【正文】 ce39。 authenticationmanager authenticationprovider userserviceref=39。 / / . 使用其他認證提供器 現(xiàn)實中，你會需要更大型的用戶信息源，而不是寫在 application context 里的幾個名字 。 defaulttargeturl=39。 access=39。 filters=39。 . 設(shè)置一個默認的提交登陸目標 如果在進行表單登陸之前，沒有試圖去訪問一個被保護的資源， defaulttargeturl 就會起作用 ， 這是用戶登陸后會跳轉(zhuǎn)到的 URL，默認是 /。 如果你希望使用基本認證，代替表單登錄，可以把配置改為： autoconfig=39。/ / 主要的是意識到這些請求會被完全忽略，對任何 Spring Security 中 web 相關(guān)的配置，或額外的屬性，比如 requireschannel，所以你會不能訪問當前用戶信息，或調(diào)用被保護方法，在請求過程中。 也可能讓所有的請求都匹配特定的模式，通過完全的安全過濾器鏈： autoconfig=39。也要注意我們需要添加額外的 intercepturl 元素，指定用來做登錄的頁面 的 URL，這些 URL 應(yīng)該可以被匿名訪問 。 intercepturl pattern=/* access=IS_AUTHENTICATED_ANONYMOUSLY/ intercepturl pattern=/** access=ROLE_USER / formlogin loginpage=39。實際上，如果我們沒有確切的指定一個頁面用來登錄， Spring Security會自動生成一個，基于可用的功能，為這個 URL 使用標準的數(shù)據(jù)，處理提交的登錄，然后在登陸后發(fā)送到默認的目標 URL。很值得去交叉檢查一下這里，如果你希望開始理解框架中哪些是重要的類以及它們是如何使用的，特別是如果你希望以后做一些自定義工作。 元素會創(chuàng)建一個FilterChainProxy 和 filter 使用的 bean， 以前常常出現(xiàn)的，因為 filter 順序不正確產(chǎn)生的問題 ， 不會再出現(xiàn)了，現(xiàn)在這些過濾器的位置都是預(yù)定義好的。你可以擁有多個 authenticationprovider元素來定義不同的認證數(shù)據(jù)，每個會 在 需要時使用。你也可以添加一個 method 屬性來限制匹配一個特定的 HTTP method(GET, POST, PUT 等等 )。換句話說，一個普通的基于角色的約束應(yīng)該被使用。 intercepturl元素定義了pattern，用來匹配進入的請求 URL，使用一個 ant 路徑語法。 . 最小 配置 只需要進行如下配置就可以實現(xiàn)安全配置： autoconfig=39。 . 配置 我們要做的第一件事是把下面的 filter 聲明添加到 文件中： filter filternamespringSecurityFilterChain/filtername filterclass /filterclass /filter filtermapping filternamespringSecurityFilterChain/filtername urlpattern/*/urlpattern /filtermapping 這是為 Spring Security 的 web 機制提供了一個調(diào)用鉤子。 . 開始使用安全命名空間配置 在本節(jié)中，我 們來看看如何使用一些框架里的主要配置，建立一個命名空間配置。 ? AuthenticationProviders 驗證管理器驗證用戶的機制。 ? 業(yè)務(wù)類（方法）安全 可選的安全服務(wù)層。你的安全應(yīng)用上下文應(yīng)該像這樣開頭 beans:beans xmlns= xmlns:beans= xmlns:xsi= xsi:schemaLocation= ... /beans:beans 就在這一章里，我們都將假設(shè)使用這種語法。使用一個良好的 XML 編輯器來編輯應(yīng)用環(huán)境文件，應(yīng)該提供可用的屬性和元素信息。你可以在 spring 參考文檔 得到更多信息。 異常堆棧不再是模糊的黑盒問題，你可以直接找到發(fā)生問題的那一行，查找發(fā)生了什么額外難題。需要 OpenID4Java。頂級包是 。用來提供安全給特定的領(lǐng)域?qū)ο髮嵗?，在你的?yīng)用中。主包是 。 你將需要它，如果你需要 Spring Security Web 認證服務(wù)和基于 URL 的權(quán)限控制。