Mike zeigte dann, wie JAAS mit LoginModules und CallbackHandlern Authentifizierung unterstützten. Die CallbackHandler gibt man dem LoginModul mit, damit dads LoginModul die Daten von Benutzer erheben kann. Sehr schön das Code-Beispiel, bei dem der CallbackHandler natürlich ein instanceOf hat. Acegi hat AuthenticationProvider für verschiedenen Technologien. Dabei übergibt man dem AuthenticationProvider die Authentifizierungs-Informationen. Das ist wesentlich einfacher und auch natürlicher: Man übergibt einfach Namen und Passwort an Acegi.
Der nächste Vergleich war bei der Absicherung von Web-Requests. Bei der Servlet-Spezifikation ist die konkrete Ausgestaltung container-abhängig und die URI-Filter sind begrenzt. Bei Acegi ist es container-unabhängig. Es gibt mächtige URI-Filter und verschiedenen Authentifizierung (z.B. HTTP-Basic).
Beim Service-Layer bietet JAAS nur die programmatische Überprüfung der Constraints oder aber man nutzt die EJB Security Constraints, was einen dann aber an EJB bindet. Acegi macht es so, wie es eigentlich sinnvollerweise sein sollte: Security ist ein Aspekt und wird mit AspectJ oder Spring AOP eingewebt.
Die Sicherheit bei einzelnen Objekt-Instanzen kann man bei JAAS nur programmieren. Das ist nicht nur aufwändig, sondern man kann es auch vergessen, was dann Sicherheitslücken hinterlässt. Und testen kann man es auch nur schwerlich. Bei Acegi kann man Access Control Lists mit AOP integrieren - und auch eigene Advices hinzufügen.
Dann gab es eine Beispiel für eine Web-Anwendung, die mit Acegi abgesichert wird. Die Anwendung ist eher einfach und soll nur zeigen, wie man sie absichert. Bei der Authentifizierung ist schon erkennbar, dass man durch die feingranularen Objekte innerhalb der Anwendung sehr flexibel ist. Man kann an jeder Stelle eine andere Option wählen oder gar eine eigene Klasse implementieren. Also kann man zum Beispiel wählen, ob man sich mit Benutzername und Passwort authentifizieren will oder mit einer anderen Option oder ob man gar eine ganz andere Möglichkeit nutzen will.
Bei der Autorisierung gibt es den AccessDecisionManager, der verschiedene Voter koordinieren. Die Voter entscheiden anhand einer bestimmten Eigenschaft (zum Beispiel die Rolle des Benutzers), ob der Zugriff OK ist oder nicht. Durch den AccessDecisionManager kann man dann mehrere Voter koordinieren, so dass dadurch mehrere Autorisierungs-Technologien koordinierbar sind.
Die Integration in die Web-Anwendung geht über Servlet-Filter. Dabei wird nur ein Servlet-Filter in der web.xml konfiguriert und der delegiert dann an verschiedene Filter, die in Spring konfiguriert werden.
Die Filter haben unterschiedliche Funktionen. So zeigen sie bei einer Exception die Authentifizierungs-Seite an oder sie verbieten den Zugriff auf die Seiten.
Für die Autorisierung kann man auf den JSP-Seiten bestimmte Dinge ausblenden. Acegi kann außerdem auch Code zu friedenstellen, der die Security-API der Servlets verwendet: Es stetll dann eine passende Authentifizierung zur Verfügung stellt.
Sicherheit ist ein Aspekt. Das bedeutet, dass der Sicherheits-Code von dem eigentlich Code getrennt sein sollte. Dadurch wird die Geschäftslogik unabhängig von Acegi, man kann Security für Test leicht abschalten usw. Acegi bietet die Wahl zwischen Spring AOP und AspectJ. Spring AOP ist einfach zu konfigurieren, geht aber nur für Spring-Beans und man kann es leicht umgehen, indem man die Objekte statt mit Spring mit new erzeugt. AspectJ hat eine umfangreichere Konfiguration, eine feinere Granularität und es ist auch ohne Spring nutzbar. Es kann nicht umgangen werden, weil die Aspekte in den Code eincompiliert werden.
Bei Instanz-basierter Security kann mit Acegi definieren, dass bestimmte Benutzer nur bestimmte Operationen dürfen. Dabei kommen Access Control Lists zum Einsatz, die für jedes Objekt, jede Operation und jeden Nutzer definieren, ob der Zugriff erlaubt ist. Sie können aus der Datenbank ausgelesen werden und können auch anhand von Regel "berechnet" werden.
Testen und Security ist auch ein interessantes Thema: Wenn ein Nutzer zu viele Rechte hat, wird er sich nicht melden, damit man das fixen kann. Acegi bietet einem an, die Business-Logik ohne Sicherheit zu testen. Umgekehrt kann man die Security testen, ohne die Business-Logik zu testen. Dadurch kann man getrenntes Testen durch Code-Trennung vornehmen.
Am Ende kam dann noch der Ausblick: Spring Security 1.1 kommt sehr bald, RC1 im Mai 2007. Es wird einen eigenen Acegi-XML-Namespace geben. Außerdem kommen hierarchische Rollen und mehr zum Thema Single Sign On. ¶ 14:33
