使用 Acegi 保护 Java 应用程序,第 5 部分: 保护 JSF 应用程序中的 JavaBean
2010-03-18 00:00:00 来源:WEB开发网图 2. JSF 和 Acegi 组件协作提供带有安全 IOC bean 的 JSF 页面
图 2 显示的事件顺序与 图 1 的顺序稍微有点不同:
用户访问 JSF 页面。
Acegi 检查用户是否有权访问该 JSF 页面。
如果授权过程成功,则将控制权转移给 JSF,由 JSF 准备提供 JSF 页面。
在准备期间,JSF 找到 清单 7 的 JSF 页面中的 publicCatalog 和 privateCatalog bean。
JSF 检查 清单 3 的配置文件,发现 publicCatalog 和 privateCatalog bean 没有在配置文件中配置为 JSF 托管 bean。JSF 使用 Spring 的 DelegatingVariableResolver 解析 publicCatalog 和 privateCatalog bean。
JSF 使用 Acegi 调用 publicCatalog 和 privateCatalog bean 的 getter 方法获取公共和私有数据。
Acegi 执行对访问 bean 的授权过程。
如果 Acegi 发现用户得到授权,可以访问 bean,则调用 getter 方法获取公共和私有数据,并将数据提供给 JSF。
JSF 执行其生命周期并提供 JSF 页面。
您可以看到,清单 7 的 JSF 页面未使用任何托管 bean,所以 图 2 不包含与 JSF 托管 bean 有关的事件。
本文的源代码中还包含第二个示例应用程序,名为 JSFAcegiSampleWithIOCBeans(请参阅 下载)。 JSFAcegiSampleWithIOCBeans 使用 清单 7 中的 JSF 页面演示了 IOC bean 在 JSF 页面中的用法。
使用 Acegi 保护现有 JSF 应用程序
前一节演示了能够直接在 JSF 应用程序中使用 IOC bean。如果已经有一个 JSF 应用程序,然后想用 Acegi 保护它,只需要执行以下四个配置步骤:
按照本系列的前三篇文章所描述的那样编写 Acegi 的配置文件。
按照 第 4 部分 中描述的那样编写一个 web.xml 文件。
按照本文的 “定义表达式解析器” 一节描述的那样在 JSF 配置文件中使用 Spring 的 DelegatingVariableResolver。
在 Acegi 的配置文件而不是 JSF 的配置文件中声明 bean,重新配置要作为 IOC bean 保护的 JSF 托管 bean。
使用这项技术,可以在不用考虑安全问题的情况下开发 JSF 应用程序。开发应用程序之后,可以按照以上四个配置步骤部署 Acegi,无需编写任何 Java 安全性代码。
结束语
在本系列的文章中,学习了如何使用 Acegi 保护 Java 应用程序。您现在掌握了如何加强基于 URL 的安全性和基于方法的安全性。还学习了如何设计访问控制策略和在目录服务其中托管这些策略,以及如何根据托管的访问控制策略执行身份验证和授权决策。在本文和前一篇文章中,主要关注了 JSF 应用程序,学习了如何在不编写任何 Java 安全性代码的情况下保护 JSF 应用程序。
本文示例源代码或素材下载
更多精彩
赞助商链接