2007 年 5 月 08 日

這份共分三部分的系列文章介紹了 Acegi 安全系統(tǒng)（Acegi Security System），它是用于 Java? 企業(yè)應(yīng)用程序的強(qiáng)大的開源安全框架。在第一篇文章中，Bilal Siddiqui 顧問將向您介紹 Acegi 的架構(gòu)和組件，并展示如何使用它來保護(hù)一個簡單的 Java 企業(yè)應(yīng)用程序。

Acegi Security System 是一種功能強(qiáng)大并易于使用的替代性方案，使您不必再為 Java 企業(yè)應(yīng)用程序編寫大量的安全代碼。雖然它專門針對使用 Spring 框架編寫的應(yīng)用程序，但是任何類型的 Java 應(yīng)用程序都沒有理由不去使用 Acegi。這份共分三部分的系列文章詳細(xì)介紹了 Acegi，并展示了如何使用它保護(hù)簡單的企業(yè)應(yīng)用程序以及更復(fù)雜的應(yīng)用程序。

本系列首先介紹企業(yè)應(yīng)用程序中常見的安全問題，并說明 Acegi 如何解決這些問題。您將了解 Acegi 的架構(gòu)模型及其安全過濾器，后者包含了在保護(hù)應(yīng)用程序中將用到的大多數(shù)功能。您還將了解到各個過濾器如何單獨(dú)進(jìn)行工作，如何將它們組合起來，以及過濾器如何在一個企業(yè)安全實(shí)現(xiàn)中將各種功能從頭到尾地鏈接起來。本文最后通過一個樣例應(yīng)用程序演示了基于 URL 安全系統(tǒng)的 Acegi 實(shí)現(xiàn)。本系列后續(xù)兩篇文章將探究 Acegi 的一些更高級的應(yīng)用，包括如何設(shè)計(jì)和托管訪問控制策略，然后如何去配置 Acegi 以使用這些策略。

您必須 下載 Acegi，這樣才能編譯本文的示例代碼并運(yùn)行本文的樣例應(yīng)用程序。還必須有作為工作站的一部分運(yùn)行的 Tomcat 服務(wù)器。

企業(yè)應(yīng)用程序安全性

由于企業(yè)內(nèi)容管理（ECM）應(yīng)用程序管理存儲在不同類型數(shù)據(jù)源（如文件系統(tǒng)、關(guān)系數(shù)據(jù)庫和目錄服務(wù)）中的企業(yè)內(nèi)容的編寫和處理，ECM 安全性要求對這些數(shù)據(jù)源的訪問進(jìn)行控制。比如，一個 ECM 應(yīng)用程序可能會控制被授權(quán)讀取、編輯或刪除數(shù)據(jù)的對象，而這些數(shù)據(jù)和制造業(yè)企業(yè)的設(shè)計(jì)、市場營銷、生產(chǎn)以及質(zhì)量控制有關(guān)。

在一個 ECM 安全場景中，比較常見的就是通過對企業(yè)資源定位符（或網(wǎng)絡(luò)地址）應(yīng)用安全性，從而實(shí)現(xiàn)訪問控制。這種簡單的安全模型被稱為統(tǒng)一資源定位符 或 URL 安全性。正如我在本文后面（以及本系列后續(xù)文章）所演示的一樣，Acegi 為實(shí)現(xiàn) URL 安全性提供了全面的特性。

然而，在很多企業(yè)場景中，URL 安全性還遠(yuǎn)遠(yuǎn)不夠。比如，假設(shè)一個 PDF 文檔包含某個制造業(yè)公司生產(chǎn)的特殊產(chǎn)品的數(shù)據(jù)。文檔的一部分包含了將由該公司的設(shè)計(jì)部門編輯和更新的設(shè)計(jì)數(shù)據(jù)。另一部分包含了生產(chǎn)經(jīng)理將使用的生產(chǎn)數(shù)據(jù)。對于諸如此類的場景，需要實(shí)現(xiàn)更加細(xì)粒度的安全性，對文檔的不同部分應(yīng)用不同的訪問權(quán)限。

本文介紹了 Acegi 為實(shí)現(xiàn) URL 安全性而提供的各種功能。本系列的下一篇文章將演示此框架的基于方法的安全性，它提供了對企業(yè)數(shù)據(jù)訪問的更細(xì)粒度的控制。

回頁首

Acegi Security System

Acegi Security System 使用安全過濾器來提供企業(yè)應(yīng)用程序的身份驗(yàn)證和授權(quán)服務(wù)。該框架提供了不同類型的過濾器，可以根據(jù)應(yīng)用程序的需求進(jìn)行配置。您將在本文后面了解到 安全過濾器的不同類型；現(xiàn)在，只需注意可以為如下任務(wù)配置 Acegi 安全過濾器：

