ACEGI安全框架應(yīng)用指南

45/45ACEGＩ安全框架應(yīng)用指南級(jí)別：中級(jí)何平系統(tǒng)架構(gòu)師,獨(dú)立顧問(wèn)，培訓(xùn)講師.2005年12月26日文章來(lái)源于一次acegｉ的項(xiàng)目應(yīng)用。因?yàn)闃I(yè)務(wù)需要與acegi框架缺省的應(yīng)用方式有一定的區(qū)別，故在實(shí)際應(yīng)用過(guò)程中嘗試了對(duì)aｃegi的一定量的改造工作,從而具有一定的研究和學(xué)習(xí)價(jià)值。文章中關(guān)于Acegi的介紹收入了其他文章中的內(nèi)容，已在參教資料中列出資料來(lái)源。內(nèi)容大綱:

認(rèn)識(shí)Ａcegi安全框架

安裝并運(yùn)行Acｅgi自帶的范例

改造Aｃｅgi框架滿足我們的業(yè)務(wù)要求

具體內(nèi)容：

認(rèn)識(shí)Acegi安全框架Acegi安全系統(tǒng)，是一個(gè)用于SpringFrameｗork的安全框架，能夠和目前流行的Web容器無(wú)縫集成.它使用了Ｓｐriｎg的方式提供了安全和認(rèn)證安全服務(wù)，包括使用ＢeanContexｔ,攔截器和面向接口的編程方式.因此,Ａcegｉ安全系統(tǒng)能夠輕松地適用于復(fù)雜的安全需求。安全涉及到兩個(gè)不同的概念,認(rèn)證和授權(quán)。前者是關(guān)于確認(rèn)用戶是否確實(shí)是他們所宣稱的身份。授權(quán)則是關(guān)于確認(rèn)用戶是否有允許執(zhí)行一個(gè)特定的操作。

在Aｃｅgi安全系統(tǒng)中，需要被認(rèn)證的用戶，系統(tǒng)或代理稱為＂Ｐrｉncipal＂。Ａcegi安全系統(tǒng)和其他的安全系統(tǒng)不同,它并沒(méi)有角色和用戶組的概念

關(guān)鍵組件Acegi安全系統(tǒng)包含以下七個(gè)關(guān)鍵的功能組件:lAuｔhentiｃatiｏn對(duì)象,包含了Ｐriｎcipal,Ｃｒedentｉaｌ和Ｐrｉｎcipal的授權(quán)信息.同時(shí)還可以包含關(guān)于發(fā)起認(rèn)證請(qǐng)求的客戶的其他信息,如IP地址。

2CoｎteｘｔHｏlｄer對(duì)象，使用ＴhreaｄLocaｌ儲(chǔ)存Authenticatioｎ對(duì)象的地方。

3AuthenticatｉｏnManager，用于認(rèn)證ConｔextHolｄeｒ中的Autｈｅnticａｔion對(duì)象。

4AccｅsｓDeｃissionMａｎageｒ，用于授權(quán)一個(gè)特定的操作。

５RunAｓＭａnａger，當(dāng)執(zhí)行特定的操作時(shí)，用于選擇性地替換Aｕｔheｎｔicaｔioｎ對(duì)象.

６ＳecurｅＯbｊｅｃt攔截器，用于協(xié)調(diào)Ａuｔhenｔiｃａt(yī)ｉonManａger,AｃcessＤｅcｉｓｓioｎManager，RunＡsManageｒ和特定操作的執(zhí)行.７ObjectDｅfｉniｔｉonSource,包含了特定操作的授權(quán)定義.這七個(gè)關(guān)鍵的功能組件的關(guān)系如下圖所示(圖中灰色部分是關(guān)鍵組件)：

安全管理對(duì)象Aｃegi安全系統(tǒng)目前支持兩類安全管理對(duì)象.

第一類的安全管理對(duì)象管理AOPＡｌliancｅ的MetｈodInvｏcａt(yī)ioｎ，開發(fā)人員可以用它來(lái)保護(hù)Sｐring容器中的業(yè)務(wù)對(duì)象。為了使Sｐring管理的Bean可以作為MethｏdInvocatｉon來(lái)使用，Bｅａn可以通過(guò)ＰroxyＦaｃｔoryＢeａn和BeanNameAｕtoＰｒｏxyCreator來(lái)管理,就像在Spｒiｎｇ的事務(wù)管理一樣使用.

第二類是FiltｅrIｎvｏcation。它用過(guò)濾器（Ｆｉｌteｒ)來(lái)創(chuàng)建,并簡(jiǎn)單地包裝了ＨTＴP的ServｌetRequeｓt，SeｒｖletResponｓe和FｉlterＣhａin。FiｌｔerInvoｃatｉon可以用來(lái)保護(hù)ＨＴTP資源。通常，開發(fā)人員并不需要了解它的工作機(jī)制，因?yàn)樗麄冎恍枰獙ilｔer加入weｂ.ｘml,Acegi安全系統(tǒng)就可以工作了.

安全配置參數(shù)每個(gè)安全管理對(duì)象都可以描述數(shù)量不限的各種安全認(rèn)證請(qǐng)求。例如，MｅtｈｏdIｎvoｃａt(yī)ion對(duì)象可以描述帶有任意參數(shù)的任意方法的調(diào)用，而FiｌｔeｒInｖoｃation可以描述任意的HＴTPURL。

Acｅgi安全系統(tǒng)需要記錄應(yīng)用于每個(gè)認(rèn)證請(qǐng)求的安全配置參數(shù)。例如，對(duì)于BankManager.getBalanｃe(intaccｏuntNumber）方法和BａnkMaｎager．a(chǎn)ppｒoｖeＬoａn(ｉnｔａppｌicationNｕｍber）方法,它們需要的認(rèn)證請(qǐng)求的安全配置很不相同.

為了保存不同的認(rèn)證請(qǐng)求的安全配置，需要使用配置參數(shù)。從實(shí)現(xiàn)的視角來(lái)看,配置參數(shù)使用ConfiｇＡttribuｔｅ接口來(lái)表示。Acegi安全系統(tǒng)提供了ConfigAttrｉbute接口的一個(gè)實(shí)現(xiàn)，SeｃｕrityCｏｎfig,它把配置參數(shù)保存為一個(gè)字符串。

ConfigAtｔribuｔｅＤｅfｉnｉtion類是CｏｎfigAttrｉbuｔe對(duì)象的一個(gè)簡(jiǎn)單的容器，它保存了和特定請(qǐng)求相關(guān)的CｏｎfigＡttributｅ的集合。

當(dāng)安全攔截器收到一個(gè)安全認(rèn)證請(qǐng)求時(shí)，需要決定應(yīng)用哪一個(gè)配置參數(shù)。換句話說(shuō)，它需要找出應(yīng)用于這個(gè)請(qǐng)求的CoｎfigＡttriｂuteDｅfinition對(duì)象。這個(gè)查找的過(guò)程是由OｂjｅｃtDeｆinitionＳource接口來(lái)處理的。這個(gè)接口的主要方法是ｐubｌicＣｏｎｆigAttributeDefiｎitiｏngetAttｒibuｔes（Objectobjeｃt),其中Obｊｅｃt參數(shù)是一個(gè)安全管理對(duì)象。因?yàn)榘踩芾韺?duì)象包含有認(rèn)證請(qǐng)求的詳細(xì)信息,所以ＯbｊectＤｅｆinitioｎSoｕrce接口的實(shí)現(xiàn)類可以從中獲得所需的詳細(xì)信息，以查找相關(guān)的ConfigAtｔributeDeｆｉniton對(duì)象。

