一個被稱為“認證”，是為用戶建立一個它所聲明的principal。Principal通常代表用戶，設備，或者其他能在你的應用中執(zhí)行操作的其他系統(tǒng)?！笆跈唷敝概卸ㄒ粋€principal能否在你的系統(tǒng)中執(zhí)行某個操作。在到達授權判斷之前，principal的的身份認證已經由認證過程執(zhí)行過了。這些概念是通用的，不是Acegi Security特有的。在認證層面，Acegi Security廣泛支持各種認證模塊。這些認證模塊絕大多數是第三方提供，或者相關的標準組織開發(fā)的，例如Internet Engineering Task Force。作為補充，Acegi Security自己也提供了一些認證功能。Acegi Security當前支持如下的認證技術。 HTTP BASIC authentication headers (an IEFT RFC-based standard) HTTP Digest authentication headers (an IEFT RFC-based standard) HTTP X.509 client certificate exchange (an IEFT RFC-based standard) LDAP (a very common approach to cross-platform authentication needs, especially in large environments) Form-based authentication (for simple user interface needs) Computer Associates Siteminder JA-SIG Central Authentication Service (otherwise known as CAS, which is a popular open source single sign on system) Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (a Spring remoting protocol) Automatic remember-me authentication (so you can tick a box to avoid re-authentication for a predetermined period of time) Anonymous authentication (allowing every call to automatically assume a particular security identity) Run-as authentication (which is useful if one call should proceed with a different security identity) Java Authentication and Authorization Service (JAAS) Container integration with JBoss, Jetty, Resin and Tomcat (so you can still use Container Manager Authentication if desired) 你自己的認證系統(tǒng) (如下所示)很多獨立軟件供應商(ISVs)選擇Acegi Security是因為它具有豐富的認證模塊。這樣無論他們的終端客戶需要什么，他們都可以快速集成到他們的系統(tǒng)中，不用花很多工夫或者讓終端客戶改變環(huán)境。如果Acegi Security System for Spring的7個認證模塊還沒有滿足你的需求的話，Acegi Security是一個開放的系統(tǒng)，很容易寫你自己的認證機制。許多Acegi Security的企業(yè)用戶需要和“遺留”系統(tǒng)集成，這些遺留系統(tǒng)不遵循任何安全標準，Acegi Security能夠和這樣的系統(tǒng)“合作愉快”。有時候基本的認證是不夠的。有時候你需要根據principal和應用交互的方式來應用不同的安全措施。例如，你可能為了防止密碼被竊取，或者防止終端用戶受到“中間人”攻擊，需要保證到達的是請求通過HTTPS的。或者，你要確保是一個真正的人而不是某種機器人或者自動進程在發(fā)送請求。這對于保護密碼恢復不受暴力破解攻擊，或者防止他人很容易的復制你應用的關鍵內容。為了幫助你實現這些目標，Acegi Security完全支持自動“通道安全”(channel security)，以及集成Jcaptcha來檢測是否是真正人類用戶。Acegi Security不僅提供了認證功能，而且提供了完備的授權功能。在授權方面主要有三個領域，授權web請求，授權方法調用，授權存取單個領域對象實例。