熱門精品專業(yè)第六章. 通用認(rèn)證服務(wù)
6.1. Mechanisms, Providers 和 Entry Points
如果你使用Acegi Security提供的認(rèn)證方法,那么通常你需要配置一個(gè)web filter,一個(gè)AuthenticationProvider
以及AuthenticationEntryPoint。在本節(jié)我們將要瀏覽一個(gè)示例應(yīng)用,它需要支持基于form的認(rèn)證(例如提供給用戶登錄的HTML頁面)以及基礎(chǔ)認(rèn)證(例如web service或者類似的可以訪問受保護(hù)資源)。
在web.xml中,這個(gè)應(yīng)用需要一個(gè)單獨(dú)的Acegi Security filter來使用FilterChainProxy。幾乎所有的Acegi Security應(yīng)用都有一個(gè)類似的項(xiàng),看起來象下面這樣:
xml 代碼
- <filter>
- <filter-name>Acegi Filter Chain Proxy</filter-name>
- <filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>
- <init-param>
- <param-name>targetClass</param-name>
- <param-value>org.acegisecurity.util.FilterChainProxy</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>Acegi Filter Chain Proxy</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
上述聲明將使每個(gè)web請(qǐng)求都要經(jīng)過Acegi Security的FilterChainProxy。正如在本手冊(cè)的filter那節(jié)中所說,FilterChainProxy是一個(gè)通用類,它使得web請(qǐng)求按照URL模式被發(fā)送到不同的filter。那些被委派的filter是由application context管理的,因此它們可以享受依賴注射的好處。我們來看看在你的application context中FilterChainProxy的定義會(huì)是什么樣的:
xml 代碼
- <bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
- <property name="filterInvocationDefinitionSource">
- <value>
- CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
- PATTERN_TYPE_APACHE_ANT
- /**=httpSessionContextIntegrationFilter,logoutFilter,authenticationProcessingFilter,basicProcessingFilter,securityContextHolderAwareRequestFilter,</value>
- </property>
- </bean>
在內(nèi)部,Acegi Security會(huì)使用PropertyEditor來將上述XML片段中的字符串轉(zhuǎn)化為一個(gè)FilterInvocationDefinitionSource對(duì)象。在這個(gè)階段需要注意的是,一系列的filter會(huì)按照定義的順序運(yùn)行,并且這些filter實(shí)際就是application context中的bean的<bean id>。所以,在我們的例子中,會(huì)在application context出現(xiàn)另外一些bean,它們會(huì)被命名為httpSessionContextIntegrationFilter, logoutFilter 等。Filter出現(xiàn)的順序會(huì)在手冊(cè)中filter那一節(jié)討論,雖然上述的例子中它們是正確的。
在我們的例子中,我們使用了AuthenticationProcessingFilter和BasicProcessingFilter。它們分別對(duì)應(yīng)了基于form的認(rèn)證和BASIC HTTP header-based認(rèn)證的“認(rèn)證機(jī)制”(我們?cè)谑謨?cè)的前面部分討論了認(rèn)證機(jī)制扮演的角色)。如果你既不使用form也不使用BASIC認(rèn)證,就不需要定義這些bean了。取而代之的是你要定義對(duì)應(yīng)你所需要的認(rèn)證環(huán)境的filter,例如DigestProcessingFilter 或者CasProcessingFilter。請(qǐng)對(duì)照手冊(cè)中對(duì)應(yīng)的章節(jié)來了解如何配置這些認(rèn)證機(jī)制。
