【正文】 可選的，一個好辦法是參考實例應用中包含的依賴庫。 . Core 包含了核心認證和權限控制類和接口，運程支持和基本供應 API。使用 Spring Security 所必須的。支持單獨運行的應用，遠程客戶端，方法（服務層）安全和 JDBC 用戶供應。包含頂級包： ? ? ? ? ? . Web 包含過濾器和對應的 web 安全架構代碼。任何需要依賴 servlet API 的。 你將需要它，如果你需要 Spring Security Web 認證服務和基于 URL 的權限控制。 主包是。 . Config 包含安全命名控制解析代碼（因此我們不能直接把它用在你的應用中）。你需要它， 如果使用了 Spring Security XML 命名控制來進行配置。主包是 。 . LDAP LDAP 認證和實現代碼，如果你需要使用 LDAP 認證或管理 LDAP用戶實體就是必須的。 頂級包是 。 . ACL 處理領域對象 ACL 實現。用來提供安全給特定的領域對象實例，在你的應用中。 頂級包是。 . CAS Spring Security 的 CAs 客戶端集成。如果你希望使用 Spring Security web 認證 整合一個CAS 單點登錄服務器。頂級包是 。 . OpenID OpenID web 認證支持。用來認證用戶，通過一個外部的 OpenID 服務。 。需要 OpenID4Java。 . 獲得源代碼 Spring Security 是一個開源項目，我們大力推薦你從 subversion 獲得源 代碼。 這樣你可以獲得所有的示例，你可以很容易的建立目前最新的項目。 獲得項目的源代碼對調試也有很大的幫助。 異常堆棧不再是模糊的黑盒問題，你可以直接找到發(fā)生問題的那一行，查找發(fā)生了什么額外難題。 源代碼也是項目的最終文檔，常常是最簡單的方法，找出這些事情是如何工作的。 要像獲得項目最新的源代碼，使用如下 subversion 命令 : svn checkout runk/ 你可以獲得特定版本的源代碼 ags/. Chapter 2. Security 命名空間配置 . 介紹 從 Spring 開始可以使用命名空間的配置方式。使用它呢，可以通過附加 xml 架構，為傳統(tǒng)的 spring beans 應用環(huán)境語法做補充。你可以在 spring 參考文檔 得到更多信息。命名空間元素可以簡單的配置單個 bean，或使用更強大的，定義一個備用配置語法，這可以更加緊密的匹配問題域，隱藏用戶背后的復雜性。 簡單元素可能隱藏事實，多種 bean 和處理步驟添加到應用環(huán)境中。比如，把下面的 security 命名元素添加到應用環(huán)境中，將會為測試用途，在應用內部啟動一個內嵌 LDAP 服務器： security:ldapserver / 這比配置一 個 Apache 目錄服務器 bean 要簡單得多 ,最常見的替代配置需求都可以使用ldapserver 元素的屬性進行配置，這樣用戶就不用擔心他們需要設置什么，不用擔心 bean里的各種屬性。使用一個良好的 XML 編輯器來編輯應用環(huán)境文件，應該提供可用的屬性和元素信息。 我們推薦你嘗試一下 SpringSource 工具套件 因為它具有處理 spring 組合命名空間的特殊功能。 要開始在你的應用環(huán)境里使用 security 命名空間，你所需要的就是把架構聲明添加到你的應用環(huán)境文件里： beans xmlns= xmlns:security= xmlns:xsi= xsi:schemaLocation= ... /beans 在許多例子里，你會看到（在示例中）應用，我們通常使 用 security作為默認的命名空間，而不是 beans，這意味著我們可以省略所有 security 命名空間元素的前綴，使上下文更容易閱讀。如果你把應用上下文分割成單獨的文件，讓你的安全配置都放到其中一個文件里，這樣更容易使用這種配置方法。你的安全應用上下文應該像這樣開頭 beans:beans xmlns= xmlns:beans= xmlns:xsi= xsi:schemaLocation= ... /beans:beans 就在這一章里，我們都將假設使用這種語法。 . 命名空間的設計 命名空間被用來設計成 處理框架內最常見的功能，提供一個簡化和簡潔的語法，使他們在一個應用程序里。這種設計是基于框架內的大型依賴，可以分割成下面這些部分： ? Web/HTTP安全 最復雜的部分。設置過濾器和相關的服務 bean來應用框架驗證機制，保護 URL，渲染登錄和錯誤頁面還有更多。 ? 業(yè)務類（方法）安全 可選的安全服務層。 ? AuthenticationManager 通過框架的其它部分，處理認證請求。 ? AccessDecisionManager 提供訪問的決定，適用于 web 以及方法的安全。一個默認的主體會被注冊，但是你也可以選擇自定義一個，使用正常的 spring bean 語法進行聲明 。 ? AuthenticationProviders 驗證管理器驗證用戶的機制。 該命名空間提供幾種標準選項，意味著使用傳統(tǒng)語法添加自定義 bean。 ? UserDetailsService 密切相關的認證供應器，但往往也需要由其他 bean 需要。 下一章中，我們將看到如何把這些放到一起工作。 . 開始使用安全命名空間配置 在本節(jié)中，我 們來看看如何使用一些框架里的主要配置，建立一個命名空間配置。 我們假設你最初想要盡快的啟動運行，為已有的 web 應用添加認證支持和權限控制，使用一些測試登錄。 然后我們看一下如何修改 ，使用數據庫或其他安全信息參數。在以后的章節(jié)里我們將引入更多高級的命名空間配置選項。 . 配置 我們要做的第一件事是把下面的 filter 聲明添加到 文件中： filter filternamespringSecurityFilterChain/filtername filterclass /filterclass /filter filtermapping filternamespringSecurityFilterChain/filtername urlpattern/*/urlpattern /filtermapping 這是為 Spring Security 的 web 機制提供了一個調用鉤子。 