xyz20003

www.mossle.com
随笔 - 34, 文章 - 0, 评论 - 124, 引用 - 0
数据加载中……

2010年1月19日

spring security权限管理手册升级至spring security-3.1.3

费了半天劲,终于把原来基于spring security 2.0.5的权限管理手册升级到3.1.3。

除了官方已经不再支持ntlm和portal两个例子之外,其他的实例都已经通过了测试。下一步计划是对整体内容进行整理,再加上3.1.3提供的新功能。

 

目录索引链接如下:

 

序言
I. 基础篇

1. 一个简单的HelloWorld

1.1. 配置过滤器
1.2. 使用命名空间
1.3. 完善整个项目
1.4. 运行示例
2. 使用数据库管理用户权限

2.1. 修改配置文件
2.2. 数据库表结构
3. 自定义数据库表结构

3.1. 自定义表结构
3.2. 初始化数据
3.3. 获得自定义用户权限信息

3.3.1. 处理用户登陆
3.3.2. 检验用户权限
4. 自定义登陆页面

4.1. 实现自定义登陆页面
4.2. 修改配置文件
4.3. 登陆页面中的参数配置
4.4. 测试一下
5. 使用数据库管理资源

5.1. 数据库表结构
5.2. 初始化数据
5.3. 实现从数据库中读取资源信息

5.3.1. 需要何种数据格式
5.3.2. 替换原有功能的切入点
6. 控制用户信息

6.1. MD5加密
6.2. 盐值加密
6.3. 用户信息缓存
6.4. 获取当前用户信息
7. 自定义访问拒绝页面
8. 动态管理资源结合自定义登录页面
9. 中文用户名
10. 判断用户是否登录
II. 保护web篇

11. 图解过滤器

11.1. HttpSessionContextIntegrationFilter
11.2. LogoutFilter
11.3. AuthenticationProcessingFilter
11.4. DefaultLoginPageGeneratingFilter
11.5. BasicProcessingFilter
11.6. SecurityContextHolderAwareRequestFilter
11.7. RememberMeProcessingFilter
11.8. AnonymousProcessingFilter
11.9. ExceptionTranslationFilter
11.10. SessionFixationProtectionFilter
11.11. FilterSecurityInterceptor
12. 管理会话

12.1. 添加监听器
12.2. 添加过滤器
12.3. 控制策略

12.3.1. 后面的用户禁止登陆
12.3.2. 后登陆的将先登录的踢出系统
13. 单点登录

13.1. 配置JA-SIG
13.2. 配置Spring Security

13.2.1. 添加依赖
13.2.2. 修改applicationContext.xml
13.3. 运行配置了cas的子系统
13.4. 为cas配置SSL

13.4.1. 生成密钥
13.4.2. 为jetty配置SSL
13.4.3. 为tomcat配置SSL
14. basic认证

14.1. 配置basic验证
14.2. 编程实现basic客户端
15. 标签库

15.1. 配置taglib
15.2. authenticaiton
15.3. authorize
15.4. acl/accesscontrollist
15.5. 为不同用户显示各自的登陆成功页面
16. 自动登录

16.1. 默认策略
16.2. 持久化策略
17. 匿名登录

17.1. 配置文件
17.2. 修改默认用户名
17.3. 匿名用户的限制
18. 防御会话伪造

18.1. 攻击场景
18.2. 解决会话伪造
19. 预先认证

19.1. 为jetty配置Realm
19.2. 配置Spring Security
20. 切换用户

20.1. 配置方式
20.2. 实例演示
21. 信道安全

21.1. 设置信道安全
21.2. 指定http和https的端口
22. digest认证

22.1. 配置digest验证
22.2. 使用ajax实现digest认证
22.3. 编程实现digest客户端
23. 通过LDAP获取用户信息
24. 通过OpenID进行登录

24.1. 配置
24.2. 系统时间问题
24.3. openid4java的处理流程
25. 使用X509登录

25.1. 生成证书
25.2. 配置服务器使用双向加密
25.3. 配置X509认证
26. 使用NTLM登录
27. 使用JAAS机制
28. 使用HttpInvoker
29. 使用rmi
30. 控制portal的权限
31. 保存登录之前的请求
32. 记录操作日志
III. 内部机制篇