為了幫助你理解這些區(qū)別，對照考慮一下Servlet 規(guī)范中的web模式安全的授權功能，EJB容器管理安全以及文件系統(tǒng)安全。Acegi Security提供了所有這些重要領域的完備功能，我們將在本手冊的后面介紹。1.2. 歷史Acegi Security始于2003年晚期，當時在Spring Developers郵件列表中有人提問是否有人考慮提供一個基于Spring的安全實現。當時，Srping的社區(qū)是相對比較小的（尤其是和今天相比！），實際上Spring本身也是2003年早期才作為一個SourceForge項目出現的。對此問題的回應是它確實是一個值得研究的領域，雖然限于時間無法進行深入。有鑒于此，這個簡單的安全實現雖然構建了但是并沒有發(fā)布。幾周以后，Spring社區(qū)的其他成員詢問了安全框架，代碼就被提供給了他們。隨后又有人請求，到了2004年一月，大約有20人左右在使用這些代碼。另外一些人加入到這些先行的用戶中來，并建議建立一個SourceForge項目，這個項目在2004年3月建立起來。在早期，該項目自身并布具備任何認證模塊。認證過程依賴容器管理安全（Container Managed Security）而Acegi Security注重授權。在一開始這樣是合適的，但是隨著越來越多的用戶要求額外的容器支持，基于容器的認證的限制就顯示出來了。另外一個相關的問題是添加新的JAR文件到容器的classpath，通常會讓最終用戶感到困惑并且配置錯誤。隨后，Acegi Security加入了認證服務。大約一年后，Acegi Security成為了一個Spring Framework官方子項目。在2年半多的在多個軟件項目中的活躍使用以及數以百計的改進和社區(qū)貢獻，1.0.0最終版在2006年5月發(fā)布。今天，Acegi Security成為一個強大而活躍的社區(qū)。在支持論壇上有數以千計的帖子。14位開發(fā)人員專職開發(fā)，一個活躍的社區(qū)也定期共享補丁并支持他們的同儕。1.3. 發(fā)行版本號 理解Acegi Security的版本號是非常好處的，它可以幫助你判定升級的到新的版本是否需要花費很大精力。我們的正式發(fā)行版本使用Apache Portable Runtime Project版本指引，可以在下述網站查看/versioning.html。為了您查看方便，我們引用該頁的說明部分如下：“版本號由三個部分的整數組成：主版本號（MAJOR）、副版本號（MINOR）、補丁版本號（PATCH）。主要的含義是主版本號（MAJOR）是不兼容的，API大規(guī)模升級。副版本號（MINOR）在源文件和可執(zhí)行版和老版本保持兼容，補丁版本號（PATCH）則意味著向前和向后的完全兼容”。acegi參考手冊(v1.0.4)譯-第二章 技術概覽上第二章. 技術概覽2.1. 運行時環(huán)境Acegi Security可以在JRE1.3中運行。這個發(fā)行版本中支持也Java 5.0，盡管對應的Java類型被分開打包到一個后綴是“tiger”的包中。因為Acegi Security致力于以一種自包含的方式運行，因此不需要在JRE中放置任何特殊的配置文件。特別無需配置Java Authentication and Authorization Service (JAAS)策略文件或者將Acegi Security放置到通用的classpath路徑中。同樣的，如果你使用EJB容器或者Servlet容器，同樣無需放置任何特別的配置文件或者將Acegi Security包含在服務器的類加載器（classloader）中。上述的設計提供了最大的部署靈活性，你可以直接把目標工件（JAR, WAR 或者 EAR)）直接從一個系統(tǒng)copy到另一個系統(tǒng)，它馬上就可以運行起來。2.2. 共享組件讓我們來看看Acegi Security中最重要的一些共享組件。所謂共享組件是指在框架中處于核心地位，系統(tǒng)脫離了它們之后就不能運行。這些Java類型代表了系統(tǒng)中其他部分的構建單元，因此理解它們是非常重要的，即使你不需要直接和它們打交道。最基礎的對象是SecurityContextHolder。在這里存儲了當前應用的安全上下文（security context），包括正在使用應用程序的principal的詳細信息。SecurityContextHolder默認使用ThreadLocal來存儲這些詳細信息，這意味著即便安全上下文（security context）沒有被作為一個參數顯式傳入，它仍然是可用的。如果在當前principal的請求處理后清理線程,那么用這種方式使用ThreadLocal是非常安全的。當然， Acegi Security自動為你處理這些，所以你無需擔心。有些應用程序由于使用線程的方式而并不是完全適用ThreadLocal。