Acegi安全系統與JSF結合的示例分析

今天就跟大家聊聊有關Acegi安全系統與JSF結合的示例分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

在Java Web開發中，Javabean安全涉及到兩個不同的概念，認證和授權。前者是關于確認用戶是否確實是他們所宣稱的身份。授權則是關于確認用戶是否有允許執行一個特定的操作。JSF (JavaServer Faces) 是J2EE 5開發平臺的組成部分，作為表示層的技術，越來越受到Java開發人員的親睞。在開發過程中，JSP通過DI 技術很方便的和使用類似技術的 Spring 進行整合。JSF在與Acegi安全系統結合之后，讓JavaBean的安全性得到很大提高。

Acegi安全系統一個很重要的特點就是它并沒有角色和用戶組的概念。Acegi安全系統目前支持兩類安全管理對象。***類是為了使Spring管理的Bean可以作為MethodInvocation來使用，Bean可以通過ProxyFactoryBean和BeanNameAutoProxyCreator來管理，就像在Spring的事務管理一樣使用。第二類是FilterInvocation。它用過濾器（Filter）來創建，并簡單地包裝了HTTP的 ServletRequest，ServletResponse和FilterChain。FilterInvocation可以用來保護HTTP資源。通常，開發人員并不需要了解它的工作機制，因為他們只需要將Filter加入web.xml，Acegi安全系統就可以工作了。

本文用一個簡單的Web應用實例的Apache myfaces jsf的執行情況向大家展示，如何使用Spring的application context整合acegi的認證和授權的功能，達到JSF的應用。讀者可以理解到Acegi如何落實URL級別的角色授權，以及如何實施Acegi的業務層的安全說明。

示例應用程序是一個用戶登錄購買的頁面。用戶登錄窗口輸入正確的用戶名和密碼，重定向到一個網頁，在新的網頁中用戶可能發生購買行為等。我們將使用 Acegi安全框架的配置安全的細節，確保用戶的ID已經驗證，并且他的存在對購買頁的授權。用戶可以訪問購買頁，如果有作用 role_urlaccess 。就確保了用戶作出的購買行為是一個安全的商業行為。JSF與Acegi安全授權驗證中牽涉到Acegi、JSF、Spring 三個框架。
***步：用戶訪問JSF網頁
第二步：Acegi檢查訪問用戶是否被授權訪問該頁面。
第三步：如果授權驗證是有效的，就將控制權交給一個為JSF服務的界面servlet。
第四步：在準備的過程中，JSF將會找到Catalog bean。
第五步：JSF檢查界面結構文件（Faces configuration file）來尋找已經定義好的Catalog，并且實例化。Catalog bean的publicData以及privateData 屬性參數會被寫入到沒有被具體化的publicCatalog、privateCatalog beans。
第六步：JSF利用Spring的 DelegatingVariableResolver 可變解析器解釋 publicCatalog和 privateCatalog bean。
第七步：JSF利用Acegi 生成獲得publicCatalog 和 privateCatalog beans方法，讀取公共數據和私有數據。
第八步：Acegi再次執行它的認證進程來訪問bean。
第九步：當Acegi獲得用戶成功地訪問了bean信息后，系統將產生一個獲取方法來讀取公共和私有的數據，并且將數據傳送給JSF。
第十步：JSF調用目錄bean的設置方法，將公共和私有數據寫入Catalog bean
第十一步：JSF執行其周期完成，并順利傳送頁面JSF。

這樣，一個用戶從輸入用戶到進入系統，進行購買操作的流程就完成。在這個過程中，Acegi與JSF一起完成了用戶的認證授權工作。相對于JSP用戶訪問授權的過程，JSF的生命周期要比JSP復雜得多。JSP的生命周期非常簡單，頁面被執行時，HTML標記立即被生成了，生命周期隨即結束。而一個完整的 JSF-Acegi請求-處理生命周期被精心規劃為11個階段，但JSF框架會管理這一切，所以，程序員在獲得更多控制能力的同時，工作量并沒有增加，同時也讓系統安全性能得到較大的提高。

看完上述內容，你們對Acegi安全系統與JSF結合的示例分析有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注億速云行業資訊頻道，感謝大家的支持。