33. 保护方法调用

33.1. 控制全局范围的方法权限
33.2. 控制某个bean内的方法权限
33.3. 使用annotation控制方法权限

33.3.1. 使用Secured
33.3.2. 使用jsr250
34. 权限管理的基本概念

34.1. 认证与验证
34.2. SecurityContext安全上下文
34.3. Authentication验证对象
35. Voter表决者

35.1. Voter表决者
35.2. RoleVoter
35.3. AuthenticatedVoter
35.4. AbstractAclVoter
36. 拦截器

36.1. 权限配置数据源
36.2. 权限管理器
36.3. 后置调用管理器
36.4. 临时分配额外权限
37. 用户信息

37.1. UserDetails
37.2. 使用角色继承
37.3. 为ACL添加角色继承
37.4. PasswordEncoder和SaltValue
38. 集成jcaptcha
39. 动态资源管理

39.1. 基本知识
39.2. 读取资源
39.3. URL资源扩展点
39.4. METHOD资源扩展点
40. 扩展UserDetails

40.1. 实现UserDetails接口
40.2. 实现UserDetailsService接口
40.3. 修改配置文件
40.4. 测试运行
41. 锁定用户
42. 设置过滤器链
43. 自定义过滤器
44. 使用用户组

44.1. 数据库结构
44.2. 修改配置文件
45. 在JSF中使用Spring Security

45.1. 修改过滤器支持forward
45.2. 自定义登录页面
45.3. 显示密码错误信息
46. 自定义会话管理

46.1. 默认策略的缺陷
46.2. 记录用户名与ip
46.3. 改造控制类
46.4. 修改配置文件
47. 匹配URL地址

47.1. AntPathRequestMatcher
47.2. RegexRequestMatcher
48. 配置过滤器

48.1. 标准过滤器
48.2. 在http中启用标准过滤器
48.3. 为自定义过滤器设置位置
49. 监控会话过期

49.1. 实现原理
49.2. 代码实现
49.3. 目前实现的缺陷
50. 多个登陆页面

50.1. 未登录自动跳转到对应的登录页面
50.2. 密码出错时返回对应页面
51. 角色继承

51.1. 使用RoleHierarchyVoter
51.2. 使用数据库实现RoleHierarchy
52. 设置方法拦截器
IV. ACL篇

53. ACL基本操作

53.1. 准备数据库和aclService

53.1.1. 为acl配置cache
53.1.2. 配置lookupStrategy
53.1.3. 配置aclService
53.2. 使用aclService管理acl信息
53.3. 使用acl控制delete操作
53.4. 控制用户可以看到哪些信息
54. 管理acl

54.1. 管理多个domain类
54.2. 动态授权与收回授权

54.2.1. 获得对象的acl权限
54.2.2. 添加授权
54.2.3. 收回授权
55. acl自动提醒

55.1. 自动创建acl
55.2. 自动删除acl
55.3. 根据id删除acl
V. 最佳实践篇

56. 最简控制台

56.1. 平台搭建
56.2. 用户登录
56.3. 用户信息列表
56.4. 添加用户
56.5. 修改用户信息
56.6. 修改自己的密码
57. 用户组控制台

57.1. 添加对用户组的支持
57.2. 浏览用户组
57.3. 创建用户组
57.4. 修改用户组
A. 修改日志
B. 常见问题解答
C. Spring Security-3.0.0.M1

C.1. Hello World
C.2. Spring-EL
C.3. RoleHierarchy
C.4. Success Handler
C.5. REST下的权限控制
C.6. 管理会话同步
D. 命名空间

D.1. http
D.2. authentication-provider
D.3. ldap-server
D.4. global-method-security
E. 数据库表结构

E.1. User
E.2. Group
E.3. RememberMe
E.4. ACL
F. 异常
G. 事件
H. RBAC模型(转载)

H.1. RBAC模型介绍
H.2. 有关概念

H.2.1. 什么是角色
H.2.2. 角色与用户组
H.3. 基本模型RBAC0

H.3.1. RBAC0 模型的形式定义如下
H.4. 角色分级模型RBAC1

H.4.1. 定义2:RBAC1 由以下内容确定
H.5. 限制模型RBAC2

H.5.1. 定义3:
H.6. 统一模型RBAC3
H.7. 定义4
H.8. 在ARBAC97中,包括三种组件
H.9. RBAC模型的特点
H.10. 基于party的模型
H.11. 有关operation
I. 认证流程

posted @ 2012-12-08 01:04 临远 阅读(6109) | 评论 (7)编辑 收藏

轻量级工作流引擎jBPM 4.4正式发布

jBPM-4.4于2010年7月19日正式发布。

jBPM是jBoss旗下的一款开源工作流引擎,它的特色是提供了eclipse插件,开发人员可以通过插件直接绘画出业务流程图。



jBPM 4是jBPM的最新一代产品,它提供的PVM(流程虚拟机)可以支持多种流程语言,默认支持的是jBPM自己的jPDL流程语言,从jBPM-4.3开 始,又提供了对BPMN-2.0的支持(不过还不完全)。jBPM的发布包中提供了一键式安装的ant脚本,可以将jBPM流程引擎以及配套的管理控制 台,流程设计器一次性安装到本机上运行使用。

