Acegi安全系統與JSF結合
在Java Web開發中,Javabean安全涉及到兩個不同的概念,認證和授權。前者是關于確認用戶是否確實是他們所宣稱的身份。授權則是關于確認用戶是否有允許執行一個特定的操作。JSF (JavaServer Faces) 是J2EE 5開發平臺的組成部分,作為表示層的技術,越來越受到Java開發人員的親睞。在開發過程中,JSP通過DI 技術很方便的和使用類似技術的 Spring 進行整合。JSF在與Acegi安全系統結合之后,讓JavaBean的安全性得到很大提高。
Acegi安全系統一個很重要的特點就是它并沒有角色和用戶組的概念。Acegi安全系統目前支持兩類安全管理對象。***類是為了使Spring管理的Bean可以作為MethodInvocation來使用,Bean可以通過ProxyFactoryBean和BeanNameAutoProxyCreator來管理,就像在Spring的事務管理一樣使用。第二類是FilterInvocation。它用過濾器(Filter)來創建,并簡單地包裝了HTTP的 ServletRequest,ServletResponse和FilterChain。FilterInvocation可以用來保護HTTP資源。通常,開發人員并不需要了解它的工作機制,因為他們只需要將Filter加入web.xml,Acegi安全系統就可以工作了。
本文用一個簡單的Web應用實例的Apache myfaces jsf的執行情況向大家展示,如何使用Spring的application context整合acegi的認證和授權的功能,達到JSF的應用。讀者可以理解到Acegi如何落實URL級別的角色授權,以及如何實施Acegi的業務層的安全說明。
示例應用程序是一個用戶登錄購買的頁面。用戶登錄窗口輸入正確的用戶名和密碼,重定向到一個網頁,在新的網頁中用戶可能發生購買行為等。我們將使用 Acegi安全框架的配置安全的細節,確保用戶的ID已經驗證,并且他的存在對購買頁的授權。用戶可以訪問購買頁,如果有作用 role_urlaccess 。就確保了用戶作出的購買行為是一個安全的商業行為。JSF與Acegi安全授權驗證中牽涉到Acegi、JSF、Spring 三個框架。
***步:用戶訪問JSF網頁
第二步:Acegi檢查訪問用戶是否被授權訪問該頁面。
第三步:如果授權驗證是有效的,就將控制權交給一個為JSF服務的界面servlet。
第四步:在準備的過程中,JSF將會找到Catalog bean。
第五步:JSF檢查界面結構文件(Faces configuration file)來尋找已經定義好的Catalog,并且實例化。Catalog bean的publicData以及privateData 屬性參數會被寫入到沒有被具體化的publicCatalog、privateCatalog beans。
第六步:JSF利用Spring的 DelegatingVariableResolver 可變解析器解釋 publicCatalog和 privateCatalog bean。
第七步:JSF利用Acegi 生成獲得publicCatalog 和 privateCatalog beans方法,讀取公共數據和私有數據。
第八步:Acegi再次執行它的認證進程來訪問bean。
第九步:當Acegi獲得用戶成功地訪問了bean信息后,系統將產生一個獲取方法來讀取公共和私有的數據,并且將數據傳送給JSF。
第十步:JSF調用目錄bean的設置方法,將公共和私有數據寫入Catalog bean
第十一步:JSF執行其周期完成,并順利傳送頁面JSF。
這樣,一個用戶從輸入用戶到進入系統,進行購買操作的流程就完成。在這個過程中,Acegi與JSF一起完成了用戶的認證授權工作。相對于JSP用戶訪問授權的過程,JSF的生命周期要比JSP復雜得多。JSP的生命周期非常簡單,頁面被執行時,HTML標記立即被生成了,生命周期隨即結束。而一個完整的 JSF-Acegi請求-處理生命周期被精心規劃為11個階段,但JSF框架會管理這一切,所以,程序員在獲得更多控制能力的同時,工作量并沒有增加,同時也讓系統安全性能得到較大的提高。總的來說,案例相對簡單,但是JSF-Acegi安全處理是非常到位的,借助本文,筆者希望大家對JSF以及 Acegi給與更多關注。
【編輯推薦】