1. 在訪問一個安全資源之前提示用戶登錄。
   
   
2. 通過檢查安全標(biāo)記（如密碼），對用戶進(jìn)行身份驗(yàn)證。
   
   
3. 檢查經(jīng)過身份驗(yàn)證的用戶是否具有訪問某個安全資源的特權(quán)。
   
   
4. 將成功進(jìn)行身份驗(yàn)證和授權(quán)的用戶重定向到所請求的安全資源。
   
   
5. 對不具備訪問安全資源特權(quán)的用戶顯示 Access Denied 頁面。
   
   
6. 在服務(wù)器上記錄成功進(jìn)行身份驗(yàn)證的用戶，并在用戶的客戶機(jī)上設(shè)置安全 cookie。使用該 cookie 執(zhí)行下一次身份驗(yàn)證，而無需要求用戶登錄。
   
   
7. 將身份驗(yàn)證信息存儲在服務(wù)器端的會話對象中，從而安全地進(jìn)行對資源的后續(xù)請求。
   
   
8. 在服務(wù)器端對象中構(gòu)建并保存安全信息的緩存，從而優(yōu)化性能。
   
   
9. 當(dāng)用戶退出時，刪除為用戶安全會話而保存的服務(wù)器端對象。
   
   
10. 與大量后端數(shù)據(jù)存儲服務(wù)（如目錄服務(wù)或關(guān)系數(shù)據(jù)庫）進(jìn)行通信，這些服務(wù)用于存儲用戶的安全信息和 ECM 的訪問控制策略。

正如這個列表顯示的那樣，Acegi 的安全過濾器允許您執(zhí)行保護(hù)企業(yè)應(yīng)用程序所需的幾乎任何事情。

架構(gòu)和組件

對 Acegi 了解越多，使用起來就越簡單。這一節(jié)介紹 Acegi 的組件；接下來您將了解該框架如何使用反轉(zhuǎn)控制（IOC）和 XML 配置文件來組合組件并表示它們的依賴關(guān)系。

四大組件

Acegi Security System 由四種主要類型的組件組成：過濾器、管理器、提供者和處理程序。

過濾器

這種最高級的組件提供了常見的安全服務(wù)，如身份驗(yàn)證、會話處理以及注銷。我將在 本文后面的部分 深入討論過濾器。

管理器

過濾器僅是安全相關(guān)功能的高級抽象：實(shí)際上要使用管理器和提供者實(shí)現(xiàn)身份驗(yàn)證處理和注銷服務(wù)。管理器管理由不同提供者提供的較低級的安全服務(wù)。

提供者

有大量的提供者可用于和不同類型的數(shù)據(jù)存儲服務(wù)通信，例如目錄服務(wù)、關(guān)系數(shù)據(jù)庫或簡單的內(nèi)存中的對象。這意味著您可以將用戶庫和訪問控制協(xié)議存儲在任何一種這樣的數(shù)據(jù)存儲服務(wù)中，并且 Acegi 的管理器將在運(yùn)行時選擇合適的提供者。

處理程序

有時任務(wù)可能會被分解為多個步驟，其中每個步驟由一個特定的處理程序執(zhí)行。比方說，Acegi 的 注銷過濾器 使用兩個處理程序來退出一個 HTTP 客戶機(jī)。其中一個處理程序使用戶的 HTTP 會話無效，而另一個處理程序則刪除用戶的 cookie。當(dāng)根據(jù)應(yīng)用程序需求配置 Acegi 時，多個處理程序能夠提供很好的靈活性。您可以使用自己選擇的處理程序來執(zhí)行保護(hù)應(yīng)用程序所需的步驟。

反轉(zhuǎn)控制

Acegi 的組件通過彼此之間的依賴來對企業(yè)應(yīng)用程序進(jìn)行保護(hù)。比如，一個身份驗(yàn)證處理過濾器需要一個身份驗(yàn)證管理器選擇一個合適的身份驗(yàn)證提供者。這就是說您必須能夠表示和管理 Acegi 組件的依賴關(guān)系。

IOC 實(shí)現(xiàn)通常用于管理 Java 組件之間的依賴關(guān)系。IOC 提供了兩個重要的特性：

1. 它提供了一種語法，表示應(yīng)用程序所需的組件以及這些組件如何相互依賴。
   
   
2. 它保證了所需的組件在運(yùn)行時是可用的。

XML 配置文件

Acegi 使用 Spring 框架（請參見 參考資料）附帶的流行開源 IOC 實(shí)現(xiàn)來管理其組件。Spring 需要您編寫一個 XML 配置文件來表示組件的依賴關(guān)系，如清單 1 所示：

                        <beans>
                        <bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
                        <property name="filterInvocationDefinitionSource">
                        <value> value here </value>
                        </property>
                        </bean>
                        <bean id="authenticationProcessingFilter"
                        class="org.acegisecurity.ui.webapp.AuthenticationProcessingFitler">
                        <property name="authenticationManager" ref="authManager"/>
                        <!-- Other properties -->
                        </bean>
                        <bean id="authManager"
                        class="org.acegisecurity.providers.ProviderManager">
                        <property name="providers">
                        <!--  List of providers here -->
                        </property>
                        </bean>
                        <!-- Other bean tags -->
                        </beans>
                        

