【正文】 i 加入了認(rèn)證服務(wù)。在早期，項(xiàng)目本身沒(méi)有自己的認(rèn)證模塊。有鑒于此，一個(gè)簡(jiǎn)單的安全實(shí)現(xiàn)建立起來(lái)了，但沒(méi)有發(fā)布。. 歷史Spring Security 開(kāi)始于2003年年底，““spring 的acegi 安全系統(tǒng)”。Spring Security 不僅提供認(rèn)證功能，也提供了完備的授權(quán)功能。有時(shí)你需要根據(jù)在主體和應(yīng)用交互的方式來(lái)應(yīng)用不同的安全措施。這樣，無(wú)論終端用戶需要什么，他們都可以快速集成到系統(tǒng)中，不用花很多功夫，也不用讓用戶改變運(yùn)行環(huán)境。這些驗(yàn)證模型絕大多數(shù)都由第三方提供，或正在開(kāi)發(fā)的有關(guān)標(biāo)準(zhǔn)機(jī)構(gòu)提供的，例如Internet Engineering TaskForce?！膀?yàn)證”指的一個(gè)用戶能否在你的應(yīng)用中執(zhí)行某個(gè)操作。使用Spring Security 解決了這些問(wèn)題，也為你提供了很多有用的，可定制的其他安全特性。熟悉Spring尤其是依賴注入原理將幫助你更快的掌握Spring Security。也請(qǐng)參考項(xiàng)目網(wǎng)站獲得構(gòu)建項(xiàng)目有用的信息，另外鏈接到網(wǎng)站，視頻和教程。在這部分，我們將介紹Spring Security ，簡(jiǎn)要介紹該項(xiàng)目的歷史，然后看看如何開(kāi)始在程序中使用框架。文檔中沒(méi)有添加新功能的介紹，但是將之前拼寫(xiě)錯(cuò)誤的一些類(lèi)名進(jìn)行了修正，建議開(kāi)發(fā)者以這一版本的文檔為參考。另：Spring Security 從20100101 以后，版本控制從SVN 換成了GIT，我們?cè)诜g文檔的時(shí)候，主要是根據(jù)SVN 的變化來(lái)進(jìn)行文檔內(nèi)容的比對(duì)，這次換成GIT 后，感覺(jué)缺少了之前那種文本比對(duì)工具，如果有對(duì)GIT 熟悉的朋友，還請(qǐng)推薦一下文本比對(duì)的工具，謝謝。特別是，我們將看看命名控件配置提供了一個(gè)更加簡(jiǎn)單的方式，在使用傳統(tǒng)的spring bean 配置時(shí)，你不得不實(shí)現(xiàn)所有類(lèi)。Chapter 1. 介紹. Spring Security是什么？Spring Security 為基于J2EE 企業(yè)應(yīng)用軟件提供了全面安全服務(wù)。人們使用Spring Security 有很多種原因， 不過(guò)通常吸引他們的是在J2EE Servlet 規(guī)范或EJB 規(guī)范中找不到典型企業(yè)應(yīng)用場(chǎng)景的解決方案。你可能知道，安全包括兩個(gè)主要操作， “認(rèn)證”和“驗(yàn)證”（或權(quán)限控制）。在到達(dá)授權(quán)判斷之前，身份的主體已經(jīng)由身份驗(yàn)證過(guò)程建立了。作為補(bǔ)充，Spring Security 也提供了自己的一套驗(yàn)證功能。如果上述的驗(yàn)證機(jī)制都沒(méi)有滿足你的需要，Spring Security 是一個(gè)開(kāi)放的平臺(tái)，編寫(xiě)自己的驗(yàn)證機(jī)制是十分簡(jiǎn)單的。比如，你可能，為了保護(hù)密碼，不被竊聽(tīng)或受到中間人攻擊，希望確保請(qǐng)求只通過(guò)HTTPS到達(dá)。在授權(quán)方面主要有三個(gè)領(lǐng)域，授權(quán)web 請(qǐng)求，授權(quán)被調(diào)用方法，授權(quán)訪問(wèn)單個(gè)對(duì)象的實(shí)例。起因是Spring 開(kāi)發(fā)者郵件列表中的一個(gè)問(wèn)題，有人提問(wèn)是否考慮提供一個(gè)基于spring 的安全實(shí)現(xiàn)。幾周之后，spring 社區(qū)的其他成員詢問(wèn)安全問(wèn)題，代碼就被提供給了他們。認(rèn)證過(guò)程都是依賴容器管理安全的，而acegi 則注重授權(quán)。大約一年后，acegi 成為spring 的官方子項(xiàng)目。在Spring Security 支持論壇上有成千上萬(wàn)的信息。我們使用apache 便攜式運(yùn)行項(xiàng)目版本指南，可以在以下網(wǎng)址查看?！? 獲得Spring Security你可以通過(guò)多種方式獲得Spring Security。. 項(xiàng)目模塊在Spring Security ，項(xiàng)目已經(jīng)分割成單獨(dú)的jar，這更清楚的按照功能進(jìn)行分割模塊和第三方依賴。. Core 包含了核心認(rèn)證和權(quán)限控制類(lèi)和接口， 運(yùn)程支持和基本供應(yīng)API。任何需要依賴servlet API 的。你需要它， 如果使用了Spring Security XML 命名控制來(lái)進(jìn)行配置。. ACL 處理領(lǐng)域?qū)ο驛CL 實(shí)現(xiàn)。如果你希望使用Spring Security web 認(rèn)證整合一個(gè)CAS 單點(diǎn)登錄服務(wù)器。需要OpenID4Java。