Acegi 关键组件详述

作者： cac，作者保留版权，转载请注明出处。

1.Filter 组件

HttpSessionContextIntegrationFilter

该Filter负责每次请求前从HttpSession中获取Authentication对象，然后把Authentication存于一个新的ContextHolder对象(其实质上只是一个ThreadLocal对象)中，则让该次请求过程中的任何Filter都可以通过ContextHolder来共享Authentication，而不需要从HttpSession中取，减少传HttpRequest参数的麻烦。在请求完后把Authentication对象保存到HttpSession中供下次请求使用, 最后把刚才生成的ContextHolder对象销毁。这样就达到了让Authentication对象跨越多个请求的目的。

注意此filter须在调用其他Acegi filter前使用:

<bean id="httpSessionContextIntegrationFilter" class="org.acegisecurity.context.HttpSessionContextIntegrationFilter">
bean>

    AuthenticationProcessingFilter

该Filter负责处理登陆身份验证。当接受到与filterProcessesUrl所定义相同的请求时，它会首先通过AuthenticationManager来验证用户身份。如果验证成功，则重定向到defaultTargetUrl所定义的成功登陆页面。如果验证失败，则再从rememberMeServices中获取用户身份，若再获取失败，则重定向到authenticationFailureUrl所定义登陆失败页面。

<bean id="authenticationProcessingFilter" class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
      <property name="authenticationManager"><ref bean="authenticationManager"/>property>
      <property name="authenticationFailureUrl"><value>/acegilogin.jsp?login_error=1value>property>
      <property name="defaultTargetUrl"><value>/value>property>
      <property name="filterProcessesUrl"><value>/j_acegi_security_checkvalue>property>
      <property name="rememberMeServices"><ref local="rememberMeServices"/>property>
bean>

    LogoutFilter

该Filter负责处理退出登录后所需要的清理工作。它会把session销毁,把ContextHolder清空， 把rememberMeServices从cookies中清除掉，然后重定向到指定的退出登陆页面。

<bean id="logoutFilter" class="org.acegisecurity.ui.logout.LogoutFilter">
      <constructor-arg value="/index.jsp"/> -- URL redirected to after logout ->
      <constructor-arg>
         <list>
              <ref bean="rememberMeServices"/>
              <bean class="org.acegisecurity.ui.logout.SecurityContextLogoutHandler"/>
         list>
      constructor-arg>
bean>

    FilterInvocationInterceptor

该过滤器会首先调用AuthenticationManager判断用户是否已登陆认证，如还没认证成功，则重定向到登陆界面。认证成功，则并从Authentication中获取用户的权限。然后从objectDefinitionSource属性获取各种URL资源所对应的权限。最后调用AccessDecisionManager来判断用户所拥有的权限与当前受保华的URL资源所对应的权限是否相匹配。如果匹配失败，则返回403错误(禁止访问)给用户。匹配成功则用户可以访问受保护的URL资源。

<bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
      <property name="authenticationManager"><ref bean="authenticationManager"/>property>
      <property name="accessDecisionManager"><ref local="httpRequestAccessDecisionManager"/>property>
      <property name="objectDefinitionSource">
         <value>
                                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
                                PATTERN_TYPE_APACHE_ANT
                                /index.jsp=ROLE_ANONYMOUS,ROLE_USER
                                /hello.htm=ROLE_ANONYMOUS,ROLE_USER
                                /logoff.jsp=ROLE_ANONYMOUS,ROLE_USER
                                /switchuser.jsp=ROLE_SUPERVISOR
                                /j_acegi_switch_user=ROLE_SUPERVISOR
                                /acegilogin.jsp*=ROLE_ANONYMOUS,ROLE_USER
                                /**=ROLE_USER
        value>
      property>
bean>

    SecurityContextHolderAwareRequestFilter

该Filter负责通过Decorate Model(装饰模式)，装饰的HttpServletRequest对象。其Wapper是ServletRequest包装类HttpServletRequestWrapper的子类(SavedRequestAwareWrapper或SecurityContextHolderAwareRequestWrapper)，附上获取用户权限信息，request参数，headers, Date headers 和 cookies 的方法。

<bean id="securityContextHolderAwareRequestFilter" class="org.acegisecurity.wrapper.SecurityContextHolderAwareRequestFilter" />

    BasicProcessingFilter

该Filter负责处理HTTP头的认证信息，如从Spring远程协议(如Hessian和Burlap)或普通的浏览器如IE,Navigator的HTTP头中获取用户信息，将他们转交给通过authenticationManager属性装配的认证管理器。如果认证成功，会将一个Authentication对象放到会话中，否则，如果认证失败，会将控制转交给认证入口点(通过authenticationEntryPoint属性装配)

