四十七讲ACEGI配置详解及常用过滤器说明.pdfVIP

Acegi配置文档

作者：javafish(likunkun)

Email:javafish@

Acegi是基于Spring的一个开源的安全认证框架，现在的版本是1.04。Acegi的

特点就是有很多的过滤器：不过我们也用不到这么多的过滤器，只是可以把它们

看个的模块，在用的时候加上自己用的着的即可，由于认证的流程的方

面比较复杂导致它的配置很复杂，如果能摸清它的工作原理还是不太难.下面用

比较顺着人思维的流程过一遍

这里只列出常用的过滤器和拦载器

1.过滤器：HttpSessionContextIntegrationFilter，

authenticationProcessingFilter，BasicProcessingFilter，

RememberMeProcessingFilter，

anonymousProcessingFilter,exceptionTranslationFilter

2.：filterSecurityInterceptor（其实它是过滤器，不过把它放在这里

更能说明它的功能），methodSecurityInterceptor

看着上面的用红色标出的过滤器是用来认证（表单和HTTP基本认证，当然还有

别的不过这两个比较长用）它们是资源的.其它的过滤器是用来辅助的：

HttpSessionContextIntegrationFilter是用来把认证信息记录到Session中的

RememberMeProcessingFilter是以的形式来保存认证信息的.

anonymousProcessingFilter是在的时候（这时候是没有认证信息的）给这

个用户分配一个的认证信息，exceptionTranslationFilter总结一下异常

并处理.在实际中选择适合程序的即可.

上面只是资源的，真正保护资源的是这两个：

filterSecurityInterceptor，URL的类（它是个过滤器）

metohdSecurityInterceptor，类中方法的调用，它们为什么要呢？就

是想在或调用这些方法之前来判断一下用户是否有或调用的权限，有就

通过，没有就踢出.

除此之外，Acegi专门做了两个管理器（实际上就是两个类，为什么会用做这两

个管理器，因为认证和都有一些的操作，这就需要专门做两个管理器了）：

认证管理器authenticationManager

（class=viders.ProviderManager），

管理器accessDecisionManager

（class=org.acegisecurity.vote.AffirmativeBased）

说白了一个用于认证用户，一个是用于权限的授于的

先来说认证用户，认证管理器有什么东西呢？只内置了一些者：这些者

呢又呢，他们是用户的验证的，比如从数据库或配置文件里

读出用户名和，在用户的里读出

（rememberMeProcessingFilter用到的[前面讲了的，有印象吧]），或在Session

里读出验证信息（HttpSessionContextIntegrationFilter起作用的），这

Acegi配置文档

作者：javafish(likunkun)

邮箱：javafish@

Acegi是基于Spring的很多开源的安全认证框架，现在的版本是1.04。Acegi的

特点就是有的过滤器：不过流程我们也