【正文】 通過(guò)直接配置 bean 獲得。 Note 在之前的版本中，排序是在過(guò)濾器實(shí)例創(chuàng)建后執(zhí)行的，在 application context 的執(zhí)行 后的過(guò)程中。過(guò)濾器按照次序排列在過(guò)濾器鏈中。避免使用 autoconfig屬性，然后刪除所有會(huì)創(chuàng)建你希望替換的過(guò)濾器的元素。對(duì)應(yīng)的 AuthenticationEntryPoint 可以使用 元素中的 entrypointref 屬性來(lái)進(jìn)行設(shè)置。它提供對(duì) JSR250安全注解的支持，這與框架提供的 secured 注解相似。 你應(yīng)該只定義一個(gè) globalmethodsecurity元素。 Secured(IS_AUTHENTICATED_ANONYMOUSLY) public Account[] findAccounts()。 PreAuthorize(hasAuthority(39。參考下面的例子： globalmethodsecurity protectpointcut expression=execution(* .*Service.*(..)) access=ROLE_USER/ /globalmethodsecurity 這樣會(huì)保護(hù) application context 中的符合條件的 bean 的所有方法，這些 bean 要在 包下，類(lèi)名以 Service結(jié)尾。如果沒(méi)有，你可以跳過(guò)這段，以后再來(lái)看，因?yàn)檫@章只是為了自定義的用戶設(shè)置的，需要在簡(jiǎn)單基于角色安全的基礎(chǔ)上加一些客戶化的東西。 . 自定義 AccessDecisionManager 如果你需要使用一個(gè)更復(fù)雜的訪問(wèn)控制策略，把它設(shè)置給方法和 web 安全是很簡(jiǎn)單的。 bean 實(shí)例被使用 authenticationmanager 命名空間元素注冊(cè)。 security:authenticationmanager alias=authenticationManager ... /security:authenticationmanager bean id=customizedFormLoginFilter class= property name=authenticationManager ref=authenticationManager/ ... /bean Chapter 3. 示例程序 項(xiàng)目中包含了很多 web 實(shí)例程序。你可以按照簡(jiǎn)介里的介紹獲得源代碼，使用 maven 編譯它們也很簡(jiǎn)單。編譯好的應(yīng)用就放在 zip 發(fā)布包中，已經(jīng)準(zhǔn)備好發(fā)布到你的 web 容器中（ ）。只有做基本集成成功的時(shí)候，我們建議你試著添加方法驗(yàn)證和領(lǐng)域?qū)ο蟀踩? 在啟動(dòng)你的容器之后，檢測(cè)一下程序是不是加載了，訪問(wèn) （或是其他你把 war 發(fā)布后，對(duì)應(yīng)于你 web 容器的 URL）。它應(yīng)該會(huì)包含下面這樣的一段成功信息： Security Debug Information Authentication object is of type: Authentication object as a String: 1f127853: Principal: b07ed00: Username: rod。 credentialsNonExpired: true。 Authenticated: true。然后你就可以嘗試這個(gè)程序了。確保自己好好試用過(guò)，看看程序里的上下文 XML 文件，搞明白它是如何運(yùn)行的。它沒(méi)有包含在發(fā)布包里，你應(yīng)該使用 簡(jiǎn)介 中的介紹來(lái)獲得源代碼。 . PreAuthentication 例子 這個(gè)例子演示了如何從 preauthentication 框架綁定 bean，從 J2EE 容器中獲得有用的登錄信息。如果你發(fā)現(xiàn)一個(gè) bug，請(qǐng)使用 JIRA 提交一個(gè)報(bào)告。 或者，更好的是，提供一個(gè)不定來(lái)修正這個(gè)問(wèn)題。這里有很多貢獻(xiàn)的方式，包括在論壇上閱讀別人的帖子發(fā)表回復(fù)，寫(xiě)新代碼，提升舊代碼，幫助寫(xiě)文檔，開(kāi)發(fā)例子或指南，或簡(jiǎn)單的 提供建議。 Part II. 結(jié)構(gòu)和實(shí)現(xiàn) 當(dāng)你熟悉了如何設(shè)置和使用基于命名空間配置的應(yīng)用，你也許希望了解更多關(guān)于框架是如何在命名空間的外觀下實(shí)際運(yùn) 行的。因?yàn)?Spring Security 的目標(biāo)是自己容器內(nèi)管理，所以不需要為你的 Java 運(yùn)行環(huán)境進(jìn)行什么特別的配置。 