如您所見，Acegi 使用的 Spring XML 配置文件包含一個 <beans> 標(biāo)記，它封裝了一些其他的 <bean> 標(biāo)記。所有的 Acegi 組件（即過濾器、管理器、提供者等）實(shí)際上都是 JavaBean。XML 配置文件中的每個 <bean> 標(biāo)記都代表一個 Acegi 組件。

進(jìn)一步解釋 XML 配置文件

首先將注意到的是每個 <bean> 標(biāo)記都包含一個 class 屬性，這個屬性標(biāo)識組件所使用的類。<bean> 標(biāo)記還具有一個 id 屬性，它標(biāo)識作為 Acegi 組件工作的實(shí)例（Java 對象）。

比方說，清單 1 的第一個 <bean> 標(biāo)記標(biāo)識了名為 filterChainProxy 的組件實(shí)例，它是名為 org.acegisecurity.util.FilterChainProxy 的類的實(shí)例。

使用 <bean> 標(biāo)記的子標(biāo)記來表示 bean 的依賴關(guān)系。比如，注意第一個 <bean> 標(biāo)記的 <property> 子標(biāo)記。<property> 子標(biāo)記定義了 <bean> 標(biāo)記依賴的其他 bean 或值。

所以在 清單 1 中，第一個 <bean> 標(biāo)記的 <property> 子標(biāo)記具有一個 name 屬性和一個 <value> 子標(biāo)記，分別定義了這個 bean 依賴的屬性的名稱和值。

同樣，清單 1 中的第二個和第三個 <bean> 標(biāo)記定義了一個過濾器 bean 依賴于一個管理器 bean。第二個 <bean> 標(biāo)記表示過濾器 bean，而第三個 <bean> 標(biāo)記表示管理器 bean。

過濾器的 <bean> 標(biāo)記包含一個 <property> 子標(biāo)記，該子標(biāo)記具有兩個屬性：name 和 ref。name 屬性定義了過濾器 bean 的屬性，而 ref 屬性引用了管理器 bean 的實(shí)例（名稱）。

下一節(jié)將展示如何在 XML 配置文件中配置 Acegi 過濾器。在本文后面的內(nèi)容中，您將在一個樣例 Acegi 應(yīng)用程序中使用過濾器。

安全過濾器

正如我前面提到的一樣，Acegi 使用安全過濾器為企業(yè)應(yīng)用程序提供身份驗(yàn)證和授權(quán)服務(wù)。您可以根據(jù)應(yīng)用程序的需要使用和配置不同類型的過濾器。這一節(jié)將介紹五種最重要的 Acegi 安全過濾器。

Session Integration Filter

Acegi 的 Session Integration Filter（SIF）通常是您將要配置的第一個過濾器。SIF 創(chuàng)建了一個安全上下文對象，這是一個與安全相關(guān)的信息的占位符。其他 Acegi 過濾器將安全信息保存在安全上下文中，也會使用安全上下文中可用的安全信息。

SIF 創(chuàng)建安全上下文并調(diào)用過濾器鏈中的其他過濾器。然后其他過濾器檢索安全上下文并對其進(jìn)行更改。比如，Authentication Processing Filter（我將稍后進(jìn)行介紹）將用戶信息（如用戶名、密碼和電子郵件地址）存儲在安全上下文中。

當(dāng)所有的處理程序完成處理后，SIF 檢查安全上下文是否更新。如果任何一個過濾器對安全上下文做出了更改，SIF 將把更改保存到服務(wù)器端的會話對象中。如果安全上下文中沒有發(fā)現(xiàn)任何更改，那么 SIF 將刪除它。

在 XML 配置文件中對 SIF 進(jìn)行了配置，如清單 2 所示：

                        <bean id="httpSessionContextIntegrationFilter"
                        class="org.acegisecurity.context.HttpSessionContextIntegrationFilter"/>
                        

Authentication Processing Filter

Acegi 使用 Authentication Processing Filter（APF）進(jìn)行身份驗(yàn)證。APF 使用一個身份驗(yàn)證（或登錄）表單，用戶在其中輸入用戶名和密碼，并觸發(fā)身份驗(yàn)證。

APF 執(zhí)行所有的后端身份驗(yàn)證處理任務(wù)，比如從客戶機(jī)請求中提取用戶名和密碼，從后端用戶庫中讀取用戶參數(shù)，以及使用這些信息對用戶進(jìn)行身份驗(yàn)證。

在配置 APF 時，您必須提供如下參數(shù)：

• Authentication manager 指定了用來管理身份驗(yàn)證提供者的身份驗(yàn)證管理器。
  
  
• Filter processes URL 指定了客戶在登錄窗口中按下 Sign In 按鈕時要訪問的 URL。收到這個 URL 的請求后，Acegi 立即調(diào)用 APF。
  
