Acegi+(version104)中文參考手冊.doc

Acegi （version1.0.4）中文參考手冊acegi參考手冊(v1.0.4)譯序言序言Acegi Security為基于J2EE的企業(yè)應(yīng)用軟件提供全面的安全解決方案。正如你在本手冊中看到的那樣，我們嘗試為您提供有用的，高可配置的安全系統(tǒng)。安全是一個永無止境的目標(biāo)，獲取一個全面的，系統(tǒng)級的實現(xiàn)方式是至關(guān)重要的。在安全界，我們鼓勵你采用“分層安全”，這樣每個層都確保自身盡可能的安全，另外的層提供另外的安全。每個層自身越“緊密”，你的系統(tǒng)就越魯棒和安全。在底層，你要處理傳輸入安全和系統(tǒng)認證，減少“中間人攻擊”（man-in-the-middle attacks）。接下來你要使用防火墻，結(jié)合VPN或者IP安全來確保只有認證過的系統(tǒng)能夠嘗試連接。在企業(yè)環(huán)境中，你可能部署DMZ（demilitarized zone，隔離區(qū)）來把面向公眾的服務(wù)器和后端的數(shù)據(jù)和應(yīng)用服務(wù)器分隔開。在以非授權(quán)用戶運行進程和文件系統(tǒng)安全最大化上，你的操作系統(tǒng)也將扮演一個關(guān)鍵的角色。接下來你要防止針對系統(tǒng)的拒絕服務(wù)和暴力攻擊。入侵檢測系統(tǒng)在檢測和應(yīng)對攻擊方面尤其有用，這些系統(tǒng)可以實時屏蔽惡意TCP/IP地址。在更高層上，你的Java虛擬機需要進行配置，將授予不同Java類型的權(quán)限最小化，然后，你的應(yīng)用程序要對添加針對自身特定問題域的安全配置。Acegi Security使后者應(yīng)用程序安全變得容易。當(dāng)然，你要正確對待上述提到的每個安全層，以及包含于每個層的管理因素。這樣的管理因素具體包括：安全公告監(jiān)測，補丁，人工診斷，審計，變更管理，工程管理系統(tǒng)，數(shù)據(jù)備份，災(zāi)難恢復(fù)，性能評測，負載監(jiān)測，集中日志，應(yīng)急反應(yīng)程序等等。Acegi Security專注于在企業(yè)應(yīng)用安全層為您提供幫助，你將會發(fā)現(xiàn)和各式各樣的需求和商業(yè)問題領(lǐng)域一樣多。銀行系統(tǒng)的需求和電子商務(wù)應(yīng)用的需求不同。電子商務(wù)應(yīng)用和售賣軍用自動工具的公司的需求不同。這些客戶化的需求使得應(yīng)用安全顯得有趣，富有挑戰(zhàn)性而且物有所值。本手冊為Acegi Security 1.0.0的發(fā)布而大規(guī)模重新組織。請先閱讀Part I 架構(gòu)概覽。手冊的其余部分按照傳統(tǒng)的手冊方式編排，需要一定的基礎(chǔ)才能閱讀。我們希望您會覺得手冊有用，并且歡迎您提供反饋意見和建議。最后，歡迎加入Acegi Security社區(qū)。acegi參考手冊(v1.0.4)譯第一章 簡介Part I. 架構(gòu)概覽象其他的軟件一樣，Acegi Security也有在整個框架中都會使用的特定核心接口，類，和概念抽象。在手冊的這一部分，在檢視這些規(guī)劃和執(zhí)行Acegi Security集成所必須的核心要素之前，我們先介紹Acegi Security。第一章. 簡介1.1. Acegi Security是什么?Acegi Security為基于J2EE的企業(yè)軟件應(yīng)用提供全面的安全服務(wù)。特別是使用領(lǐng)先的J2EE解決方案Srping框架開發(fā)的項目。如果您不是使用Spring開發(fā)企業(yè)應(yīng)用，我們溫馨提醒您仔細研究一下。熟悉Spring，尤其是依賴注射原理，會極大的幫助你快速掌握Acegi Security。人們使用Acegi Security有很多種原因，不過通常吸引他們到這個項目的原因是他們在J2EE的 Servlet Specification 或者 EJB Specification中找不到迫切需要的典型企業(yè)應(yīng)用場景。提到這些規(guī)范，特別要提出的是他們不是在WAR或者EAR級別可移植的。這樣，如果你切換服務(wù)器環(huán)境，一般來說你要在目標(biāo)環(huán)境中花費很多工夫來重新配置你的應(yīng)用安全。使用Acegi Security解決了這些問題，并且為你提供了很多其他有用的，完全可定制的安全特性。如你所知，安全包含兩個主要操作。第一個被稱為“認證”，是為用戶建立一個它所聲明的principal。Principal通常代表用戶，設(shè)備，或者其他能在你的應(yīng)用中執(zhí)行操作的其他系統(tǒng)?！笆跈?quán)”指判定一個principal能否在你的系統(tǒng)中執(zhí)行某個操作。在到達授權(quán)判斷之前，principal的的身份認證已經(jīng)由認證過程執(zhí)行過了。這些概念是通用的，不是Acegi Security特有的。在認證層面，Acegi Security廣泛支持各種認證模塊。