Acegｉ如何工作為了說(shuō)明Acegi安全系統(tǒng)如何工作,我們?cè)O(shè)想一個(gè)使用Ａcegｉ的例子。通常，一個(gè)安全系統(tǒng)需要發(fā)揮作用，它必須完成以下的工作：

l首先，系統(tǒng)從客戶端請(qǐng)求中獲得Prinｃiｐaｌ和Credeｎtiａｌ；

２然后系統(tǒng)認(rèn)證Principal和Ｃredｅntial信息；

3如果認(rèn)證通過(guò)，系統(tǒng)取出Priｎcｉpａl的授權(quán)信息;

4接下來(lái)，客戶端發(fā)起操作請(qǐng)求；

5系統(tǒng)根據(jù)預(yù)先配置的參數(shù)檢查Priｎcipal對(duì)于該操作的授權(quán);6如果授權(quán)檢查通過(guò)則執(zhí)行操作,否則拒絕。

那么,Acegi安全系統(tǒng)是如何完成這些工作的呢？首先，我們來(lái)看看Aｃegi安全系統(tǒng)的認(rèn)證和授權(quán)的相關(guān)類圖：

圖中綠色部分是安全攔截器的抽象基類，它包含有兩個(gè)管理類,AuthenticaｔｉonManａgｅr和AcｃｅｓsDecisｉｏｎＭａnａgeｒ,如圖中灰色部分.ＡuｔhenｔicationＭanaｇer用于認(rèn)證ＣoｎtextHoldeｒ中的Autｈｅｎｔiｃatｉon對(duì)象（包含了Pｒincｉpal,Ｃredenｔial和Ｐrｉｎｃipaｌ的授權(quán)信息）；AｃｃｅssDeciｓsioｎManaｇer則用于授權(quán)一個(gè)特定的操作。下面來(lái)看一個(gè)MeｔhodSｅｃuｒiｔyInteｒｃｅptor的例子:<beａnid="bａnkManagerＳecurity”

ｃｌasｓ＝”ｎｅｔ。ｓf．a(chǎn)cegisecurity。ｉｎｔerｃｅｐt．mｅｔhod.ＭｅtｈｏdSｅcuｒｉｔyIntercｅptor”〉

〈prｏpｅrtynaｍe="validａt(yī)eCoｎfigAｔtｒibutｅs">

〈vａlue＞trｕe〈/valｕe＞

〈/ｐｒoperｔy〉

〈ｐropeｒｔｙｎame＝”aｕｔhentｉｃatiｏnManａger">

<refbean="authenticationＭaｎａger"/〉

</propｅrtｙ〉

〈pｒoｐeｒtｙnamｅ=＂aｃceｓｓDeciｓｉonManａｇｅr"＞

<reｆbｅaｎ＝"accessDecｉsiｏnMaｎａgeｒ＂/>

<／pｒｏperｔy>

〈prｏｐerｔyname=＂ｏbjｅｃtＤｅfiｎitiｏnSoｕrce">

〈vａluｅ＞

nｅt。sf.acｅgiseｃｕritｙ.context。BanｋManager．delete*=

ＲOＬE＿SUPEＲVＩSＯR,RUN_AＳ_SＥRVERnｅt。sｆ。aceｇisecｕriｔy。cｏntext。BaｎkManａgｅｒ.getBalance=

ＲOLE_TELLEＲ，ＲOＬE＿ＳUPERＶＩＳOR,ＢＡNＫSECＵRＩTＹ＿CUＳTＯMEＲ,RUN_

＜/value>

</propeｒty>

＜/ｂeaｎ>上面的配置文件中，ＭethodSecｕrityＩntｅｒceptｏｒ是AｂstraｃtＳecurityIｎterｃｅpｔｏr的一個(gè)實(shí)現(xiàn)類。它包含了兩個(gè)管理器,aｕthｅnticaｔionManａger和ａｃcesｓDｅcisｉonMaｎageｒ。這兩者的配置如下:

〈ｂeａniｄ="authentiｃatiｏｎDao"clａss=＂ｎet.sｆ．a(chǎn)ｃegisecuｒity.prｏvｉｄers。dao．ｊdbc.JdbcＤaoImpl”>

<proｐｅｒtyｎamｅ=＂ｄataSoｕrce＂>〈reｆbean＝”dａｔaSouｒｃe”／>〈/pｒopertｙ>

</beａn〉

＜beanid="daoＡuｔhentiｃationPｒoｖiｄｅr”

class＝"nｅt.sf．ａｃegiseｃuｒity.prｏvidｅrｓ.dao．DaoAuthentｉcatｉonPｒovider">

<propertyｎame＝"autｈentｉcatｉonDao”><ｒeｆbｅan=”authentｉcaｔｉｏnDao"／〉</properｔy>

＜/ｂｅａn〉

＜bｅａnid=”auｔｈｅｎticatiｏnManager"clａsｓ＝"nｅt.sf．a(chǎn)ｃegｉｓecｕrｉtｙ．providers.ＰroviderManａgeｒ”＞

＜pｒopertyname＝"pｒｏvｉders”>

＜list〉<ｒefbean="daoAuｔhenticationProviｄｅr"/><／lｉsｔ>

〈／prｏｐeｒty〉

<／ｂean>

〈beanid＝”rｏleVoｔeｒ"clａsｓ=”net．sf.acegisecuｒitｙ．vote．RｏlｅVoteｒ”/>

〈beａniｄ=＂ａccessDecisionManａgｅr＂clasｓ=”net．ｓｆ．ａcｅｇｉsecuritｙ.vote．AffirmativeＢased＂〉

＜pｒoｐerｔynamｅ=＂alｌｏｗIｆAｌlAbstainDeｃｉｓionｓ"〉〈ｖalue〉false＜/value></ｐroｐeｒｔy＞

〈ｐｒopertyｎame=＂ｄｅcｉsｉonＶoterｓ＂>

<liｓt〉＜refbeaｎ="ｒoleVoter＂/＞＜/lｉsｔ＞

</ｐroperty〉

＜／ｂean>

準(zhǔn)備工作做好了,現(xiàn)在我們來(lái)看看Acegｉ安全系統(tǒng)是如何實(shí)現(xiàn)認(rèn)證和授權(quán)機(jī)制的。以使用HTTPＢASＩC認(rèn)證的應(yīng)用為例子,它包括下面的步驟：1。

用戶登錄系統(tǒng),Acｅgi從aｃeｇisｅｃｕrｉｔｙ．ui子系統(tǒng)的安全攔截器（如BasicＰroｃessinｇＦiｌter）中得到用戶的登錄信息(包括Principａl和Cｒedeｎtial)并放入Ａuｔheｎtication對(duì)象,并保存在ＣontextHolｄｅr對(duì)象中；

2.安全攔截器將Ａuthenticａt(yī)ion對(duì)象交給ＡｕtｈenticationＭａｎager進(jìn)行身份認(rèn)證，如果認(rèn)證通過(guò)，返回帶有Principal授權(quán)信息的Authenticａt(yī)iｏｎ對(duì)象。此時(shí)ContextＨolder對(duì)象的Ａuthenｔicaｔiｏn對(duì)象已擁有Ｐrinｃipal的詳細(xì)信息;

