Acegi个人任务有三部分比较重要,也是经常需要扩展的地方,现都它们及其相关简要介绍如下,它们分别是认证管理器(暂时未写出)、访问控制管理器(主要授权)、异常捕获Fitler(用于验证不成功是跳转)。
1、securityContextHolde.java
此类为框架级别的,它里有很多的静态变量,包括SecurityContext。但SecurityContext默认使用的是ThreadLacal进行控制的。
它其中有三种控件SecurityContext方式,
public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
public static final String MODE_GLOBAL = "MODE_GLOBAL";
public static final String SYSTEM_PROPERTY = "acegi.security.strategy";
private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
private static SecurityContextHolderStrategy strategy;
通过静态代码块自动执行initialize()方法
static {
initialize();
}
initialize方法通过startegyName确定采用哪种方式:
SecurityContextHolder.MODE_THREADLOCAL:SecurityContext绑定到主线程,这是默认的模式;l
SecurityContextHolder.MODE_GLOBAL:SecurityContext绑定到JVM中,所有线程都使用同一个SecurityContext;l
SecurityContextHolder.MODE_INHERITABLETHREADLOCAL::SecurityContext绑定到主线程及由主线程衍生的线程中。
private static void initialize() {
if ((strategyName == null) || "".equals(strategyName)) {
// Set default
strategyName = MODE_THREADLOCAL;
}
if (strategyName.equals(MODE_THREADLOCAL)) {
strategy = new ThreadLocalSecurityContextHolderStrategy();
} else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
} else if (strategyName.equals(MODE_GLOBAL)) {
strategy = new GlobalSecurityContextHolderStrategy();
} else {
// Try to load a custom strategy
try {
Class clazz = Class.forName(strategyName);
Constructor customStrategy = clazz.getConstructor(new Class[] {});
strategy = (SecurityContextHolderStrategy) customStrategy.newInstance(new Object[] {});
} catch (Exception ex) {
ReflectionUtils.handleReflectionException(ex);
}
}
initializeCount++;
}
在使用时可以通过调用
public static void setStrategyName(String strategyName) {
SecurityContextHolder.strategyName = strategyName;
initialize();
}
来改变securityContextHolde中securityContex采用的方式。
2、FilterChainProxy.Java
将Acegi所需要在安全控制的所需要的执行全部配置在这里,如下列配置:
<bean id="filterChainProxy"
class="org.acegisecurity.util.FilterChainProxy">
<property name="filterInvocationDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
/**/*.jpg=#NONE#
/**/*.gif=#NONE#
/**/*.png=#NONE#
/**/*.css=#NONE#
/**/*.js=#NONE#
/**/*.ico=#NONE#
/**/*.cur=#NONE#
/**=httpSessionContextIntegrationFilter,authenticationProcessingFilter,cknowledgeProcessingFilter,securityContextHolderAwareRequestFilter,anonymousProcessingFilter,logoutFilter,cDeskToplogoutFilter,exceptionTranslationFilter,filterInvocationInterceptor
</value>
<!-- rememberMeProcessingFilter -->
</property>
</bean>
关键是将很多属性注入filterInvocationDefinitionSource对象中,查看源码可知,filterInvocationDefinitionSource对象是FilterInvocationDefinitionSource类型,其实在JDK中可以定义自己的编辑器类,有关编辑器详细可见(http://uule.iteye.com/blog/869060),同时在JDK中如果没有明确指定编辑器类时,Java会自己查找:类名+EditorSupport 的类作为该类的编辑器类,如在Acegi类中则使用了FilterInvocationDefinitionSourceEditorSupport编辑器类,对Xml配置文件中的字符串进行相应的转换,生成相应的Filter对象再放入FilterChainProxy中的Filter数组中,然后再依次按顺序调用数组中的Filter(上述代码中的httpSessionContextIntegrationFilter、authenticationProcessingFilter……等对象的Filter)。它的比对规则为:
1、将整个Value的字符串传入
2、判断字符串中是否含有 PATTERN_TYPE_APACHE_ANT,如果含有则指定资源匹配规则为按Ant Path 风格的匹配方式进行,自动生成匹配PathBasedFilterInvocationDefinitionMap类对象传入,默认一般采用这种方式。
如果不指定时则RegExpBasedFilterInvocationDefinitionMap采用的是Perl5风格的匹配方式。生成的匹配对象都传入FilterInvocationDefinitionDecorator对象,FilterInvocationDefinitionDecorator为FilterInvocationDefinitionSource接口的一个实现。
3、再比较是否含有DIRECTIVE_CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON字符串,如果有则设置所有的匹配都转换成小写。
4、再按整个字符串按行读取(//开头的不作处理表示注释)
5、如果不是前面几个字符串,且间含有=号时,=号前半部分作为Ke后半部分作为Value,最后全部存入FilterInvocationDefinitionDecorator类的对象中,用于返回。
6、这样在FilterChainProxy就能取得filterInvocationDefinitionSource对象了,并且可以根据对象中的数组(每组的 /**/*.png=#NONE#之类),及每个数组元素中对应的Filter放入Filter数组中,#NONE#表求不匹配。在这个数据中找括号左边一个进行匹配满足后就执行右边的逻辑,找到一个满足的后就不再往下查找,就按顺序执行右边的逻辑。
3、授权管理器
说到授权管理器不得不先介绍几个对象。
ConfigAttributeDefinition:变长数据,默认时为(10,JDK里面的默认值),用于储存用户组
FilterInvocation:保存request, response, chain(下一个Filter)
InterceptorStatusToken:用来保存authentication、attr(ConfigAttributeDefinition对象,资源对应用户)、secureObject(FilterInvocation对象)
投票器:
RoleVoter:将资源对应的角色组与本用户的角色组进行匹配,找到则返回1,没找到返回-1
AuthenticatedVoter:将资源对应的角色组与FULLY、ANONYMOUSLY、REMEMBERED进行匹配,如果找到则返回1,没找到返回-1
表决器:(表决器中添加任意个相应的投票器)
AffirmativeBased:通过调用上面之类的Voter,如果有一个Voter返回的结果为1则返回,如果没有一个返回1则抛出异常
ConsensusBased:通过对调用上面之类的Voter,如果 返回1的比返回-1的多将返回,否则抛出异常
UnanimousBased:通过对调用上面之类的Voter,如果有一个返回-1则抛出异常
如果上面几个都没返回,最后根据allowIfAllAbstainDecisions属性,如果设置为false,上面执行即没有抛出异常又没返回,将在最后时根据此属性抛出异常,为Ture时不抛出,默认为false.