這些認證模塊絕大多數(shù)是第三方提供，或者相關(guān)的標(biāo)準(zhǔn)組織開發(fā)的，例如Internet Engineering Task Force。作為補充，Acegi Security自己也提供了一些認證功能。Acegi Security當(dāng)前支持如下的認證技術(shù)。 HTTP BASIC authentication headers (an IEFT RFC-based standard) HTTP Digest authentication headers (an IEFT RFC-based standard) HTTP X.509 client certificate exchange (an IEFT RFC-based standard) LDAP (a very common approach to cross-platform authentication needs, especially in large environments) Form-based authentication (for simple user interface needs) Computer Associates Siteminder JA-SIG Central Authentication Service (otherwise known as CAS, which is a popular open source single sign on system) Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (a Spring remoting protocol) Automatic remember-me authentication (so you can tick a box to avoid re-authentication for a predetermined period of time) Anonymous authentication (allowing every call to automatically assume a particular security identity) Run-as authentication (which is useful if one call should proceed with a different security identity) Java Authentication and Authorization Service (JAAS) Container integration with JBoss, Jetty, Resin and Tomcat (so you can still use Container Manager Authentication if desired) 你自己的認證系統(tǒng) (如下所示)很多獨立軟件供應(yīng)商(ISVs)選擇Acegi Security是因為它具有豐富的認證模塊。這樣無論他們的終端客戶需要什么，他們都可以快速集成到他們的系統(tǒng)中，不用花很多工夫或者讓終端客戶改變環(huán)境。如果Acegi Security System for Spring的7個認證模塊還沒有滿足你的需求的話，Acegi Security是一個開放的系統(tǒng)，很容易寫你自己的認證機制。許多Acegi Security的企業(yè)用戶需要和“遺留”系統(tǒng)集成，這些遺留系統(tǒng)不遵循任何安全標(biāo)準(zhǔn)，Acegi Security能夠和這樣的系統(tǒng)“合作愉快”。有時候基本的認證是不夠的。有時候你需要根據(jù)principal和應(yīng)用交互的方式來應(yīng)用不同的安全措施。例如，你可能為了防止密碼被竊取，或者防止終端用戶受到“中間人”攻擊，需要保證到達的是請求通過HTTPS的?；蛘?，你要確保是一個真正的人而不是某種機器人或者自動進程在發(fā)送請求。這對于保護密碼恢復(fù)不受暴力破解攻擊，或者防止他人很容易的復(fù)制你應(yīng)用的關(guān)鍵內(nèi)容。為了幫助你實現(xiàn)這些目標(biāo)，Acegi Security完全支持自動“通道安全”(channel security)，以及集成Jcaptcha來檢測是否是真正人類用戶。Acegi Security不僅提供了認證功能，而且提供了完備的授權(quán)功能。在授權(quán)方面主要有三個領(lǐng)域，授權(quán)web請求，授權(quán)方法調(diào)用，授權(quán)存取單個領(lǐng)域?qū)ο髮嵗?。為了幫助你理解這些區(qū)別，對照考慮一下Servlet 規(guī)范中的web模式安全的授權(quán)功能，EJB容器管理安全以及文件系統(tǒng)安全。Acegi Security提供了所有這些重要領(lǐng)域的完備功能，我們將在本手冊的后面介紹。1.2. 歷史Acegi Security始于2003年晚期，當(dāng)時在Spring Developers郵件列表中有人提問是否有人考慮提供一個基于Spring的安全實現(xiàn)。當(dāng)時，Srping的社區(qū)是相對比較小的（尤其是和今天相比?。?