Acegi Security安全控制框架介绍.ppt

1、Kerry Dong,Acegi Security安全控制框架介绍,目录,Acegi能干什么 Acegi体系结构 Acegi使用实例,Acegi能干什么,用惯了oa和tapd的安全控制，来点新鲜的 Acegi是Java社区一个比较出名的安全控制框架 能为企业级应用提供安全解决方案 成为Spring的子项目，又叫Spring Security 利用Spring的Ioc和AOP功能，提供声明式安全控制功能 提供的安全服务： 1. URL资源访问控制 2. 业务方法访问控制 3. 领域对象访问控制,Acegi能干什么,Acegi通过多个不同用途的Servlet过滤器对URL资源进行保护，在请求受保护

2、的URL资源前，Acegi的Servlet过滤器判断用户是否有权访问目标资源，授权者被开放访问，而未未被授权者将被阻挡在大门之外。 Acegi通过Spring AOP对容器中Bean的受控方法进行拦截，当用户的请求引发调用Bean的受控方法时，Acegi的方法拦截器开始工作，阻止未授权者的调用。 对领域对象的访问控制建立在对Bean方法保护的基础上，在最终开放目标Bean方法的执行前，Acegi将检查用户的ACL（Aeccess Control List：访问控制列表）是否包含正要进行操作的领域对象，只有领域对象被授权时，用户才可以使用Bean方法对领域对象进行处理。此外，Acegi还可以对B

3、ean方法返回的结果进行过滤，将一些不在当前用户访问权限范围内的领域对象剔除掉即传统的数据可视域范围的控制。一般来说，使用Acegi控制数据可视域并非理想的选择，相反通过传统的动态SQL的解决方案往往更加简单易行。,Acegi能干什么,Acegi支持的认证 （登录方式） 1. Basic ： 服务器返回401（authentication required）状态，客户端弹出一个窗口，用于输入用户名和密码 用户名密码以及内容都是以非加密的方式传输 2. 摘要： 客户端返回用户名和密码的摘要信息（比如说MD5加密） 黑客还是可以利用digest值来访问网站。并且，它对内容并不加密 3. Form

4、： 高度可定制：可以根据自己的需要来实现认证逻辑。 服务器端保存客户端信息（比如session）。 客户端保存cookie，一般是username和一个cookie值(比如sessionId)的组合。 4. 证书 ： 使用SSL协议和数字证书身份证明 5. 单点登录： 多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统 通过ticket表明身份,Acegi能干什么,Acegi支持的认证 (数据源) 1. 数据库 ： 最常用的方式，结构灵活 2. LDAP : 从LDAP服务器中获取用户信息 3. JAAS ： Java验证和授权API，提供了灵活和可伸缩的机制来保证客户端或服务

5、器端的Java程序，基于用户的访问控制，即根据谁在运行代码来进行授权 4. CAS : 根据Yale中心认证服务进行认证 5. X509 使用509数字证书中进行验证 6. Remember Me 从Cookie中获取用户信息 7. 匿名登录： 匿名访问 。,Acegi能干什么,传输协议 HTTP ： HTTP Post发送的表单数据以明文传送，安全性比较差 HTTPS ： SSL + HTTP 需要WEB服务器和浏览器两方支持 SSL在TCP/IP层和应用层之间，对传输数据进行加密 HTTPS带来了的响应性能损耗，并不是所有资源都需要加密 Acegi支持通过简单配置实现基于HTTP和HTTP

6、S的访问控制,目录,Acegi能干什么 Acegi体系结构 Acegi使用实例,Acegi体系结构,Acegi体系结构,AuthenticationManager 认证管理器，完成身份的认证 AccessDecisionManager 访问控制管理器，完成资源的访问授权 SecurityContext 存储认证以后身份和权限信息 在一次请求的多个调用之间共享 通过session在多次调用间共享 保存在SecurityContextHolder中,Acegi体系结构,Acegi体系结构,AuthenticationManager AuthenticationManager将身份认证的工作委托给多

