acegi第一个实例-破壳成龙-ChinaUnix博客

来自 : blog.chinaunix.net/uid-2074956 发布时间：2021-03-25

?xml version=\"1.0\" encoding=\"UTF-8\"?>
beans
xmlns=\"\"
xmlns:xsi=\"\"
xsi:schemaLocation=\" /spring-beans-2.0.xsd\">

bean id=\"filterChainProxy\" >
property name=\"filterInvocationDefinitionSource\">
value>
PATTERN_TYPE_APACHE_ANT
/**=httpSessionContextIntegrationFilter,basicProcessingFilter,exceptionTranslationFilter,filterInvocationInterceptor
/value>
/property>
/bean>

bean id=\"httpSessionContextIntegrationFilter\"
>
property name=\"allowSessionCreation\" value=\"false\" />
/bean>

bean id=\"basicProcessingFilter\"
>
property name=\"authenticationManager\" ref=\"authenticationManager\" />
property name=\"authenticationEntryPoint\" ref=\"basicProcessingFilterEntryPoint\" />
/bean>

bean id=\"basicProcessingFilterEntryPoint\"
>
property name=\"realmName\" value=\"Acegi First Demo Realm\" />
/bean>

bean id=\"authenticationManager\"
>
property name=\"providers\">
list>
ref local=\"daoAuthenticationProvider\" />
/list>
/property>
/bean>

bean id=\"daoAuthenticationProvider\"
>
property name=\"userDetailsService\" ref=\"inMemDaoImpl\" />
/bean>

bean id=\"inMemDaoImpl\"
>
property name=\"userMap\">
value>admin=password,ROLE_MANAGER/value>
/property>
/bean>

bean id=\"exceptionTranslationFilter\"
>
property name=\"authenticationEntryPoint\" ref=\"basicProcessingFilterEntryPoint\" />
property name=\"createSessionAllowed\" value=\"false\" />
/bean>

bean id=\"filterInvocationInterceptor\"
>
property name=\"authenticationManager\" ref=\"authenticationManager\" />
property name=\"accessDecisionManager\" ref=\"httpRequestAccessDecisionManager\" />
property name=\"objectDefinitionSource\">
value>
PATTERN_TYPE_APACHE_ANT
/securedpage.jsp=ROLE_ADMIN
/value>
/property>
/bean>

bean id=\"httpRequestAccessDecisionManager\"
>
property name=\"decisionVoters\">
list>
ref bean=\"roleVoter\" />
/list>
/property>
/bean>

bean id=\"roleVoter\" />

bean id=\"authenticationLoggerListener\"
/>

bean id=\"authorizationLoggerListener\"
/>

/beans>

商业性 Web 站点大都提供站点认证功能以保护某些受限资源，HTTP 协议和 J2EE 规范对 Web 站点的认证过程都已有了详尽的定义，常见浏览器都能根据相应协议提供对应的界面形式帮助用户完成站点的认证过程出于安全性的需要和用户授权管理的考虑，常见的 J2EE 站点对特定资源都会加入认证/授权机制。例如一个公网上的论坛，一个只对特定用户开放的 RSS 或 Atom Feed，这些资源都必须在确信访问者为被授权用户时才能向访问者开放。为了实现这样的功能，J2EE 站点通常会采用某种站点认证机制，其中常见的有 HTTP Basic 认证和 J2EE Form-Based 认证。HTTP Basic 认证是 HTTP 认证协议（rfc2617）所定义的标准认证方式。要求 HTTP Basic 认证的服务器会在客户端访问受保护资源时向客户端发出请求，要求客户端上传用户名和密码对。服务器在收到用户名/密码并验证通过后，才将保护资源的内容返回给客户端。

HTTP Basic 认证方式使用 base64 编码方式传送用户名和密码，而 base64 仅仅是一种公开的编码格式而非加密措施，因而如果信道本身不使用 SSL 等安全协议，用户密码较容易被截获。

Form-Based 认证不同于 HTTP Basic 认证，它是 J2EE 对于认证方式的一种扩展。它使用自定义的 HTML 表单（通常为 login.jsp）作为输入用户名和密码的用户界面，最终将用户在表单上填入的用户名/密码提交至服务器。

Form-Based 认证方式在 J2EE 站点中更为常见。这一方面是由于它提供了自定义的用户名密码输入界面；另一方面它的传输也更为安全，通常情况下 login.jsp 会被配置为需要使用 SSL 信道访问，这样在步骤 2、3 中对用户名和密码的传送就被安全信道所保护，而较难被非法截取。