安装配置的详细步骤可以参考官方的用户手册:http://www.family168.com/tutorial/jbpm4.0/html/installation.html

最新发布的jBPM-4.4中解决了108个issue,不过它距离上次发布也半年有余了,jBPM-4.3发布于2009年12月底。

jBPM-4.4是一个bug fix版本,并未对数据库有任何修改,使用之前版本的项目基本可以平滑升级。在进行升级时需要注意:

1.Activity和Transition两个接口从org.jbpm.pvm.internal.model包下移动到了 org.jbpm.api.model包下。
2.所有与el表达式相关的部分都替换为新加的org.jbpm.pvm.internal.el.Expression。

添加的几个重要功能:
1.for each支持动态的并发分支流程,会签和并发子流程都可以用它来实现了。
2.assign活动,可以对变量的值进行复制。
3.变量声明,可以在xml里声明变量。
4.修正了console在tomcat下找不到dataSource的问题(包括报表)。

详细的发布信息,请参考官方的JIRA:https://jira.jboss.org/secure/ReleaseNote.jspa?projectId=10052&version=12314183

用Alejandro的话说,This makes 4.4 the most cat-friendly jBPM yet!下个版本会对数据库结构进行修改了,以便完善流程历史库的功能。

相关的发布下载与文档资源如下:
Subversion tag: http://anonsvn.jboss.org/repos/jbpm/jbpm4/tags/jbpm-4.4/
Maven artifact: http://repository.jboss.org/nexus/content/repositories/releases/org/jbpm/jbpm4/jbpm/4.4/
SourceForge file: https://downloads.sourceforge.net/project/jbpm/jBPM%204/jbpm-4.4/jbpm-4.4.zip

User Guide: http://docs.jboss.com/jbpm/v4/userguide/html_single/
Developer Guide: http://docs.jboss.com/jbpm/v4/devguide/html_single/
Maven Artifact: http://repository.jboss.org/nexus/content/repositories/releases/org/jbpm/jbpm4/jbpm/4.4/

另附我们翻译的用户手册和开发指南:
用户手册:http://www.family168.com/tutorial/jbpm4.0/html/index.html
开发指南:http://www.family168.com/tutorial/jbpm4devguide/html/index.html

posted @ 2010-07-20 16:20 临远 阅读(2371) | 评论 (3)编辑 收藏

拖延一个多月后,jBPM-4.4发布CR1候选版

Alejandro太谨慎了,发布jBPM-4.4之前还搞了一个CR1候选版,被jBPM-4.3里那些bug困扰的同志可以直接下载这个版本使用了, 这个候选版和jBPM-4.4最终发布版基本不会有太大区别,下载地址如下:

http://sourceforge.net/projects/jbpm/files/jBPM%204/jbpm-4.4/jbpm-4.4.CR1.zip/download

在之前的帖子jBPM 4.4发布日期暂定于2010年6月4日里提到的几个新特性都有了结果:

1.支持foreach,这个是真正的动态分支功能,想玩会签吗?想玩动态分支吗?想实现动态子流程吗?用foreach就对了。

2.支持在jpdl的xml中声明变量,可以声明实例级全局变量,也可以声明活动级的局部变量。

现在这两个重量级的功能都可以使用了。

对于BPMN2的支持也加强了一部分,包括m选n的inclusive gate way和可以定时启动的TimerStartEventActivity。不过BPMN2新增的功能都是joraz走之前实现的,以后jBPM 4的BPMN2能走多远还是未知数。

jBPM 4.4目前解决了100多个issue,详细的issue列表可以参考这里:

https://jira.jboss.org/secure/ReleaseNote.jspa?projectId=10052&version=12314183

最后双手合十,诚信祷告jBPM-4.4早日发布。这样我们才能集中精力开始下一阶段的开发。

posted @ 2010-07-15 22:18 临远 阅读(1451) | 评论 (2)编辑 收藏

jBPM 4.4发布日期暂定于2010年6月4日

jbpm官方终于传来好消息,jBPM 4.4可能在下月初发布。以下是当前project leader的声明:

We are down to 9 unresolved issues left before releasing 4.4. Given the current progress, it should be possible to release jBPM 4.4 on June 4th; the date is of course tentative and subject to change. Right now the only blocker issue is JBPM-2872: fix hudson db job. All others are deferrable if not completed on time.