7、个AuthenticationProvider。 不同的AuthenticationProvider执行诸如用户信息查询、用户身份判断、用户授权信息获取等工作（如数据库、CA中心、LDAP） 只要有一个AuthenticationProvider可以识别用户的身份，AuthenticationManager就通过用户身份认证，并将用户的授权信息放入到SecurityContext中,Acegi体系结构,AccessDecisionManager AccessDecisionManager采用民主决策机制判断用户是否有权访问目标程序资源，它包含了多个AccessDecisionVoter。 在访

8、问决策时每个AccessDecisionVoter都拥有投票权，AccessDecisionManager统计投票结果，并按照某种决策方式根据这些投票结果决定最终是否向用户开放受限资源的访问。,Acegi体系结构,UserDetail loadUserByUserName(String username) Authentication Object getPrincipal() 获取用户对象 被认证后将UserDetail中的权限信息加载进来 是Acegi进行安全访问控制的用户安全信息对象 存储在SecurityContext中,目录,Acegi能干什么 Acegi体系结构 Acegi使用实例

9、,Acegi使用实例,在请求的最开始进行拦截过滤 Web.xml channelFilterProxy org.acegisecurity.util.FilterToBeanProxy targetClass org.acegisecurity.securechannel.ChannelProcessingFilter channelFilterProxy /*,Acegi使用实例,2. 配置具体的拦截过程 spring配置 contextConfigLocationclasspath:applicationContext.xml org.springframework.web.context

10、.ContextLoaderListener ,Acegi使用实例,3. 配置具体安全拦截逻辑 CONVERT_URL_TO_UPPERCASE_BEFORE_COMPARISONPATTERN_TYPE_APACHE_ANT/*=httpSessionContextIntegrationFilter,authenticationProcessingFilter,logoutFilter 有具体的多个逻辑过滤器组成 每一个都要定义对应的Bean处理,Acegi使用实例,4. 身份认证管理配置 用户名：密 码： ,Acegi使用实例,5. 身份认证管理配置 认证管理器 (基于内存的认证)John

11、=john,PRIV_COMMON,PRIV_1Tom=tom,PRIV_COMMON,PRIV_1,PRIV_2Peter=peter,disabled,PRIV_COMMON,PRIV_1 ,Acegi使用实例,6. 身份认证管理配置 密码加密 ,Acegi使用实例,7. 多个请求间共享SecurityContext 通过HttpSessionContextIntegrationFilter，将session中获取SecurityContext放入SecurityContextHolder中，请求结束时再放入session中。 CONVERT_URL_TO_UPPERCASE_BEFORE

12、_COMPARISONPATTERN_TYPE_APACHE_ANT/*=httpSessionContextIntegrationFilter,authenticationProcessingFilter,logoutFilter ,Acegi使用实例,8. 退出处理 CONVERT_URL_TO_UPPERCASE_BEFORE_COMPARISONPATTERN_TYPE_APACHE_ANT/*=httpSessionContextIntegrationFilter,authenticationProcessingFilter,logoutFilter ,Acegi使用实例,9. Re

13、member Me a. 登陆时将用户名密码信息记录到cookie 5天内不再登陆 b.根据rememberme登录 ,Acegi使用实例,10. URL资源访问控制 CONVERT_URL_TO_UPPERCASE_BEFORE_COMPARISONPATTERN_TYPE_APACHE_ANT/*=authenticationProcessingFilter,logoutFilter,filterSecurityInterceptor CONVERT_URL_TO_UPPERCASE_BEFORE_COMPARISON PATTERN_TYPE_APACHE_ANT /secure/*=R

14、OLE_USER /secure/manage/*=ROLE_ADMIN /*=ROLE_ANONYMOUS ,Acegi使用实例,11. 异常访问控制 ,Acegi使用实例,12. 业务方法控制 *.*.*Dao=ROLE_ADMIN * =ROLE_USER 使用注释 Secured(“ROLE_ADMIN,ROLE_USER”),Acegi使用实例,其他功能： HTTPS Session并发 页面标签库 缓存 Captcha图片验证 X509 。,Acegi使用实例,Acegi3新版本的改变 支持Spring3.0. ，现在只能在JDK-5.0以上环境使用，不再支持JDK-1.4以及之前的版本。 大量重构代码结构，将核心库c