在对web项目进行权限管理时,采用的方法无非是写一大堆JSP或者干脆一个Filter搞定。写完简单的权限功能后,又开始考虑如何自动记忆上次用户信
息,限制每台机器只能有一个用户登录,把用户密码进行加密。接着更上一层楼,尝试实现单点登录,使用HTTPS保护传输数据,防御会话伪造攻击等等。
于是好几年前出现了名叫acegi的东西,它建立在spring的基础上,提供了可以丰盛的权限功能集合,同时也以极为变态的复杂配置给了我们这
些初试权限的人闷头一棍。甚至网上已经有人流传“every time you use acegi, a fairy
die”——每当有人使用acegi时,就会有一个精灵死去。
正因为如此,acegi在加入spring阵营时,不但改头换面改名成为Spring
Security,而且在配置方面进行了极大的简化,形象的来说就是:“现在只需要20行的配置文件就可以完成之前几百行才能实现的功能”。
遗憾的是,现在依然可以看到还有人在使用acegi,甚至还有人在学习acegi,这种情况无疑让我们感到痛心疾首。
为了世界上不会再有精灵无谓牺牲,也为了大家的身心健康,我在此大声疾呼:“请把acegi替换成Spring
Security。”尤其对那些希望学习acegi的同志,请直接学习Spring Security。
下面是《请把acegi替换成Spring Security》的附带视频,希望大家了解Spring Security的简洁。
http://code.google.com/p/family168/downloads/detail?name=springsecurity.zip