? ? ? Acegi安全系統(tǒng)，是一個用于SpringFramework的安全框架，能夠和目前流行的Web容器無縫集成。它使用了Spring的方式提供了安全和認證安全服務，包括使用Bean Context，攔截器和面向接口的編程方式。因此，Acegi安全系統(tǒng)能夠輕松地適用于復雜的安全需求。

?

Acegi的配置主要包括兩個方面的內容：

web.xml中過濾器的配置和Acegi安全文件的配置。

一、web.xml中過濾器的配置

1) ?FilterToBeanProxy
　　Acegi通過實現(xiàn)了Filter接口的FilterToBeanProxy提供一種特殊的使用Servlet Filter的方式，它委托Spring中的Bean -- FilterChainProxy來完成過濾功能，這好處是簡化了web.xml的配置，并且充分利用了Spring IOC的優(yōu)勢。FilterChainProxy包含了處理認證過程的filter列表，每個filter都有各自的功能。

? <filter>

? ? ? <filter-name>Acegi Filter Chain Proxy</filter-name>

? ? ? <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>

? ? ? <init-param>

? ? ? ? ? <param-name>targetClass</param-name> ?

? ? ? ? ?<param-value>org.acegisecurity.util.FilterChainProxy</param-value>

? ? ? ?</init-param>

? </filter>

2) filter-mapping
　　<filter-mapping>限定了FilterToBeanProxy的URL匹配模式,只有*.do和*.jsp和/j_acegi_security_check 的請求才會受到權限控制，對javascript,css等不限制。

?<filter-mapping>

? ? ?<filter-name>Acegi Filter Chain Proxy</filter-name>

? ? <url-pattern>*.do</url-pattern>

?</filter-mapping> ?

?<filter-mapping> ?

? ?<filter-name>Acegi Filter Chain Proxy</filter-name> ?

? ?<url-pattern>*.jsp</url-pattern>

?</filter-mapping> ?

? <filter-mapping> ?

? ?<filter-name>Acegi Filter Chain Proxy</filter-name> ?

? ?<url-pattern>/j_acegi_security_check</url-pattern>

</filter-mapping>

當然，也可以對所有請求進入權限控制，如下：

<filter-mapping>

? ? ? ? ? <filter-name>Acegi Filter Chain Proxy</filter-name>

? ? ? ? ? <url-pattern>/*</url-pattern>

? ?</filter-mapping>

具體應該怎么配置可以根據實際的需要

二、Acegi安全文件的配置

1) 過濾鏈(FILTER CHAIN)

　　FilterChainProxy會按順序來調用這些filter,使這些filter能享用Spring ioc的功能, CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON定義了url比較前先轉為小寫，PATTERN_TYPE_APACHE_ANT定義了使用Apache ant的匹配模式

<bean id="filterChainProxy"

? ? ? ?class="org.acegisecurity.util.FilterChainProxy">

? ? ? ?<property name="filterInvocationDefinitionSource">

? ? ? ? ? ?<value>

? ? ? ? ? ? ? ?CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON

? ? ? ? ? ? ? ?PATTERN_TYPE_APACHE_ANT ? ? ? ? ? ? ? ? ? ? ? ? ?/**=httpSessionContextIntegrationFilter,basicProcessingFilter,exceptionTranslationFilter,

filterInvocationInterceptor

? ? ? ? ? ?</value>

? ? ? ?</property>

? ?</bean>

2) httpSessionContextIntegrationFilter
　　每次request前 HttpSessionContextIntegrationFilter從Session中獲取Authentication對象，在request完后, 又把Authentication對象保存到Session中供下次request使用,此filter必須其他Acegi filter前使用，使之能跨越多個請求。

<bean id="httpSessionContextIntegrationFilter"

? ? ? ?class="org.acegisecurity.context.HttpSessionContextIntegrationFilter">

? ?</bean>

3) basicProcessingFilter
　　用于處理HTTP頭的認證信息，如從Spring遠程協(xié)議(如Hessian和Burlap)或普通的瀏覽器如IE,Navigator的HTTP頭中獲取用戶信息，將他們轉交給通過authenticationManager屬性裝配的認證管理器。如果認證成功，會將一個Authentication對象放到會話中，否則，如果認證失敗，會將控制轉交給認證入口點(通過authenticationEntryPoint屬性裝配)

