使用Acegi保护Java应用程序，第5部分: 保护JSF应用程序中的JavaBean - 编程入门网

使用Acegi保护Java应用程序，第5部分: 保护JSF应用程序中的JavaBean(7)

清单 7 与 清单 2 中的 JSF 页面类似。惟一的区别在于 <outputText> 标签的 value 属性。在 清单 2 中，value 属性引用 catalog，后者是一个 JSF 托管 bean。在 清单 7 中，value 属性直接引用 IOC bean（即 publicCatalog 和 privateCatalog）。这意味着当用户访问 清 单 7 的 JSF 页面时，JSF 直接用 Spring 的 DelegatingVariableResolver 解 析 Acegi IOC。

请注意，为了解析 JSF 页面中使用的 IOC bean， DelegatingVariableResolver 的工作方式与我在讨论 图 1 时说明的方式相同 。

图 2 演示了用户访问 清单 7 中的 JSF 页面时发生的事件顺序。

图 2. JSF 和 Acegi 组件协作提供带有安全 IOC bean 的 JSF 页面

图 2 显示的事件顺序与 图 1 的顺序稍微有点不同：

用户访问 JSF 页面。

Acegi 检查用户是否有权访问该 JSF 页面。

如果授权过程成功，则将控制权转移给 JSF，由 JSF 准备提供 JSF 页面。

在准备期间，JSF 找到 清单 7 的 JSF 页面中的 publicCatalog 和 privateCatalog bean。

JSF 检查 清单 3 的配置文件，发现 publicCatalog 和 privateCatalog bean 没有在配置文件中配置为 JSF 托管 bean。JSF 使用 Spring 的 DelegatingVariableResolver 解析 publicCatalog 和 privateCatalog bean。

JSF 使用 Acegi 调用 publicCatalog 和 privateCatalog bean 的 getter 方法获取公共和私有数据。

Acegi 执行对访问 bean 的授权过程。

如果 Acegi 发现用户得到授权，可以访问 bean，则调用 getter 方法获取 公共和私有数据，并将数据提供给 JSF。

JSF 执行其生命周期并提供 JSF 页面。

您可以看到，清单 7 的 JSF 页面未使用任何托管 bean，所以 图 2 不包含 与 JSF 托管 bean 有关的事件。

本文的源代码中还包含第二个示例应用程序，名为 JSFAcegiSampleWithIOCBeans（请参阅 下载）。 JSFAcegiSampleWithIOCBeans 使用 清单 7 中的 JSF 页面演示了 IOC bean 在 JSF 页面中的用法。

使用 Acegi 保护现有 JSF 应用程序

前一节演示了能够直接在 JSF 应用程序中使用 IOC bean。如果已经有一个 JSF 应用程序，然后想用 Acegi 保护它，只需要执行以下四个配置步骤：

按照本系列的前三篇文章所描述的那样编写 Acegi 的配置文件。

按照 第 4 部分 中描述的那样编写一个 web.xml 文件。

按照本文的 “定义表达式解析器” 一节描述的那样在 JSF 配置文件中使用 Spring 的 DelegatingVariableResolver。

在 Acegi 的配置文件而不是 JSF 的配置文件中声明 bean，重新配置要作为 IOC bean 保护的 JSF 托管 bean。

使用这项技术，可以在不用考虑安全问题的情况下开发 JSF 应用程序。开发 应用程序之后，可以按照以上四个配置步骤部署 Acegi，无需编写任何 Java 安 全性代码。

结束语

在本系列的文章中，学习了如何使用 Acegi 保护 Java 应用程序。您现在掌 握了如何加强基于 URL 的安全性和基于方法的安全性。还学习了如何设计访问 控制策略和在目录服务其中托管这些策略，以及如何根据托管的访问控制策略执 行身份验证和授权决策。在本文和前一篇文章中，主要关注了 JSF 应用程序， 学习了如何在不编写任何 Java 安全性代码的情况下保护 JSF 应用程序。

本文配套源码

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!