3.用戶登錄成功后，繼續(xù)進(jìn)行業(yè)務(wù)操作；4．安全攔截器（bａｎkMａnagｅrSecurity）收到客戶端操作請(qǐng)求后，將操作請(qǐng)求的數(shù)據(jù)包裝成安全管理對(duì)象(ＦiｌteｒＩnvocatiｏn或MｅtｈoｄInvocａt(yī)ion對(duì)象)；5.然后，從配置文件（ObｊeｃｔDｅfiniｔioｎSoｕrce)中讀出相關(guān)的安全配置參數(shù)ＣonfｉgAttrｉbuｔｅＤefinｉtiｏｎ；6。接著,安全攔截器取出ContｅxtHｏlｄer中的Autｈenｔicatiｏn對(duì)象，把它傳遞給AuthentｉcationMａnａｇer進(jìn)行身份認(rèn)證,并用返回值更新CｏnｔextHoｌdｅr的Aｕｔhｅntｉｃａｔion對(duì)象；７。將Autｈenｔicａt(yī)ｉｏn對(duì)象,CｏnfigAｔtributｅDefinition對(duì)象和安全管理對(duì)象(ｓecureObject)交給ＡccesｓDecisionMａnageｒ,檢查Princｉpaｌ的操作授權(quán);

８。如果授權(quán)檢查通過(guò)則執(zhí)行客戶端請(qǐng)求的操作，否則拒絕；

AcｃessDecisionVoteｒ注意上節(jié)的ａccessDｅciｓionMａnａｇer是一個(gè)AｆfirmatｉvｅＢased類,它對(duì)于用戶授權(quán)的投票策略,只要通過(guò)其中的一個(gè)授權(quán)投票檢查，即可通過(guò);它的alloｗＩfAllAbstainＤecｉｓioｎｓ屬性值是faｌse,意思是如果所有的授權(quán)投票是都是棄權(quán)，則通不過(guò)授權(quán)檢查。Acegｉ安全系統(tǒng)包括了幾個(gè)基于投票策略的AcｃｅssDｅcisiｏnMaｎａｇer，上節(jié)的ＲｏleVoｔer就是其中的一個(gè)投票策略實(shí)現(xiàn)，它是ＡccessＤeciｓｉonVｏter的一個(gè)子類。AccｅｓsDecｉｓiｏnＶoteｒ的具體實(shí)現(xiàn)類通過(guò)投票來(lái)進(jìn)行授權(quán)決策，AcceｓｓDecisiｏnManager則根據(jù)投票結(jié)果來(lái)決定是通過(guò)授權(quán)檢查,還是拋出AcｃessDenieｄEｘceｐtiｏn例外。

AｃｃessDecisionVotｅｒ接口共有三個(gè)方法：publicintｖote（Authｅnticationａｕthｅｎticａt(yī)ｉon，Obｊｅctobjeｃt，CoｎfｉgAttributｅDｅfｉnitｉｏnｃｏｎfig);puｂｌicｂｏｏleanｓｕppｏrts（ConfｉｇAｔtributeａt(yī)ｔribute）；ｐubｌｉcboｏｌeansuｐports(Ｃlassclａzz）;其中的vｏtｅ方法返回iｎｔ返回值,它們是AｃcｅｓsDｅcisionVoｔｅr的三個(gè)靜態(tài)成員屬性：ACCESＳ_ＡBSＴAIN，，ACCESＳ_ＤENIED和AＣCESＳ＿GRＡNＴEＤ,它們分別是棄權(quán)，否決和贊成。Acegｉ安全系統(tǒng)中，使用投票策略的AcceｓsDecisｉonMaｎagｅr共有三個(gè)具體實(shí)現(xiàn)類：AｆｆirｍativｅBａsｅd、CｏnsｅｎsusＢaseｄ和UnanｉmoｕsBased.它們的投票策略是,ＡfｆirmａｔiveＢaｓed類只需有一個(gè)投票贊成即可通過(guò)；ConsenｓusBaseｄ類需要大多數(shù)投票贊成即可通過(guò);而UnanimousBａsed類需要所有的投票贊成才能通過(guò)。RolｅＶoter類是一個(gè)Aceｇi安全系統(tǒng)AccｅssDｅcisｉoｎVoter接口的實(shí)現(xiàn).如果ConfiｇAｔtｒibute以ROLE_開頭,RoleＶoｔｅr則進(jìn)行投票.如果ＧrａntedAｕthorｉｔy的gｅtAuｔｏritｙ方法的Ｓtring返回值匹配一個(gè)或多個(gè)以RＯLＥ_(tái)開頭的CｏnfigAtｔrｉｂuｔｅ，則投票通過(guò)，否則不通過(guò)。如果沒(méi)有以RＯLＥ＿開頭的ConｆigAttriｂute，RｏｌｅVoter則棄權(quán)。

小結(jié)到這里,我想各位對(duì)于Aｃegi安全框架的實(shí)現(xiàn)原理和運(yùn)行機(jī)制已經(jīng)有了較清楚的認(rèn)識(shí).下一步我們就理論聯(lián)系實(shí)踐來(lái)感覺(jué)一下Aceｇｉ給我們帶來(lái)樂(lè)趣。

安裝并運(yùn)行acegi自帶的范例為了讓大家對(duì)aceｇi有一個(gè)感性的認(rèn)識(shí)，下面我們一起來(lái)安裝Acｅgi自帶的demo，并運(yùn)行它，親身感覺(jué)Acｅgi都為我們帶來(lái)了些什么。

需要的軟件Ａcegi0。８３版本注意，目前Ａｃｅｇi的發(fā)布版本還不是很穩(wěn)定,如果大家要運(yùn)行我后面提供的范列,最好是下載這個(gè)版本的。下載地址:

因?yàn)槲覀冞€需求分析它的源碼，所以最好也下之

Ｔomcat５.5下載地址：

J2SE5。0下載地址:

安裝范例1.

安裝tomcat到合適的位置２．

解壓aceｇi—security—0．８.3.ziｐ,目錄展開如下：

圖中選中的文件就是我們將安裝的deｍｏ.

3。

將acegｉ—secｕriｔｙ-sａmｐｌe-contactｓ—filteｒ.wａr復(fù)制到tomｃａｔ/ｗeｂapｐs目錄下４。

啟動(dòng)tomcat5.

通過(guò)地址：訪問(wèn)dｅmo界面如下：6.

打開上面的頁(yè)面后，大家就可以親身去體驗(yàn)Acｅgi為我們來(lái)了什么.

提示其實(shí)只要好好研究一下這個(gè)ｄeｍｏ中對(duì)于Aceｇi的用法，基本上就可以掌握Aceｇｉ了.一起加油吧.

改造Aｃegi框架滿足我們的業(yè)務(wù)要求

我們的Acegi的范例在前面介紹Ａｃｅｇi時(shí)，我們舉例說(shuō)明了Acegi是如何做到對(duì)業(yè)務(wù)對(duì)象的訪問(wèn)控制的。在更多的時(shí)候，對(duì)于Ｗeb應(yīng)用程序還要控制頁(yè)面的訪問(wèn)。而我們的業(yè)務(wù)要求就是這樣的簡(jiǎn)單，根據(jù)不同的角色決定它能訪問(wèn)哪些頁(yè)面和哪些對(duì)象的哪些方法.目前暫時(shí)不考慮具體角色的具體權(quán)限指派,關(guān)于這部分內(nèi)容大家可以通過(guò)研究ｄemo獲得相應(yīng)的知識(shí)。因?yàn)槭桥e例說(shuō)明Acｅgi的用法，現(xiàn)假設(shè)我們的ｗeb工程名為mｙaｃeｇｉ，其目錄結(jié)構(gòu)如下：

其中的securｅ目錄下的文件就是我們希望受控制的頁(yè)面.

ｓrc目錄是我們的jａva源程序。

acegiｌogiｎ.ｊｓp是我們的登錄界面.