   <bean id="basicProcessingFilter" class="org.acegisecurity.ui.basicauth.BasicProcessingFilter">
      <property name="authenticationManager"><ref local="authenticationManager"/>property>
      <property name="authenticationEntryPoint"><ref local="basicProcessingFilterEntryPoint"/>property>
   bean>

   <bean id="basicProcessingFilterEntryPoint" class="org.acegisecurity.ui.basicauth.BasicProcessingFilterEntryPoint">
      <property name="realmName"><value>Contacts Realmvalue>property>
   bean>

    RememberMeProcessingFilter

该Filter负责在用户登录后在本地机上记录用户cookies信息，免除下次再次登陆。检查AuthenticationManager 中是否已存在Authentication对象，如果不存在则会调用RememberMeServices的aotoLogin方法来从cookies中获取Authentication对象

    <bean id="rememberMeProcessingFilter" class="org.acegisecurity.ui.rememberme.RememberMeProcessingFilter">
                   <property name="authenticationManager" ref="authenticationManager" />
                   <property name="rememberMeServices" ref="rememberMeServices" />
    bean>

    AnonymousProcessingFilter

该Filter负责为当不存在任何授权信息时，自动为Authentication对象添加userAttribute中定义的匿名用户权限

    <bean id="anonymousProcessingFilter" class="org.acegisecurity.providers.anonymous.AnonymousProcessingFilter">
         <property name="key" value="changeThis" />
         <property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS" />
    bean>

    ExceptionTranslationFilter

该过滤器负责处理各种异常，然后重定向到相应的页面中。

         <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
                   <property name="authenticationEntryPoint">
                            <bean class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
                                     <property name="loginFormUrl" value="/login.jsp" />
                                     <property name="forceHttps" value="false" />
                            bean>
                   property>
                   <property name="accessDeniedHandler">
                            <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">
                                     <property name="errorPage" value="/accessDenied.jsp" />
                            bean>
                   property>
         bean>

2. 拦截器组件

    MethodSecurityInterceptor

该拦截器实现了org.aopalliance.intercept.MethodInterceptor接口。在方法被调用之前，拦截器会先调用AuthenticationManager判断用户身份是否已验证，然后从objectDefinitionSource中获取方法所对应的权限，再调用AccessDecisionManager来匹配用户权限和方法对应的权限。如果用户没有足够权限调用当前方法，则抛出AccessDeniedException使方法不能被调用。调用runAsManager，使在调用方法前动态改变Authentication中获取用户权限。

    <bean id="securityInterceptor" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
                   <property name="validateConfigAttributes">
                            <value>falsevalue>
                   property>
                  <property name="authenticationManager">
                            <ref local="authenticationManager" />
                   property>
                   <property name="accessDecisionManager">
                            <ref local="accessDecisionManager" />
                   property>
                   <property name="runAsManager">
                            <ref local="runAsManager" />
                   property>
                   <property name="objectDefinitionSource">
                       <value>
                         sample.contact.ContactManager.create=ROLE_USER
                         sample.contact.ContactManager.getAllRecipients=ROLE_ADMIN
                       value>
                   property>
     bean>

    BeanNameAutoProxyCreator

设置AOP代理的最简单方法就是用Spring的BeanNameAutoProxyCreator。在BeanNameAutoProxyCreator中选出你所需要的interceptor, 和列出你所需要保护的Bean。

    <bean id="autoProxyCreator" class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">
                   <property name="proxyTargetClass" value="true" />
                   <property name="interceptorNames">
                            <list>
                                     <idref local="securityInterceptor" />
                            list>
                   property>
                   <property name="beanNames">
                            <list>
                                <idref bean="userManager"/>
                                <idref bean="roleManager"/>
                                <idref bean="rescManager"/>
                            list>
                   property>
     bean>

3. 其它组件

    AccessDecisionManager

AccessDecisionManager接口有decide()和support()方法。decide()方法是进行决策是否批准通过，如果没抛出AccessDeniedException则为允许访问资源，否则拒绝访问。support()方法是根据配置属性和受保护资源的类来判断是否需要对该资源作出决策判断。

AccessDecisionManager的 decisionVoters属性需要一个或多个Voter(投票者)，Voter必须实现AccessDecisionVoter 接口。Voter的工作是去匹配用户已拥有的权限和受保护的资源要求的权限，在该资源有相应权限的情况下，如果匹配则投允许票，否则投反对票。allowIfAllAbstainDecisions属性表示是否允许所有都弃权时就通过。Voter的实现类RoleVoter在当受保护资源的名字由ROLE_开始时才参与投票。

AccessDecisionManager有三个实现类，功能各不相同:
AffirmativeBased: 当至少有一个Voter投允许票时才通过
UnanimousBased: 没有Voter投反对票时才通过
ConsensusBased: 当所有Voter都投允许票时才通过

