Acegi安全系统详解：企业级安全服务解决方案

Acegi安全系统详解 Acegi是Spring Framework下最成熟的安全系统，它提供了强大灵活的企业级安全服务。 Acegi安全系统的主要特点是提供了完善的认证和授权机制、Http资源访问控制、Method调用访问控制、Access Control List (ACL) 基于对象实例的访问控制、Yale Central Authentication Service (CAS) 耶鲁单点登陆、X509 认证、当前所有流行容器的认证适配器、Channel Security频道安全管理等功能。 1. 认证和授权机制：Acegi提供了完善的认证和授权机制，能够对用户进行身份验证和权限控制。认证机制包括Username/Password认证、LDAP认证、Database认证等多种方式。授权机制包括基于角色的权限控制（RBAC）、基于访问控制列表（ACL）的权限控制等。 2. Http资源访问控制：Acegi提供了Http资源访问控制功能，能够控制用户对Http资源的访问权限。例如，某个用户可以访问某个Http资源，而另一个用户则不能访问该资源。 3. Method调用访问控制：Acegi提供了Method调用访问控制功能，能够控制用户对Method的调用权限。例如，某个用户可以调用某个Method，而另一个用户则不能调用该Method。 4. 对象实例保护：Acegi提供了对象实例保护功能，能够控制用户对对象实例的访问权限。例如，某个用户可以访问某个对象实例，而另一个用户则不能访问该对象实例。 5. Yale Central Authentication Service (CAS) 耶鲁单点登陆：Acegi提供了Yale Central Authentication Service (CAS) 耶鲁单点登陆功能，能够实现单点登陆功能，用户只需要输入一次用户名和密码，即可访问多个应用程序。 6. X509 认证：Acegi提供了X509 认证功能，能够实现基于X509证书的身份验证。 7. 当前所有流行容器的认证适配器：Acegi提供了当前所有流行容器的认证适配器，能够实现与多种容器的集成。 8. Channel Security频道安全管理：Acegi提供了Channel Security频道安全管理功能，能够实现频道安全管理。 Acegi安全系统的架构非入侵式，因为它基于Servlet Filter和Spring AOP，使商业逻辑和安全逻辑分开，结构更清晰。同时，Acegi使用Spring来代理对象，能够方便地保护方法调用。 Acegi安全系统还提供了基于角色的权限控制（RBAC），引入了ROLE的概念，使User（用户）和Permission（权限）分离，一个用户拥有多个角色，一个角色拥有多个相应的权限，从而减少了权限管理的复杂度，能够更灵活地支持安全策略。此外，Acegi还引入了resource（资源）的概念，一个资源对应多个权限，资源分为ACL、URL和FUNTION三种。 在RBAC模型中，权限控制数据库表的设计非常重要。Acegi自带的sample表设计很简单，但无法适应复杂的权限需求。因此，需要对权限控制数据库表进行扩展，引入了ROLE、USER、RESOURCE、PERMISSION等概念，建立了复杂的权限控制系统。 Acegi安全系统是Spring Framework下最成熟的安全系统，提供了强大灵活的企业级安全服务，能够满足复杂的安全需求。