使用 Spring Security 所必須的。如果你在使用 Maven 來構(gòu)建你的項目，你需要把這些模塊添加到你的 中。 ” . 獲得 Spring Security 你可以通過多種方式獲得 Spring Security。它可以幫助你判斷升級到新的版本是否需要花費很大的精力。 現(xiàn)在， Spring Security 成為了一個強大而又活躍的開源社區(qū)。還有一個有關(guān)的問題，向容器的 classpath 中添加新 jar，常常讓最終用戶感到困惑，又容易出現(xiàn)配置錯誤。另外一些人加入到這些先行者中來，并建議在 sourcefe 上建立一個項目，項目在 2021 年 3月正式建立起來。對這個問題的回應(yīng)是，這的確是一個值得研究的領(lǐng)域，雖然限于時間問題阻礙了對它的繼續(xù)研究。 Spring Security 在所有這些重要領(lǐng)域都提供了完備的能力，我們將在這份參考指南的后面進行探討。為了幫助你實現(xiàn)這些目標， Spring Security完全支持自動 “ 信道安全 ” ，整合 jcaptcha一體化進行人類用戶檢測。 Spring Security 的許多企業(yè)用戶需要整合不遵循任何特定安全標準的 “ 遺留 ” 系統(tǒng)， Spring Security 在這類系統(tǒng)上也表現(xiàn)的很好。 Spring Security 目前支持認證一體化和如下認證技術(shù)： ? HTTP BASIC authentication headers (一個基于 IEFT RFC 的標準 ) ? HTTP Digest authentication headers (一個基于 IEFT RFC 的標準 ) ? HTTP client certificate exchange (一個基于 IEFT RFC 的標準 ) ? LDAP (一個非常常見的跨平臺認證需要做法，特別是在大環(huán)境 ) ? Formbased authentication (提供簡單用戶接口的需求 ) ? OpenID authentication ? 基于預(yù)先建立的請求頭進行認證 （比如 Computer Associates Siteminder） ? JASIG Central Authentication Service (也被稱為 CAS，這是一個流行的開源單點登錄系統(tǒng) ) ? Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (一個 Spring 遠程調(diào)用協(xié)議 ) ? Automatic rememberme authentication (這樣你可以設(shè)置一段時間，避免在一段時間內(nèi)還需要重新驗證 ) ? Anonymous authentication (允許任何調(diào)用，自動假設(shè)一個特定的安全主 體 ) ? Runas authentication (這在一個會話內(nèi)使用不同安全身份的時候是非常有用的 ) ? Java Authentication and Authorization Service (JAAS) ? JEE Container autentication (這樣，你可以繼續(xù)使用容器管理認證，如果想的話 ) ? Kerberos ? Java Open Source Single Sign On (JOSSO) * ? OpenNMS Network Management Platform * ? AppFuse * ? AndroMDA * ? Mule ESB * ? Direct Web Request (DWR) * ? Grails * ? Tapestry * ? JTrac * ? Jasypt * ? Roller * ? Elastic Plath * ? Atlassian Crowd * ? 你自己的認證系統(tǒng) (向下看 ) (* 是指由第三方提供，查看我們的 整合網(wǎng)頁 ，獲得最新詳情的鏈接。這些概念是通用的，不是 Spring Security 特有的。這就是 Spring Security 面向的兩個主要方向。提到這些規(guī)范，特別要指出的是它們不能在 WAR 或 EAR 級別進行移植。特別是使用領(lǐng)先的 J2EE解決方案 spring 框架開發(fā)的企業(yè)軟件項目。 我們也會看看可用的 范例程序。 最后，歡迎加入 Spring Security 社區(qū) 。企圖改造它也不是一個好主意。本指 南的其余部分使用了較傳統(tǒng)的參考文檔方式，請按照自己的需要選擇閱讀的部分。