，實際上Spring本身也是2003年早期才作為一個SourceForge項目出現(xiàn)的。對此問題的回應(yīng)是它確實是一個值得研究的領(lǐng)域，雖然限于時間無法進行深入。有鑒于此，這個簡單的安全實現(xiàn)雖然構(gòu)建了但是并沒有發(fā)布。幾周以后，Spring社區(qū)的其他成員詢問了安全框架，代碼就被提供給了他們。隨后又有人請求，到了2004年一月，大約有20人左右在使用這些代碼。另外一些人加入到這些先行的用戶中來，并建議建立一個SourceForge項目，這個項目在2004年3月建立起來。在早期，該項目自身并布具備任何認證模塊。認證過程依賴容器管理安全（Container Managed Security）而Acegi Security注重授權(quán)。在一開始這樣是合適的，但是隨著越來越多的用戶要求額外的容器支持，基于容器的認證的限制就顯示出來了。另外一個相關(guān)的問題是添加新的JAR文件到容器的classpath，通常會讓最終用戶感到困惑并且配置錯誤。隨后，Acegi Security加入了認證服務(wù)。大約一年后，Acegi Security成為了一個Spring Framework官方子項目。在2年半多的在多個軟件項目中的活躍使用以及數(shù)以百計的改進和社區(qū)貢獻，1.0.0最終版在2006年5月發(fā)布。今天，Acegi Security成為一個強大而活躍的社區(qū)。在支持論壇上有數(shù)以千計的帖子。14位開發(fā)人員專職開發(fā)，一個活躍的社區(qū)也定期共享補丁并支持他們的同儕。1.3. 發(fā)行版本號 理解Acegi Security的版本號是非常好處的，它可以幫助你判定升級的到新的版本是否需要花費很大精力。我們的正式發(fā)行版本使用Apache Portable Runtime Project版本指引，可以在下述網(wǎng)站查看/versioning.html。為了您查看方便，我們引用該頁的說明部分如下：“版本號由三個部分的整數(shù)組成：主版本號（MAJOR）、副版本號（MINOR）、補丁版本號（PATCH）。主要的含義是主版本號（MAJOR）是不兼容的，API大規(guī)模升級。副版本號（MINOR）在源文件和可執(zhí)行版和老版本保持兼容，補丁版本號（PATCH）則意味著向前和向后的完全兼容”。acegi參考手冊(v1.0.4)譯-第二章 技術(shù)概覽上第二章. 技術(shù)概覽2.1. 運行時環(huán)境Acegi Security可以在JRE1.3中運行。這個發(fā)行版本中支持也Java 5.0，盡管對應(yīng)的Java類型被分開打包到一個后綴是“tiger”的包中。因為Acegi Security致力于以一種自包含的方式運行，因此不需要在JRE中放置任何特殊的配置文件。特別無需配置Java Authentication and Authorization Service (JAAS)策略文件或者將Acegi Security放置到通用的classpath路徑中。同樣的，如果你使用EJB容器或者Servlet容器，同樣無需放置任何特別的配置文件或者將Acegi Security包含在服務(wù)器的類加載器（classloader）中。上述的設(shè)計提供了最大的部署靈活性，你可以直接把目標(biāo)工件（JAR, WAR 或者 EAR)）直接從一個系統(tǒng)copy到另一個系統(tǒng)，它馬上就可以運行起來。2.2. 共享組件讓我們來看看Acegi Security中最重要的一些共享組件。所謂共享組件是指在框架中處于核心地位，系統(tǒng)脫離了它們之后就不能運行。這些Java類型代表了系統(tǒng)中其他部分的構(gòu)建單元，因此理解它們是非常重要的，即使你不需要直接和它們打交道。最基礎(chǔ)的對象是SecurityContextHolder。在這里存儲了當(dāng)前應(yīng)用的安全上下文（security context），包括正在使用應(yīng)用程序的principal的詳細信息。SecurityContextHolder默認使用ThreadLocal來存儲這些詳細信息，這意味著即便安全上下文（security context）沒有被作為一個參數(shù)顯式傳入，它仍然是可用的。如果在當(dāng)前principal的請求處理后清理線程,那么用這種方式使用ThreadLocal是非常安全的。當(dāng)然， Acegi Security自動為你處理這些，所以你無需擔(dān)心。有些應(yīng)用程序由于使用線程的方式而并不是完全適用ThreadLocal。例如，Swing客戶端可能需要一個Java Virtual Machine中的所有線程都使用同樣的安全上下文（security context）。在這種情況下你要使用SecurityContextHolder.MODE_GLOBAL模式。另外一些應(yīng)用程序可能需要安全線程產(chǎn)生的線程擁有同樣的安全標(biāo)識符（security identity）。這可以通過SecurityContextHolder.MODE_INHERITABLETHREADLOCAL來實現(xiàn)。你可以通過兩種方法來修改默認的SecurityContextHolder.MODE_THREADLOCAL。