Acegi安全框架在基于Spring框架應用
近年來,隨著Internet技術的迅猛發展,計算機網絡已深入到了人們的工作、學習和日常生活中,于是,怎樣構建安全的web應用也成為了當前最熱門的話題。Spring是一個基于IoC(Inversion of Control)和AOP(Aspect Oriented Programming)的構架多層J2EE應用系統的框架。Spring框架正在以其優良的特性吸引了越來越多的開發人員的關注,并在大量的系統開發中被使用。然而,現有的Spring框架本身并沒有提供對系統安全性的支持,本文通過介紹一種可用于Spring框架中的安全框架Acegi,并對在 Spring框架中使用Acegi實現安全用戶認證和資源授權控制進行了較深入的研究和擴展,同時給出了可行的解決方案。
Spring框架和Acegi安全框架介紹
1、spring 框架
Spring框架是由Open Source開發的一個優秀的多層J2EE系統框架,它為企業級應用提供了一個非常輕量級的解決方案,大大地降低了應用開發的難度與復雜度,提高了開發的速度。
Spring框架的核心是IoC和AOP。IoC是一種設計模式,即IoC模式。IoC模式進一步降低了類之間的耦合度,并且改變了傳統的對象的創建方法,實現了一種配置式的對象管理方式,Spring框架中由IoC容器負責配置性的對象的管理。IoC模式極大的提高了系統開發與維護的靈活性。
AOP是一種編程模式,它是從系統的橫切面關注問題。傳統的面向對象編程OOP主要從系統的垂直切面對問題進行關注,對于系統的橫切面關注很少,或者說很難關注,這樣當考慮到系統的安全性、日志、事務以及其他企業級服務時,OOP就無能為力了,只能在所有相關類中加入類似的系統服務級的代碼。AOP為解決系統級服務問題提供了一種很好的方法。AOP將系統服務分解成方面看待,并為類提供一種聲明式系統服務方式。Java類不需要知道日志服務的存在也不需要考慮相關的代碼。所以,用AOP編寫的應用程序是松耦合的,代碼的復用性就提高了。
2、Acegi 安全框架
借助于Spring框架,開發者能夠快速構建結構良好的WEB應用,但現有的Spring框架本身沒有提供安全相關的解決方案。同樣來自于Open Source 社區的Acegi安全框架為實現基于Spring框架的WEB應用的安全控制提供了一個很好的解決方案。Acegi本身就是利用Spring提供的IoC 和AOP機制實現的一個安全框架,它將安全性服務作為J2EE平臺中的系統級服務,以AOP Aspect形式發布。所以借助于Acegi安全框架,開發者能夠在Spring使能應用中采用聲明式方式實現安全控制。
Acegi 安全框架主要由安全管理對象、攔截器以及安全控制管理組件組成。安全管理對象是系統可以進行安全控制的實體,Acegi框架主要支持方法和URL請求兩類安全管理對象;攔截器是Acegi中的重要部件,用來實現安全控制請求的攔截,針對不同的安全管理對象的安全控制請求使用不同的攔截器進行攔截;安全控制管理部件是實際實現各種安全控制的組件,對被攔截器攔截的請求進行安全管理與控制,主要組件包括實現用戶身份認證的 AuthenticationManager、實現用戶授權的AccessDecisionManager 以及實現角色轉換的RunAsManager。安全管理對象、攔截器以及安全控制管理組件三者關系。
Acegi安全框架在基于Spring框架的系統中的應用
1、分析系統安全性需求
首先,需要明確進行安全控制的對象,可為業務方法和URL資源。
其次,需要進一步明確,系統身份認證資料和資源授權信息的數據持久化形式。
2、Acegi安全系統數據庫設計
在Acegi框架中支持多種安全信息的持久化方式,可以在配置文件中配置或存放在關系數據庫。由于在實際應用中,需求是經常發生變化的。所以,在配置文件中配置是滿足不了實際應用需求的。然而,Acegi本身對權限表的設計非常簡單,users表{username,password,enabled} 和authorities表{username,authority},這樣簡單的設計肯定無法適用復雜的權限需求。為了解決權限管理的復雜性,在這里引入了role(角色)的概念,使得用戶和權限分離,一個用戶擁有多個角色,一個角色擁有多個相應的權限,這樣就更靈活地支持安全策略。
【編輯推薦】