讓我們回憶一下,在HttpSessionContextIntegrationFilter中保存了每個(gè)HTTP session調(diào)用中的SecurityContext。這意味著認(rèn)證機(jī)制只會(huì)在principal最初嘗試認(rèn)證的時(shí)候被使用一次。在余下的時(shí)間內(nèi),認(rèn)證機(jī)制只是靜靜的待在那里,將請(qǐng)求發(fā)往filter鏈中的下一個(gè)filter。這個(gè)基于實(shí)際的需求源于這樣的一個(gè)事實(shí),很少有認(rèn)證實(shí)現(xiàn)在每一個(gè),每一次的調(diào)用的時(shí)候都會(huì)進(jìn)行認(rèn)證(BASIC認(rèn)證是一個(gè)值得注意的例外),但是如果一個(gè)pricipal在最初的認(rèn)證步驟之后帳號(hào)被取消了,或者被禁用了,或者被修改了(例如GrantedAuthority[]中增加或者減少)會(huì)怎么樣呢?讓我們來看看現(xiàn)在這些情況是如何處理的。
前面已經(jīng)介紹了安全對(duì)象的主要認(rèn)證provider AbstractSecurityInterceptor。這個(gè)類需要能夠訪問一個(gè)AuthenticationManager。它同時(shí)有個(gè)可選配置可以設(shè)定一個(gè)認(rèn)證對(duì)象每次安全對(duì)象調(diào)用的時(shí)候是否需要重新認(rèn)證。如果Authentication.isAuthenticated()返回true,那么它默認(rèn)在SecurityContextHolder中的認(rèn)證對(duì)象是已認(rèn)證的。這樣做對(duì)于提高性能是非常好的,但是對(duì)于即時(shí)的認(rèn)證驗(yàn)證是不理想的。在這樣的情況下你可能需要將AbstractSecurityInterceptor.alwaysReauthenticate屬性設(shè)置為true。
你可能會(huì)問自己“這個(gè)AuthenticationManager是什么?”我們之前沒有見過它,但是我們?cè)?jīng)討論過AuthenticationProvider的概念。非常簡(jiǎn)單,AuthenticationManager負(fù)責(zé)在AuthenticationProvider鏈之間傳遞請(qǐng)求。它非常象我們之前討論過的filter鏈,雖然有一些不同。Acegi Security只提供了一個(gè)AuthenticationManager實(shí)現(xiàn),因此讓我們看看對(duì)于我們這章的例子,它是如何配置的:
xml 代碼
- <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
- <property name="providers">
- <list>
- <ref local="daoAuthenticationProvider"/>
- <ref local="anonymousAuthenticationProvider"/>
- <ref local="rememberMeAuthenticationProvider"/>
- </list>
- </property>
- </bean>
在這個(gè)時(shí)候,可能值得提到的是你的認(rèn)證機(jī)制(通常是filter)也被注入了一個(gè)AuthenticationManager的引用。所以和認(rèn)證機(jī)制都會(huì)使用上述的ProviderManager來輪詢一系列的AuthenticationProvider。
在我們例子中有三個(gè)provider。它們按照上述的順序調(diào)用(使用list而不是set來顯示是按照順序調(diào)用的),每個(gè)provider都能夠嘗試認(rèn)證,或者僅僅返回一個(gè)null來跳過認(rèn)證。如果所有的實(shí)現(xiàn)都返回null,ProviderManager會(huì)拋出一個(gè)相應(yīng)的異常。如果你想了解更多chaining providers的信息,請(qǐng)參閱ProviderManager的JavaDoc。
authentication mechanism使用的那些provider有時(shí)候是可以互換的,而有時(shí)候它們又依賴于特定的authentication mechanism。例如,DaoAuthenticationProvider只需要一個(gè)基于字符串的用戶名和密碼。若干個(gè)認(rèn)證機(jī)制會(huì)產(chǎn)生基于字符串的用戶名和密碼的集合,包括(但不限于)BASIC 和 form 認(rèn)證。同時(shí),有些認(rèn)證機(jī)制會(huì)產(chǎn)生一個(gè)只能和特定類型的AuthenticationProvider交互的認(rèn)證請(qǐng)求對(duì)象。一個(gè)這種一對(duì)一映射的例子是JA-SIG CAS,它使用service ticket的概念,只能被Common Authentication Services CasAuthenticationProvider認(rèn)證。一個(gè)更加深入的一對(duì)一映射的例子是LDAP認(rèn)證機(jī)制,它只能由LdapAuthenticationProvider處理。這種特定的對(duì)應(yīng)關(guān)系在每個(gè)類的JavaDoc以及在本手冊(cè)的特定認(rèn)證方法章節(jié)中有詳細(xì)說明。你不用擔(dān)心這些實(shí)現(xiàn)的細(xì)節(jié),因?yàn)槿绻阃涀?cè)一個(gè)合適的provider,你在嘗試認(rèn)證時(shí)只會(huì)收到一個(gè)ProviderNotFoundException異常。