例如，Swing客戶端可能需要一個Java Virtual Machine中的所有線程都使用同樣的安全上下文（security context）。在這種情況下你要使用SecurityContextHolder.MODE_GLOBAL模式。另外一些應用程序可能需要安全線程產生的線程擁有同樣的安全標識符（security identity）。這可以通過SecurityContextHolder.MODE_INHERITABLETHREADLOCAL來實現。你可以通過兩種方法來修改默認的SecurityContextHolder.MODE_THREADLOCAL。第一種是設置一個系統(tǒng)屬性。或者，調用SecurityContextHolder的一個靜態(tài)方法。大部分的應用程序不需要修改默認值，不過如果你需要，那么請查看SecurityContextHolder的JavaDocs獲取更多信息。我們在SecurityContextHolder中存儲當前和應用程序交互的principal的詳細信息。Acegi Security使用一個Authentication對象來代表這個信息。盡管你通常不需要自行創(chuàng)建一個Authentication對象，用戶還是經常會查詢Authentication對象。你可以在你的應用程序中的任何地方使用下述的代碼塊：java 代碼1. Objectobj=SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 2. if(objinstanceofUserDetails) 3. Stringusername=(UserDetails)obj).getUsername(); 4. else 5. Stringusername=obj.toString(); 6. 上述的代碼展示了一些有趣的聯(lián)系和關鍵的對象。首先，你會注意到在SecurityContextHolder和Authentication之間有一個媒介對象。SecurityContextHolder.getContext() 方法實際上返回一個SecurityContext。Acegi Security使用若干個不同的SecurityContext實現，以備我們需要存儲一些和principal無關的特殊信息。一個很好的例子就是我們的Jcaptcha集成，它需要知道一個需求是否是由人發(fā)起的。這樣的判斷和principal是否通過認證完全沒有關系，因此我們將它保存在SecurityContext中。從上述的代碼片段可以看出的另一個問題是你可以從一個Authentication對象中獲取一個principal。Principal只是一個對象。通常可以把它cast為一個UserDetails對象。UserDetails在Acegi Security中是一個核心接口，它以一種擴展以及應用相關的方式來展現一個principal?？梢园裊serDetails看作是你的用戶數據庫和Acegi Security在SecurityContextHolder所需要的東西之間的一個適配器（adapter）。作為你自己用戶數據庫的一個展現，你可能經常要把它cast到你應用程序提供的原始對象，這樣你就可以調用業(yè)務相關的方法(例如 getEmail(), getEmployeeNumber()。現在你可能已經開始疑惑，那我什么時候提供UserDetails對象呢？我要如何提供呢？我想你告訴過我這個東西是聲明式的，我不需要寫任何Java代碼那怎么做到呢？對此的簡短回答就是有一個叫做UserDetailsService的特殊接口。這個接口只有一個方法，接受一個Sring類型的參數并返回一個UserDetails。Acegi Security提供的大多數認證提供器將部分認證過程委派給UserDetailsService。UserDetailsService用來構建保存在SecurityContextHolder中的Authentication對象。好消息是我們提供若干個UserDetailsService的實現，包括一個使用in-memory map和另一個使用JDBC的。大多數用戶還是傾向于寫自己的實現，這樣的實現經常就是簡單的構建于已有的Data Access Object (DAO)上，這些DAO展現了他們的雇員、客戶、或者其他企業(yè)應用程序中的用戶。要記得這樣做的好處，不論你的UserDetailsService返回什么，它總是可以從SecurityContextHolder中獲取，象上面的代碼顯示的那樣。除了principal，Authentication提供的另一個重要方法就是getAuthorities（）。這個方法返回一個GrantedAuthority對象數組。GrantedAuthority，毫無疑問，就是授予principal的權限。這些權限通常是“角色”，例如ROLE_ADMINISTRATOR 或者ROLE_HR_SUPERVISOR。