<bean id="accessDecisionManager" class="org.acegisecurity.vote.UnanimousBased">
        <property name="allowIfAllAbstainDecisions">
                <value>falsevalue>
        property>
        <property name="decisionVoters">
                <list>
                        <ref local="roleVoter" />
                list>
        property>
 bean>

<bean id="roleVoter" class="org.acegisecurity.vote.RoleVoter" />

    AuthenticationManager

AuthenticationManager的其中一个实现是ProviderManager，它负责把身份验证的工作委托给一个或多个Provider(认证提供者)。

Provider都是实现AuthenticationProvider接口，该接口有两个方法authenticate()和support()。authenticate()方法会尝试验证用户身份，若验证成功则返回一个Authentication对象，否则抛出一个AuthenticationException。

support()方法会评估当前Authentication对象是否适合这Provider来进行进一步的处理，而不是指已经通过。

Provir有多个实现， 例如daoAuthenticationProvider，anonymousAuthenticationProvider，rememberMeAuthenticationProvider。

<bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
      <property name="providers">
         <list>
            <ref local="daoAuthenticationProvider"/>
            <ref local="anonymousAuthenticationProvider"/>
             <ref local="rememberMeAuthenticationProvider"/>
         list>
      property>
bean>

daoAuthenticationProvider负责提供用户信息，包括用户名和密码。其中取用户名密码的工作就交给userDetailsService来做。通过userCache来缓存用户信息，减少查询数据库次数。用passwordEncoder来使用加密密码。userDetailsService的接口实现有jdbcDaoImpl和inMemoryDaoImpl。jdbcDaoImpl通过数据库获取用户名和密码，而inMemoryDaoImpl则只是通过xml定义的方式来获取。
userCache的接口实现有EhCacheBasedUserCache和NullUserCache。NullUserCache实际上就是不进行缓存。EhCacheBasedUserCache是基于ehcache的开源缓存项目来实现的。
passwordEncoder是使用加密器对用户输入的明文进行加密。Acegi提供了三种加密器:
PlaintextPasswordEncoder---默认，不加密，返回明文.
ShaPasswordEncoder---哈希算法(SHA)加密
d5PasswordEncoder---消息摘要(MD5)加密

<bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">
      <property name="userDetailsService"><ref local="jdbcDaoImpl"/>property>
      <property name="userCache"><ref local="userCache"/>property>
      <property name="passwordEncoder"><ref local="passwordEncoder"/>property>
bean>

<bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
      <property name="dataSource"><ref bean="dataSource"/>property>
bean>

<bean id="userCache" class="org.acegisecurity.providers.dao.cache.EhCacheBasedUserCache">
      <property name="cache"><ref local="userCacheBackend"/>property>
bean>

<bean id="passwordEncoder" class="org.acegisecurity.providers.encoding.Md5PasswordEncoder"/>

<bean id="userCacheBackend" class="org.springframework.cache.ehcache.EhCacheFactoryBean">
      <property name="cacheManager">
         <ref local="cacheManager"/>
      property>
      <property name="cacheName">
         <value>userCachevalue>
      property>
bean>

<bean id="cacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean"/>

anonymousAuthenticationProvider负责匿名用户的AnonymousAuthenticationToken的进一步处理

<bean id="anonymousAuthenticationProvider" class="org.acegisecurity.providers.anonymous.AnonymousAuthenticationProvider">
      <property name="key"><value>foobarvalue>property>
bean>

rememberMeAuthenticationProvider负责Cookies记忆用户RememberMeAuthenticationToken的进一步处理

<bean id="rememberMeAuthenticationProvider" class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider">
      <property name="key"><value>springRocksvalue>property>
bean>

    RememberMeServices

rememberMeServices负责通过以cookie的形式保存先前的用户登录信息。在Authentication对象不存在时，rememberMeProcessingFilter会调用rememberMeServices的autoLogin()方法，尝试在cookie中获取用户登录信息，如果存在则并返回Authentication对象。在每次用户登录时，如果设置了RememberMe功能，在验证用户身份成功后，则会调用loginSuccess()方法记录用户信息在cookie中，否则调用loginFail()方法清除cookie。

<bean id="rememberMeServices" class="org.acegisecurity.ui.rememberme.TokenBasedRememberMeServices">
        <property name="userDetailsService" ref="userDetailsService" />
        <property name="key" value="changeThis" />
bean>

    runAsManager

runAsManager提供了动态替换 ContextHolder中Authentication对象的功能。

<bean id="runAsManager" class="org.acegisecurity.runas.RunAsManagerImpl">
        <property name="key">
                <value>my_run_as_passwordvalue>
        property>
bean>