異常堆棧不再是模糊的黑盒問(wèn)題，你可以直接找到發(fā)生問(wèn)題的那一行，查找發(fā)生了什么額外難題。你可以在spring 參考文檔得到更多信息。最常見(jiàn)的替代配置需求都可以使用ldapserver 元素的屬性進(jìn)行配置，這樣用戶就不用擔(dān)心他們需要設(shè)置什么，不用擔(dān)心bean里的各種屬性。要開(kāi)始在你的應(yīng)用環(huán)境里使用security 命名空間，你所需要的就是把架構(gòu)聲明添加到你的應(yīng)用環(huán)境文件里：beans xmlns=xmlns:security=xmlns:xsi=xsi:schemaLocation=.../beans在許多例子里，你會(huì)看到（在示例中）應(yīng)用，我們通常使用security作為默認(rèn)的命名空間，而不是beans，這意味著我們可以省略所有security 命名空間元素的前綴，使上下文更容易閱讀。這種設(shè)計(jì)是基于框架內(nèi)的大型依賴，可以分割成下面這些部分：Web/HTTP 安全 最復(fù)雜的部分。AccessDecisionManager 提供訪問(wèn)的決定，適用于web 以及方法的安全。UserDetailsService 密切相關(guān)的認(rèn)證供應(yīng)器，但往往也需要由其他bean 需要。然后我們看一下如何修改一下，使用數(shù)據(jù)庫(kù)或其他安全信息參數(shù)。這種情況下，bean 的名字是springSecurityFilterChain，這是由命名空間創(chuàng)建的用于處理web 安全的一個(gè)內(nèi)部的機(jī)制。. 最小配置只需要進(jìn)行如下配置就可以實(shí)現(xiàn)安全配置： autoconfig=39。intercepturl元素定義了pattern，用來(lái)匹配進(jìn)入的請(qǐng)求URL，使用一個(gè)ant 路徑語(yǔ)法。換句話說(shuō)， 一個(gè)普通的基于角色的約束應(yīng)該被使用。對(duì)于一個(gè)模式同時(shí)定義在定義了method 和未定義method 的情況， 指定method 的匹配會(huì)無(wú)視順序優(yōu)先被使用。authenticationprovider 元素創(chuàng)建了一個(gè)DaoAuthenticationProvider bean ，userservice元素創(chuàng)建了一個(gè)InMemoryDaoImpl。上面的配置定義了兩個(gè)用戶，他們?cè)趹?yīng)用程序中的密碼和角色（用在權(quán)限控制上）。你可以擁有多個(gè)authenticationprovider元素來(lái)定義不同的認(rèn)證數(shù)據(jù)， 每個(gè)會(huì)被需要時(shí)使用。比如，表單登錄和rememberme服務(wù)自動(dòng)啟動(dòng)了。實(shí)際上，如果我們沒(méi)有確切的指定一個(gè)頁(yè)面用來(lái)登錄，SpringSecurity 會(huì)自動(dòng)生成一個(gè)，基于可用的功能，為這個(gè)URL 使用標(biāo)準(zhǔn)的數(shù)據(jù)，處理提交的登錄，然后在登陸后發(fā)送到默認(rèn)的目標(biāo)URL。intercepturl pattern=/* access=IS_AUTHENTICATED_ANONYMOUSLY/intercepturl pattern=/** access=ROLE_USER /formlogin loginpage=39。也要注意我們需要添加額外的intercepturl 元素，指定用來(lái)做登錄的頁(yè)面的URL， 這些URL 應(yīng)該可以被匿名訪問(wèn)。也可能讓所有的請(qǐng)求都匹配特定的模式，通過(guò)完全的安全過(guò)濾器鏈： autoconfig=39。//主要的是意識(shí)到這些請(qǐng)求會(huì)被完全忽略，對(duì)任何Spring Security 中web 相關(guān)的配置，或額外的屬性，比如requireschannel， 所以你會(huì)不能訪問(wèn)當(dāng)前用戶信息，或調(diào)用被保護(hù)方法，在請(qǐng)求過(guò)程中。如果你希望使用基本認(rèn)證，代替表單登錄，可以把配置改為： autoconfig=39。. 設(shè)置一個(gè)默認(rèn)的提交登陸目標(biāo)如果在進(jìn)行表單登陸之前，沒(méi)有試圖去訪問(wèn)一個(gè)被保護(hù)的資源，defaulttargeturl 就會(huì)起作用。/*39。/**39。/39。true39。如果你自定義了一個(gè)Spring Security的UserDetailsService 實(shí)現(xiàn)， 在你的application context 中名叫myUserDetailsService，然后你可以使用下面的驗(yàn)證。另外，你可以配置一個(gè)SpringSecurity JdbcDaoImpl bean，使用userserviceref 屬性指定：authenticationmanagerauthenticationprovider userserviceref=39。//authenticationmanager這里myAuthenticationProvider 是你的application context 中的一個(gè)bean 的名字，它實(shí)現(xiàn)了AuthenticationProvider。