這些設(shè)計(jì)確保了發(fā)布時(shí)的最大輕便性，你可以簡(jiǎn)單把你的目標(biāo)文件（ JAR 或 WAR 或 EAR）從一個(gè)系統(tǒng)復(fù)制到另一個(gè)系統(tǒng)，它會(huì)立即正 常工作。它們展示了框架的構(gòu)建基礎(chǔ)，所以如果你需要超越簡(jiǎn)單的命名空間配置 ， 理解它們就是很重要的，即便你不需要直接操作他們。這種情況下使用ThreadLocal 是非常安全的，只要記得在處理完當(dāng)前主體的請(qǐng)求以后，把這個(gè)線程清除就行了。 SecurityContextHolder 可以使用一個(gè)策略進(jìn)行配置在啟動(dòng)時(shí)，指定你想讓上下文怎樣被保存。想要修改默認(rèn)的 模式，可以使用兩種方法。 . 獲得當(dāng)前用戶的信息 我們把安全主體和系統(tǒng)交互的信息都保存在 SecurityContextHolder 中了 。 if (principal instanceof UserD。雖然你通常不需要自己創(chuàng)建一個(gè)Authentication 對(duì)象，但是常見(jiàn)的情況是，用戶查詢 Authentication 對(duì)象。另一個(gè)是調(diào)用 SecurityContextHolder 的靜態(tài)方法。其他程序可能想讓一個(gè)線程創(chuàng)建的線程也使用相同的安全主體。 有些程序并不適合使用 ThreadLocal，因?yàn)樗鼈兲幚砭€程的特殊方法。我們把當(dāng)前應(yīng)用程序的當(dāng)前安全環(huán)境的細(xì)節(jié)存儲(chǔ)到它里邊了，它也包含了應(yīng)用當(dāng)前使用的主體細(xì)節(jié)。它不再包含任何與 web 應(yīng)用安全， LDAP 或命名空間相關(guān)的代碼。 相同的，如果你使用了一個(gè) EJB 容器或者是 Servlet 容器，都不需要把任何特定的配置文件放到什么地方，也不需要把 Spring Security 放到 server 的 classloader 下。在指南的這個(gè)部分，我們會(huì)觀察它們是如何在一起工作的，同 Spring Security 支持驗(yàn)證和權(quán)限控制。你可以使用 Spring 社區(qū)論壇網(wǎng)址 同框架的其他用戶討論 Spring Security。因?yàn)楸ＷC項(xiàng)目的測(cè)試覆蓋率是非常必要的，它需要適當(dāng)?shù)倪M(jìn)行維護(hù)。這樣做法是特設(shè)的，我們更愿意使用更正式的方式管理 bug。 代碼在 samples/preauth 目錄下。這里還有一個(gè) 文件，解釋如何從源代碼樹(shù)中直 接運(yùn)行服務(wù)器和客戶端，提供完全的 SSL 支持。 這意味著，在這個(gè)程序里，其實(shí)是配置了兩個(gè)定義驗(yàn)證提供器。在這場(chǎng)景后面，MethodSecurityInterceptor 保護(hù)著業(yè)務(wù)對(duì)象。 SessionId: 8fkp8t83ohar。 \ Granted Authorities: ROLE_SUPERVISOR, ROLE_USER。 Enabled: true。你將看到需要 登錄的提示，這頁(yè)上會(huì)有一些測(cè)試用的用戶名和密碼。 要發(fā)布它，先把 Spring Security 發(fā)布中的 war 文件按復(fù)制到你的容器的 webapps 目錄下。 我們推薦你從 tutorial 例子開(kāi)始，因?yàn)?XML 非常小，也很容易看懂。 . Tutorial 示例 這個(gè) tutorial 示例是帶你入門(mén)的很好的一個(gè)基礎(chǔ)例子。你可以自己編譯部署它們，也可以從 Maven 中央資源庫(kù)里獲得單獨(dú)的 war 文件。 你可能注冊(cè)額外的 AuthenticationProviderbean， 在 ProviderManager 中，你可以使用 authenticationprovider做這些事情，使用 ref 屬性， 這個(gè)屬性的值，是你希望添加的provider 的 bean 的名字，比如： authenticationmanager authenticationprovider ref=casAuthenticationProvider/ /authenticationmanager bean id=casAuthenticationProvider class=er security:customauthenticationprovider / ... /bean 另一個(gè)常見(jiàn)的需求是，上下文中的另一個(gè) bean 可能需要引用 AuthenticationManager。 通常是Spring Security 中 ProviderManager 類(lèi)的一個(gè)實(shí)例， 如果你以前使用過(guò)框架，你可能已經(jīng)很熟悉 了。 默認(rèn)的策略是使用一個(gè) AffirmativeBased AccessDecisionManager，以及 RoleVoter 和AuthenticatedVoter。