Acegi是个什么?
是一个基于Spring的开源框架,用来做安全控制. 基于Spring?
能不能在不用Spring的情况下配置Acegi呢?Acegi官网上有一个链接:Use Withou
Spring
,看来是可以的,自己还没有动手做过.
实现安全控制? 原理是什么? Servlet的Filter和AOP机制: 利用Filter, Acegi实现了基于Web实用的URI保护;
通过AOP,Acegi实现了对象访问方法的保护;利用ACL,Acegi实现了对prototype类型的Object进行过滤和保护。
Acegi的核心概念是什么?类似实现又哪些?
Acegi本质上是一种security solution的实现.
而一般而言,security solution都有哪些基本概念呢? 基本概念有两个:认证(Authentication
)与授权(Authorization). 随便说一下, 我一直认为这两个词翻译的很不直观, 若光看这两个字,觉得很是摸不着头脑.
我们来看下Acegi官方文档的解释。 authentication is the process of establishing a
principal is who they claim to be. A "principal" generally means a
user, device or some other system which can perform an action in your
application. 这里边有个核心词principal,通俗的理解是要在咱们所写系统中操作的东东,
这个东东可以是人(当然这是最见的),可以是某一个别的什么设备(机器人啥的,呵呵),还可以是别的系统。有了这个,authentication的理解
就顺理成章了: authentication 就是看看要操作咱们系统的东东是不是真的,这在实际应用中大多是通过密码验证来实现的,
也就是对暗号,如暗号对上了,你就是真的了。 而Authorization呢? "Authorization" refers to the
process of deciding whether a principal is allowed to perform an action
in your application. 上面我们说到一个principal要操作咱们的系统,假若这个principal是真的,
那接下来很自然的就是看Ta有没有权限来做Ta想要的操作了. 这也正是Authorization要干的事儿.
有了这两个根本的概念,接下的所有事理解起来就容易了. 这个接下来的事就是Acegi怎么设计实现. 要是自己来设计实现那还真是个问题, 不过看别人的还不至于那么难.
对这两个最核心的概念说的有点多了, 下面看下Acegi的类似实现,也就是Acegi的兄弟们,以及跟他们相比,Acegi自身又有什么优势.
要说Acegi的兄弟, 人们最容易想起来的还是JAAS.大家知道, 这是Java EE里标准实现,
那是由于JAAS的什么缺点致使小弟Acegi把风头给抢了呢?
JAAS配置繁琐、提供的安全访问机制粒度不够和JAAS在WAR和EAR层面上没有移植性这些缺点是江湖流传很广的说法,
当然本人也没机会做这方面的详细比较,姑且就人云亦云地接受这种说法吧。
另外一个兄弟我也是这些天刚认识, 一个叫Crowd的框架, 由于一点也没有接触过,也就不刚妄下判断。看一些文章知道这个Crowd可以跟Acegi结合起来用,想必是它弥补了些Acegi的缺点吧。
核心部件都有哪些?
按理解的深度,Acegi有两个层次上的核心部件。第一层的核心部件是以配置的角度来看的,
也就是说我们要想配置一个Acegi保护的系统都要涉及到哪些. 第二层是实现的核心, 也就是说它们整个Acegi就玩不转了.
这个第二层跟配置不一样, 第一层所说的配置仅仅是应用的一方面,Acegi可以有多种实用并加自己的扩展,
而所有所有的这一切都是围绕第二层的核心部件组建的.
第一层的部件放到下一篇结合实例来说明,这里重点说下实现层面上的核心部件,它们依次是:SecurityContextHolder
, SecurityContext
, HttpSessionContextIntegrationFilter(这个虽放到这里,它在这里也可以说是代表了它们一个群体)
, Authentication
, GrantedAuthority
, UserDetails
, UserDetailsService
. 一共七个, 我们在这里称之为"七剑". 写到这里,脑子里隐隐约约感觉到老子的道家思想了. 你看, Acegi的核心思想是"保护", 围绕这个核心思想分出两个概念Authentication
和Authorization, 具体到怎么来实现这个两个概念就有了我们所说的"七剑", 再往下就是针对不同场合应用的支撑,而再往下就是现在千千万万项目中用到的Acegi配置及扩展.这一个演变系列是不是有点像"道生一,一生二,二生三,三生万物"呢?
对这"七剑"的理解很重要, 只有理解了它们,才能达到万变不离其宗地灵活配置.
这"七剑"在这也先不展开讨论, 等在体会了实例及分析了"第一层核心部件"后再回过头看吧, 那样理解上更自然些.
絮絮叨叨写了不少, 回头总结下,也为下篇写下开头: 这篇以静态的角度了Acegi的核心概念及其核心部件, 下一篇中将动手配置一个小例子,来个真切感受下Web实用中围绕"七剑"都有哪些部件可用。
分享到:
相关推荐
实战Acegi:使用Acegi作为基于Spring框架的WEB应
JAVA开发专家:敏捷Acegi、CAS:构建安全的Java系统 pdf
实战Acegi:使用Acegi作为基于Spring框架的WEB应用的安全框架.rar
实战Acegi:使用Acegi作为基于Spring框架的WEB应用的安全框架.pdf
Acegi是一个专门为SpringFramework应用提供安全机制的开放源代码项目,全称为Acegi Security System for Spring,当前版本为 0.8.3。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和...
acegi,acegi,acegi
被解剖的acegi配置文件. 博文链接:https://rmn190.iteye.com/blog/175041
acegi与cas集成 <!-- ========= Acegi as a CAS Client的配置============= --> class="org.acegisecurity.ui.cas.CasProcessingFilter"> ref="authenticationManager" /> value="/login.do?...
Acegi文档 spring acegi 详细文档
不错的ACEGI 教程
包含acegi-security-1.0.7.jar,acegi-security-1.0.7-sources.jar,acegi-security-cas-1.0.7.jar,acegi-security-cas-1.0.7-sources.jar,acegi-security-catalina-1.0.7.jar,acegi-security-catalina-1.0.7-...
acegi 框架 介绍 spring 安全
Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi安全...
acegi-security 1.0.2.jar
Acegi能做什么 Acegi的体系结构 Acegi核心组件 典型的web认证过程 Acegi的登陆认证 Acegi对安全对象的访问控制 Filter 组件 Acegi的不足之处
1、一个Acegi的例子,可以运行 2、一个很好的学Acegi的网址,0基础学习Acegi,强烈推荐 3、有什么问题可以发邮件heroshen@126.com讨论
关于Acegi的安全框架,里面有Acegi的实例,讲述得挺清楚的,
acegi,spring的安全验证框架
Acegi安全系统,是一个用于Spring Framework的安全框架,能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务,包括使用Bean Context,拦截器和面向接口的编程方式。因此,Acegi安全...