這些角色稍后配置到web授權，方法授權和領域對象授權。Acegi Security的其他部分能夠處理這些權限，并且期待他們被提供。通常你會從UserDetailsService中返回GrantedAuthority對象。通常GrantedAuthority對象都是應用范圍的權限。它們都不對應特定的領域對象。因此，你應該不會有一個代表54號員工對象的GrantedAuthority，因為這樣會有數以千計的authority，你馬上就會用光所有內存（或者，至少會讓系統(tǒng)花太長時間來認證一個用戶）。當然，Acegi Security會高效的處理這種普遍的需求，但是你不會使用領域對象安全功能來實現這個目的。最后，但不是不重要，你有時候需要在HTTP 請求之間存儲SecurityContext。另外有些時候你在每次請求的時候都會重新認證principal，不過大部分時候你會存儲SecurityContext。HttpSessionContextIntegrationFilter在HTTP之間存儲SecurityContext。正如類名字顯示的那樣，它使用HttpSession來進行存儲?；诎踩颍阌肋h都不要直接和HttpSession交互。沒有理由這么做，所以記得使用SecurityContextHolder來代替。讓我們回憶一下，Acegi Security的基本組成構件是： SecurityContextHolder,提供對SecurityContext的所有訪問方式。 SecurityContext, 存儲Authentication以及可能的請求相關的安全信息。 HttpSessionContextIntegrationFilter, 在web請求之間把SecurityContext存儲在HttpSession中。 Authentication, 以Acegi Security的方式表現principal。 GrantedAuthority, 表示賦予一個principal的應用范圍的權限。 UserDetails, 為從你的應用程序DAO中獲取必要的信息來構建一個Authentication 對象。 UserDetailsService,用傳入的String類型的username（或者認證ID，或類似）來創(chuàng)建一個UserDetails?，F在你已經理解了這些重復使用的組件，讓我們仔細看看認證過程吧。2.3. 認證正如我們在手冊開始部分所說的那樣，Acegi Security適用于很多認證環(huán)境。雖然我們建議大家使用Acegi Security自身的認證功能而不是和容器管理認證（Container Managed Authentication）集成，但是我們仍然支持這種和你私有的認證系統(tǒng)集成的認證。讓我們先從Acegi Security完全自行管理管理web安全的角度來探究一下認證，這也是最復雜和最通用的情形。想象一個典型的web應用的認證過程：1你訪問首頁，點擊一個鏈接。2一個請求被發(fā)送到服務器，服務器判斷你是否請求一個被保護的資源。3因為你當前未被認證，服務器發(fā)回一個回應，表明你必須通過認證。這個回應可能是一個HTTP回應代碼，或者重定向到一個特定的網頁。4基于不同的認證機制，你的瀏覽器會重定向到一個網頁好讓你填寫表單，或者瀏覽器會用某種方式獲取你的身份認證（例如一個BASIC認證對話框，一個cookie，一個X509證書等等。）。5瀏覽器會發(fā)回給服務器一個回應。可能是一個包含了你填寫的表單內容的HTTP POST，或者一個包含你認證詳細信息的HTTP header。6接下來服務器會判斷提供的認證信息是否有效。如果它們有效，你進入到下一步。如果它們無效，那么通常請求你的瀏覽器重試一次（你會回到上兩步）。7你引發(fā)認證的那個請求會被重試。但愿你認證后有足夠的權限訪問那些被保護的資源。如果你有足夠的訪問權限，請求就會成功。否則，你將會受到一個意味“禁止”的HTTP403錯誤代碼。在Acegi Security中，對應上述的步驟，有對應的類。主要的參與者（按照被使用的順序）是：ExceptionTranslationFilter， AuthenticationEntryPoint， 認證機制(authentication mechanism)， 以及AuthenticationProvider。ExceptionTranslationFilter是Acegi Security用來檢測任何拋出的安全異常的過濾器(filter)。這種異常通常是由AbstractSecurityInterceptor拋出的，它是授權服務的主要提供者。我們將會在下一部分討論AbstractSecurityInterceptor，現在我們只需要知道它產生Java異常，并且對于HTTP或者如何認證一個principal一無所知。