【正文】 可選的，一個好辦法是參考實(shí)例應(yīng)用中包含的依賴庫。 . Core 包含了核心認(rèn)證和權(quán)限控制類和接口，運(yùn)程支持和基本供應(yīng) API。使用 Spring Security 所必須的。支持單獨(dú)運(yùn)行的應(yīng)用，遠(yuǎn)程客戶端，方法（服務(wù)層）安全和 JDBC 用戶供應(yīng)。包含頂級包： ? ? ? ? ? . Web 包含過濾器和對應(yīng)的 web 安全架構(gòu)代碼。任何需要依賴 servlet API 的。 你將需要它，如果你需要 Spring Security Web 認(rèn)證服務(wù)和基于 URL 的權(quán)限控制。 主包是。 . Config 包含安全命名控制解析代碼（因此我們不能直接把它用在你的應(yīng)用中）。你需要它， 如果使用了 Spring Security XML 命名控制來進(jìn)行配置。主包是 。 . LDAP LDAP 認(rèn)證和實(shí)現(xiàn)代碼，如果你需要使用 LDAP 認(rèn)證或管理 LDAP用戶實(shí)體就是必須的。 頂級包是 。 . ACL 處理領(lǐng)域?qū)ο?ACL 實(shí)現(xiàn)。用來提供安全給特定的領(lǐng)域?qū)ο髮?shí)例，在你的應(yīng)用中。 頂級包是。 . CAS Spring Security 的 CAs 客戶端集成。如果你希望使用 Spring Security web 認(rèn)證 整合一個CAS 單點(diǎn)登錄服務(wù)器。頂級包是 。 . OpenID OpenID web 認(rèn)證支持。用來認(rèn)證用戶，通過一個外部的 OpenID 服務(wù)。 。需要 OpenID4Java。 . 獲得源代碼 Spring Security 是一個開源項(xiàng)目，我們大力推薦你從 subversion 獲得源 代碼。 這樣你可以獲得所有的示例，你可以很容易的建立目前最新的項(xiàng)目。 獲得項(xiàng)目的源代碼對調(diào)試也有很大的幫助。 異常堆棧不再是模糊的黑盒問題，你可以直接找到發(fā)生問題的那一行，查找發(fā)生了什么額外難題。 源代碼也是項(xiàng)目的最終文檔，常常是最簡單的方法，找出這些事情是如何工作的。 要像獲得項(xiàng)目最新的源代碼，使用如下 subversion 命令 : svn checkout runk/ 你可以獲得特定版本的源代碼 ags/. Chapter 2. Security 命名空間配置 . 介紹 從 Spring 開始可以使用命名空間的配置方式。使用它呢，可以通過附加 xml 架構(gòu)，為傳統(tǒng)的 spring beans 應(yīng)用環(huán)境語法做補(bǔ)充。你可以在 spring 參考文檔 得到更多信息。命名空間元素可以簡單的配置單個 bean，或使用更強(qiáng)大的，定義一個備用配置語法，這可以更加緊密的匹配問題域，隱藏用戶背后的復(fù)雜性。 簡單元素可能隱藏事實(shí)，多種 bean 和處理步驟添加到應(yīng)用環(huán)境中。比如，把下面的 security 命名元素添加到應(yīng)用環(huán)境中，將會為測試用途，在應(yīng)用內(nèi)部啟動一個內(nèi)嵌 LDAP 服務(wù)器： security:ldapserver / 這比配置一 個 Apache 目錄服務(wù)器 bean 要簡單得多 ,最常見的替代配置需求都可以使用ldapserver 元素的屬性進(jìn)行配置，這樣用戶就不用擔(dān)心他們需要設(shè)置什么，不用擔(dān)心 bean里的各種屬性。使用一個良好的 XML 編輯器來編輯應(yīng)用環(huán)境文件，應(yīng)該提供可用的屬性和元素信息。 我們推薦你嘗試一下 SpringSource 工具套件 因?yàn)樗哂刑幚?spring 組合命名空間的特殊功能。 要開始在你的應(yīng)用環(huán)境里使用 security 命名空間，你所需要的就是把架構(gòu)聲明添加到你的應(yīng)用環(huán)境文件里： beans xmlns= xmlns:security= xmlns:xsi= xsi:schemaLocation= ... /beans 在許多例子里，你會看到（在示例中）應(yīng)用，我們通常使 用 security作為默認(rèn)的命名空間，而不是 beans，這意味著我們可以省略所有 security 命名空間元素的前綴，使上下文更容易閱讀。如果你把應(yīng)用上下文分割成單獨(dú)的文件，讓你的安全配置都放到其中一個文件里，這樣更容易使用這種配置方法。