第四章. 信道安全
4.1. 概述
Acegi Security不仅能满足你的认证和授权的请求,而且能够保证你的未认证的web请求也能拥有某些属性。这些属性可能包括使用特定的传输类型,在HttpSession设置特定的属性等等。Web请求的最普遍的需求是使用特定的传输协议,例如HTTPS。
在传输安全中的一个重要议题就是会话劫持(session hijacking)。Web容器通过一个jsessionid来引用一个HttpSession,这个jsessionid通过cookie 或者URL重写转向(URL rewriting)发送到到客户端。如果jsessionid是通过HTTP发送的,那么就存在被劫持以及在认证过程之后冒充被认证用户的可能。这是因 为大部分的web容器为特定的用户维护同一个会话标识符,即便是用户从HTTP 切换到 HTTPS页面。
如果对于你的特定应用来说,会话劫持(session hijacking)是一个很严重的风险,那么唯一的解决方法就是对每一个请求都使用HTTPS。这意味着jsessionid不会使用非安全信道传输。 你要保证你的web.xml中定义,把它指向一个HTTPS位置,同时应用程序不把用户指向一个HTTP位置。 Acegi Security提供一个解决方案帮助你实现后者。
4.2. 配置
启用Acegi Security的信道安全服务,需要在web.xml中增加如下行:
<filter>
<filter-name>Acegi Channel Processing Filter</filter-name>
<filter-class>
org.acegisecurity.util.FilterToBeanProxy
</filter-class>
<init-param>
<param-name>targetClass</param-name>
<param-value>
org.acegisecurity.securechannel.ChannelProcessingFilter
</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>Acegi Channel Processing Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
和平时一样,你同样需要在application context中配置filter
bean id="channelProcessingFilter"
class="org.acegisecurity.securechannel.ChannelProcessingFilter">
<property name="channelDecisionManager">
<ref bean="channelDecisionManager" />
</property>
<property name="filterInvocationDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
\A/secure/.*\Z=REQUIRES_SECURE_CHANNEL
\A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL
\A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL
\A.*\Z=REQUIRES_INSECURE_CHANNEL
</value>
</property>
</bean>
<bean id="channelDecisionManager"
class="org.acegisecurity.securechannel.ChannelDecisionManagerImpl">
<property name="channelProcessors">
<list>
<ref bean="secureChannelProcessor" />
<ref bean="insecureChannelProcessor" />
</list>
</property>
</bean>
<bean id="secureChannelProcessor"
class="org.acegisecurity.securechannel.SecureChannelProcessor" />
<bean id="insecureChannelProcessor"
class="org.acegisecurity.securechannel.InsecureChannelProcessor" />
ChannelProcessingFilter和FilterSecurityInterceptor一样支持Apache Ant style paths。
ChannelProcessingFilter的工作方式是过滤所有的web请求,并将判断将适合的配置属性应用于其上。然后它代理到 ChannelDecisionManager。默认的实现类ChannelDecisionManagerImpl应该能够满足大多数需求。它就代理到 配置好的ChannelProcessor实例列表。ChannelProcessor会检视请求,如果它不满意请求(例如请求是发送自不正确的传输协 议)它将会重定向,抛出异常或者采取其他任何恰当的措施。
Acegi Security 包括ChannelProcessor两个实体类实现:SecureChannelProcessor 保证配置了REQUIRES_SECURE_CHANNEL 属性的请求都是从HTTPS发送过来的。而InsecureChannelProcessor 保证配置了REQUIRES_INSECURE_CHANNEL 属性的请求都是从HTTP发送过来的。如果没有使用请求的协议,这两个实现都会转到ChannelEntryPoint,而两个 ChannelEntryPoint 实现所作的就是简单的把请求相应按照HTTP 和 HTTPS重定向。
要注意重定向是绝对(例如http://www.company.com:8080/app/page) 而不是相对的(例如 /app/page)。在测试中发现Internet Explorer 6 Service Pack 1 有一个bug,因此如果在重定向的时候也改变使用的端口,它就不能正确响应。对应这个bug,在很多Acegi Security bean中都会使用的PortResolverImpl也使用绝对URL。请参阅PortResolverImpl的JavaDoc以获取更多信息。
你要注意使用为了在登录过程中保证用户名和密码的安全,要使用安全信道。如果你配合基于表单的登录使用 ChannelProcessingFilter,请记得一定要把你的登录页面设置为REQUIRES_SECURE_CHANNEL,并且 AuthenticationProcessingFilterEntryPoint.forceHttps属性设置为true。
4.3. 结论
一旦配置好了,使用安全信道是非常简单的。只要请求页面,不用管使用什么协议(HTTP 或 HTTPS)或什么端口(80, 8080, 443, 8443等)。显然你只要确定初始请求(获取通过在web.xml 中的 或一个众所周知的主页URL),完成以后filter会执行你application context定义的重定向。
你也可以在ChannelDecisionManagerImpl中增加自己的ChannelProcessor实现。例如,你可能通过"输入图片中的内容"检测到一个个人类用户,然后在HttpSession中设置一个属性。
要判断一个安全检查应该是或者ChannelProcessor或是 AccessDecisionVoter 记得前者是设计用来处理认证或者未认证的请求,而后者是设计用来处理已认证的请求。因此后者可以访问已认证的principal被授予的权限。
另外,ChannelProcessor检测到问题后一般是引发一个HTTP/HTTPS重定向这样他的请求可以被满足,而 AccessDecisionVoter将则会跑出一个AccessDeniedException异常(取决于支配的 AccessDecisionManager)。
分享到:
相关推荐
Acegi 参考手册(V1.0.4) 翻译 Acegi 参考手册(V1.0.4) 翻译
acegi-security-1.0.4.jar
acegi-security-1.0.4-src.zip acegi-security-1.0.4.jar的源码
标签:acegi-security-1.0.4.jar.zip,acegi,security,1.0.4,jar.zip包下载,依赖包
Acegi最新版v1.0.4,网络安全方面教程
Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。 Acegi Security专注于在企业应用安全层为您提供帮助,你将会发现和...
官方版本,亲测可用
Acegi(version1.0.4)中文参考手册.doc
标签:acegi-security-tiger-1.0.0-RC2.jar.zip,acegi,security,tiger,1.0.0,RC2,jar.zip包下载,依赖包
Acegi (version1.0.4)中文参考手册.Acegi Security为基于J2EE的企业应用软件提供全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供有用的,高可配置的安全系统。
Acegi最新版(v1.0.4)中文参考手册 比较详细,而且是中文的哦
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
官方版本,亲测可用
标签:acegi-security-tiger-1.0.4.jar.zip,acegi,security,tiger,1.0.4,jar.zip包下载,依赖包
包含acegi-security-1.0.7.jar,acegi-security-1.0.7-sources.jar,acegi-security-cas-1.0.7.jar,acegi-security-cas-1.0.7-sources.jar,acegi-security-catalina-1.0.7.jar,acegi-security-catalina-1.0.7-...
Acegi-security-samples-tutorial-1.0.7.zip 实例代码解析:把官方的这个实例导入自己建的项目中,对其中的代码都加上了注释,有利于大家的学习。
Acegi是一个专门为SpringFramework提供安全机制的项目,全称为Acegi Security System for Spring.