使用 Acegi 保护 Java 应用程序，第 5 部分: 保护 JSF 应用程序中的 JavaBean

核心提示： 图 2. JSF 和 Acegi 组件协作提供带有安全 IOC bean 的 JSF 页面图 2 显示的事件顺序与 图 1 的顺序稍微有点不同：用户访问 JSF 页面，Acegi 检查用户是否有权访问该 JSF 页面，使用 Acegi 保护 Java 应用程序，第 5 部分: 保护 JSF 应用

图 2. JSF 和 Acegi 组件协作提供带有安全 IOC bean 的 JSF 页面

图 2 显示的事件顺序与 图 1 的顺序稍微有点不同：

用户访问 JSF 页面。

Acegi 检查用户是否有权访问该 JSF 页面。

如果授权过程成功，则将控制权转移给 JSF，由 JSF 准备提供 JSF 页面。

在准备期间，JSF 找到 清单 7 的 JSF 页面中的 publicCatalog 和 privateCatalog bean。

JSF 检查 清单 3 的配置文件，发现 publicCatalog 和 privateCatalog bean 没有在配置文件中配置为 JSF 托管 bean。JSF 使用 Spring 的 DelegatingVariableResolver 解析 publicCatalog 和 privateCatalog bean。

JSF 使用 Acegi 调用 publicCatalog 和 privateCatalog bean 的 getter 方法获取公共和私有数据。

Acegi 执行对访问 bean 的授权过程。

如果 Acegi 发现用户得到授权，可以访问 bean，则调用 getter 方法获取公共和私有数据，并将数据提供给 JSF。

JSF 执行其生命周期并提供 JSF 页面。

您可以看到，清单 7 的 JSF 页面未使用任何托管 bean，所以 图 2 不包含与 JSF 托管 bean 有关的事件。

本文的源代码中还包含第二个示例应用程序，名为 JSFAcegiSampleWithIOCBeans（请参阅 下载）。 JSFAcegiSampleWithIOCBeans 使用 清单 7 中的 JSF 页面演示了 IOC bean 在 JSF 页面中的用法。

使用 Acegi 保护现有 JSF 应用程序

前一节演示了能够直接在 JSF 应用程序中使用 IOC bean。如果已经有一个 JSF 应用程序，然后想用 Acegi 保护它，只需要执行以下四个配置步骤：

按照本系列的前三篇文章所描述的那样编写 Acegi 的配置文件。

按照 第 4 部分 中描述的那样编写一个 web.xml 文件。

按照本文的 “定义表达式解析器” 一节描述的那样在 JSF 配置文件中使用 Spring 的 DelegatingVariableResolver。

在 Acegi 的配置文件而不是 JSF 的配置文件中声明 bean，重新配置要作为 IOC bean 保护的 JSF 托管 bean。

使用这项技术，可以在不用考虑安全问题的情况下开发 JSF 应用程序。开发应用程序之后，可以按照以上四个配置步骤部署 Acegi，无需编写任何 Java 安全性代码。

结束语

在本系列的文章中，学习了如何使用 Acegi 保护 Java 应用程序。您现在掌握了如何加强基于 URL 的安全性和基于方法的安全性。还学习了如何设计访问控制策略和在目录服务其中托管这些策略，以及如何根据托管的访问控制策略执行身份验证和授权决策。在本文和前一篇文章中，主要关注了 JSF 应用程序，学习了如何在不编写任何 Java 安全性代码的情况下保护 JSF 应用程序。

本文示例源代码或素材下载