第一種是設(shè)置一個系統(tǒng)屬性。或者，調(diào)用SecurityContextHolder的一個靜態(tài)方法。大部分的應(yīng)用程序不需要修改默認值，不過如果你需要，那么請查看SecurityContextHolder的JavaDocs獲取更多信息。我們在SecurityContextHolder中存儲當(dāng)前和應(yīng)用程序交互的principal的詳細信息。Acegi Security使用一個Authentication對象來代表這個信息。盡管你通常不需要自行創(chuàng)建一個Authentication對象，用戶還是經(jīng)常會查詢Authentication對象。你可以在你的應(yīng)用程序中的任何地方使用下述的代碼塊：java 代碼1. Objectobj=SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 2. if(objinstanceofUserDetails) 3. Stringusername=(UserDetails)obj).getUsername(); 4. else 5. Stringusername=obj.toString(); 6. 上述的代碼展示了一些有趣的聯(lián)系和關(guān)鍵的對象。首先，你會注意到在SecurityContextHolder和Authentication之間有一個媒介對象。SecurityContextHolder.getContext() 方法實際上返回一個SecurityContext。Acegi Security使用若干個不同的SecurityContext實現(xiàn)，以備我們需要存儲一些和principal無關(guān)的特殊信息。一個很好的例子就是我們的Jcaptcha集成，它需要知道一個需求是否是由人發(fā)起的。這樣的判斷和principal是否通過認證完全沒有關(guān)系，因此我們將它保存在SecurityContext中。從上述的代碼片段可以看出的另一個問題是你可以從一個Authentication對象中獲取一個principal。Principal只是一個對象。通?？梢园阉點ast為一個UserDetails對象。UserDetails在Acegi Security中是一個核心接口，它以一種擴展以及應(yīng)用相關(guān)的方式來展現(xiàn)一個principal?？梢园裊serDetails看作是你的用戶數(shù)據(jù)庫和Acegi Security在SecurityContextHolder所需要的東西之間的一個適配器（adapter）。作為你自己用戶數(shù)據(jù)庫的一個展現(xiàn)，你可能經(jīng)常要把它cast到你應(yīng)用程序提供的原始對象，這樣你就可以調(diào)用業(yè)務(wù)相關(guān)的方法(例如 getEmail(), getEmployeeNumber()?，F(xiàn)在你可能已經(jīng)開始疑惑，那我什么時候提供UserDetails對象呢？我要如何提供呢？我想你告訴過我這個東西是聲明式的，我不需要寫任何Java代碼那怎么做到呢？對此的簡短回答就是有一個叫做UserDetailsService的特殊接口。這個接口只有一個方法，接受一個Sring類型的參數(shù)并返回一個UserDetails。Acegi Security提供的大多數(shù)認證提供器將部分認證過程委派給UserDetailsService。UserDetailsService用來構(gòu)建保存在SecurityContextHolder中的Authentication對象。好消息是我們提供若干個UserDetailsService的實現(xiàn)，包括一個使用in-memory map和另一個使用JDBC的。大多數(shù)用戶還是傾向于寫自己的實現(xiàn)，這樣的實現(xiàn)經(jīng)常就是簡單的構(gòu)建于已有的Data Access Object (DAO)上，這些DAO展現(xiàn)了他們的雇員、客戶、或者其他企業(yè)應(yīng)用程序中的用戶。要記得這樣做的好處，不論你的UserDetailsService返回什么，它總是可以從SecurityContextHolder中獲取，象上面的代碼顯示的那樣。除了principal，Authentication提供的另一個重要方法就是getAuthorities（）。這個方法返回一個GrantedAuthority對象數(shù)組。GrantedAuthority，毫無疑問，就是授予principal的權(quán)限。這些權(quán)限通常是“角色”，例如ROLE_ADMINISTRATOR 或者ROLE_HR_SUPERVISOR。這些角色稍后配置到web授權(quán)，方法授權(quán)和領(lǐng)域?qū)ο笫跈?quán)。Acegi Security的其他部分能夠處理這些權(quán)限，并且期待他們被提供。通常你會從UserDetailsService中返回GrantedAuthority對象。通常GrantedAuthority對象都是應(yīng)用范圍的權(quán)限。