反而是ExceptionTranslationFilter提供這樣的服務，它負責要么返回403錯誤代碼(如果principal通過了認證，只是缺少足夠的權限，象上述第7步那樣)，要么加載一個AuthenticationEntryPoint (如果principal還沒有被認證，那么我們要從第3步開始)。AuthenticationEntryPoint負責上述的第3步。如你所想，每個web應用都有一個默認的認證策略（象Acegi Security中幾乎所有的東西一樣，它也是可配置的，不過我們現在還是還是從簡單開始）。每個主流的認證系統(tǒng)都有它自己的AuthenticationEntryPoint實現，負責執(zhí)行第3步中描述的動作。當瀏覽器確定要發(fā)送你的認證信息（HTTP 表單或者HTTP header），服務器上需要有什么東西來“收集”這些認證信息。現在我們在上述的第6步。在Acegi Security中對從用戶代理（通常是瀏覽器）收集認證信息有一個特定的名字，這個名字是“認證機制（authentication mechanism）”。當認證信息從客戶代理收集過來以后，一個“認證請求（Authentication request）”對象被創(chuàng)建，并發(fā)送到AuthenticationProvider。Acegi Security中認證的最后一環(huán)是一個AuthenticationProvider。非常簡單，它的職責是取用一個認證請求（Authentication request）對象，并且判斷它是否有效。這個provider要么拋出一個異常，要么返回一個組裝完畢的Authentication對象。還記得我們的好朋友UserDetails 和 UserDetailsService吧？如果沒有，回到前一部分重新回憶一下。大部分的AuthenticationProviders都會要求UserDetailsService提供一個UserDetails對象。如前所述，大部分的應用程序會提供自己的UserDetailsService，盡管有些會使用Acegi Security提供的JDBC或者 in-memory實現。作為成品的UserDetails 對象，特別是其中的GrantedAuthoritys，在構建完備的Authentication對象時會被使用。當認證機制（authentication mechanism）取回組裝完全的Authentication對象后，它將會相信請求是有效的，將Authentication放到SecurityContextHolder中，并且將原始請求取回（上述第7步）。反之，AuthenticationProvider則拒絕請求，認證機制（authentication mechanism）會請求用戶重試（上述第2步）。在講述典型的認證流程的同時，有個好消息是Acegi Security不關心你是如何把Authentication放到SecurityContextHolder內的。唯一關鍵的是在AbstractSecurityInterceptor授權一個請求之前，在SecurityContextHolder中包含一個代表了principal的Authentication。你可以（很多用戶確實）實現自己的過濾器（filter）或者MVC控制器（controller）來提供和不是基于Acegi Security的認證系統(tǒng)交互。例如，你可能使用使用容器管理認證（Container Managed Authentication），從ThreadLocal 或者JNDI中獲取當前用戶信息，使得它有效。或者，你工作的公司有一個遺留的私有認證系統(tǒng)，而它是公司“標準”，你對它無能為力。在這種情況之下也是非常容易讓Acegi Security運作起來，提供認證能力。你所需要做的是寫一個過濾器（或等價物）從某處讀取第三方用戶信息，構建一個Acegi Security式的Authentication對象，把它放到SecurityContextHolder中。這非常容易做，也是一種廣泛支持的集成方式。acegi參考手冊(v1.0.4)譯-第二章 技術概覽下2.4. 安全對象如果你熟悉AOP，你會知道有很多種advice可用：before, after, throws 和 around。around advice非常有用，因為它能夠選擇是否選擇是否執(zhí)行一個方法調用，是否修改返回值，以及是否拋出異常。Acegi Security對方法調用和web請求都提供around advice。我們使用AOP聯(lián)盟實現對方法調用的around advice，對于web請求的around advice則是使用標準的過濾器（Filter）。對于那些不熟悉AOP的人來說，關鍵是要理解Acegi Security能夠幫助你保護方法調用以及web請求。大多數人對保護他們服務層的方法調用感興趣。