  
• Default target URL 指定了成功進(jìn)行身份驗(yàn)證和授權(quán)后呈現(xiàn)給用戶的頁面。
  
  
• Authentication failure URL 指定了身份驗(yàn)證失敗情況下用戶看到的頁面。

APF 從用戶的請求對象中得到用戶名、密碼和其他信息。它將這些信息傳送給身份驗(yàn)證管理器。身份驗(yàn)證管理器使用適當(dāng)?shù)奶峁┱邚暮蠖擞脩魩熘凶x取詳細(xì)的用戶信息（如用戶名、密碼、電子郵件地址和用戶訪問權(quán)利或特權(quán)），對用戶進(jìn)行身份驗(yàn)證，并將信息存儲在一個 Authentication 對象中。

最后，APF 將 Authentication 對象保存在 SIF 之前創(chuàng)建的安全上下文中。存儲在安全上下文中的 Authentication 對象將用于做出授權(quán)決策。

APF 的配置如清單 3 所示：

                        <bean id="authenticationProcessingFilter"
                        class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
                        <property name="authenticationManager"
                        ref="authenticationManager" />
                        <property name="filterProcessesUrl"
                        value="/j_acegi_security_check" />
                        <property name="defaultTargetUrl"
                        value="/protected/protected1.jsp" />
                        <property name="authenticationFailureUrl"
                        value="/login.jsp?login_error=1" />
                        </bean>
                        

可以從這段代碼中看到，APF 依賴于上面討論的這四個參數(shù)。每個參數(shù)都是作為清單 3 所示的 <property> 標(biāo)記配置的。

Logout Processing Filter

Acegi 使用一個 Logout Processing Filer（LPF）管理注銷處理。當(dāng)客戶機(jī)發(fā)來注銷請求時，將使用 LPF 進(jìn)行處理。它標(biāo)識了來自由客戶機(jī)所調(diào)用 URL 的注銷請求。

LPF 的配置如清單 4 所示：

                        <bean id="logoutFilter" class="org.acegisecurity.ui.logout.LogoutFilter">
                        <constructor-arg value="/logoutSuccess.jsp"/>
                        <constructor-arg>
                        <list>
                        <bean class="org.acegisecurity.ui.logout.SecurityContextLogoutHandler"/>
                        </list>
                        </constructor-arg>
                        </bean>
                        

可以看到 LPF 在其構(gòu)造方法中包含兩個參數(shù)：注銷成功 URL（/logoutSuccess.jsp）和處理程序列表。注銷成功 URL 用來在注銷過程完成后重定向客戶機(jī)。處理程序執(zhí)行實(shí)際的注銷過程；我在這里只配置了一個處理程序，因?yàn)橹恍枰粋€處理程序就可以使 HTTP 會話變?yōu)闊o效。我將在本系列下一篇文章中討論更多的處理程序。

Exception Translation Filter

Exception Translation Filter（ETF）處理身份驗(yàn)證和授權(quán)過程中的異常情況，比如授權(quán)失敗。在這些異常情況中，ETF 將決定如何進(jìn)行操作。

比如，如果一個沒有進(jìn)行身份驗(yàn)證的用戶試圖訪問受保護(hù)的資源，ETF 將顯示一個登錄頁面要求用戶進(jìn)行身份驗(yàn)證。類似地，在授權(quán)失敗的情況下，可以配置 ETF 來呈現(xiàn)一個 Access Denied 頁面。

ETF 的配置如清單 5 所示：

                        <bean id="exceptionTranslationFilter"
                        class="org.acegisecurity.ui.ExceptionTranslationFilter">
                        <property name="authenticationEntryPoint">
                        <bean
                        class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
                        <property name="loginFormUrl" value="/login.jsp" />
                        </bean>
                        </property>
                        <property name="accessDeniedHandler">
                        <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">
                        <property name="errorPage" value="/accessDenied.jsp" />
                        </bean>
                        </property>
                        </bean>
                        

正如清單 5 所示，ETF 包含兩個參數(shù)，名為 authenticationEntryPoint 和 accessDeniedHandler。authenticationEntryPoint 屬性指定登錄頁面，而 accessDeniedHandler 指定 Access Denied 頁面。

攔截過濾器

Acegi 的攔截過濾器 用于做出授權(quán)決策。您需要在 APF 成功執(zhí)行身份驗(yàn)證后對攔截過濾器進(jìn)行配置，以使其發(fā)揮作用。攔截器使用應(yīng)用程序的訪問控制策略來做出授權(quán)決定。

本系列的下一篇文章將展示如何設(shè)計(jì)訪問控制策略，如何將它們托管在目錄服務(wù)中，以及如何配置 Acegi 以讀取您的訪問控制策略。但是，目前我將繼續(xù)向您展示如何使用 Acegi 配置一個簡單的訪問控制策略。在本文后面的部分，您將看到使用簡單的訪問控制策略構(gòu)建一個樣例應(yīng)用程序。

配置簡單的訪問控制策略可分為兩個步驟：

1. 編寫訪問控制策略。
   
   
2. 根據(jù)策略配置 Acegi 的攔截過濾器。

步驟 1. 編寫簡單的訪問控制策略

首先看一下 清單 6，它展示了如何定義一個用戶及其用戶角色：

                        alice=123,ROLE_HEAD_OF_ENGINEERING
                        

清單 6 所示的訪問控制策略定義了用戶名 alice，它的密碼是 123，角色是 ROLE_HEAD_OF_ENGINEERING。（下一節(jié)將說明如何在文件中定義任意數(shù)量的用戶及其用戶角色，然后配置攔截過濾器以使用這些文件。）