<bean id="basicProcessingFilter" class="org.acegisecurity.ui.basicauth.BasicProcessingFilter">

? ? ? ?<property name="authenticationManager" ref="authenticationManager" />

? ? ? ?<property name="authenticationEntryPoint" ref="basicProcessingFilterEntryPoint" />

</bean>

4) basicProcessingFilterEntryPoint
　　通過向瀏覽器發(fā)送一個HTTP401(未授權)消息，提示用戶登錄。
處理基于HTTP的授權過程， 在當驗證過程出現(xiàn)異常后的"去向"，通常實現(xiàn)轉向、在response里加入error信息等功能。

<bean id="basicProcessingFilterEntryPoint"

? ? ? ?class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint">

? ? ? ?<property name="realmName" value="Acegi First Realm Name" />

? ?</bean>

? ?其中，realmName屬性取值并不存在太多的實際含義，運行時，”Acegi First Realm Name“字符串會顯示在IE瀏覽器彈出的ＨＴＴＰ BASIC認證對話框中。

5)exceptionTranslationFilter
　　異常轉換過濾器，主要是處理AccessDeniedException和AuthenticationException，將給每個異常找到合適的"去向"

<bean id="exceptionTranslationFilter"

? ? ? ?class="org.acegisecurity.ui.ExceptionTranslationFilter">

? ? ? ?<property name="authenticationEntryPoint" ref="basicProcessingFilterEntryPoint" />

? ?</bean>

在此，如果認證不通過將會將控制轉交給認證入口點(通過authenticationEntryPoint屬性裝配)

6) authenticationManager
　　起到認證管理的作用，它將驗證的功能委托給多個Provider，并通過遍歷Providers, 以保證獲取不同來源的身份認證，若某個Provider能成功確認當前用戶的身份，authenticate()方法會返回一個完整的包含用戶授權信息的Authentication對象，否則會拋出一個AuthenticationException。
Acegi提供了不同的AuthenticationProvider的實現(xiàn),如：
? ? ? ?DaoAuthenticationProvider 從數據庫中讀取用戶信息驗證身份
? ? ? ?AnonymousAuthenticationProvider 匿名用戶身份認證
? ? ? ?RememberMeAuthenticationProvider 已存cookie中的用戶信息身份認證
? ? ? ?AuthByAdapterProvider 使用容器的適配器驗證身份
? ? ? ?CasAuthenticationProvider 根據Yale中心認證服務驗證身份, 用于實現(xiàn)單點登陸
? ? ? ?JaasAuthenticationProvider 從JASS登陸配置中獲取用戶信息驗證身份
? ? ? ?RemoteAuthenticationProvider 根據遠程服務驗證用戶身份
? ? ? ?RunAsImplAuthenticationProvider 對身份已被管理器替換的用戶進行驗證
? ? ? ?X509AuthenticationProvider 從X509認證中獲取用戶信息驗證身份
? ? ? ?TestingAuthenticationProvider 單元測試時使用

每個認證者會對自己指定的證明信息進行認證，如DaoAuthenticationProvider僅對UsernamePasswordAuthenticationToken這個證明信息進行認證。

<bean id="authenticationManager"

? ? ? ?class="org.acegisecurity.providers.ProviderManager">

? ? ? ?<property name="providers">

? ? ? ? ? ?<list>

? ? ? ? ? ? ? ?<ref local="daoAuthenticationProvider" />

? ? ? ? ? ?</list>

? ? ? ?</property>

? ?</bean>

7) daoAuthenticationProvider
　　進行簡單的基于數據庫的身份驗證。DaoAuthenticationProvider獲取數據庫中的賬號密碼并進行匹配，若成功則在通過用戶身份的同時返回一個包含授權信息的Authentication對象，否則身份驗證失敗，拋出一個AuthenticatiionException。

? ?<bean id="daoAuthenticationProvider"

? ? ? ?class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">

? ? ? ?<property name="userDetailsService" ref="inMemDaoImpl" />

? ?</bean>

? ?<bean id="inMemDaoImpl"