就像 URL匹配一樣，指定的匹配要放在切點(diǎn)隊(duì)列的最前面，第一個(gè)匹配的表達(dá)式才會(huì)被用到。)) public Account post(Account account, double amount)。 } 為了使用新的基于表達(dá)式的預(yù)付，你可以好似用 globalmethodsecurity prepostannotations=enabled / 對(duì)應(yīng)的代碼將會(huì)是這樣 public interface BankService { PreAuthorize(isAnonymous()) public Account readAccount(Long id)。 Spring Security原生注解支持為方法定義一系列屬性。你可以提供安全給單個(gè) bean，使用 interceptmethods 來(lái)裝飾 bean 的聲明，或者你可以控制多個(gè) bean，通過(guò)實(shí)體服務(wù)層，使用 AspectJ 演示的切點(diǎn)功能。 如果你對(duì)認(rèn)證入口點(diǎn)并不熟悉，可以在 技術(shù)縱覽 章中找到關(guān)于它們的討論。 如果你替換了一個(gè)命名空間的過(guò)濾器，而這個(gè)過(guò)濾器需要一個(gè)驗(yàn)證入口點(diǎn)（比如，認(rèn)證過(guò)程是通過(guò)一個(gè)未通過(guò)驗(yàn)證的用戶訪問(wèn)受保護(hù)資源的嘗試來(lái)觸發(fā)的），你將也需要添加一個(gè)自定義的入口點(diǎn) bean?？梢苑謩e在 position 屬性使用 FIRST或 LAST來(lái)指定你想讓你的過(guò)濾器出現(xiàn)在隊(duì)列元素的前面或后面。這會(huì)影響到你如何添加自己的過(guò)濾器，實(shí)體過(guò)濾器列表 必須在解析 元素的過(guò)程中了解這些，所以 中的語(yǔ)法變化的很明顯。 過(guò)濾器順序在使用命名空間的時(shí)候是被嚴(yán)格執(zhí)行的。 . 添加你自己的 filter 如果你以前使用過(guò) Spring Security，你就應(yīng)該知道這個(gè)框架里維護(hù)了一個(gè)過(guò)濾器鏈，來(lái)提供服務(wù)。屬性值作為認(rèn)證過(guò)程的一部分返回，可以使用下面的代碼在后面的過(guò)程中獲得： OpenIDAuthenticationToken token = (OpenIDAuthenticationToken) ().getAuthentication()。內(nèi)部會(huì)生成一個(gè)隨機(jī)密碼，放置我們使用用戶數(shù)據(jù)時(shí)出現(xiàn)問(wèn)題，無(wú)論在你的配置的地方使用認(rèn)證信息。 . 對(duì) OpenID 的支持 命名空間支持 OpenID 登錄，替代普通的表單登錄，或作為一種附加功能，只需要進(jìn)行簡(jiǎn)單的修改： intercepturl pattern=/** access=ROLE_USER / openidlogin / / 你應(yīng)該注冊(cè)一個(gè) OpenID 供應(yīng)器（比如 ），然后把用戶信息添加到你的內(nèi)存userservice中： user name= authorities=ROLE_USER / 你應(yīng)該可以使用 網(wǎng)站登錄來(lái)進(jìn)行驗(yàn)證了。如果你不需要保護(hù)，或者它與其他一些需求沖突，你可以通過(guò)使用 中的sessionfixationprotection 屬性來(lái)配置它的行為，它有三個(gè)選項(xiàng) ? migrateSession 創(chuàng)建一個(gè)新 session，把原來(lái) session 中所有屬性復(fù)制到新 session中。 如果你為 formbased 登錄使用了自定義認(rèn)證，你就必須特別配置同步會(huì)話控制。首先，你需要把下面的監(jiān)聽(tīng)器添加到你的 文件里，讓 Spring Security 獲得 session 生存周期事件： listener listenerclass /listenerclass /listener 然后，在你的 application context 加入如下部分： ... sessionmanagement concurrencycontrol maxsessions=1/ /sessionmanagement / 這將防止一個(gè)用戶重復(fù)登錄好幾次 ， 第二次登錄會(huì)讓第一次登錄失效。 使用 any意味著使用HTTP 或 HTTPS 都可以。這應(yīng)該包含 application context 中一個(gè) bean 的名字，它應(yīng)該是 Spring Security 的 PasswordEncoder接口的一個(gè)實(shí)例。查看 .“ 驗(yàn)證管理器和命名空間 ” 了解更多信息，AuthenticationManager 使用命名空間在 Spring Security 中是如何配置的。myUserDetailsServi