步驟 2. 配置 Acegi 的攔截過濾器

攔截過濾器使用三個組件來做出授權(quán)決策，我在清單 7 中對其進(jìn)行了配置：

                        <bean id="filterInvocationInterceptor"
                        class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
                        <property name="authenticationManager" ref="authenticationManager" />
                        <property name="accessDecisionManager" ref="accessDecisionManager" />
                        <property name="objectDefinitionSource">
                        <value>
                        CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
                        PATTERN_TYPE_APACHE_ANT
                        /protected/**=ROLE_HEAD_OF_ENGINEERING
                        /**=IS_AUTHENTICATED_ANONYMOUSLY
                        </value>
                        </property>
                        <!--  More properties of the interceptor filter -->
                        </bean>
                        

如清單 7 所示，配置所需的三個組件是 authenticationManager、accessDecisionManager、objectDefinitionSource：

• authenticationManager 組件與我在介紹 Authentication Processing Filter 時討論過的身份驗(yàn)證管理器相同。攔截過濾器可以在授權(quán)的過程中使用 authenticationManager 重新對客戶機(jī)進(jìn)行身份驗(yàn)證。
  
  
• accessDecisionManager 組件管理授權(quán)過程，這部分內(nèi)容將在本系列的下篇文章中詳細(xì)討論。
  
  
• objectDefinitionSource 組件包含對應(yīng)于將要發(fā)生的授權(quán)的訪問控制定義。例如，清單 7 中的 objectDefinitionSource 屬性值包含兩個 URL（/protected/* 和 /*）。其值定義了這些 URL 的角色。/protected/* URL 的角色是 ROLE_HEAD_OF_ENGINEERING。您可以根據(jù)應(yīng)用程序的需要定義任何角色。
  
  回想一下 清單 6，您為用戶名 alice 定義了 ROLE_HEAD_OF_ENGINEERING。這就是說 alice 將能夠訪問 /protected/* URL。

過濾器工作原理

正如您已經(jīng)了解到的一樣，Acegi 的組件彼此依賴，從而對您的應(yīng)用程序進(jìn)行保護(hù)。在本文后面的部分，您將看到如何對 Acegi 進(jìn)行配置，從而按照特定的順序應(yīng)用安全過濾器，因此需要創(chuàng)建過濾器鏈。出于這個目的，Acegi 保存了一個過濾器鏈對象，它封裝了為保護(hù)應(yīng)用程序而配置了的所有過濾器。圖 1 展示了 Acegi 過濾器鏈的生命周期，該周期從客戶機(jī)向您的應(yīng)用程序發(fā)送 HTTP 請求開始。（圖 1 顯示了服務(wù)于瀏覽器客戶機(jī)的容器。）

下面的步驟描述了過濾器鏈的生命周期：

1. 瀏覽器客戶機(jī)向您的應(yīng)用程序發(fā)送 HTTP 請求。
   
   
2. 容器接收到 HTTP 請求并創(chuàng)建一個請求對象，該對象將封裝 HTTP 請求中包含的信息。容器還創(chuàng)建一個各種過濾器都可處理的響應(yīng)對象，從而為發(fā)出請求的客戶機(jī)準(zhǔn)備好 HTTP 響應(yīng)。容器然后調(diào)用 Acegi 的過濾器鏈代理，這是一個代理過濾器。該代理知道應(yīng)用的過濾器的實(shí)際順序。當(dāng)容器調(diào)用代理時，它將向代理發(fā)送請求、響應(yīng)以及過濾器鏈對象。
   
   
3. 代理過濾器調(diào)用過濾器鏈中第一個過濾器，向其發(fā)送請求、響應(yīng)和過濾器鏈對象。
   
   
4. 鏈中的過濾器逐個執(zhí)行其處理。一個過濾器可以通過調(diào)用過濾器鏈中下一個過濾器隨時終止自身處理。有的過濾器甚至根本不執(zhí)行任何處理（比如，如果 APF 發(fā)現(xiàn)一個到來的請求沒有要求身份驗(yàn)證，它可能會立即終止其處理）。
   
   
5. 當(dāng)身份驗(yàn)證過濾器完成其處理時，這些過濾器將把請求和響應(yīng)對象發(fā)送到應(yīng)用程序中配置的攔截過濾器。
   
   
6. 攔截器決定是否對發(fā)出請求的客戶機(jī)進(jìn)行授權(quán)，使它訪問所請求的資源。
   
   
7. 攔截器將控制權(quán)傳輸給應(yīng)用程序（比如，成功進(jìn)行了身份驗(yàn)證和授權(quán)的客戶機(jī)請求的 JSP 頁面）。
   