這是因為在當前的J2EE應用中，服務層包含了大多數的業(yè)務邏輯（聲明，作者不贊成這種設計，反而支持正確封裝的領域模型以及DTO，assembly, facade 以及 transparent persistence patterns，而不是當前主流的貧血模型，我們將在這里討論）。如果你需要保護service層的方法調用，使用標準的Spring AOP平臺（或者被成為AOP 聯(lián)盟（AOP Alliance）就足夠了。如果你需要直接對領域模型進行保護，那么可以考慮使用AspectJ。你可以選擇對使用AspectJ 或者AOP聯(lián)盟（AOP Alliance）對方法進行授權，或者你可以選擇使用過濾器（filter）來對web請求進行授權。你將0個，1個，2個或者3個這些方法一起使用。主流的用法是執(zhí)行一些web請求授權，以及在服務層使用AOP聯(lián)盟（AOP Alliance）對一些方法調用授權。Acegi Security使用“安全對象”（secure object）這個詞來指任何能夠將安全應用于其上的對象。每個Acegi Security支持的安全對象都有自己的類，它是AbstractSecurityInterceptor的子類。重要的一點是，如果一個principal通過認證，當AbstractSecurityInterceptor執(zhí)行的時候，SecurityContextHolder中要包含一個有效的Authentication。AbstractSecurityInterceptor提供一個固定的工作流程來處理安全對象請求。這個工作流程包括查找和當前請求相關聯(lián)的“配置屬性（configuration attributes）”。配置屬性（configuration attributes）可以被認為是對被AbstractSecurityInterceptor使用的類有特殊含義的字符串。他們通常針對AbstractSecurityInterceptor使用XML進行配置。反正，AbstractSecurityInterceptor會詢問AccessDecisionManager “這是配置屬性（configuration attributes），這是當前的認證對象（Authentication object），這是當前請求的詳細信息那么這個特定的principal可以執(zhí)行這個特定的操作嗎？”。假如AccessDecisionManager判定允許這個請求，那么AbstractSecurityInterceptor一般來說就繼續(xù)執(zhí)行請求。雖然這樣，用戶在少數情況之下可能需要替換SecurityContext中的Authentication，可以通過AccessDecisionManager調用一個RunAsManager來實現。在某些不常見的情形下這將非常有用，例如服務層的方法需要用另一種標識（身份）來調用遠程系統(tǒng)。這可能有所幫助，因為Acegi Security自動在不同的服務器之間傳播安全標識（假設你正確配置了RMI或者HttpInvoker remoting protocol client）。隨著安全對象處理和返回意味著方法調用完畢或者過濾器鏈（filter chain）處理完畢AbstractSecurityInterceptor有最后的機會來處理調用。這時，AbstractSecurityInterceptor可能會修改返回的對象。我們可能要這樣做，因為授權判斷不能在安全對象調用途中執(zhí)行。由于高度的可插拔性，如果需要AfterInvocationManager將控制權交給AfterInvocationManager來實際修改對象。這個類甚至可以徹底替換對象，或者拋出異常，或者根本不修改它。因為是AbstractSecurityInterceptor中心模版類，看起來第一副插圖該獻給它。（譯注：原手冊里的圖畫的太丑陋了，我用jude重新畫了一遍） 圖1 關鍵“安全對象”模型只有那些希望實現全新的對請求進行截取截取和授權方式的開發(fā)者才需要直接使用安全對象。例如，可能構建一個新的安全對象安全調用一個消息系統(tǒng)。任何需要安全并且能夠提供一種截取調用的方式(例如AOP around advice semantics)的東西都可以成為安全對象。雖然如此，大部分的Spring應用都會只是透明應用當前支持的三種安全對象類型（AOP Alliance MethodInvocation, AspectJ JoinPoint 和 web request FilterInterceptor）。2.5. 結論恭喜！你已經獲取了Acegi Security足夠的概括性的圖景來開始著手你的項目。我們探究了共享組件，認證過程，以及對“安全對象”的通用授權概念。手冊中的余下部分你可能用到也可能用不到，可以按照任意順序閱讀。acegi參考手冊(v1.0.4)譯-第三章 協(xié)助系統(tǒng)第三章. 