它們都不對應(yīng)特定的領(lǐng)域?qū)ο?。因此，你?yīng)該不會有一個代表54號員工對象的GrantedAuthority，因為這樣會有數(shù)以千計的authority，你馬上就會用光所有內(nèi)存（或者，至少會讓系統(tǒng)花太長時間來認證一個用戶）。當(dāng)然，Acegi Security會高效的處理這種普遍的需求，但是你不會使用領(lǐng)域?qū)ο蟀踩δ軄韺崿F(xiàn)這個目的。最后，但不是不重要，你有時候需要在HTTP 請求之間存儲SecurityContext。另外有些時候你在每次請求的時候都會重新認證principal，不過大部分時候你會存儲SecurityContext。HttpSessionContextIntegrationFilter在HTTP之間存儲SecurityContext。正如類名字顯示的那樣，它使用HttpSession來進行存儲。基于安全原因，你永遠都不要直接和HttpSession交互。沒有理由這么做，所以記得使用SecurityContextHolder來代替。讓我們回憶一下，Acegi Security的基本組成構(gòu)件是： SecurityContextHolder,提供對SecurityContext的所有訪問方式。 SecurityContext, 存儲Authentication以及可能的請求相關(guān)的安全信息。 HttpSessionContextIntegrationFilter, 在web請求之間把SecurityContext存儲在HttpSession中。 Authentication, 以Acegi Security的方式表現(xiàn)principal。 GrantedAuthority, 表示賦予一個principal的應(yīng)用范圍的權(quán)限。 UserDetails, 為從你的應(yīng)用程序DAO中獲取必要的信息來構(gòu)建一個Authentication 對象。 UserDetailsService,用傳入的String類型的username（或者認證ID，或類似）來創(chuàng)建一個UserDetails?，F(xiàn)在你已經(jīng)理解了這些重復(fù)使用的組件，讓我們仔細看看認證過程吧。2.3. 認證正如我們在手冊開始部分所說的那樣，Acegi Security適用于很多認證環(huán)境。雖然我們建議大家使用Acegi Security自身的認證功能而不是和容器管理認證（Container Managed Authentication）集成，但是我們?nèi)匀恢С诌@種和你私有的認證系統(tǒng)集成的認證。讓我們先從Acegi Security完全自行管理管理web安全的角度來探究一下認證，這也是最復(fù)雜和最通用的情形。想象一個典型的web應(yīng)用的認證過程：1你訪問首頁，點擊一個鏈接。2一個請求被發(fā)送到服務(wù)器，服務(wù)器判斷你是否請求一個被保護的資源。3因為你當(dāng)前未被認證，服務(wù)器發(fā)回一個回應(yīng)，表明你必須通過認證。這個回應(yīng)可能是一個HTTP回應(yīng)代碼，或者重定向到一個特定的網(wǎng)頁。4基于不同的認證機制，你的瀏覽器會重定向到一個網(wǎng)頁好讓你填寫表單，或者瀏覽器會用某種方式獲取你的身份認證（例如一個BASIC認證對話框，一個cookie，一個X509證書等等。）。5瀏覽器會發(fā)回給服務(wù)器一個回應(yīng)。可能是一個包含了你填寫的表單內(nèi)容的HTTP POST，或者一個包含你認證詳細信息的HTTP header。6接下來服務(wù)器會判斷提供的認證信息是否有效。如果它們有效，你進入到下一步。如果它們無效，那么通常請求你的瀏覽器重試一次（你會回到上兩步）。7你引發(fā)認證的那個請求會被重試。但愿你認證后有足夠的權(quán)限訪問那些被保護的資源。如果你有足夠的訪問權(quán)限，請求就會成功。否則，你將會受到一個意味“禁止”的HTTP403錯誤代碼。在Acegi Security中，對應(yīng)上述的步驟，有對應(yīng)的類。主要的參與者（按照被使用的順序）是：ExceptionTranslationFilter， AuthenticationEntryPoint， 認證機制(authentication mechanism)， 以及AuthenticationProvider。ExceptionTranslationFilter是Acegi Security用來檢測任何拋出的安全異常的過濾器(filter)。這種異常通常是由AbstractSecurityInterceptor拋出的，它是授權(quán)服務(wù)的主要提供者。我們將會在下一部分討論AbstractSecurityInterceptor，現(xiàn)在我們只需要知道它產(chǎn)生Java異常，并且對于HTTP或者如何認證一個principal一無所知。反而是ExceptionTranslationFilter提供這樣的服務(wù)，它負責(zé)要么返回403錯誤代碼(如果principal通過了認證，只是缺少足夠的權(quán)限，象上述第7步那樣)，要么加載一個AuthenticationEntryPoint (如果principal還沒有被認證，那么我們要從第3步開始)。