   
8. 應(yīng)用程序改寫響應(yīng)對象的內(nèi)容。
   
   
9. 響應(yīng)對象已經(jīng)準(zhǔn)備好了，容器將響應(yīng)對象轉(zhuǎn)換為 HTTP 響應(yīng)，并將響應(yīng)發(fā)送到發(fā)出請求的客戶機(jī)。
   
   

為幫助您進(jìn)一步理解 Acegi 過濾器，我將詳細(xì)探討其中兩個過濾器的操作：Session Integration Filter 和 Authentication Processing Filter。

SIF 如何創(chuàng)建一個安全上下文

圖 2 展示了 SIF 創(chuàng)建安全上下文所涉及到的步驟：

現(xiàn)在詳細(xì)地考慮下面這些步驟：

1. Acegi 的過濾器鏈代理調(diào)用 SIF 并向其發(fā)送請求、響應(yīng)和過濾器鏈對象。注意：通常將 SIF 配置為過濾器鏈中第一個過濾器。
   
   
2. SIF 檢查它是否已經(jīng)對這個 Web 請求進(jìn)行過處理。如果是的話，它將不再進(jìn)一步進(jìn)行處理，并將控制權(quán)傳輸給過濾器鏈中的下一個過濾器（參見下面的第 4 個步驟）。如果 SIF 發(fā)現(xiàn)這是第一次對這個 Web 請求調(diào)用 SIF，它將設(shè)置一個標(biāo)記，將在下一次使用該標(biāo)記，以表示曾經(jīng)調(diào)用過 SIF。
   
   
3. SIF 將檢查是否存在一個會話對象，以及它是否包含安全上下文。它從會話對象中檢索安全上下文，并將其放置在名為 security context holder 的臨時占位符中。如果不存在會話對象，SIF 將創(chuàng)建一個新的安全上下文，并將它放到 security context holder 中。注意：security context holder 位于應(yīng)用程序的范圍內(nèi)，所以可以被其他的安全過濾器訪問。
   
   
4. SIF 調(diào)用過濾器鏈中的下一個過濾器。
   
   
5. 其他過濾器可以編輯安全上下文。
   
   
6. SIF 在過濾器鏈完成處理后接收控制權(quán)。
   
   
7. SIF 檢查其他的過濾器是否在其處理過程中更改了安全上下文（比如，APF 可能將用戶詳細(xì)信息存儲在安全上下文中）。如果是的話，它將更新會話對象中的安全上下文。就是說在過濾器鏈處理過程中，對安全上下文的任何更改現(xiàn)在都保存在會話對象中。

APF 如何對用戶進(jìn)行身份驗(yàn)證

圖 3 展示了 APF 對用戶進(jìn)行身份驗(yàn)證所涉及到的步驟：

現(xiàn)在仔細(xì)考慮以下這些步驟：

1. 過濾器鏈中前面的過濾器向 APF 發(fā)送請求、響應(yīng)和過濾鏈對象。
   
   
2. APF 使用從請求對象中獲得的用戶名、密碼以及其他信息創(chuàng)建身份驗(yàn)證標(biāo)記。
   
   
3. APF 將身份驗(yàn)證標(biāo)記傳遞給身份驗(yàn)證管理器。
   
   
4. 身份驗(yàn)證管理器可能包含一個或更多身份驗(yàn)證提供者。每個提供者恰好支持一種類型的身份驗(yàn)證。管理器檢查哪一種提供者支持它從 APF 收到的身份驗(yàn)證標(biāo)記。
   
   
5. 身份驗(yàn)證管理器將身份驗(yàn)證標(biāo)記發(fā)送到適合進(jìn)行身份驗(yàn)證的提供者。
   
   
6. 身份驗(yàn)證提供者支持從身份驗(yàn)證標(biāo)記中提取用戶名，并將它發(fā)送給名為 user cache service 的服務(wù)。Acegi 緩存了已經(jīng)進(jìn)行過身份驗(yàn)證的用戶。該用戶下次登錄時，Acegi 可以從緩存中加載他或她的詳細(xì)信息（比如用戶名、密碼和權(quán)限），而不是從后端數(shù)據(jù)存儲中讀取數(shù)據(jù)。這種方法使得性能得到了改善。
   
   
7. user cache service 檢查用戶的詳細(xì)信息是否存在于緩存中。
   
   
8. user cache service 將用戶的詳細(xì)信息返回給身份驗(yàn)證提供者。如果緩存不包含用戶詳細(xì)信息，則返回 null。
   
   
9. 身份驗(yàn)證提供者檢查緩存服務(wù)返回的是用戶的詳細(xì)信息還是 null。
   
   
10. 如果緩存返回 null，身份驗(yàn)證提供者將用戶名（在步驟 6 中提取）發(fā)送給另一個名為 user details service 的服務(wù)。
    