協(xié)助系統(tǒng)本章介紹一些Acegi Security使用的附加和協(xié)助系統(tǒng)。那些和安全無關，但是包含在Acegi Security項目中的部分，將會在本章中討論3.1. 本地化Acegi Security支持對終端客戶可能會看到的異常信息進行本地化。如果你的應用是為英文用戶設計的，那么你什么都不用做，因為Acegi Security的所有消息默認都是英文的。如果你要支持其他區(qū)域用戶，那么本節(jié)包含了你所需要了解的所有東西。包括認證失敗或者訪問被拒絕（授權失?。┑乃挟惓Ｏ⒍伎梢员槐镜鼗?。提供給開發(fā)者或者系統(tǒng)部署人員的異?；蛘呷罩拘畔?包括錯誤的屬性、接口不符、構造器錯誤、debug級日志)沒有被本地化，它們硬編碼在Acegi Security的代碼中。在acegi-security-xx.jar（譯注：xx代表版本號）的org.acegisecurity包中包含了一個 perties文件。這個文件會被你的application context引用，因為Acegi Security實現了Spring的MessageSourceAware接口，它期待在application context啟動的時候注入一個message resolver。通常你所需要做的是在你的application context中注冊一個引用這個消息的bean，如下所示：xml 代碼1. 2. org/acegisecurity/messages!-value!-property3. !-perties是按照資源包標準命名的，它代表了Acegi Securtiy支持的默認語言。文件默認是英文的。如果你不注冊一個消息源，Acegi Security仍然可以正常工作，它會用回硬編碼的英文消息。如果你想定制perties文件，或者支持其他語言，那么你應該copy這個文件，然后重命名，并在上述的bean定義中 注冊。因為文件中的key并不多，因此本地化花不了多少工夫。如果你針對消息文件進行了本地化，那么請和社區(qū)分享，你可以添加一個JIRA任務，將你正確 命名的perties本地化文件作為附件添加。為了完善關于本地化的討論需要知道Spring的ThreadLocal org.springframework.context.i18n.LocaleContextHolder。你應該為每個用戶設置代表他區(qū)域的 LocaleContextHolder。Acegi Security會嘗試從這個ThreadLocal中獲取的Locale來從消息源中獲取消息。請參考Spring的文檔以獲取更多使用 LocaleContextHolder和能夠幫你自動設置它的輔助類(例如AcceptHeaderLocaleResolver, CookieLocaleResolver, FixedLocaleResolver, SessionLocaleResolver 等)的詳細信息。3.2. Filters正如你在整個手冊中看到的那樣，Acegi Security使用很多filter。你可以使用FilterToBeanProxy或者FilterChainProxy來確定這些是怎樣加入到你的web應用中的，下面我們來看看。大部分filter使用FilterToBeanProxy來配置。例如下面web.xml中配置所示：xml 代碼1. 2. AcegiHTTPRequestSecurityFilter3. org.acegisecurity.util.FilterToBeanProxy4. 5. targetClass6. org.acegisecurity.ClassThatImplementsFilter7. 8. 注意在web.xml中的filter實際上是一個FilterToBeanProxy，而不是真正實現filter邏輯的filter。 FilterToBeanProxy所作的是代理Filter的方法到一個從Spring的application context 獲取的bean。這使得這個bean可以享受Spring application context的生命周期支持以及配置靈活性。這個bean必須實現javax.servlet.Filter。FilterToBeanProxy只需要一個簡單的初始化參數，targetClass或者targetBean。targetClass會定位 application context中指定的類的第一個對象，而FilterToBeanProxy按照bean的名字定位對象。象標準的Spring web應用一樣，FilterToBeanProxy使用 WebApplicationContextUtils.getWebApplicationContext(ServletContext)來訪問 application context，所以你應該在web.xml中配置一個Conte