使用SHA 加密密碼，原始的認(rèn)證供應(yīng)器配置，看起來(lái)就像這樣：authenticationmanagerauthenticationproviderpasswordencoder hash=sha/userserviceuser name=jimi password=d7e6351eaa13189a5a3641bab846c8e8c69ba39fauthorities=ROLE_USER, ROLE_ADMIN /user name=bob password=4e7421b1b8765d8f9406d87e7cc6aa784c4ab97fauthorities=ROLE_USER //userservice/authenticationprovider/authenticationmanager在使用散列密碼時(shí)，用鹽值防止字典攻擊是個(gè)好主意，Spring Security 也支持這個(gè)功能。. 高級(jí)web特性. RememberMe認(rèn)證參考RememberMe 章獲得rememberme 命名空間配置的詳細(xì)信息。如果你的程序使用的不是HTTP 或HTTPS 的標(biāo)準(zhǔn)端口，你可以用下面的方式指定端口對(duì)應(yīng)關(guān)系：...portmappingsportmapping =9080 =9443//portmappings/你可以在???找到更詳細(xì)的討論。通常我們更想防止第二次登錄，這時(shí)候我們可以使用...sessionmanagementconcurrencycontrol maxsessions=1 errorifmaximumexceeded=true //sessionmanagement/第二次登錄將被阻止， 通過(guò)“ 注入” ， 我們的意思是用戶會(huì)被轉(zhuǎn)發(fā)到authenticationfailureurl，如果使用了formbased 登錄。更多的細(xì)節(jié)可以在會(huì)話管理章節(jié)找到。這是默認(rèn)值。也可能選擇一個(gè)特定的UserDetailsService bean 來(lái)使用OpenID，通過(guò)設(shè)置元素。. 屬性交換支持OpenID 的屬性交換。屬性值作為認(rèn)證過(guò)程的一部分返回， 可以使用下面的代碼在后面的過(guò)程中獲得：OpenIDAuthenticationToken token = (OpenIDAuthenticationToken)().getAuthentication()。. 添加你自己的filter如果你以前使用過(guò)Spring Security，你就應(yīng)該知道這個(gè)框架里維護(hù)了一個(gè)過(guò)濾器鏈，來(lái)提供服務(wù)。過(guò)濾器順序在使用命名空間的時(shí)候是被嚴(yán)格執(zhí)行的。這會(huì)影響到你如何添加自己的過(guò)濾器，實(shí)體過(guò)濾器列表必須在解析元素的過(guò)程中了解這些， ?？梢苑謩e在position 屬性使用FIRST 或LAST來(lái)指定你想讓你的過(guò)濾器出現(xiàn)在隊(duì)列元素的前面或后面。如果你替換了一個(gè)命名空間的過(guò)濾器，而這個(gè)過(guò)濾器需要一個(gè)驗(yàn)證入口點(diǎn)（比如，認(rèn)證過(guò)程是通過(guò)一個(gè)未通過(guò)驗(yàn)證的用戶訪問(wèn)受保護(hù)資源的嘗試來(lái)觸發(fā)的），你將也需要添加一個(gè)自定義的入口點(diǎn)bean。如果你對(duì)認(rèn)證入口點(diǎn)并不熟悉，可以在技術(shù)縱覽章中找到關(guān)于它們的討論。你可以提供安全給單個(gè)bean，使用interceptmethods 來(lái)裝飾bean 的聲明， 或者你可以控制多個(gè)bean，通過(guò)實(shí)體服務(wù)層，使用AspectJ 演示的切點(diǎn)功能。Spring Security原生注解支持為方法定義一系列屬性。}為了使用新的基于表達(dá)式的預(yù)付，你可以好似用globalmethodsecurity prepostannotations=enabled /對(duì)應(yīng)的代碼將會(huì)是這樣public interface BankService {PreAuthorize(isAnonymous())public Account readAccount(Long id)。))public Account post(Account account, double amount)。就像URL 匹配一樣，指定的匹配要放在切點(diǎn)隊(duì)列的最前面，第一個(gè)匹配的表達(dá)式才會(huì)被用到。默認(rèn)的策略是使用一個(gè)AffirmativeBased AccessDecisionManager ，以及RoleVoter和AuthenticatedVoter。通常是Spring Security 中ProviderManager 類(lèi)的一個(gè)實(shí)例， 如果你以前使用過(guò)框架，你可能已經(jīng)很熟悉了。你可能注冊(cè)額外的AuthenticationProviderbean， 在ProviderManager 中，你可以使用authenticationprovider做這些事情，使用ref 屬性， 這個(gè)屬性的值，是你希望添加的provider 的bean