    
11. user details service 與包含用戶詳細(xì)信息的后端數(shù)據(jù)存儲通信（如目錄服務(wù)）。
    
    
12. user details service 返回用戶的詳細(xì)信息，或者，如果找不到用戶詳細(xì)信息則拋出身份驗(yàn)證異常。
    
    
13. 如果 user cache service 或者 user details service 返回有效的用戶詳細(xì)信息，身份驗(yàn)證提供者將使用 user cache service 或 user details service 返回的密碼來匹配用戶提供的安全標(biāo)記（如密碼）。如果找到一個匹配，身份驗(yàn)證提供者將用戶的詳細(xì)信息返回給身份驗(yàn)證管理器。否則的話，則拋出一個身份驗(yàn)證異常。
    
    
14. 身份驗(yàn)證管理器將用戶的詳細(xì)信息返回給 APF。這樣用戶就成功地進(jìn)行了身份驗(yàn)證。
    
    
15. APF 將用戶詳細(xì)信息保存在 圖 2 所示由步驟 3 創(chuàng)建的安全上下文中。
    
    
16. APF 將控制權(quán)傳輸給過濾器鏈中的下一個過濾器。

一個簡單的 Acegi 應(yīng)用程序

在本文中，您已經(jīng)了解了很多關(guān)于 Acegi 的知識，所以現(xiàn)在看一下利用您目前學(xué)到的知識能做些什么，從而結(jié)束本文。對于這個簡單的演示，我設(shè)計(jì)了一個樣例應(yīng)用程序（參見 下載），并對 Acegi 進(jìn)行了配置以保護(hù)它的一些資源。

樣例應(yīng)用程序包含 5 個 JSP 頁面：index.jsp、protected1.jsp、protected2.jsp、login.jsp 和 accessDenied.jsp。

index.jsp 是應(yīng)用程序的歡迎頁面。它向用戶顯示了三個超鏈接，如圖 4 所示：

圖 4 所示的鏈接中，其中兩個鏈接指向了被保護(hù)的資源（protected1.jsp 和 protected2.jsp），第三個鏈接指向登錄頁面（login.jsp）。只有在 Acegi 發(fā)現(xiàn)用戶沒有被授權(quán)訪問受保護(hù)的資源時，才會顯示 accessDenied.jsp 頁面。

如果用戶試圖訪問任何受保護(hù)的頁面，樣例應(yīng)用程序?qū)@示登錄頁面。當(dāng)用戶使用登錄頁面進(jìn)入后，應(yīng)用程序?qū)⒆詣又囟ㄏ虻奖徽埱蟮氖鼙Ｗo(hù)資源。

用戶可以通過單擊歡迎頁面中的第三個鏈接直接請求登錄頁面。這種情況下，應(yīng)用程序顯示用戶可以進(jìn)入系統(tǒng)的登錄頁面。進(jìn)入系統(tǒng)以后，應(yīng)用程序?qū)⒂脩糁囟ㄏ虻?protected1.jsp，它是用戶進(jìn)入系統(tǒng)而沒有請求特定的受保護(hù)資源時顯示的默認(rèn)資源。

配置樣例應(yīng)用程序

為本文下載的源代碼包含一個名為 acegi-config.xml 的 XML 配置文件，它包含 Acegi 過濾器的配置。根據(jù) 安全過濾器的討論 中的示例，您應(yīng)該很熟悉這些配置。

我還為樣例應(yīng)用程序編寫了一個 web.xml 文件，如清單 8 所示：

                        <web-app>
                        <context-param>
                        <param-name>contextConfigLocation</param-name>
                        <param-value>/WEB-INF/acegi-config.xml</param-value>
                        </context-param>
                        <filter>
                        <filter-name>Acegi Filter Chain Proxy</filter-name>
                        <filter-class>
                        org.acegisecurity.util.FilterToBeanProxy
                        </filter-class>
                        <init-param>
                        <param-name>targetClass</param-name>
                        <param-value>
                        org.acegisecurity.util.FilterChainProxy
                        </param-value>
                        </init-param>
                        </filter>
                        <filter-mapping>
                        <filter-name>Acegi Filter Chain Proxy</filter-name>
                        <url-pattern>/*</url-pattern>
                        </filter-mapping>
                        <listener>
                        <listener-class>
                        org.springframework.web.context.ContextLoaderListener
                        </listener-class>
                        </listener>
                        </web-app>
                        

web.xml 文件配置如下：

• acegi-config.xml 文件的 URL 位于 <context-param> 標(biāo)記中。
  
  
• Acegi 過濾器鏈代理類的名稱位于 <filter> 標(biāo)記中。
  
  
• URL 到 Acegi 過濾器鏈代理的映射在 <filter-mapping> 標(biāo)記中。注意：您可以簡單地將應(yīng)用程序的所有 URL（/*）映射到 Acegi 過濾器鏈代理。Acegi 將對映射到 Acegi 過濾器鏈代理上的所有 URL 應(yīng)用安全性。
  