If you feel like there is an issue that should not be left out, the time to bring it up is now. Visit the developers forum if you want to do so.


声明地址:http://community.jboss.org/thread/152282?tstart=0

简单来说,就是还剩下9个未处理事务,按当前进度应该可以在6月4日发布jBPM 4.4,其中最重要的问题是修正hudson下的db任务。最后向社区征集意见,如果谁感觉有啥issue应该在jbpm 4.4里解决的话,就赶快提出来撒。

jBPM 4.4的详细发布信息可以参考这里https://jira.jboss.org/secure/ReleaseNote.jspa?projectId=10052&version=12314183, 一共是75个issue,目前已解决66个。这个版本主要是进行bug fix,也提供了几个重量级的新功能。

1.解决嵌套fork/join每次嵌套会出现多余execution的问题。
2.任务超时或者手工执行signal后,自动删除过期task。
3.让sub-process的id和key都支持表达式。
4.支持在xml中声明变量。(还在讨论中)
5.在fork中使用assignmentHandler会抛出NullPointerException。

另外还有for-each动态fork分支这个功能,还在研究是不是要放在jbpm-4.4里,感兴趣的同志可以来官方论坛提出意见。
http://community.jboss.org/thread/152243?tstart=0

posted @ 2010-05-24 09:57 临远 阅读(1750) | 评论 (0)编辑 收藏

jBPM创始人发布BPMN原生引擎Activiti-5.0-alpha1

Tom Baeyens也就是jBPM的原作者,离开了Red Hat之后,另起炉灶搞了一个Activiti的项目,这个项目是基于BPMN的原生流程引擎。

那么这个activiti到底有啥好处呢?让咱们一一道来:

它基于的Apache 2.0开源协议,比jBPM的LGPL更加宽松。

它是基于BPMN2.0标准规范的,最大的好处就是可以用oryz这个web流程设计器直接在web浏览器上设计流程了。(注:别高兴太早,oryz是用svg写的,IE一律不支持。)

它是基于ibatis的,数据库层不再对hibernate有依赖。(注:alpha1只支持h2database,后面的版本会对mysql, oracle,postegl进行支持)

选用BPMN作为标准流程语言,也意味着原来的jBPM里的jPDL流程语言将不会被继续支持,也不知道PVM流程虚拟机是否会继续下去,如果Tom不想 玩虚拟机了,activiti很可能就是一个只支持一种流程语言的引擎了。这点确实让人感到有点儿遗憾。

从www.activiti.org这个网站上可以下载到alpha1的发布包,其中包含了源代码,草草看了一下,核心库只有200多K,其中把原来自行实现的IoC自动注入的代码都删掉了。以后的IoC工作可能统一交给spring去管理,这对使用spring的同志来说,无疑是一个天大的好消息。

api部分对外部接口进行了简化,ExternalActivityBehaviour不见了,换成了EventActivityBehaviour,这一点让我感觉很舒服,毕竟signal其实也只是事件的一种特例,换成eventActivityBehaviour之后,也就意味着我们可以让活动节点支持更多事件处理操作了。

持久化部分换成了ibatis,这部分暂时还只支持h2database,脚本什么的也只有h2database的,虽然因为alpha1版本,功能不多情有可原,但是我还是担心使用ibatis会否大幅度增加数据库存储部分的维护量。希望后续发展不要因为这部分的问题遇到障碍。

表结构似乎和原来的jbpm4差不多,有些表名发生了变化。表的数目又少了很多,但是我情愿认为这不是为了优化,而是因为这个版本不成熟,因为看不到log和history相关的表,所以,现在这个版本应该是没有历史留痕功能的。也没有看到变量表,也许都是用二进制的方式来保存的吧?