? ? ? ?class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">

? ? ? ?<property name="userMap">

? ? ? ? ? ?<value>

? ? ? ? ? ? ? ?javaee=password,ROLE_SUPERVISOR

? ? ? ? ? ? ? ?qiuzj=password,ROLE_SUPERVISOR,disabled

</value>

? ? ? ?</property>

? ?</bean>

inMemDaoImpl提供的是基于內存存儲用戶的信息，inMemDaoImpl借助于userMap屬性定義了若干用戶。其中qiuzj狀態(tài)為disabled，即處于失效狀態(tài)

javaee=password,ROLE_SUPERVISOR格式為: 用戶名=密碼,以逗號分隔的多個角色

qiuzj =password,ROLE_SUPERVISOR,disabled格式為: 用戶名=密碼,以逗號分隔的多個角色,用戶狀態(tài)

8) filterInvocationInterceptor
　　在執(zhí)行轉向url前檢查objectDefinitionSource中設定的用戶權限信息。首先，objectDefinitionSource中定義了訪問URL需要的屬性信息(這里的屬性信息僅僅是標志，告訴accessDecisionManager要用哪些voter來投票)。然后，authenticationManager掉用自己的provider來對用戶的認證信息進行校驗。最后，有投票者根據用戶持有認證和訪問url需要的屬性，調用自己的voter來投票，決定是否允許訪問。

<bean id="filterInvocationInterceptor"

? ? ? ?class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">

? ? ? ?<property name="authenticationManager" ref="authenticationManager" />

? ? ? ?<property name="accessDecisionManager" ref="httpRequestAccessDecisionManager" />

? ? ? ?<property name="objectDefinitionSource">

? ? ? ? ? ?<value><![CDATA[

? ? ? ? ? ? ? ?CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON

? ? ? ? ? ? ? ?PATTERN_TYPE_APACHE_ANT

? ? ? ? ? ? ? ?/secure.jsp=ROLE_SUPERVISOR

? ? ? ? ? ?]]></value>

? ? ? ?</property>

? ?</bean>

objectDefinitionSource定義了web資源與角色的對應關系，即URL的權限配置信息。用于指定不同的URL資源對應的權限。例如配置：

/**/*.jpg=AUTH_ANONYMOUS,AUTH_USER

/**/*.gif=AUTH_ANONYMOUS,AUTH_USER

/**/*.png=AUTH_ANONYMOUS,AUTH_USER

/login.jsp*=AUTH_ANONYMOUS,AUTH_USER

/**=AUTH_USER

以上配置指定AUTH_ANONYMOUS權限的用戶（即匿名用戶）只可以訪問圖片資源和登錄頁面，AUTH_USER權限的用戶可以訪問全部WEB資源。

9) httpRequestAccessDecisionManager（投票通過策略管理器）用于管理投票通過策略。Acegi提供三種投票通過策略的實現(xiàn)：

AffirmativeBased（至少一個投票者同意方可通過），ConsensusBased（多數投票者同意方可通過），UnanimousBased（所有投票者同意方可通過）。本程序采用AffirmativeBased策略，并且禁止“沒人反對就通過”的投票策略。

<bean id="httpRequestAccessDecisionManager"

? ? ? ?class="org.acegisecurity.vote.AffirmativeBased">

? ? ? ?<property name="allowIfAllAbstainDecisions" value="false"/>

? ? ? ?<property name="decisionVoters">

? ? ? ? ? ?<list>

? ? ? ? ? ? ? ?<bean class="org.acegisecurity.vote.RoleVoter"/>

? ? ? ? ? ?</list>

? ? ? ?</property>

? ?</bean>

必須是以rolePrefix設定的value開頭的權限才能進行投票,如AUTH_ , ROLE_

? ?<bean id="roleVoter" class="org.acegisecurity.vote.RoleVoter"> ? ? ? ?<property name="rolePrefix" value="AUTH_"/> ? </bean>

默認時，rolePrefix = "ROLE_"

轉自：zhanjia :http://zhanjia.iteye.com/blog

轉載于:https://blog.51cto.com/4610383/1264535

總結

以上是生活随笔為你收集整理的关于Acegi的详细信息(配置)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。