  
• 應(yīng)用程序上下文加載程序位于 <listener> 標(biāo)記中，它將加載 Spring 的 IOC 框架。

部署并運(yùn)行應(yīng)用程序

部署并運(yùn)行樣例應(yīng)用程序非常的簡單。只需要完成兩件事情：

1. 將 acegisample.war 文件從本教程下載的源代碼中復(fù)制到安裝 Tomcat 的 webapps 目錄中。
   
   
2. 從 Acegi Security System 主頁 下載并解壓縮 acegi-security-1.0.3.zip。您將找到一個名為 acegi-security-sample-tutorial.war 的樣例應(yīng)用程序。解壓縮 war 文件并提取其 WEB-INF/lib 文件夾中所有的 jar 文件。將所有的 JAR 文件從 WEB-INF/lib 文件夾中復(fù)制到 theacegisample.war 應(yīng)用程序的 WEB-INF/lib 文件夾。

現(xiàn)在，您已經(jīng)為運(yùn)行樣例應(yīng)用程序做好準(zhǔn)備了。啟動 Tomcat 并將瀏覽器指向 http://localhost:8080/acegisample/。

您將看到 圖 4 所示的歡迎頁面，但是此時顯示的頁面是真實(shí)的。請繼續(xù)運(yùn)行程序，并查看在嘗試訪問歡迎頁面顯示的不同鏈接時會發(fā)生什么狀況。

回頁首

結(jié)束語

在使用 Acegi 保護(hù) Java 應(yīng)用程序 系列的第一篇文章中，您了解了 Acegi 安全系統(tǒng)的特性、架構(gòu)和組件，學(xué)習(xí)了大量有關(guān) Acegi 安全過濾器的知識，這些過濾器被集成到 Acegi 的安全框架中。您還學(xué)習(xí)了如何使用 XML 配置文件配置組件依賴關(guān)系，并查看了 Acegi 的安全過濾器在樣例程序中工作的情形，該應(yīng)用程序可以實(shí)現(xiàn)基于 URL 的安全性。

本文所述的安全技術(shù)非常的簡單，所以 Acegi 使用這些技術(shù)實(shí)現(xiàn)安全性。本系列的下一文章將開始介紹 Acegi 的一些較為高級的應(yīng)用，首先是編寫訪問控制協(xié)議并將其存儲到目錄服務(wù)中。您還將了解到如何配置 Acegi，使它與目錄服務(wù)交互，從而實(shí)現(xiàn)您的訪問控制策略。

下載

	關(guān)于下載方法的信息

參考資料

• 您可以參閱本文在 developerWorks 全球站點(diǎn)上的 英文原文 。
  
  
• Acegi Security System 主頁： 查找參考文檔的第一站，并可以下載 Acegi。
  
  
• “Java 安全性的演變和理念 第一部分：安全性的基本要點(diǎn)”（Raghavan Srinivas，developerWorks，2000 年 5 月）：對 Java 安全概念和技術(shù)進(jìn)行了概述。
  
  
• “Java 安全性，第一部分： 密碼學(xué)基礎(chǔ)”（Brad Rubin，developerWorks，2002 年 7 月）：全面地介紹了 Java 平臺上應(yīng)用程序的安全性。還可參閱 “Java 安全性， 第二部分： 認(rèn)證與授權(quán)”。
  
  
• “Web app security using Struts, servlet filters, and custom taglibs”（Swaminathan Radhakrishnan，developerWorks，2004 年 9 月）：展示 Java 安全解決方案開發(fā)中的常用技巧。
  
  
• “Spring 2 和 JPA 簡介”（Sing Li，developerWorks，2006 年 8 月）：這篇教程將介紹第二代 Spring 框架。
  
  
• Spring 參考文檔：來自資源的 Spring 文檔。
  
  
• “The Essentials of Filters”（Sun Developer Network）：了解更多過濾器及其用途。
  
  
• Java SE Security：一個 Java 安全信息資料庫。
  
  
• IBM 安全提供者：概述（Yanni Zhang，Audrey Timkovich 和 John Peck；developerWorks，2004 年 10 月）：了解用于 Java 平臺（1.4.2 Java SDK）的 IBM 開發(fā)人員工具包增強(qiáng)了的安全特性，以及它與 Sun Microsystems 版本的區(qū)別。
  
  
• developerWorks Java 技術(shù)專區(qū)：提供了大量有關(guān) Java 編程各個方面的文章。
  
  

• 下載 Acegi Security System：保護(hù)您的 Java 企業(yè)應(yīng)用程序。

• 參與論壇討論。
  
  
• 通過參與 developerWorks blog 加入 developerWorks 社區(qū)。
  
  

關(guān)于作者

		Bilal Siddiqui 是一名電子工程師、XML 顧問，他還是 WaxSys（主要從事電子商務(wù)簡化）的創(chuàng)建者之一。自從 1995 年畢業(yè)于拉合爾工程技術(shù)大學(xué)（University of Engineering and Technology，Lahore）電子工程專業(yè)以后，他就開始為工業(yè)控制系統(tǒng)設(shè)計(jì)各種軟件解決方案。稍后，他致力于 XML 方面并使用他在 C++ 編程中取得的經(jīng)驗(yàn)來構(gòu)建基于 Web 和 WAP 的 XML 處理工具、服務(wù)器端解析方案和服務(wù)應(yīng)用程序。Bilal 是一名技術(shù)推廣者，并且是一名多產(chǎn)的技術(shù)作家。