AuthenticationEntryPoint負責(zé)上述的第3步。如你所想，每個web應(yīng)用都有一個默認的認證策略（象Acegi Security中幾乎所有的東西一樣，它也是可配置的，不過我們現(xiàn)在還是還是從簡單開始）。每個主流的認證系統(tǒng)都有它自己的AuthenticationEntryPoint實現(xiàn)，負責(zé)執(zhí)行第3步中描述的動作。當(dāng)瀏覽器確定要發(fā)送你的認證信息（HTTP 表單或者HTTP header），服務(wù)器上需要有什么東西來“收集”這些認證信息。現(xiàn)在我們在上述的第6步。在Acegi Security中對從用戶代理（通常是瀏覽器）收集認證信息有一個特定的名字，這個名字是“認證機制（authentication mechanism）”。當(dāng)認證信息從客戶代理收集過來以后，一個“認證請求（Authentication request）”對象被創(chuàng)建，并發(fā)送到AuthenticationProvider。Acegi Security中認證的最后一環(huán)是一個AuthenticationProvider。非常簡單，它的職責(zé)是取用一個認證請求（Authentication request）對象，并且判斷它是否有效。這個provider要么拋出一個異常，要么返回一個組裝完畢的Authentication對象。還記得我們的好朋友UserDetails 和 UserDetailsService吧？如果沒有，回到前一部分重新回憶一下。大部分的AuthenticationProviders都會要求UserDetailsService提供一個UserDetails對象。如前所述，大部分的應(yīng)用程序會提供自己的UserDetailsService，盡管有些會使用Acegi Security提供的JDBC或者 in-memory實現(xiàn)。作為成品的UserDetails 對象，特別是其中的GrantedAuthoritys，在構(gòu)建完備的Authentication對象時會被使用。當(dāng)認證機制（authentication mechanism）取回組裝完全的Authentication對象后，它將會相信請求是有效的，將Authentication放到SecurityContextHolder中，并且將原始請求取回（上述第7步）。反之，AuthenticationProvider則拒絕請求，認證機制（authentication mechanism）會請求用戶重試（上述第2步）。在講述典型的認證流程的同時，有個好消息是Acegi Security不關(guān)心你是如何把Authentication放到SecurityContextHolder內(nèi)的。唯一關(guān)鍵的是在AbstractSecurityInterceptor授權(quán)一個請求之前，在SecurityContextHolder中包含一個代表了principal的Authentication。你可以（很多用戶確實）實現(xiàn)自己的過濾器（filter）或者MVC控制器（controller）來提供和不是基于Acegi Security的認證系統(tǒng)交互。例如，你可能使用使用容器管理認證（Container Managed Authentication），從ThreadLocal 或者JNDI中獲取當(dāng)前用戶信息，使得它有效?；蛘撸愎ぷ鞯墓居幸粋€遺留的私有認證系統(tǒng)，而它是公司“標(biāo)準(zhǔn)”，你對它無能為力。在這種情況之下也是非常容易讓Acegi Security運作起來，提供認證能力。你所需要做的是寫一個過濾器（或等價物）從某處讀取第三方用戶信息，構(gòu)建一個Acegi Security式的Authentication對象，把它放到SecurityContextHolder中。這非常容易做，也是一種廣泛支持的集成方式。acegi參考手冊(v1.0.4)譯-第二章 技術(shù)概覽下2.4. 安全對象如果你熟悉AOP，你會知道有很多種advice可用：before, after, throws 和 around。around advice非常有用，因為它能夠選擇是否選擇是否執(zhí)行一個方法調(diào)用，是否修改返回值，以及是否拋出異常。Acegi Security對方法調(diào)用和web請求都提供around advice。我們使用AOP聯(lián)盟實現(xiàn)對方法調(diào)用的around advice，對于web請求的around advice則是使用標(biāo)準(zhǔn)的過濾器（Filter）。對于那些不熟悉AOP的人來說，關(guān)鍵是要理解Acegi Security能夠幫助你保護方法調(diào)用以及web請求。大多數(shù)人對保護他們服務(wù)層的方法調(diào)用感興趣。