Acegi Security -- Spring下最优秀的安全系统

3) passwordEncoder
　　使用加密器对用户输入的明文进行加密。Acegi提供了三种加密器:
PlaintextPasswordEncoder—默认，不加密，返回明文.
ShaPasswordEncoder—哈希算法(SHA)加密
Md5PasswordEncoder—消息摘要(MD5)加密

<bean id="passwordEncoder" ref="dataSource"/>??????? <property name="usersByUsernameQuery">??????????? <value>select loginid,passwd,1 from users where loginid = ?</value>??????? </property>??????? <property name="authoritiesByUsernameQuery">??????????? <value>select u.loginid,p.name from users u,roles r,permissions p,user_role ur,role_permis rp where u.id=ur.user_id and r.id=ur.role_id and p.id=rp.permis_id and??????????????? r.id=rp.role_id and p.status='1' and u.loginid=?</value>??????? </property></bean>

5) userCache　&? resourceCache
　　缓存用户和资源相对应的权限信息。每当请求一个受保护资源时，daoAuthenticationProvider就会被调用以获取用户授权信息。如果每次都从数据库获取的话，那代价很高，对于不常改变的用户和资源信息来说，最好是把相关授权信息缓存起来。(详见 2.6.3 资源权限定义扩展 )
userCache提供了两种实现: NullUserCache和EhCacheBasedUserCache, NullUserCache实际上就是不进行任何缓存，EhCacheBasedUserCache是使用Ehcache来实现缓功能。

??? <bean id="userCacheBackend" ref="cacheManager"/>??????? <property name="cacheName" value="userCache"/>??? </bean>??? <bean id="userCache" autowire="byName">??????? <property name="cache" ref="userCacheBackend"/>  ??? </bean>??? <bean id="resourceCacheBackend" ref="cacheManager"/>??????? <property name="cacheName" value="resourceCache"/>??? </bean>??? <bean id="resourceCache" autowire="byName">??????? <property name="cache" ref="resourceCacheBackend"/>??? </bean>

6) basicProcessingFilter
　　用于处理HTTP头的认证信息，如从Spring远程协议(如Hessian和Burlap)或普通的浏览器如IE,Navigator的HTTP头中获取用户信息，将他们转交给通过authenticationManager属性装配的认证管理器。如果认证成功，会将一个Authentication对象放到会话中，否则，如果认证失败，会将控制转交给认证入口点(通过authenticationEntryPoint属性装配)

??? <bean id="basicProcessingFilter" ref="authenticationManager"/>??????? <property name="authenticationEntryPoint" ref="basicProcessingFilterEntryPoint"/>??? </bean>

7) basicProcessingFilterEntryPoint
　　通过向浏览器发送一个HTTP401(未授权)消息，提示用户登录。
处理基于HTTP的授权过程， 在当验证过程出现异常后的"去向"，通常实现转向、在response里加入error信息等功能。

 <bean id="basicProcessingFilterEntryPoint" value="SpringSide Realm"/></bean>

8) authenticationProcessingFilterEntryPoint
　　当抛出AccessDeniedException时，将用户重定向到登录界面。属性loginFormUrl配置了一个登录表单的URL,当需要用户登录时，authenticationProcessingFilterEntryPoint会将用户重定向到该URL

 <bean id="authenticationProcessingFilterEntryPoint" value="false"/></bean>

2.2.3 HTTP安全请求

1) httpSessionContextIntegrationFilter
　　每次request前 HttpSessionContextIntegrationFilter从Session中获取Authentication对象，在request完后, 又把Authentication对象保存到Session中供下次request使用,此filter必须其他Acegi filter前使用，使之能跨越多个请求。

<bean id="httpSessionContextIntegrationFilter" value="false"/>??????? <property name="decisionVoters">??????????? <list>??????????????? <ref bean="roleVoter"/>??????????? </list>??????? </property></bean>

2) httpRequestAccessDecisionManager
　　经过投票机制来决定是否可以访问某一资源(URL或方法)。allowIfAllAbstainDecisions为false时如果有一个或以上的decisionVoters投票通过,则授权通过。可选的决策机制有ConsensusBased和UnanimousBased