這些客戶化需求讓應(yīng)用安全顯得有趣，富有挑戰(zhàn)性而且物有所值。 這些管理因素具體包括：安全公告檢測，補丁，人工診斷，審計，變更管理，工程管理系統(tǒng)，數(shù)據(jù)備份，災(zāi)難回復(fù)，性能評測，負載檢測，集中日志，應(yīng)急反應(yīng)程序等等。這些系統(tǒng)可以實時屏蔽惡意 TCP/IP 地址。在以非授權(quán)用戶運行進程和文件系統(tǒng)安全最大化上，你的操作系統(tǒng)也將扮演一個關(guān)鍵的角色。每層自身越是 “ 緊密 ” ，你的程序就會越安全。序言 Spring Security 為基于 J2EE 的企業(yè)應(yīng)用軟件提供了一套全面的安全解決方案。在安全領(lǐng)域我們建議你采取 “ 分層安全 ” ，這樣讓每一層確保本身盡可能的安全，并為其他層提供額外的安全保障。在企業(yè)環(huán)境中，你可能會部署一個 DMZ（ demilitarized zone，隔離區(qū)），將面向公眾的服務(wù)器與后端數(shù)據(jù)庫，應(yīng)用服務(wù)器隔離開。入侵檢測系統(tǒng)在檢測和應(yīng)對攻擊的時候尤其有用。 當然，你需要妥善處理上面提到的每個安全層，以及包含于每個層的管理因素。電子商務(wù)系統(tǒng)與企業(yè)銷售自動化工具又有很大不同。要是想更多的了解 Spring Security 是如何工作和一些你可能需要用到的類，你應(yīng)該閱讀 Part II, “ 結(jié)構(gòu)和實現(xiàn) ” 部分。重要的一點，應(yīng)用程序應(yīng)該從一開始就為安全做好設(shè)計。 我們希望你覺得這是一篇很有用的參考指南，并歡迎您提供反饋意見和 建議 。特別是，我們將看看命名 空間 配置提供了一個更加簡單的方式，在使用傳統(tǒng)的 spring bean 配置時，你不得不實現(xiàn)所有類。 Chapter 1. 介紹 . Spring Security 是什么？ Spring Security 為基于 J2EE 企業(yè)應(yīng)用軟件提供了全面安全服務(wù)。 人們使用 Spring Security 有很多種原因，不過通常吸引他們的是在 J2EE Servlet 規(guī)范或EJB 規(guī)范中找不到典型企業(yè)應(yīng)用場景的解決方案。 你可能知道，安全包括兩個主要操作， “ 認證 ” 和 “ 驗證 ” （或權(quán)限控制）。在到達授權(quán)判斷之前，身份的主體已經(jīng)由身份驗證過程建立了。作為補充， Spring Security 也提供了自己的一套驗證功能。 如果上述的驗證機制都沒有滿足你的需要， Spring Security 是一個開放的平臺，編寫自己的驗證機制是十分簡單的。這在防止暴力攻擊保護密碼恢復(fù)過程特別有幫助，或者簡單的，讓人難以復(fù)制你的系統(tǒng)的關(guān)鍵字內(nèi)容。為了幫你了解它 們之間的區(qū)別，對照考慮授在 Servlet 規(guī)范 web 模式安全， EJB 容器管理安全，和文件系統(tǒng)安全方面的授權(quán)方式。在當時Spring 的社區(qū)相對較?。ㄓ绕涫呛徒裉斓囊?guī)模比！），其實 Spring 本身是從 2021 年初才作為一個 sourcefe 的項目出現(xiàn)的。隨后又有人請求，在 2021 年一月左右，有 20 人在使用這些代碼。這在一開始是合適的，但隨著越來越多用戶要求提供額外的容器支持，基于容器認證的限制就顯現(xiàn)出來了。 acegi 在 2021 年年底，正式成為 spring 組合項目，被更名為 “ Spring Security” 。 . 發(fā)行版本號 了解 spring Security 發(fā)行版本號是非常有用的。次要版本號在源代碼和二進制要與老版本保持兼容，補丁則意味著向前向后的完全兼容。 . 項目模塊 在 Spring Security 中，項目已經(jīng)分割成單獨的 jar，這更清楚的按照功能進行分割模塊和第三方依賴。 . Core 包含了核心認證和權(quán)限控制類和接口，運程支持和基本供應(yīng) API。任何需要依賴 servlet API 的。你需要它， 如果使用了 Spring Security XML 命名控制來進行配置。 . ACL 處理領(lǐng)域?qū)ο?ACL 實現(xiàn)。如果你希望使用 Spring Security web 認證 整合一個CAS 單點登錄服務(wù)器。 。 獲得項目的源代碼對調(diào)試也有很大的幫助。使用它呢，可以通過附加 xml 架