這是因為在當(dāng)前的J2EE應(yīng)用中，服務(wù)層包含了大多數(shù)的業(yè)務(wù)邏輯（聲明，作者不贊成這種設(shè)計，反而支持正確封裝的領(lǐng)域模型以及DTO，assembly, facade 以及 transparent persistence patterns，而不是當(dāng)前主流的貧血模型，我們將在這里討論）。如果你需要保護service層的方法調(diào)用，使用標(biāo)準(zhǔn)的Spring AOP平臺（或者被成為AOP 聯(lián)盟（AOP Alliance）就足夠了。如果你需要直接對領(lǐng)域模型進行保護，那么可以考慮使用AspectJ。你可以選擇對使用AspectJ 或者AOP聯(lián)盟（AOP Alliance）對方法進行授權(quán)，或者你可以選擇使用過濾器（filter）來對web請求進行授權(quán)。你將0個，1個，2個或者3個這些方法一起使用。主流的用法是執(zhí)行一些web請求授權(quán)，以及在服務(wù)層使用AOP聯(lián)盟（AOP Alliance）對一些方法調(diào)用授權(quán)。Acegi Security使用“安全對象”（secure object）這個詞來指任何能夠?qū)踩珣?yīng)用于其上的對象。每個Acegi Security支持的安全對象都有自己的類，它是AbstractSecurityInterceptor的子類。重要的一點是，如果一個principal通過認證，當(dāng)AbstractSecurityInterceptor執(zhí)行的時候，SecurityContextHolder中要包含一個有效的Authentication。AbstractSecurityInterceptor提供一個固定的工作流程來處理安全對象請求。這個工作流程包括查找和當(dāng)前請求相關(guān)聯(lián)的“配置屬性（configuration attributes）”。配置屬性（configuration attributes）可以被認為是對被AbstractSecurityInterceptor使用的類有特殊含義的字符串。他們通常針對AbstractSecurityInterceptor使用XML進行配置。反正，AbstractSecurityInterceptor會詢問AccessDecisionManager “這是配置屬性（configuration attributes），這是當(dāng)前的認證對象（Authentication object），這是當(dāng)前請求的詳細信息那么這個特定的principal可以執(zhí)行這個特定的操作嗎？”。假如AccessDecisionManager判定允許這個請求，那么AbstractSecurityInterceptor一般來說就繼續(xù)執(zhí)行請求。雖然這樣，用戶在少數(shù)情況之下可能需要替換SecurityContext中的Authentication，可以通過AccessDecisionManager調(diào)用一個RunAsManager來實現(xiàn)。在某些不常見的情形下這將非常有用，例如服務(wù)層的方法需要用另一種標(biāo)識（身份）來調(diào)用遠程系統(tǒng)。這可能有所幫助，因為Acegi Security自動在不同的服務(wù)器之間傳播安全標(biāo)識（假設(shè)你正確配置了RMI或者HttpInvoker remoting protocol client）。隨著安全對象處理和返回意味著方法調(diào)用完畢或者過濾器鏈（filter chain）處理完畢AbstractSecurityInterceptor有最后的機會來處理調(diào)用。這時，AbstractSecurityInterceptor可能會修改返回的對象。我們可能要這樣做，因為授權(quán)判斷不能在安全對象調(diào)用途中執(zhí)行。由于高度的可插拔性，如果需要AfterInvocationManager將控制權(quán)交給AfterInvocationManager來實際修改對象。這個類甚至可以徹底替換對象，或者拋出異常，或者根本不修改它。因為是AbstractSecurityInterceptor中心模版類，看起來第一副插圖該獻給它。（譯注：原手冊里的圖畫的太丑陋了，我用jude重新畫了一遍） 圖1 關(guān)鍵“安全對象”模型只有那些希望實現(xiàn)全新的對請求進行截取截取和授權(quán)方式的開發(fā)者才需要直接使用安全對象。例如，可能構(gòu)建一個新的安全對象安全調(diào)用一個消息系統(tǒng)。任何需要安全并且能夠提供一種截取調(diào)用的方式(例如AOP around advice semantics)的東西都可以成為安全對象。雖然如此，大部分的Spring應(yīng)用都會只是透明應(yīng)用當(dāng)前支持的三種安全對象類型（AOP Alliance MethodInvocation, AspectJ JoinPoint 和 web request FilterInterceptor）。2.5. 結(jié)論恭喜！你已經(jīng)獲取了Acegi Security足夠的概括性的圖景來開始著手你的項目。我們探究了共享組件，認證過程，以及對“安全對象”的通用授權(quán)概念。手冊中的余下部分你可能用到也可能用不到，可以按照任意順序閱讀。