ｌogoff．jsp是我們的登出頁(yè)面。

teｓt.jｓp頁(yè)面中有我們對(duì)受控業(yè)務(wù)對(duì)象的受控方法的訪問(wèn)舉例。

WEB-INF目錄下的目錄結(jié)構(gòu)如下：

ｃlａsses和lｉｂ目錄就不再解釋了

applｉｃationCoｎtexｔ－common-buｓｉness．ｘml配置了例子中要使用的數(shù)據(jù)源

applicatioｎＣｏnｔeｘt-aｃegi-seｃurｉty．xmｌ配置了例子中關(guān)于安全方面的內(nèi)容

apｐliｃａt(yī)ｉｏnContext—common-authorizａt(yī)ion。ｘｍl配置了例子中關(guān)于授權(quán)方面的內(nèi)容

web.xｍｌ當(dāng)然就是整個(gè)web應(yīng)用的配置了。我們?cè)谶@里先詳細(xì)說(shuō)明一下ｗeb．xml文件，其它的配置文件的內(nèi)容將在后面的改造過(guò)程中不斷深入web．ｘｍl文件內(nèi)容如下：

〈?xｍlvｅrｓiｏn＝＂１．０＂eｎcoｄｉnｇ=”UＴＦ-8”?〉＜！DOCTYPEwｅb－apｐPUBLＩC’－／/SunＭicｒoｓystｅｍs，Ｉnc.//DTDWeｂApplicaｔion2.３／/ＥN＇＇’〉

<web-app>

〈disｐlay-name>mｙaｃｅｇiexａmple〈/display—ｎａme＞

〈context-paｒaｍ＞

＜paｒam—namｅ>ｃonteｘtConfiｇLoｃａt(yī)ion〈/parａｍ—namｅ>

＜ｐaｒaｍ—valuｅ＞

／WＥB—INＦ/ａｐplicaｔionConｔext—aｃegｉ—ｓeｃurity。xml

/WEB—INF/applicatiｏnContｅxt—cｏmmon—business。ｘｍl

／WＥB—ＩNF/appｌｉcatiｏnContext—ｃommon—auｔｈorizatioｎ．xml

〈/param－ｖaluｅ>

＜/cｏnｔeｘt-param＞

〈fｉlter＞

＜fiｌter—nａme〉A(chǔ)cｅｇｉＦiｌterChainProxy＜/fｉltｅｒ－naｍe＞

<ｆilter－class〉

ｎｅt.sf.ａcｅgｉsecｕrity。utｉl.ＦｉlterToＢeanProxｙ

</fiｌtｅr-cｌass〉

〈iｎｉt－param>

<paｒam-ｎaｍe＞ｔargｅtClaｓｓ</pａraｍ-naｍe＞

〈param-value>

neｔ。sｆ．ａｃegisecｕrity。ｕtil。ＦilterＣｈainProxy

〈/paraｍ—value＞

<／ｉnit—ｐａｒaｍ〉

</filteｒ〉

＜filｔer－mapping＞

<ｆilter-ｎame>ＡcegiFｉlteｒＣｈａinＰrｏxy〈/filｔｅr—name＞

＜ｕrl-ｐaｔtｅrn〉／*</uｒl-paｔteｒn＞

</fiｌter－ｍａpｐinｇ〉

＜lisｔｅner>

＜ｌistｅnｅr-ｃlaｓｓ＞

oｒg.ｓｐｒingfraｍework．web.coｎtｅxｔ。CoｎteｘtLoａｄｅrListeneｒ

<／lｉsｔener-class＞

〈/lｉstｅner＞

〈lisｔeｎｅr＞

＜ｌisｔeｎer－cｌaｓs>

net．sｆ。ａｃegisecurity.ui．sｅssｉｏn.HttpＳeｓsionEｖeｎｔPｕｂlisher

</listｅner－ｃlass〉

〈/lisｔeｎer〉

〈ｗｅlcome-〉

<welcome—</welcome-ｆile〉

</weｌcomｅ—〉

＜taglib>

<taｇlib—uri>/spriｎg＜/taｇlib－ｕri＞

〈ｔaglib-loｃａｔioｎ>/WEB—INＦ/sprｉnｇ.tld</tａgliｂ-location＞

</ｔａｇlib＞

＜/web－apｐ＞

在上面的配置中,我只說(shuō)明與Aｃeｇｉ有直接關(guān)系的部分1。

定義了一個(gè)應(yīng)用程序域的變量coｎｔeｘtＣｏnfigＬocation

〈cｏｎtexｔ—ｐaram>

<ｐaram－name>ｃｏｎteｘtＣonｆiｇLocatiｏn〈／param—ｎａme>

〈parａm-value〉

/WEB—INF/appliｃationＣontexｔ－ａcegｉ—secuｒity。ｘmｌ

/WEＢ—ＩNF／apｐｌicａt(yī)ioｎＣｏnｔext－ｃoｍmon—business.xml

/WEB—ＩNF/ａpplicaｔｉonCoｎtext-cｏmmoｎ—authorｉzation。xml

</pａram—value〉

〈/conｔeｘｔ—ｐａram>

這里列出了我們希望Ｓpring框架（Ａcegi中已經(jīng)自帶的Spｒiｎg）加載的關(guān)于Aｃｅgi的配置文件。

２.

定義了一個(gè)過(guò)濾器AcegｉFilｔerＣhaｉnProxy，〈ｆilｔer＞

＜ｆiｌter－ｎamｅ＞ＡcegｉＦilterChaiｎPrｏｘy〈/filteｒ—naｍe＞

<filtｅr—cｌaｓs>

net。sf。aceｇisecurity.ｕｔｉl.ＦilterToBeａnProｘy

＜／filter-ｃｌasｓ＞

<iｎit－ｐａraｍ>

＜ｐarａm—name>targetCｌａｓs＜/parａm—nａｍe〉

＜paｒam-valuｅ>

net。sｆ．a(chǎn)cegiｓecuritｙ.util．FiltｅｒＣｈaｉｎPrｏxy

〈/paraｍ－ｖalue>

〈/init—paraｍ〉

＜/ｆｉlｔｅｒ＞

〈filter—mapping〉

＜ｆｉlteｒ—nａme〉A(chǔ)cegiFiｌｔerCｈaiｎPrｏxy<／filter—name＞

<uｒl—ｐａt(yī)tern〉／*<／urｌ—patｔern>

〈/ｆｉlteｒ—mapｐinｇ＞這樣的配置表時(shí)，當(dāng)前ｗeb應(yīng)用中的所用url的請(qǐng)求訪問(wèn)都會(huì)被這個(gè)過(guò)濾器捕獲，也就是說(shuō)，Acegi的頁(yè)面控制其實(shí)和我們平時(shí)的開發(fā)一樣,也是通過(guò)過(guò)濾器來(lái)實(shí)現(xiàn)的。

3.定義了兩個(gè)監(jiān)聽器〈listｅner>

〈ｌiｓｔｅnｅｒ-class＞

org．sｐringframeworｋ.wｅb.cｏnteｘt.ＣontextLｏａdｅrLisｔenｅr

〈/listeneｒ－cｌａss〉

＜/listener＞

＜liｓｔener〉

<ｌistｅｎer—cｌaｓs>

nｅt。sｆ。acegiｓecurity.ui．ｓesｓiｏn。ＨｔｔpSeｓｓionＥvｅnｔPublｉsher

＜/ｌistenｅr—class＞

</ｌiｓｔener＞

第一個(gè)是用來(lái)動(dòng)態(tài)加載我們前面定義的應(yīng)用程序域的變量contｅｘｔConfigLocaｔｉｏｎ中所列出的配置文件的,第二個(gè)是Acegｉ內(nèi)部需求使用的事件發(fā)布器，我們不需求太多關(guān)心它的實(shí)現(xiàn)和用法，就這樣放著吧.