當(dāng)你在FilterChainProxy中正確配置了認(rèn)證機(jī)制,并且確保注冊(cè)了對(duì)應(yīng)的AuthenticationProvider,你的最后一步是配置一個(gè)AuthenticationEntryPoint。回憶一下早先我們討論過的ExceptionTranslationFilter的角色,當(dāng)一個(gè)基于HTTP的請(qǐng)求收到一個(gè)HTTP頭或者一個(gè)HTTP重定向以開始認(rèn)證時(shí)它被使用。繼續(xù)我們?cè)缦鹊睦樱?/span>
xml 代碼
- <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
- <property name="authenticationEntryPoint"><ref
- local="authenticationProcessingFilterEntryPoint"/></property>
- <property name="accessDeniedHandler">
- <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl">
- <property name="errorPage" value="/accessDenied.jsp"/>
- </bean>
- </property>
- </bean>
- <bean id="authenticationProcessingFilterEntryPoint"
- class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
- <property name="loginFormUrl"><value>/acegilogin.jsp</value></property>
- <property name="forceHttps"><value>false</value></property>
- </bean>
注意到ExceptionTranslationFilter需要兩個(gè)協(xié)作者。第一個(gè)AccessDeniedHandlerImpl,使用一個(gè)RequestDispatcher導(dǎo)向顯示特定的訪問拒絕的錯(cuò)誤頁面。我們使用forwad所以SecurityContextHolder中仍然保留principal的詳細(xì)信息,這些對(duì)于顯示給用戶來說是有用的(在Acegi Security的老版本中,我們依賴rervlet容器來處理403錯(cuò)誤信息,它缺乏這個(gè)有用的上下文信息)。AccessDeniedHandlerImpl同時(shí)將會(huì)將HTTP頭設(shè)置為403,它是訪問拒絕的正式錯(cuò)誤代碼。至于AuthentionEntryPoint,這里設(shè)置如果一個(gè)未受認(rèn)證的principal嘗試執(zhí)行一個(gè)受保護(hù)的操作時(shí),我們需要執(zhí)行那些動(dòng)作。因?yàn)樵谖覀兊睦又幸褂没?/span>form的認(rèn)證,因此我們?cè)O(shè)定AuthenticationProcessinFilterEntryPoint以及登錄頁面的URL。你的應(yīng)用系統(tǒng)通常只需要一個(gè)entry point,并且大多數(shù)的認(rèn)證方法都定義了自己特有的AuthenticationEntryPoint。每個(gè)認(rèn)證方式所對(duì)應(yīng)的特定entry point的詳細(xì)情況會(huì)在本手冊(cè)特定的認(rèn)證方法章節(jié)中介紹。
6.2. UserDetails 和 Associated Types
正如在第一部分中提到的,大多數(shù)認(rèn)證provider要用到UserDetails 和UserDetailsService 接口。后面那個(gè)接口只包含一個(gè)方法:
java 代碼
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException,
- DataAccessException;
返回值UserDetails是一個(gè)接口,它提供了若干個(gè)getter保證返回非null值,例如用戶名,密碼,授予的權(quán)限以及用戶是啟用還是禁用狀態(tài)。大部分認(rèn)證provider都會(huì)使用一個(gè),即使它在認(rèn)證判斷過程中實(shí)際并不使用用戶名和密碼。通常這些provider只會(huì)使用返回的UserDetails中的GrantedAuthority[]信息,因?yàn)橛行┫到y(tǒng)(例如LDAP 或 X509 或 CAS)已經(jīng)承擔(dān)了實(shí)際的身份驗(yàn)證的責(zé)任。
Acegi Security提供了一個(gè)UserDetails的實(shí)體類實(shí)現(xiàn)-User。Acegi Security用戶需要確定什么時(shí)候?qū)崿F(xiàn)UserDetailsService以及返回什么樣的UserDetails實(shí)體類。通常,直接使用User類或者繼承User類就可以了,盡管有一些特殊情況(例如 object relational mappers),需要用戶從頭寫他們自己的UserDetails實(shí)現(xiàn)。這種情況也時(shí)有發(fā)生,用戶只要返回他們正常的代表系統(tǒng)用戶的領(lǐng)域?qū)ο缶涂梢粤恕L貏e是UserDetails經(jīng)常被用來存儲(chǔ)額外的principal相關(guān)屬性(例如他們的電話號(hào)碼以及email地址),這樣它們可以很容易被web視圖使用。