acegi參考手冊(v1.0.4)譯-第三章 協(xié)助系統(tǒng)第三章. 協(xié)助系統(tǒng)本章介紹一些Acegi Security使用的附加和協(xié)助系統(tǒng)。那些和安全無關(guān)，但是包含在Acegi Security項目中的部分，將會在本章中討論3.1. 本地化Acegi Security支持對終端客戶可能會看到的異常信息進行本地化。如果你的應(yīng)用是為英文用戶設(shè)計的，那么你什么都不用做，因為Acegi Security的所有消息默認都是英文的。如果你要支持其他區(qū)域用戶，那么本節(jié)包含了你所需要了解的所有東西。包括認證失敗或者訪問被拒絕（授權(quán)失?。┑乃挟惓Ｏ⒍伎梢员槐镜鼗?。提供給開發(fā)者或者系統(tǒng)部署人員的異?；蛘呷罩拘畔?包括錯誤的屬性、接口不符、構(gòu)造器錯誤、debug級日志)沒有被本地化，它們硬編碼在Acegi Security的代碼中。在acegi-security-xx.jar（譯注：xx代表版本號）的org.acegisecurity包中包含了一個 perties文件。這個文件會被你的application context引用，因為Acegi Security實現(xiàn)了Spring的MessageSourceAware接口，它期待在application context啟動的時候注入一個message resolver。通常你所需要做的是在你的application context中注冊一個引用這個消息的bean，如下所示：xml 代碼1. 2. org/acegisecurity/messages!-value!-property3. !-perties是按照資源包標(biāo)準(zhǔn)命名的，它代表了Acegi Securtiy支持的默認語言。文件默認是英文的。如果你不注冊一個消息源，Acegi Security仍然可以正常工作，它會用回硬編碼的英文消息。如果你想定制perties文件，或者支持其他語言，那么你應(yīng)該copy這個文件，然后重命名，并在上述的bean定義中 注冊。因為文件中的key并不多，因此本地化花不了多少工夫。如果你針對消息文件進行了本地化，那么請和社區(qū)分享，你可以添加一個JIRA任務(wù)，將你正確 命名的perties本地化文件作為附件添加。為了完善關(guān)于本地化的討論需要知道Spring的ThreadLocal org.springframework.context.i18n.LocaleContextHolder。你應(yīng)該為每個用戶設(shè)置代表他區(qū)域的 LocaleContextHolder。Acegi Security會嘗試從這個ThreadLocal中獲取的Locale來從消息源中獲取消息。請參考Spring的文檔以獲取更多使用 LocaleContextHolder和能夠幫你自動設(shè)置它的輔助類(例如AcceptHeaderLocaleResolver, CookieLocaleResolver, FixedLocaleResolver, SessionLocaleResolver 等)的詳細信息。3.2. Filters正如你在整個手冊中看到的那樣，Acegi Security使用很多filter。你可以使用FilterToBeanProxy或者FilterChainProxy來確定這些是怎樣加入到你的web應(yīng)用中的，下面我們來看看。大部分filter使用FilterToBeanProxy來配置。例如下面web.xml中配置所示：xml 代碼1. 2. AcegiHTTPRequestSecurityFilter3. org.acegisecurity.util.FilterToBeanProxy4. 5. targetClass6. org.acegisecurity.ClassThatImplementsFilter7. 8. 注意在web.xml中的filter實際上是一個FilterToBeanProxy，而不是真正實現(xiàn)filter邏輯的filter。 FilterToBeanProxy所作的是代理Filter的方法到一個從Spring的application context 獲取的bean。這使得這個bean可以享受Spring application context的生命周期支持以及配置靈活性。這個bean必須實現(xiàn)javax.servlet.Filter。FilterToBeanProxy只需要一個簡單的初始化參數(shù)，targetClass或者targetBean。targetClass會定位 application context中指定的類的第一個對象，而FilterToBeanProxy按照bean的名字定位對象。象標(biāo)準(zhǔn)的Spring web應(yīng)用一樣，F(xiàn)ilterToBeanProxy使用 WebApplicationContextUtils.getWebApplicationContext(ServletContext)來訪問 application context，所以你應(yīng)該在web.xml中配置一個Conte