總的來(lái)說(shuō)，這個(gè)工程本身也是以demo程序作為樣板來(lái)建立的。

想了解更多信息,建議下載范例代碼。

改造sｃhemａ通過(guò)Aceｇi的ｄeｍo演示大家可以看到，它所提供的缺省用戶驗(yàn)證辦法是依據(jù)的用戶名和登錄密碼，而對(duì)于授權(quán)訪問(wèn)方面是根據(jù)用戶所付于的角色來(lái)進(jìn)行判斷的。但在我們的業(yè)務(wù)系統(tǒng)中，用戶驗(yàn)證則有所不同。單位號(hào)、用戶ＩD和登錄密碼三者放在一起才能驗(yàn)證一個(gè)用戶。同樣對(duì)于用戶角色的查詢辦法也得變成以單位號(hào)加用戶ID為條件。我們先來(lái)看看Aｃegi所提供的dｅmo的表結(jié)構(gòu)和表間關(guān)系.

CREATEＴAＢLEuseｒs(

usernａｍeVＡRCHAＲ(５0)NOTＮULＬPRIMＡＲYKEY，

pａsswordVARCHAR（50）NOTNULL,

enablｅdＢITNOTＮUＬＬ

）;

CRＥATETＡＢLEａｕthoｒｉｔｉes（

ｕsernamｅVARCＨAR(50）NOTNUＬＬ，

autｈorityVARCHAＲ（5０)NOTＮＵLL

）；

CREATEＵNIQＵEＩNＤEＸix_auth_usｅrnameONauthorｉｔies（usernaｍｅ，autｈority)；

ＣREＡTＥTABLEacl＿ｏbjｅct_idenｔity(

idＢIGＩＮＴGENERATEＤBＹDＥFAULＴASIDENTITY（STARTＷITH0)ＮOＴNUＬLPＲIＭＡＲYKＥY,

ｏｂjecｔ_iｄeｎtｉtyVＡRCHＡR_ＩGNORECASE（250）NＯTＮUＬＬ，

parenｔ_objecｔＢIGＩNT，

acl_ｃlassVAＲCHＡR_ＩGＮOＲECＡＳＥ(２50）ＮＯTNULＬ,

CＯNＳTRAINＴu(píng)ｎiｑue_objｅｃt_idenｔityUNＩQUE(ｏbjeｃt＿idｅnｔｉtｙ)，

ＦOREＩGＮKＥY（paｒｅnt_oｂjeｃt）ＲＥＦＥREＮCESacｌ_objｅｃt_identiｔy（id)

)；

CREATETABＬEacl_ｐermisｓｉｏn（

idＢIGINTGＥNＥRATEＤBＹDEFAＵLTＡSＩDENTITY(ＳTAＲTWITH0)

NＯＴNULLPRＩMＡRYＫEY

ａcｌ＿ｏbｊecｔ_ideｎtitｙＢIGINTNOTNＵLL,

rｅｃipientVARCＨAR_ＩGＮＯRECＡSE（100)NOTNULL，

ｍａskINTEGERNOTNULL,

CONSＴRＡINTｕnique_ｒｅcipｉeｎtUNＩQUＥ（acｌ_ｏｂjecｔ＿ｉｄenｔｉty，ｒecipｉｅnt），

ＦOREＩＧNKEＹ（acl_obｊecｔ_ｉdeｎtity）REＦEＲENCESaｃl＿object_idｅntity(id)

)；

注意：以上sql語(yǔ)句來(lái)源于Acegi網(wǎng)站，應(yīng)用于ｈｓqｌ。網(wǎng)頁(yè)地址：

通過(guò)上面的scheｍa可以看出Acｅgi是如何管理用戶和進(jìn)行授權(quán)的。也就是說(shuō),如果要讓其滿足我們前面所提出的業(yè)務(wù)要求,第一步從schema這塊就得進(jìn)行改造。

我們業(yè)務(wù)上的實(shí)際要求很簡(jiǎn)單,還沒(méi)有涉及到對(duì)象的方法訪問(wèn)的權(quán)限問(wèn)題，只是想根據(jù)用戶的角色來(lái)控制其頁(yè)面和業(yè)務(wù)方法的調(diào)用。從而得到我們所需要的schema。

CREATETABLERS

（DWＨvａrchａr（2)ＮOＴNULＬ，

ＵSＥR_IDvaｒｃｈａr(5）NOTNULL，

USER_ＮAMEvarchar(20），

ENABLEDｖａrｃｈar（1）

,PRＩMARYKEY（DWH,

XＴBH,UＳER＿ID）);

CREＡTＥＴABLEdbo．a(chǎn)ｕtｈoｒiｔieｓ

（DWHvａrchar(２）NOTNＵＬL，

USEＲ_IDvaｒｃｈar（5)NOTＮUＬL,

auｔhorityvarchａr（５０)NOTNＵLL

,PRIMARYKEY（DWＨ，

UＳＥR＿ID，ａuｔhｏｒｉｔｙ））；

注意:以上sqｌ語(yǔ)法為odbc格式。

到此，schema的改造完成，趕快到我們的數(shù)據(jù)庫(kù)中實(shí)施它們吧。

改造登錄頁(yè)面我們要求,如果客戶訪問(wèn)了我們聲明要控制的頁(yè)面,則將請(qǐng)求定位到登錄頁(yè)面,要求客戶通過(guò)登錄操作向系統(tǒng)表明自己的身份。下面就是我們?cè)谙到y(tǒng)中使用的登錄界面，它合demｏ自帶的那個(gè)只有一點(diǎn)點(diǎn)區(qū)別,deｍo自帶的那個(gè)只有用戶名和登錄密碼兩個(gè)字段，而我們的是單位號(hào)、用戶ＩＤ和登錄密碼三個(gè)字段。頁(yè)面最重要的源碼如下：

<formacｔioｎ=”＜c：uｒlvalue=’ｊ_acｅgi_sｅcurity＿check’/>"ｍｅｔhod="PＯＳT"〉

<ｔable＞

〈tｒ><td〉單位號(hào)：〈／tｄ〉〈td＞＜ｉnｐｕｔtypｅ=’ｔexｔ'ｎame='ｊ_dｗh'＞</ｔｄ〉＜／tr＞

<tr〉〈td>用戶IＤ:</td>＜td〉〈ｉｎputtype＝＇text'name＝'j_userid'〉</ｔｄ>〈／tr＞

〈tｒ〉<ｔd＞登錄密碼：</ｔd＞＜ｔd〉＜inputtype=＇pａsｓｗoｒd’naｍｅ=’j_pasｓworｄ’＞＜／ｔd〉<／ｔr>

<ｔr〉〈tdｃolｓｐａn=＇2’〉〈inputｎａｍe="submit＂type=”ｓｕbmit”〉<／tｄ>〈/tr＞

<tr〉〈tdcolｓpan＝'2'><=”ｒｅseｔ"tｙpe＝＂ｒeset＂＞<／td><／ｔr>

〈/ｔaｂlｅ>

＜/fｏrｍ〉大家可以看出,這個(gè)頁(yè)面其實(shí)沒(méi)有什么特別之處，只是根據(jù)我們的業(yè)務(wù)要求修改表單的定義罷了。有一點(diǎn)要注意的是Ａction的值是j_aｃｅｇi_secｕrity_ｃｈｅｃｋ，這個(gè)值我們將在ａpplicａt(yī)ionContｅxｔ-aｃｅｇｉ—seｃurity.xml給出定義之所在，也就是說(shuō)這里只是引用罷了。另外還有一點(diǎn)要注意的就是其中的三個(gè)字段值：j_ｄｗh、ｊ_useriｄ、j_password在后面的Acegi的代碼改造中要用到的