??? <bean id="httpRequestAccessDecisionManager" value="false"/>??????? <property name="decisionVoters">??????????? <list>??????????????? <ref bean="roleVoter"/>??????????? </list>??????? </property>??? </bean>

3) roleVoter
?　　必须是以rolePrefix设定的value开头的权限才能进行投票,如AUTH_ , ROLE_

??? <bean id="roleVoter" value="AUTH_"/>?? </bean>

4）exceptionTranslationFilter
　　异常转换过滤器，主要是处理AccessDeniedException和AuthenticationException，将给每个异常找到合适的"去向"?

?? <bean id="exceptionTranslationFilter" ref="authenticationProcessingFilterEntryPoint"/>??? </bean>

5) authenticationProcessingFilter
　　和servlet spec差不多,处理登陆请求.当身份验证成功时，AuthenticationProcessingFilter会在会话中放置一个Authentication对象，并且重定向到登录成功页面
???????? authenticationFailureUrl定义登陆失败时转向的页面
???????? defaultTargetUrl定义登陆成功时转向的页面
???????? filterProcessesUrl定义登陆请求的页面
???????? rememberMeServices用于在验证成功后添加cookie信息

??? <bean id="authenticationProcessingFilter" ref="authenticationManager"/>??????? <property name="authenticationFailureUrl">??????????? <value>/security/login.jsp?login_error=1</value>??????? </property>??????? <property name="defaultTargetUrl">??????????? <value>/admin/index.jsp</value>??????? </property>??????? <property name="filterProcessesUrl">??????????? <value>/j_acegi_security_check</value>??????? </property>??????? <property name="rememberMeServices" ref="rememberMeServices"/>??? </bean>

6) filterInvocationInterceptor
　　在执行转向url前检查objectDefinitionSource中设定的用户权限信息。首先，objectDefinitionSource中定义了访问URL需要的属性信息(这里的属性信息仅仅是标志，告诉accessDecisionManager要用哪些voter来投票)。然后，authenticationManager掉用自己的provider来对用户的认证信息进行校验。最后，有投票者根据用户持有认证和访问url需要的属性，调用自己的voter来投票，决定是否允许访问。

??? <bean id="filterInvocationInterceptor" ref="authenticationManager"/>??????? <property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>??????? <property name="objectDefinitionSource" ref="filterDefinitionSource"/>??? </bean>

7) filterDefinitionSource (详见 2.6.3 资源权限定义扩展)
　　自定义DBFilterInvocationDefinitionSource从数据库和cache中读取保护资源及其需要的访问权限信息?

<bean id="filterDefinitionSource" value="true"/>??????? <property name="useAntPath" value="true"/>??????? <property name="acegiCacheManager" ref="acegiCacheManager"/></bean>

2.2.4 方法调用安全控制

(详见 2.6.3 资源权限定义扩展)

1) methodSecurityInterceptor
　　在执行方法前进行拦截，检查用户权限信息
2) methodDefinitionSource
　　自定义MethodDefinitionSource从cache中读取权限

?? <bean id="methodSecurityInterceptor" ref="authenticationManager"/>??????? <property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>??????? <property name="objectDefinitionSource" ref="methodDefinitionSource"/>??? </bean>??? <bean id="methodDefinitionSource" ref="acegiCacheManager"/>??? </bean>

2.3 Jcaptcha验证码

采用 http://jcaptcha.sourceforge.net?作为通用的验证码方案，请参考SpringSide中的例子，或网上的：
http://www.coachthrasher.com/page/blog?entry=jcaptcha_with_appfuse。

差沙在此过程中又发现acegi logout filter的错误，进行了修正。

另外它默认提供的图片比较难认，我们custom了一个美观一点的版本。

三?Acegi安全系统扩展

????? 相信side对Acegi的扩展会给你耳目一新的感觉,提供完整的扩展功能,管理界面,中文注释和靠近企业的安全策略。side只对Acegi不符合企业应用需要的功能进行扩展,尽量不改动其余部分来实现全套权限管理功能,以求能更好地适应Acegi升级。