你的安全應(yīng)用上下文應(yīng)該像這樣開頭 beans:beans xmlns= xmlns:beans= xmlns:xsi= xsi:schemaLocation= ... /beans:beans 就在這一章里，我們都將假設(shè)使用這種語法。 . 命名空間的設(shè)計 命名空間被用來設(shè)計成 處理框架內(nèi)最常見的功能，提供一個簡化和簡潔的語法，使他們在一個應(yīng)用程序里。這種設(shè)計是基于框架內(nèi)的大型依賴，可以分割成下面這些部分： ? Web/HTTP安全 最復(fù)雜的部分。設(shè)置過濾器和相關(guān)的服務(wù) bean來應(yīng)用框架驗(yàn)證機(jī)制，保護(hù) URL，渲染登錄和錯誤頁面還有更多。 ? 業(yè)務(wù)類（方法）安全 可選的安全服務(wù)層。 ? AuthenticationManager 通過框架的其它部分，處理認(rèn)證請求。 ? AccessDecisionManager 提供訪問的決定，適用于 web 以及方法的安全。一個默認(rèn)的主體會被注冊，但是你也可以選擇自定義一個，使用正常的 spring bean 語法進(jìn)行聲明 。 ? AuthenticationProviders 驗(yàn)證管理器驗(yàn)證用戶的機(jī)制。 該命名空間提供幾種標(biāo)準(zhǔn)選項(xiàng)，意味著使用傳統(tǒng)語法添加自定義 bean。 ? UserDetailsService 密切相關(guān)的認(rèn)證供應(yīng)器，但往往也需要由其他 bean 需要。 下一章中，我們將看到如何把這些放到一起工作。 . 開始使用安全命名空間配置 在本節(jié)中，我 們來看看如何使用一些框架里的主要配置，建立一個命名空間配置。 我們假設(shè)你最初想要盡快的啟動運(yùn)行，為已有的 web 應(yīng)用添加認(rèn)證支持和權(quán)限控制，使用一些測試登錄。 然后我們看一下如何修改 ，使用數(shù)據(jù)庫或其他安全信息參數(shù)。在以后的章節(jié)里我們將引入更多高級的命名空間配置選項(xiàng)。 . 配置 我們要做的第一件事是把下面的 filter 聲明添加到 文件中： filter filternamespringSecurityFilterChain/filtername filterclass /filterclass /filter filtermapping filternamespringSecurityFilterChain/filtername urlpattern/*/urlpattern /filtermapping 這是為 Spring Security 的 web 機(jī)制提供了一個調(diào)用鉤子。 DelegatingFilterProxy 是一個Spring Framework 的類，它可以代理一個 application context 中定義的 Spring bean 所實(shí)現(xiàn)的 filter。這種情況下， bean 的名字是 springSecurityFilterChain，這是由命名空間創(chuàng)建的用于處理 web 安全的一個內(nèi)部的機(jī)制。注意，你不應(yīng)該自己使用這個 bean 的名字 ， 一旦你把這個添加到你的 中，你就準(zhǔn)備好開始編輯 你 的 application context 文件了 ，web 安全服務(wù)是使用 元素配置的。 . 最小 配置 只需要進(jìn)行如下配置就可以實(shí)現(xiàn)安全配置： autoconfig=39。true39。 intercepturl pattern=/** access=ROLE_USER / / 這表示，我們要保護(hù)應(yīng)用程序中的所有 URL，只有擁有 ROLE_USER 角色的用戶才能訪問。元素是所有 web 相關(guān)的命名空間功能的上級元素。 intercepturl元素定義了pattern，用來匹配進(jìn)入的請求 URL，使用一個 ant 路徑語法。 access 屬性定義了請求匹配了指定模式時的需求。使用默認(rèn)的配置， 這個一般是一個逗號分隔的角色隊(duì)列，一個用戶中的一個必須被允許訪問請求。 前綴 “ ROLE_” 表示的是一個用戶應(yīng)該擁有的權(quán)限比對。換句話說，一個普通的基于角色的約束應(yīng)該被使用。 Spring Security 中的訪問控制不限于簡單角色的應(yīng)用（因此，我們使用不同的前綴來區(qū)分不同的安全屬性） ， 我們會在后面看到這些解釋是可變的 。 Note 你可以使用多個 intercepturl元素為不同 URL 的集合定義不同的訪問需求， 它們會被歸入一個有序隊(duì)列中，每 次取出最先匹配的一個元素使用。