授权管理器:
AbstractSecurityInterceptor,为AspectJSecurityInterceptor、FilterSecurityInterceptor、MethodSecurityInterceptor的父类
可注入对象:
eventPublisher:ApplicationEventPublisher类型,用于监听
afterInvocationManager:AfterInvocationManager类型,
accessDecisionManager:AccessDecisionManager类型,
authenticationManager:AuthenticationManager类型,
具体各种授权管理器实现:
FilterSecurityInterceptor:
在dofilter 中保存request, response, chain(下一个Filter)放入InterceptorStatusToken对象中,执行invoke方法,
1、Invoke:在执行下一个Filter之前执行父类的beforeInvocation方法
2、beforeInvocation:首先调用配置的objectDefinitionSource对象中的getAttributes方法(此处为FilterSeurityIntercptor方法扩展点),它主要作用是取得当前资源对应的角色,放入ConfigAttributeDefinition对象中。然后再调用配置的accessDecisionManager
对象的decide方法(accessDecisionManager主要有三种分别是AffirmativeBased、ConsensusBased、UnanimousBased,三种表决方式)进行表决,如果没有抛出异常则表示表决通过。此时可能根据配置对监听器发出消息。最后将所有信息装入InterceptorStatusToken对象中返回invoke方法中去。
3、Invoke:将FilterInvocation对象中的值取得,执行下一个Filter,分别将其中的request、response作为参数传入。最后在后面的Filter链都执行完后,再执行父类的afterInvocation方法
4、afterInvocation:如果afterInvocationManager对象不为空则执行其decide方法。
4、异常捕获Filter
异常捕获Filter需要配制在拦截器之前,因为在拦截器会根据用户拥有的角色权限和资源需要的角色权限进行匹配投票,如果验证不通过在拦截器直接抛出异常,而在它之前需要异常Filter进行异常捕获。
exceptionTranslationFilter:它是异常捕获Filter,在dofilter中,将Filter链中的下一个Filter放入Try代码块中,当授权没有成功时,则进入相应的Catch中,catch主要分成三种,一种是AuthenticationException异常,一个是AccessDeniedException异常,还能就是ServletException异常,如果都不是这几种则不处理异常。处理的异常都是调用 handleException方法
1、handleException:此方法根据前面几种不同类型的异常生成不同参数调用sendStartAuthentication方法(如果对于异常想要作自己的处理此处可以作为扩展点)
2、sendStartAuthentication:父类的此方法中将SecurityContextHolder中的本线程的Authentication设置为空后,再调用配置注入的authenticationEntryPoint对象的commence方法。
3、commence:此方法用于地址跳转,方法可分成两部分,前部分主要用于取得如:域名、端口、协议等、再调用determineUrlToUseForThisRequest方法取得转跳页面,最后拼接成URl,进行重定向。
该Filter还应该配置一个accessDeniedHandler对象注入,用于处理ServletException异常
如参考配置:
<bean id="exceptionTranslationFilter"
class="com.kingdee.mykingdee.common.security.acegi.CssoAcegiExceptionTranslationFilter">
<property name="authenticationEntryPoint">
<bean
class="com.kingdee.mykingdee.common.security.acegi.CssoAuthenticationProcessingFilterEntryPoint">
<property name="deskServiceLoginFormUrl" value="/clogout.jsp"></property>
<property name="loginFormUrl" value="/kdCertify/login.html" />
<property name="forceHttps" value="false" />
</bean>
</property>
<property name="accessDeniedHandler">
<!--<bean
class="org.acegisecurity.ui.AccessDeniedHandlerImpl">
<property name="errorPage" value="/common/noRight.jsp" />
</bean>
-->
<bean
class="com.kingdee.mykingdee.common.security.acegi.CssoAccessDeniedHandlerImpl">
<property name="errorPage" value="/common/noRight.jsp" />
</bean>
</property>
</bean>