DelegatingFilterProxy 是一個Spring Framework 的類，它可以代理一個 application context 中定義的 Spring bean 所實現的 filter。這種情況下， bean 的名字是 springSecurityFilterChain，這是由命名空間創(chuàng)建的用于處理 web 安全的一個內部的機制。注意，你不應該自己使用這個 bean 的名字 ， 一旦你把這個添加到你的 中，你就準備好開始編輯 你 的 application context 文件了 ，web 安全服務是使用 元素配置的。 . 最小 配置 只需要進行如下配置就可以實現安全配置： autoconfig=39。true39。 intercepturl pattern=/** access=ROLE_USER / / 這表示，我們要保護應用程序中的所有 URL，只有擁有 ROLE_USER 角色的用戶才能訪問。元素是所有 web 相關的命名空間功能的上級元素。 intercepturl元素定義了pattern，用來匹配進入的請求 URL，使用一個 ant 路徑語法。 access 屬性定義了請求匹配了指定模式時的需求。使用默認的配置， 這個一般是一個逗號分隔的角色隊列，一個用戶中的一個必須被允許訪問請求。 前綴 “ ROLE_” 表示的是一個用戶應該擁有的權限比對。換句話說，一個普通的基于角色的約束應該被使用。 Spring Security 中的訪問控制不限于簡單角色的應用（因此，我們使用不同的前綴來區(qū)分不同的安全屬性） ， 我們會在后面看到這些解釋是可變的 。 Note 你可以使用多個 intercepturl元素為不同 URL 的集合定義不同的訪問需求， 它們會被歸入一個有序隊列中，每 次取出最先匹配的一個元素使用。所以你必須把期望使用的匹配條件放到最上邊。你也可以添加一個 method 屬性來限制匹配一個特定的 HTTP method(GET, POST, PUT 等等 )。對于一個模式同時定義在定義了 method 和未定義 method 的情況，指定 method的匹配會無視順序優(yōu)先被使用。 要是想添加一些用戶，你可以直接使用下面的命名空間直接定義一些測試數據： authenticationmanager authenticationprovider userservice user name=jimi password=jimi authorities= ROLE_ADMIN / user name=bob password=bob authorities=ROLE_USER / /userservice /authenticationprovider /authenticationmanager 上面的配置定義了兩個用戶，他們在應用程序中的密碼和角色（用在權限控制上）。也可以從一個標 準 properties 文件中讀取這些信息，使用 userservice 的 properties 屬性 （ 參考inmemory authentication 獲得更多信息 ） ， 使用 authenticationprovider元素意味著用戶信息將被認證管理用作處理認證請求。你可以擁有多個 authenticationprovider元素來定義不同的認證數據，每個會 在 需要時使用。 現在，你可以啟動程序，然后就會進 入登錄流程了 ， 試試這個，或者試試工程里的 “ tutorial”例子 。 上述配置實際上把很多服務添加到了程序里，因為我們使用了 autoconfig 屬性 ， 比如，表單登錄和 rememberme服務自動啟動了。 如果你熟悉以前的版本，你很可能已經猜到了這里是怎么回事。 元素會創(chuàng)建一個FilterChainProxy 和 filter 使用的 bean， 以前常常出現的，因為 filter 順序不正確產生的問題 ， 不會再出現了，現在這些過濾器的位置都是預定義好的。 authenticationprovider元素 創(chuàng)建了一個 DaoAuthenticationProvider bean，userservice元素創(chuàng)建了一個 InMemoryDaoImpl。所有 authenticationprovider 元素必須作為 authenticationmanager的子元素，它創(chuàng)建了一個 ProviderManager，并把authentication provider 注冊到它里面。你可以在 命名空間附錄 中找到關于創(chuàng)建這個 bean的更新信息。很值得去交叉檢查一下這里，如果你希望開始理解框架中哪些是重要的類以及它們是如何使用的，特別是如果你希望以后做一些自定義工作。 . autoconfig包含了什么？ 我們在上面用到的 autoconfig 屬性，其實是下面這些配置的縮寫： formlogin / basic / logout / / 這些元素分別與 formlogin，基本認證和注銷處理對應。他們擁有各自的屬性，來改變他們的具體 行為。 . 表單和基本登錄選項 你也許想知道，在需要登錄的時候，去哪里找這個登錄頁面，到現在為止我們都沒有提到任何的 HTML 或 JSP 文件。實際上，如果我們沒有確切的指定一個頁面用來登錄， Spring Security會自動生成一個，基于可用的功能，為這個 URL 使用標準的數據，處理提交的登錄，然后在登陸后發(fā)送到默認的目標 URL。然而，命名空間提供了許多支持，讓你可以自定義這些選項。比如，如果你想實現自己的登錄頁面，你可以使用： autoconfig=39。true39。 intercepturl pattern=/* access=IS_AUTHENTICATED_ANONYMOUSLY/ intercepturl pattern=/** access=ROLE_USER / formlogin loginpage=39。/39。/ / 注意，你依舊可以使用 autoconfig。這個 formlogin 元素會覆蓋默認的設置。也要注意我們需要添加額外的 intercepturl 元素，指定用來做登錄的頁面 的 URL，這些 URL 應該可以被匿名訪問 。 否則，這些請求會被