所以你必須把期望使用的匹配條件放到最上邊。你也可以添加一個 method 屬性來限制匹配一個特定的 HTTP method(GET, POST, PUT 等等 )。對于一個模式同時定義在定義了 method 和未定義 method 的情況，指定 method的匹配會無視順序優(yōu)先被使用。 要是想添加一些用戶，你可以直接使用下面的命名空間直接定義一些測試數(shù)據(jù)： authenticationmanager authenticationprovider userservice user name=jimi password=jimi authorities= ROLE_ADMIN / user name=bob password=bob authorities=ROLE_USER / /userservice /authenticationprovider /authenticationmanager 上面的配置定義了兩個用戶，他們在應(yīng)用程序中的密碼和角色（用在權(quán)限控制上）。也可以從一個標(biāo) 準(zhǔn) properties 文件中讀取這些信息，使用 userservice 的 properties 屬性 （ 參考inmemory authentication 獲得更多信息 ） ， 使用 authenticationprovider元素意味著用戶信息將被認(rèn)證管理用作處理認(rèn)證請求。你可以擁有多個 authenticationprovider元素來定義不同的認(rèn)證數(shù)據(jù)，每個會 在 需要時使用。 現(xiàn)在，你可以啟動程序，然后就會進(jìn) 入登錄流程了 ， 試試這個，或者試試工程里的 “ tutorial”例子 。 上述配置實(shí)際上把很多服務(wù)添加到了程序里，因?yàn)槲覀兪褂昧?autoconfig 屬性 ， 比如，表單登錄和 rememberme服務(wù)自動啟動了。 如果你熟悉以前的版本，你很可能已經(jīng)猜到了這里是怎么回事。 元素會創(chuàng)建一個FilterChainProxy 和 filter 使用的 bean， 以前常常出現(xiàn)的，因?yàn)?filter 順序不正確產(chǎn)生的問題 ， 不會再出現(xiàn)了，現(xiàn)在這些過濾器的位置都是預(yù)定義好的。 authenticationprovider元素 創(chuàng)建了一個 DaoAuthenticationProvider bean，userservice元素創(chuàng)建了一個 InMemoryDaoImpl。所有 authenticationprovider 元素必須作為 authenticationmanager的子元素，它創(chuàng)建了一個 ProviderManager，并把a(bǔ)uthentication provider 注冊到它里面。你可以在 命名空間附錄 中找到關(guān)于創(chuàng)建這個 bean的更新信息。很值得去交叉檢查一下這里，如果你希望開始理解框架中哪些是重要的類以及它們是如何使用的，特別是如果你希望以后做一些自定義工作。 . autoconfig包含了什么？ 我們在上面用到的 autoconfig 屬性，其實(shí)是下面這些配置的縮寫： formlogin / basic / logout / / 這些元素分別與 formlogin，基本認(rèn)證和注銷處理對應(yīng)。他們擁有各自的屬性，來改變他們的具體 行為。 . 表單和基本登錄選項(xiàng) 你也許想知道，在需要登錄的時候，去哪里找這個登錄頁面，到現(xiàn)在為止我們都沒有提到任何的 HTML 或 JSP 文件。實(shí)際上，如果我們沒有確切的指定一個頁面用來登錄， Spring Security會自動生成一個，基于可用的功能，為這個 URL 使用標(biāo)準(zhǔn)的數(shù)據(jù)，處理提交的登錄，然后在登陸后發(fā)送到默認(rèn)的目標(biāo) URL。然而，命名空間提供了許多支持，讓你可以自定義這些選項(xiàng)。比如，如果你想實(shí)現(xiàn)自己的登錄頁面，你可以使用： autoconfig=39。true39。 intercepturl pattern=/* access=IS_AUTHENTICATED_ANONYMOUSLY/ intercepturl pattern=/** access=ROLE_USER / formlogin loginpage=39。/39。/ / 注意，你依舊可以使用 autoconfig。這個 formlogin 元素會覆蓋默認(rèn)的設(shè)置。也要注意我們需要添加額外的 intercepturl 元素，指定用來做登錄的頁面 的 URL，這些 URL 應(yīng)該可以被匿名訪問 。 否則，這些請求會被