特定的UserDetailsService實(shí)現(xiàn)起來是很簡(jiǎn)單的,它應(yīng)該很容易由用戶來選擇持久化策略來獲取認(rèn)證信息。說到這里,Acegi Security確實(shí)包含了一些有用的基礎(chǔ)實(shí)現(xiàn),下面讓我們看一下。
6.2.1. In-Memory 認(rèn)證
雖然用戶可以創(chuàng)建一個(gè)定制的UserDetailsService實(shí)現(xiàn)來從一個(gè)持久化引擎中獲取信息,很多應(yīng)用不需要這種復(fù)雜性。特別是如果你正在進(jìn)行快速原型開發(fā)或者剛開始集成Acegi Security,當(dāng)你不需要花費(fèi)時(shí)間來進(jìn)行數(shù)據(jù)庫配置或者寫UserDetailsService的實(shí)現(xiàn)。這種情況之下,你有一個(gè)簡(jiǎn)單的選擇,就是配置InMemoryDaoImpl實(shí)現(xiàn)。
xml 代碼
- <bean id="inMemoryDaoImpl" class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">
- <property name="userMap">
- <value>
- marissa=koala,ROLE_TELLER,ROLE_SUPERVISOR
- dianne=emu,ROLE_TELLER
- scott=wombat,ROLE_TELLER
- peter=opal,disabled,ROLE_TELLER
- </value>
- </property>
- </bean>
在上面的例子中,userMap屬性包含了每個(gè)用戶的用戶名,密碼,一個(gè)授權(quán)列表以及一個(gè)可選的啟用/禁用關(guān)鍵詞。使用逗號(hào)分隔。用戶名必須在等號(hào)的左側(cè),密碼必須在等號(hào)右側(cè)第一個(gè)出現(xiàn)。啟用和禁用關(guān)鍵詞(大小寫敏感)可以出現(xiàn)在第二個(gè)或者之后任意位置。剩余的字符串被看作是授予的權(quán)限,這些權(quán)錢被創(chuàng)建為GrantedAuthorityImpl對(duì)象(僅供參考-大多數(shù)的應(yīng)用不需要自定義的GrantedAuthority實(shí)現(xiàn),所以使用默認(rèn)的實(shí)現(xiàn)就可以了)。注意如果一個(gè)用戶沒有密碼及或沒有被授予權(quán)限,該用戶不會(huì)在in-memory 認(rèn)證庫中創(chuàng)建。
InMemoryDaoImpl也提供了一個(gè)setUserProperties(Properties)方法,可以允許你用另一個(gè)Spring的配置好的bean或者一個(gè)外部的properties文件來實(shí)例化屬性。你可能要使用Spring的PropertiesFactoryBean,它在加載外部屬性文件的時(shí)候非常有用。這個(gè)setter可能對(duì)于有大量用戶的應(yīng)用,或者開發(fā)期配置變更有所助益,但是不要指望使用整個(gè)數(shù)據(jù)庫來處理認(rèn)證細(xì)節(jié)。
6.2.2. JDBC 認(rèn)證
也包括了一個(gè)從JDBC數(shù)據(jù)源獲取認(rèn)證信息的UserDetailsService。使用Spring內(nèi)部的JDBC,避免了僅僅為了存儲(chǔ)用戶信息而使用復(fù)雜的對(duì)象關(guān)系Common Authentication Services 映射(ORM)。如果你確實(shí)使用ORM工具,你可能要寫一個(gè)定制的UserDetailsService來重用你已經(jīng)創(chuàng)建的映射文件。回到JdbcDaoImpl,下面是一個(gè)配置的例子:
xml 代碼
- <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
- <property name="driverClassName"><value>org.hsqldb.jdbcDriver</value></property>
- <property name="url"><value>jdbc:hsqldb:hsql://localhost:9001</value></property>
- <property name="username"><value>sa</value></property>
- <property name="password"><value></value></property>
- </bean>
- <bean id="jdbcDaoImpl" class="org.acegisecurity.userdetails.jdbc.JdbcDaoImpl">
- <property name="dataSource"><ref bean="dataSource"/></property>
- </bean>
