基于Ｗｅｂ服务的Ａｃｅｇｉ安全框架的研究与应用.docVIP

基于Ｗｅｂ服务的Ａｃｅｇｉ安全框架的研究与应用 　　摘要：分析了基于Web服务的Acegi安全框架的构架和实现原理，以Web服务中的HTTPForm为例，详细阐述了Acegi提供的认证和授权机制，并进一步探讨了Acegi安全框架的权限管理，以满足复杂的企业安全需求，从而提高了Web系统的安全性和稳定性。 　　关键词：Web服务；认证；授权；权限管理 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)23-897-03 　　Research and Application of Acegi Security Framework on Web Service 　　LIU Zhen-hai, YIN Zhao-lin, GENG Wei 　　(China University of Mining and Technology, Xuzhou 221008, China) 　　Abstract: Acegi security framework on Web service is analysed. As an example of HTTPForm on Web service, authentication and authorization mechanisms is explicated elaborately. Moreover, this paper discusses purview management of Acegi framework to meet the complex security needs of enterprises and improve the Web system of security and stability. 　　Key words: Web service; authentication; authorization; purview management 　　 　　1 引言 　　 　　随着Web服务技术的发展，安全性往往是企业信息化开发中最为重要的问题之一，如何更好地实现Web应用系统安全成为开发人员所面临的棘手问题。在企业的Web应用系统中，完善、灵活、高效的认证和授权机制是非常必要的，而且由于Web 业务需求面临着不断的变化，这些权限的认证和授权系统应该实现与已有的业务逻辑代码松耦合，传统的Java安全组件都不能很好地融入Web应用系统中，本文采用Spring Framework的Acegi安全框架来实现Web应用系统安全，它的架构和设计目标更符合企业级应用的需求。 　　 　　2 Acegi框架的安全管理对象 　　 　　Acegi是一个基于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用Spring的方式提供安全和认证服务，包括使用Bean Context，拦截器和面向接口的编程方式。通过精心配置Acegi安全系统，能够轻松地适用于复杂的安全需求。Acegi安全系统目前支持3类安全管理对象。 　　1）MethodInvocation：开发人员可以用它来保护Spring容器中的业务对象。为了使Spring的管理Bean可以作为MethodInvocation使用，Bean可以通过ProxyFactoryBean和BeanNameAutoProxy-Creator来管理，就像在Spring的事务管理中一样使用。 　　2）FilterInvocation：它通过过滤器(Filter)创建，并简单地包装了HTTP的ServletRequest、ServletResponse和FilterChain。FilterInvocation可以用来保护HTTP资源。通常，开发人员并不需要了解它的工作机制，因为他们只需要将Filter加入web.xml，Acegi安全系统就可以工作了。 　　3）AspecctJ joinPoint：AspectJ是一个基于Java语言扩展的AOP实现，它提供了强大的AOP功能，在领域对象保护方面特别有用，这些领域对象绝大部分是在Spring容器之外被管理。通过使用AspectJ，一个标准的构造函数，例如：new Person()，能够在正常使用的同时，全面的被Acegi系统保护起来。AspectJSecurityInterceptor是由Spring进行管理的，Spring创建关于方面(aspect)的单实例对象，并且将它与相应的认证管理、存取管理等有效地编织在一起。 　　每个安全管理对象都可以描述数量不限的各种安全认证请求。例如，FilterInvocation可以描述任意的HTTP URL，而MethodInvocation可以描述带有任意参数的任意方