对BPMN2支持的部分,目前支持StartEvent, EndEvent, Task和UserTask,其他的都不支持,所以还是需要时间完善的。

实际上Tom和Joram的编码能力还是相当惊人的,从他们俩离开Red Hat到现在才不过两个月,就立刻搞出这么一个东西,而且网站也搞得有模有样的,真心希望他们能延续RoadMap,把这个项目完善起来。

项目首页:http://www.activiti.org/

posted @ 2010-05-20 09:25 临远 阅读(2160) | 评论 (1)编辑 收藏

请把acegi替换成Spring Security(内附视频)

在对web项目进行权限管理时,采用的方法无非是写一大堆JSP或者干脆一个Filter搞定。写完简单的权限功能后,又开始考虑如何自动记忆上次用户信 息,限制每台机器只能有一个用户登录,把用户密码进行加密。接着更上一层楼,尝试实现单点登录,使用HTTPS保护传输数据,防御会话伪造攻击等等。

于是好几年前出现了名叫acegi的东西,它建立在spring的基础上,提供了可以丰盛的权限功能集合,同时也以极为变态的复杂配置给了我们这 些初试权限的人闷头一棍。甚至网上已经有人流传“every time you use acegi, a fairy die”——每当有人使用acegi时,就会有一个精灵死去。

正因为如此,acegi在加入spring阵营时,不但改头换面改名成为Spring Security,而且在配置方面进行了极大的简化,形象的来说就是:“现在只需要20行的配置文件就可以完成之前几百行才能实现的功能”。

遗憾的是,现在依然可以看到还有人在使用acegi,甚至还有人在学习acegi,这种情况无疑让我们感到痛心疾首。

为了世界上不会再有精灵无谓牺牲,也为了大家的身心健康,我在此大声疾呼:“请把acegi替换成Spring Security。”尤其对那些希望学习acegi的同志,请直接学习Spring Security。

下面是《请把acegi替换成Spring Security》的附带视频,希望大家了解Spring Security的简洁。
http://code.google.com/p/family168/downloads/detail?name=springsecurity.zip

posted @ 2010-03-22 09:59 临远 阅读(2866) | 评论 (4)编辑 收藏

跟我学工作流——jBPM4视频教程(免费)

新的一年,为了让工作流方面的初学者更快上手开发,我们录制了jBPM 4视频教程,这套教程基于最新发布的jBPM 4.3,覆盖了开发环境的搭建,jBPM 4与WEB工程的集成,请假流程的完整实例,jBPM 4的组织机构,事件监听,以及流程图的跟踪等功能。

我们的网站提供了相关视频和实例的免费下载,对工作流以及jBPM 4有兴趣的朋友可以关注一下,也希望更多朋友在工作流方面给我们提出建议。jBPM 4视频教程首页:http://www.family168.com/jbpm4/video.html

《jBPM 4视频教程》:基于jBPM 4.3,发布日期2010-3-5。
NO. 分级 标题  
01 《配置开发环境》:下载jBPM 4和eclipse,安装GPD流程设计器,设计简单流程。 下载   提意见
02 《管理流程定义》:将流程定义发布到流程引擎中,实现查看和删除流程定义的功能。 下载   提意见
03 《管理流程实例》:发起新流程,使暂停的流程继续运行,实现终止和删除流程实例。 下载   提意见
04 《设计请假流程》:以请假审批流程为例,以web的方式发布新流程定义。 下载   提意见
05 《发起新流程》:在流程定义中设置任务分配,提供接收和完成任务的功能。 下载   提意见
06 《流程驳回》:实现流程驳回和重新提交申请的功能。 下载   提意见
07 《组织机构》:介绍jBPM 4中默认提供的组织机构。 下载   提意见
08 《监听事件》:为流程定义设置事件,监听流程执行时触发的事件。 下载   提意见
09 《跟踪流程图》:显示流程图,跟踪当前路程实例的状态。 下载   提意见
www.family168.com - Lingo


posted @ 2010-03-06 10:02 临远 阅读(5755) | 评论 (11)编辑 收藏

jBPM-4.x常见问题解决方案FAQ

     摘要: 这段时间整理的jBPM-4.x常见问题以及解决方案,希望帮助对jBPM-4.x感兴趣的同学少走弯路,如果有没有覆盖到的问题,请及时和我们联系,我们会尽快更新这个FAQ,先说一句多谢了。:)  阅读全文

posted @ 2010-01-22 09:19 临远 阅读(2409) | 评论 (3)编辑 收藏

Spring Security-3.0.1中文官方文档(翻译版)

     摘要: 这次发布的Spring Security-3.0.1是一个bug fix版,主要是对3.0中存在的一些问题进行修正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行了修正,建议开发者以这一版本的文档为参考。

另:Spring Security从2010-01-01以后,版本控制从SVN换成了GIT,我们在翻译文档的时候,主要是根据SVN的变化来进行文档内容的比对,这次换成GIT后,感觉缺少了之前那种文本比对工具,如果有对GIT熟悉的朋友,还请推荐一下文本比对的工具,谢谢。  阅读全文

posted @ 2010-01-19 09:37 临远 阅读(5380) | 评论 (0)编辑 收藏