你可能要修改上述的DriverManagerDataSource來使用不同的關(guān)系數(shù)據(jù)庫管理系統(tǒng)。你還可以使用從JNDI獲取的全局?jǐn)?shù)據(jù)源,如上的常規(guī)Spring選項(xiàng)。不論是使用什么數(shù)據(jù)庫以及如何獲取數(shù)據(jù)源,必須使用一個(gè)按照dbinit.txt中寫明的數(shù)據(jù)庫模式。你可以從Acegi Security網(wǎng)站下載這個(gè)文件。
如果你的默認(rèn)數(shù)據(jù)庫模式不能滿足需要,JdbcDaoImpl提供了兩個(gè)屬性允許定制SQL語句。如果需要進(jìn)一步定制,你可以繼承JdbcDaoImpl。請(qǐng)參考JavaDocs獲取詳情,不過請(qǐng)注意這個(gè)類并不是為了復(fù)雜的自定義繼承而寫的。如果你的需求比較復(fù)雜(例如數(shù)據(jù)庫結(jié)構(gòu)比較特殊或者需要返回一個(gè)特定的UserDetails實(shí)現(xiàn)),那么你最好寫自己的UserDetailsService實(shí)現(xiàn)。Acegi Security提供的基礎(chǔ)實(shí)現(xiàn)只是為了典型場(chǎng)景,并沒有提供無限的配置靈活性。
6.3. 并行Concurrent Session 處理
Acegi Security能夠限定次數(shù)防止一個(gè)principal多次并行認(rèn)證到同一個(gè)應(yīng)用。許多ISV利用這一點(diǎn)來加強(qiáng)授權(quán)管理,網(wǎng)管也喜歡這個(gè)特性因?yàn)榭梢苑乐挂粋(gè)用戶名被重復(fù)使用。例如,你可以限制“Batman”用戶從兩個(gè)不同的session登錄系統(tǒng)。
使用并行session支持,你需要在web.xml中增加如下內(nèi)容:
xml 代碼
- <listener>
- <listener-class>org.acegisecurity.ui.session.HttpSessionEventPublisher</listener-class>
- </listener>
而且,你需要在中FilterChainProxy增加org.acegisecurity.concurrent.ConcurrentSessionFilter to your FilterChainProxy。ConcurrentSessionFilter需要兩個(gè)屬性,sessionRegistry用來指向一個(gè)SessionRegistryImpl實(shí)例,expiredUrl指向一個(gè)session實(shí)效時(shí)顯示的頁面。
當(dāng)一個(gè)HttpSession開始或者結(jié)束的時(shí)候web.xml HttpSessionEventPublisher發(fā)送一個(gè)ApplicationEvent到Spring ApplicationContext。這很關(guān)鍵,因?yàn)樗_保session終止的時(shí)候SessionRegistryImpl會(huì)收到通知。
你還要裝配ConcurrentSessionControllerImpl并在ProviderManager中引用:
xml 代碼
- <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
- <property name="providers">
- <!-- your providers go here -->
- </property>
- <property name="sessionController"><ref bean="concurrentSessionController"/></property>
- </bean>
- <bean id="concurrentSessionController"
- class="org.acegisecurity.concurrent.ConcurrentSessionControllerImpl">
- <property name="maximumSessions"><value>1</value></property>
- <property name="sessionRegistry"><ref local="sessionRegistry"/></property>
- </bean>
- <bean id="sessionRegistry" class="org.acegisecurity.concurrent.SessionRegistryImpl"/>
AuthenticationTag只是用來把principal的Authentication.getPrincipal()對(duì)象的屬性顯示到web頁面。
下面的JSP片段展示了如何使用AuthenticationTag:
java 代碼
- <authz:authentication operation="username"/>
這個(gè)標(biāo)簽將會(huì)顯示pricipal的名字。這里我們假設(shè)Authentication.getPrincipal()是一個(gè)UserDetails對(duì)象,這在使用典型的DaoAuthenticationProvider時(shí)候的一般狀況。
安徽新華電腦學(xué)校專業(yè)職業(yè)規(guī)劃師為你提供更多幫助【在線咨詢】