ａpplicatiｏnCoｎtｅxt—aｃｅgi—security。xml配置說(shuō)明及其實(shí)現(xiàn)先看看整體內(nèi)容：〈beａns＞

<?。?=＝=＝======＝＝==========FILTＥRＣＨAＩN=＝==＝＝＝=======＝========--〉

<beａｎid="fｉlterCｈaiｎＰroｘy"

cｌaｓs="ｎet．sf。acｅgisｅｃuｒity。uｔil。FilteｒChａinＰroｘy”〉

〈ｐrｏｐeｒtynamｅ=”filterInｖocatiｏnDefinitioｎSourｃe">

〈ｖalｕe>

COＮＶERＴ＿URL_TO_LOWERCAＳＥ_(tái)BEFOＲＥ＿ＣOMPARＩSON

PATＴＥRN_TYPＥ＿ＡPACHE＿ＡNT

/＊＊=ｈttｐＳｅsｓiｏｎContextＩｎtｅｇｒatｉonFilter，ａｕｔｈｅnｔiｃationPｒocessiｎgFilｔer，basiｃPｒoｃｅｓsinｇFilｔer，anonymousPｒoｃeｓsiｎgFilter，secuｒityＥｎfｏrcementFiｌｔer

＜/vａlue〉

〈／propertｙ〉

〈/bean＞

〈!-—=====＝====＝=＝=＝======＝=＝ＡUTHENTICATION＝＝==============＝======——>

<beａniｄ＝＂ａｕthenticatiｏnMaｎager＂

class="neｔ.sf.aceｇｉsecｕｒity．ｐroｖｉdｅrｓ。ＰｒovideｒManaｇer”＞

〈propertｙname=”pｒｏviｄers”＞

＜lisｔ>

〈reflocａｌ=”dａoAutｈenticａｔionProｖiｄer"/〉

＜reｆlｏcaｌ=”anonymｏusAuthｅnticationProｖider＂/〉

＜/list＞

＜/prｏpeｒtｙ〉

〈/ｂｅａn>

<beanid＝”uｓerDＡO”ｃlaｓｓ＝"eｒDAO＂〉

<propeｒtｙｎaｍe=＂dataSourcｅ＂＞

〈refｂean=”dａt(yī)aSouｒcｅ＂／〉

〈／prｏperｔy＞

〈／bean〉

〈beanｉｄ=＂cachｅMaｎagｅr＂

clａss＝"ｃｈe.ehcacｈｅ.ＥhCａｃheＭanaｇeｒFacｔoryＢeaｎ”／＞

〈beanｉd＝＂userCaｃｈｅBackend”

clasｓ="che。ehcachｅ.ＥhCaｃｈeFaｃtoryBeａｎ"＞

〈ｐｒｏpertｙname=＂caｃｈｅMaｎageｒ”>

〈reflocal=”cacｈeManager”/＞

</proｐｅrtｙ>

<ｐropｅrtynamｅ=”ｃａcheNaｍe">

＜valｕe>userCache〈／value＞

〈/pｒoｐｅrty＞

〈/ｂeａn〉

<beanid="userＣache”

class＝”che．EhCacｈeBaｓedUserCache"＞

＜propeｒtyｎame=＂cache”>

〈ｒeｆloｃal="ｕserCacheBaｃkend"/>

</pｒoｐerｔy＞

<／bean>

〈bｅaｎｉd＝”dａoＡutheｎticatioｎＰroviｄｅr”

clasｓ="com。ｃｑｋyｉｎfo．ydxt.ａｃegi．dａｏ。PasｓwoｒdDaoAutheｎｔiｃaｔiｏnＰroｖｉｄer”〉

〈prｏpertynａｍe=”authentｉcaｔiｏnDao＂>

<reｆｌｏcaｌ=＂userDＡO"/＞

＜/ｐｒopertｙ〉

＜propeｒtyname=”ｕｓerCache＂＞

<refｌocａl=”uｓｅrCａｃhe”／＞

＜／ｐｒoｐｅrtｙ>

〈/bｅan>

＜！--ＡutｏｍaticａlｌｙrｅceivｅsAuｔhenticatioｎEvｅntmessaｇesfrｏmDaoAuthｅntiｃatioｎProviｄｅr—－>

〈beanid="lｏggerLisｔeneｒ”

clasｓ=＂nｅｔ.sf．a(chǎn)cegiｓｅcurｉｖｉders.dao。eveｎt。LｏｇgerLｉstenｅｒ"／>

<beanid＝＂ｂasicPｒocessingＦilter＂

class="net.sf．a(chǎn)cegisecurity.uｉ.baｓiｃａｕth．BasicPｒｏcessiｎgFiltｅr”>

＜ｐropertyｎａme=”auｔheｎticatiｏnManager”>

〈rｅfloｃal=＂autｈenticａｔioｎManagｅr"/>

</ｐropeｒty＞

〈ｐｒｏpertynamｅ＝"ａｕthenｔiｃatiｏnEｎtryＰoint">

〈rｅｆlｏｃal=”basicＰｒｏcessｉngFilterEntrｙPｏｉnt”/＞

＜／prｏｐerty〉

〈／ｂeaｎ>

＜beａnｉd=”basicＰrocessinｇFilterEntrｙＰoｉnt"

ｃlaｓs=”neｔ。sｆ。ａｃｅgisecurｉty。ui。basicaｕｔh．BasiｃPｒocessingFiｌterEｎtryPoint”〉

<propertyname＝"reａｌｍＮaｍe"＞

<valｕe〉ContacｔｓRealm<／ｖaｌue〉

</pｒopeｒty>

<／beａn〉

<beａniｄ=”anonymousPｒｏｃessingFｉlteｒ＂

claｓs=＂net.sf．a(chǎn)ｃegisｅcurｉty．prｏvｉｄers.ａnｏnyｍous.ＡnonymoｕsProcessｉngFiｌteｒ">

<pｒopeｒtｙnａｍe＝"kｅy"＞

〈value>ｆoobａr〈/vａlｕe〉

〈/prｏpｅrｔy>

<propertｙnａｍe="userAttriｂｕte”>

＜valｕe＞anｏnyｍousＵsｅr，ROＬE_ANONＹM(fèi)OUS〈/ｖａluｅ〉

<／property>

<／ｂｅan〉

＜beaｎid=”ａｎonyｍouｓAutｈｅｎtｉcationPrｏｖider＂

clａsｓ=”nｅt.sf.aceｇｉsecurity．ｐｒovｉders.ａｎｏnymouｓ．AｎoｎyｍoｕｓＡuthｅntiｃaｔionＰrovider"＞

＜prｏpeｒtynａme=＂kｅy">

＜vａｌue〉foｏbar〈／ｖalｕｅ＞

</ｐｒｏpｅrty＞

＜/bｅan>

＜beanid=”htｔｐSessionCｏntextＩntegraｔionFiｌｔer＂

clasｓ=＂neｔ．sf.aｃeｇiｓｅcｕｒity。context．HttpＳｅssionContｅxtInｔeｇraｔionFｉlter”>

〈properｔynａｍe="cｏｎｔeｘt"〉

<vａlue>

ｎet。sf。acｅｇｉｓｅｃurｉtｙ.contｅxt。sｅcurity.SeｃｕreCｏntextＩｍpl

〈／vａlue>

〈/ｐroｐertｙ>

＜/bean＞

＜！——=＝==============＝＝===HＴＴPREＱＵESTSECUＲＩTY===＝======＝======＝==—-＞

＜ｂｅａnid="ｓecｕrityEｎfｏrcementFilteｒ"

cｌaｓs＝＂neｔ．ｓf．a(chǎn)cegiseｃｕritｙ．intercept。wｅb。SecuｒityEnfｏrcemenｔＦiltｅr”>

〈ｐroｐeｒtｙｎamｅ＝"ｆilterSeｃurｉtyIｎｔｅrceｐtoｒ"〉

＜rｅｆlocal=”fｉlｔｅｒInvocaｔiｏnIntercｅｐｔｏｒ＂/〉

〈/prｏperｔｙ>

〈pｒopｅrtynａme＝"autｈentｉcaｔionＥntryPoiｎt”〉

〈ｒeｆloｃal=”authenticaｔionProｃessingFilｔｅｒEntrｙPoint"/＞

</propertｙ〉

＜/beaｎ＞

〈beanid=”aｕtｈenticatｉonProcｅssingFiltｅr”

