{安全生产管理}安全框架应用指南.pdf

{安全生产管理}安全框架 应用指南 ACEGI 安全框架应用指南 级别:中级 何平系统架构师，独立顾问，培训讲师。 2005 年 12 月 26 日 文章来源于一次acegi 的项目应用。因为业务需要与acegi 框架缺省的应用方式有一定的区别，故在实际应 用过程中尝试了对acegi 的一定量的改造工作，从而具有一定的研究和学习价值。 文章中关于Acegi 的介绍收入了其他文章中的内容，已在参教资料中列出资料来源。 内容大纲： 认识 Acegi 安全框架 安装并运行 Acegi 自带的范例 改造Acegi 框架满足我们的业务要求 具体内容： 认识 Acegi 安全框架 Acegi 安全系统，是一个用于 SpringFramework 的安全框架，能够和目前 流行的Web 容器无缝集成。它使用了 Spring 的方式提供了安全和认证安全服 务，包括使用BeanContext ，拦截器和面向接口的编程方式。因此，Acegi 安 全系统能够轻松地适用于复杂的安全需求。 安全涉及到两个不同的概念，认证和授权。前者是关于确认用户是否确 实是他们所宣称的身份。授权则是关于确认用户是否有允许执行一个特定的 操作。 在 Acegi 安全系统中，需要被认证的用户，系统或代理称为 Principal 。Acegi 安全系统和其他的安全系统不同，它并没有角色和用户 组的概念 关键组件 Acegi 安全系统包含以下七个关键的功能组件： lAuthentication 对象，包含了 Principal ，Credential 和 Principal 的 授权信息。同时还可以包含关于发起认证请求的客户的其他信息，如 IP 地址。 2ContextHolder 对象，使用 ThreadLocal 储存 Authentication 对象的地方。 3AuthenticationManager ，用于认证ContextHolder 中的Authentication 对 象。 4AccessDecissionManager ，用于授权一个特定的操作。 5RunAsManager ，当执行特定的操作时，用于选择性地替换Authentication 对象。 6SecureObject 拦截器，用于协调 AuthenticationManager ， AccessDecissionManager ，RunAsManager 和特定操作的执行。 7ObjectDefinitionSource ，包含了特定操作的授权定义。 这七个关键的功能组件的关系如下图所示（图中灰色部分是关键组件）： 安全管理对象 Acegi 安全系统目前支持两类安全管理对象。 第一类的安全管理对象管理AOPAlliance 的MethodInvocation ，开发人员可以用 它来保护Spring 容器中的业务对象。为了使 Spring 管理的Bean 可以作为 MethodInvocation 来使用，Bean 可以通过 ProxyFactoryBean 和 BeanNameAutoProxyCreator 来管理，就像在Spring 的事务管理一样使用。 第二类是FilterInvocation 。它用过滤器（Filter）来创建，并简单地包装了HTTP 的ServletRequest ，ServletResponse 和 FilterChain 。FilterInvocation 可以 用来保护HTTP 资源。通常，开发人员并不需要了解它的工作机制，因为他们只 需要将Filter 加入，Acegi 安全系统就可以工作了。 安全配置参数 每个安全管理对象都可以描述数量不限的各种安全认证请求。例如， MethodInvocation 对象可以描述带有任意参数的任意方法的调用，而 FilterInvocation 可以描述任意的HTTPURL 。 Acegi 安全系统需要记录应用于每个认证请求的安全配置参数。例如，对于 （intaccountNumber）方法和（intapplicationNumber）方法，它们需要的认证 请求的安全配置很不相同。 为了保存不同的认证请求的安全配置，需要使用配置参数。从实现的视角来