Acegi安全框架在Spring Web应用中的实战指南

"实战Acegi：使用Acegi作为基于Spring框架的WEB应用的安全框架" Acegi Security System for Spring 是一个专为Spring Framework设计的安全框架，它为Spring应用提供了强大的身份验证和授权功能。Acegi（现已被Spring Security替代）在0.8.3版本时，已经集成了BeanContext、拦截器和面向接口的编程方式，使得安全服务的实现更加灵活和易于配置。 1. Acegi的主要功能： - 认证：Acegi提供了用户身份验证机制，包括基于用户名和密码的登录，支持多种认证源如数据库、LDAP等。 - 授权： Acegi提供了访问控制功能，可以限制用户对特定资源或操作的访问权限，支持角色和权限的概念。 - 安全拦截：利用AOP（面向切面编程）原理，Acegi可以拦截请求，进行安全检查，确保只有授权的用户才能执行特定操作。 - 国际化：支持多语言的错误消息和提示。 - 会话管理：可以检测和防止会话劫持、会话固定等安全问题。 2. 配置与扩展Acegi： - `web.xml`：配置Acegi的过滤器（`FilterChainProxy`），它是Acegi安全链的核心，用于拦截请求并执行安全检查。 - `applicationContext-security-acegi.xml`：这是Acegi的配置文件，定义了安全策略，包括用户、角色、权限以及认证和授权的规则。 - 扩展：Acegi允许开发者自定义认证和授权逻辑，例如从数据库加载用户信息，实现自定义的权限决策管理器（PermissionEvaluator）。 3. 示例应用： - 本文提供的示例是一个联系人管理程序，包含了登录、登出、联系人增删改查等功能。 - 程序结构清晰，包含JSP页面、配置文件、源代码和数据库脚本，适合初学者了解Acegi的实际应用。 - `web.xml` 和 `applicationContext-security-acegi.xml` 文件是配置Acegi的关键，它们定义了Spring和Acegi的集成，以及安全策略。 - 数据库部分用于存储用户信息和权限数据，可以使用MySQL或其他兼容的数据库系统。 4. 开发流程： - 创建用户实体和权限实体，通常与数据库中的用户表和权限表对应。 - 配置Acegi的认证和授权机制，指定认证提供者（AuthenticationProvider）和权限访问决策器（AccessDecisionManager）。 - 编写自定义逻辑，如从数据库加载用户信息、实现复杂的权限检查等。 - 在JSP和控制器中使用Acegi提供的安全注解（如`@Secured`）来限制页面或方法的访问。 总结，Acegi Security System for Spring 提供了一个全面的框架来处理Spring应用的安全问题，通过配置和扩展，开发者可以构建出符合具体业务需求的安全体系。虽然Acegi已经被Spring Security取代，但其核心思想和使用方式在Spring Security中依然适用，对于理解现代Web应用的安全架构有重要价值。