ｃlass＝＂coｍ。cqkyiｎfｏ.ydxt.ａceｇi．ui。weｂaｐｐ．AｕthｅｎｔicationＰroｃeｓsingＦｉlter”〉

<proｐｅｒtynaｍe="auｔhentｉcaｔionＭanager＂>

〈rｅfbean＝"authentｉcatiｏnManａger"／〉

〈／ｐｒｏperty>

〈ｐroｐertｙnaｍe＝"autheｎtｉｃationFailuｒeUｒl">

〈vａlue＞/ａceｇilｏｇｉn。ｊsp?lｏｇin_errｏｒ=１〈/valｕe〉

〈/prｏpｅrｔy>

〈prｏｐｅrtyｎame="defaultTargetＵrｌ”〉

〈valuｅ〉/〈/value〉

<／proｐｅrty〉

<ｐrｏpｅrtynａｍｅ＝”fｉlteｒPｒoceｓsesUrl”>

＜valuｅ>/ｊ_ａｃeｇi_sｅcuriｔｙ_chｅck</vaｌuｅ＞

＜/pｒopertｙ〉

＜/ｂeａn〉

＜beaniｄ=＂ａutｈenticaｔionＰrocｅssｉngＦilterEｎｔrｙPｏint”

class=＂ｎｅｔ。sｆ。acegｉsecurity。uｉ.ｗｅｂaｐp．Aｕtｈｅnｔiｃａt(yī)ｉoｎPｒocessiｎgFilterEntrｙPoint">

〈ｐroperｔynamｅ=”loginFormUrl"＞

〈vaｌuｅ〉/acｅｇiｌogin。jsp</vaｌue〉

<／pｒoperty>

＜ｐｒoｐerｔｙname＝"foｒceHttｐs”>

＜value〉false〈/ｖａlｕe〉

＜/ｐroｐｅrty〉

〈／beaｎ＞

〈beanid=＂httpRｅquesｔAccessDｅcｉsiｏnManaｇｅr"

ｃｌass＝＂nｅｔ．ｓf.acｅｇiｓecｕrｉtｙ。vｏte．AffｉrmatiｖeBaseｄ”>

〈pｒopeｒtyname＝"aｌlowIｆAlｌAbｓtaｉnＤeｃisions">

〈vａluｅ＞falｓｅ＜/valuｅ〉

〈/pｒopeｒtｙ>

<ｐropertｙnaｍe="decisionVoｔeｒs"〉

<lｉst>

＜ｒｅfbean=”roleＶoter"/>

</lｉst〉

〈/property〉

＜/bｅaｎ＞

〈!——NｏtetheoｒdeｒtｈaｔentrｉｅsareplaceｄaｇaiｎsttｈｅobjectＤefinitiｏｎＳｏurceisｃritiｃal.

TheFｉlｔerSecurｉｔyＩｎterｃeptｏrｗillwoｒkfｒoｍthetopｏfthelistdownｔoｔheFIRSTpａｔtｅrnthatmaｔchestherｅqｕestＵRL．

Accordingly,youshouｌｄplａceMOＳTSPＥCIＦIC(iea／b/c/d．*)exprｅｓsiｏnsfirst,withLEAＳTSPＥCIFIC（iｅa/.＊）expｒessioｎslasｔ—-＞

<ｂeanid＝＂ｆiｌterInvoｃatiｏｎI(lǐng)nteｒcｅｐtor”

ｃｌass="nｅt.ｓｆ.aｃeｇercept。web.FｉlterＳecｕrityInterceptor”〉

〈proｐｅrtｙnａｍe="auｔｈｅntiｃatiｏnMaｎager">

<rｅｆbｅａn=＂autｈｅntiｃａt(yī)ioｎManagｅｒ”/〉

</ｐrｏｐerty＞

〈ｐropｅrｔynａｍe="acｃｅssＤｅciｓionＭanaｇer”〉

〈rｅfｌocａl=＂httpＲequesｔAｃcｅssＤeｃiｓiｏnManａgｅｒ＂/>

＜／ｐｒopertｙ>

<propeｒｔyname=”objeｃtＤefiｎitioｎＳｏｕrce"＞

<vaｌue＞

CONVERＴ＿URL_TO_LＯWERCASE_BＥFＯRE＿ＣOMPＡRIＳON

PAＴTERN_TＹPE＿APAＣHE_ANT

/inｄex.jsp=ROLE_ANOＮYMＯUS，ROLE_ＳＵPERVISOR

/logofｆ．jsp＝ROLＥ_(tái)ANONYMOＵS,ROＬE_SUPERＶISOR

／aceｇiloｇiｎ。ｊｓp＊=RＯLＥ_(tái)AＮＯNYMOUＳ，ROLE_SＵPERVＩSOR

/＊＊=ＲＯLE_SUＰＥRVIＳOＲ

</ｖalｕe>

〈/pｒｏpｅｒty>

</bean>

〈/ｂeaｎs＞1.

FILTERCHAIN定義了beanfilteｒＣhainProxｙ，需求說(shuō)明的部分是屬性fiｌterInvｏcａt(yī)iｏnDefiniｔionＳourcｅ的值／＊*=httpSesｓiｏｎＣonｔextＩnteｇrａt(yī)iｏnFiｌter,aｕtｈeｎticａt(yī)iｏｎProcｅsｓingＦiltｅｒ,baｓicＰrocessingFｉlteｒ，ａnonymousProｃesｓingFilter，seｃuｒiｔｙEｎｆorcｅmentFｉｌter它表時(shí)我們的過(guò)濾器將引用的一系列Acegi服務(wù)。2。

ＡＵＴＨENTICATION定義了：a）

authentｉcatｉｏnManager,也就是認(rèn)證管理器,這個(gè)在介紹部分有說(shuō)明。它的ｐrｏviders屬性我們?cè)谶@里指定了兩個(gè):

ｉ.

一個(gè)是用于數(shù)據(jù)庫(kù)認(rèn)證的ｄａoAuｔhｅnticaｔionPｒovidｅrｂean

ｉi。

一個(gè)是用于匿名訪問(wèn)的ａnonｙmousAutｈenticationProvideｒ

ｂ)

userＤＡO,這個(gè)ｂｅan是我們自己所改造的，實(shí)現(xiàn)了我們前面說(shuō)定義的sｃhｅma中uｓｅrs表和authoriｔｉes表的訪問(wèn).在deｍｏ中，這個(gè)對(duì)象叫做jｄbcＤａｏIｍpl，而且是使用的Acｅgi的自己的實(shí)現(xiàn)，大家要注意一下。詳情見源碼。

ｐaｃｋaｇecｏm.cqkyｉnfｏ。ydｘt。aｃegｉ．dａo；

imporｔjaｖａ。sｑl。ＲeｓultＳｅt;importjava．sｑl.SQLＥxcｅpｔｉｏｎ;iｍpｏrtjavａ．sql．Types;imｐorｔｊａva.ｕtil。Ｌｉsｔ;

imｐoｒtｊavaｘ．ｓqｌ．DatａＳoｕrce;

ｉｍpｏｒtｎet．sf。acｅgisecuｒity．BadCreｄeｎtialｓExcｅpｔiｏn;iｍｐｏrtnet。sf．a(chǎn)cｅgｉsｅcuｒiｔｙ．ＧｒaｎtedAuthoｒitｙ；ｉｍpｏrｔｎｅt.sf。aceｇｉsecurity.ＧｒａｎtedＡｕthorityImｐｌ;ｉmpoｒernaｍeＮｏtＦｏundExceptｉon;

iｍpoｒtorg。sｐｒiｎgｆｒａmewｏrk。dao.Dａt(yī)ａＡcceｓｓEｘceptｉｏn；ｉmporｔorg.springｆrａmeｗoｒk。jdbc.core.SqlPａrａmｅｔｅr;importｏrg。ｓｐrｉnｇfｒａmｅworｋ。jdbc。ｃore．supｐort.JdbcDaoSuｐｐorｔ;imｐｏrtorｇ.spｒingfｒameｗork．jdbｃ。obｊeｃt。MaｐpiｎgSｑlQuｅry；

ｉmportcom.ｃqkyinｆo．yｄxt．ａceｇi．IUsｅr；ｉｍｐorｅｒ;ｉmporｔcom。ｃｑkyｉnfo。yｄxt.ｂase．datａvｉsitoｒ。DTO；iｍｐoｒtｃｏm.cqkyiｎfｏ．yｄxt．exceｐtions.BusinessEｘcｅption;impoｒtｃom。cqkyinfo。ydxt。ｘtgl.businesｓ。XTGLBLFaｃａde；

publicclａssUserDＡOｅｘtｅndsJdbcDaoＳupｐoｒtiｍpｌeｍents

PａsswordAｕtｈenticatioｎDao｛

puｂｌicstaｔicｆinaｌStriｎｇDEF_AUTＨOＲITIＥS＿BＹ＿DWＨ_AND_ＵＳERＩＤ_QＵERY="SEＬＥCTdwh,user_id，aｕthoritｙFROMauｔhorｉtｉｅｓＷHEREｄｗh=?ANDuser_id＝？＂;

privａt(yī)eMaｐpingＳqlQｕerｙａuthorｉtiesByDwhAndUseridMappｉng;

ｐublicUｓerDAＯ(）｛

super（）；

}

ｐublｉcＩＵserloaｄUseｒByＤwhＡndUseridAｎｄPassworｄ（Stringｄｗh，Stringuseriｄ,

Ｓｔｒingpassｗord)ｔhrｏwsＤaｔaAｃcesｓExceptiｏn，

BadCreｄｅntialsException｛

Usｅrusｅｒ=nｕlｌ；

tｒy｛

DTOdtｏ=XTGＬBLＦacade.getIｎstance()．getUserMａnageｒ（）．getLogiｎUsｅr（

dwh,useｒid,pａsｓwoｒd）；

StｒingenabｌｅdStｒ=ｄto.geｔＶａlue（”enａbled”)．ｔoStｒing（)；

booleaｎｅnableｄ＝faｌse；

if（enabｌｅdＳtr.ｅquaｌs（"1”）)｛

ｅnabｌed=ｔrue；

｝

ａutｈoｒitｉesByDwhAndUsｅrｉdＭappiｎｇ=ｎｅｗＡuｔhｏriｔiesByＤwhAndＵserｉｄMappinｇ（

geｔDataSource()）;

ＬisｔdbAuthｓ=autｈｏritｉｅsＢｙDwhAｎｄUｓｅridMappｉnｇ

．ｅxｅcｕｔe（nｅwSｔｒｉng［]{dwh,uｓerｉd｝)；

if(dｂAuｔhs．ｓizｅ（）＝＝0)｛

thｒownewＲuntiｍeＥxceｐtiｏn(”ＵserhasnoGrａnｔedＡuthoｒity”）；

}

GraｎtｅｄAｕthority［]ａrraｙAｕｔhs={｝;

ａrraｙAutｈｓ=(GｒaｎtedAuｔhoritｙ[]）ｄbAuths。toＡrray（arrayAuths);

ｕser=neｗUser(dｗh,useｒid，paｓsｗord,eｎabled，true，truｅ，true，

aｒrａｙAutｈs）;

｝caｔｃh(ＢｕsiｎeｓsExｃepｔｉｏne）｛

lｏgger.ｅrrｏr(e．getMeｓｓage（）);

}

retuｒnｕｓer;

}

/＊＊

*Quｅryoｂjｅｃttoloｏkupauser’ｓaｕthoritｉeｓ.

＊／

proteｃｔedclａssＡuthoｒitieｓByDwhAndUseriｄMapｐinｇeｘteｎdｓMappingＳｑlQuery｛

ｐrotectｅdＡutｈoritieｓＢyDwhAndUseｒiｄＭapｐing（DataSｏｕｒcｅds）｛

super（ｄs，DEＦ＿ＡUTHORＩTIEＳ_BY＿DWＨ＿ＡNＤ_UＳＥRID＿QUＥRY);

declareＰaramｅteｒ（newSｑlParａmｅtｅr(Types.ＶARCHＡR))；

ｄeclａｒeParameter（newSqlＰarameter(Tyｐｅs．VＡRＣHAR))；

ｃｏｍpｉle（）；

｝

prｏtecｔeｄObjectｍapＲｏw（ResultＳetｒｓ,ｉntrownum）tｈrowｓSＱLExceｐtioｎ{

ＳtrｉnｇroｌｅNaｍｅ=rs。gｅtSｔrｉｎg(３);

GｒaｎtedAuｔhoritｙImpｌauｔhority=nｅｗGraｎteｄAuthｏrityIｍpl(ｒｏleNaｍe）；

retuｒnautｈority；

｝

}

｝

ｃ)

cａchｅMaｎａger和ｕsｅrCachｅＢaｃkｅnd，這兩大家一看就知道,我也是用的Ａｃegi的實(shí)現(xiàn).

d)

useｒCａｃhｅ是我們自己改造的,原因是ｄeｍｏ中是以u(píng)sernaｍe為標(biāo)識(shí)來(lái)區(qū)別被緩存的對(duì)象的,而我們是dwh+userid.

詳情見源碼。paｃｋagcｈｅ；

impｏrcｈｅ;impｏrchｅEｘceｐtiｏn;importnet。sｆ.ｅｈcache。Ｅleｍent；

imｐormoｎｓ。logｇinｇ.Log；imporｍons.lｏgｇｉng．ＬoｇＦａctory；impoｒtoｒg．spriｎｇｆraｍewｏrｋ．ｂeans.factory．InitializingBean；iｍｐｏrｔoｒg.sｐringframeworｋ.dａo．ＤataRetriｅvalFaｉlｕreExcepｔion;

imｐｏ．ｃｑｋyinｆｏ．ydxt.aｃegi。IUser；

ｐｕｂlｉｃcｌasｓＥｈＣachｅBasedUsｅｒCａｃhｅｉｍpｌemeｎtｓUserCache,InitializinｇBｅaｎ｛

//～Stａｔicｆｉelds/initialiｚers==＝===＝======＝=========＝＝=＝===＝＝=＝===＝=====＝=

privaｔｅstaticｆinalＬoglogger=ＬｏgFａｃｔｏｒy.geｔLog（ＥhCａcheＢasedＵｓeｒCache．class)；

//~Insｔanceｆｉelds=＝===＝==============＝=＝===＝==＝======＝=＝＝＝==＝＝========＝=＝

ｐｒivateCachｅcache；

//～Mｅｔhods===＝=========＝＝==＝＝＝