【正文】 構(gòu)，為傳統(tǒng)的 spring beans 應(yīng)用環(huán)境語法做補充。比如，把下面的 security 命名元素添加到應(yīng)用環(huán)境中，將會為測試用途，在應(yīng)用內(nèi)部啟動一個內(nèi)嵌 LDAP 服務(wù)器： security:ldapserver / 這比配置一 個 Apache 目錄服務(wù)器 bean 要簡單得多 ,最常見的替代配置需求都可以使用ldapserver 元素的屬性進行配置，這樣用戶就不用擔心他們需要設(shè)置什么，不用擔心 bean里的各種屬性。如果你把應(yīng)用上下文分割成單獨的文件，讓你的安全配置都放到其中一個文件里，這樣更容易使用這種配置方法。設(shè)置過濾器和相關(guān)的服務(wù) bean來應(yīng)用框架驗證機制，保護 URL，渲染登錄和錯誤頁面還有更多。一個默認的主體會被注冊，但是你也可以選擇自定義一個，使用正常的 spring bean 語法進行聲明 。 下一章中，我們將看到如何把這些放到一起工作。在以后的章節(jié)里我們將引入更多高級的命名空間配置選項。注意，你不應(yīng)該自己使用這個 bean 的名字 ， 一旦你把這個添加到你的 中，你就準備好開始編輯 你 的 application context 文件了 ，web 安全服務(wù)是使用 元素配置的。元素是所有 web 相關(guān)的命名空間功能的上級元素。 前綴 “ ROLE_” 表示的是一個用戶應(yīng)該擁有的權(quán)限比對。所以你必須把期望使用的匹配條件放到最上邊。也可以從一個標 準 properties 文件中讀取這些信息，使用 userservice 的 properties 屬性 （ 參考inmemory authentication 獲得更多信息 ） ， 使用 authenticationprovider元素意味著用戶信息將被認證管理用作處理認證請求。 如果你熟悉以前的版本，你很可能已經(jīng)猜到了這里是怎么回事。你可以在 命名空間附錄 中找到關(guān)于創(chuàng)建這個 bean的更新信息。 . 表單和基本登錄選項 你也許想知道，在需要登錄的時候，去哪里找這個登錄頁面，到現(xiàn)在為止我們都沒有提到任何的 HTML 或 JSP 文件。true39。這個 formlogin 元素會覆蓋默認的設(shè)置。 如果你的登錄頁面是被保護的 ， Spring Security會在日志中發(fā)出一個警告 。/39。作為一個選擇方式如果你還想要安全過濾器鏈起作用。 在這種配置中，表單登錄依然是可用的，如果你還想用的話，比如，把一個登錄表單內(nèi)嵌到其他頁面里。/*39。/**39。/39。true39。如果你自定義了一個 Spring Security 的UserDetailsService 實現(xiàn)，在你的 application context 中名叫 myUserDetailsService，然后你可以使用下面的驗證。另外，你可以配置一個 Spring Security JdbcDaoImpl bean，使用 userserviceref 屬性指定 ： authenticationmanager authenticationprovider userserviceref=39。/ /authenticationmanager 這里 myAuthenticationProvider 是你的 application context 中的一個 bean 的名字，它實現(xiàn)了 AuthenticationProvider。比如，使用 username 屬性，你可以這樣用： passwordencoder hash=sha saltsource userproperty=username/ /passwordencoder 你可以通過 passwordencoder 的 ref 屬性，指定一個自定義的密碼編碼器 bean。 可用的選項有 , 或 any。 ... sessionmanagement invalidsessionurl=// / . 同步會話控制 如果你希望限制單個用戶只能登錄到你的程序一次， Spring Security 通過添加下面簡單的部分支持這個功能。如果你希望使用一個錯誤頁面替代，你可以在 sessionmanagement 中添加sessionauthenticationerrorurl 屬性。 Spring Security 通過在用戶登錄時，創(chuàng)建一個新 session 來防止這個問題。 ? newSession 創(chuàng)建一個新的 “ 干凈的 ”session ，不會復(fù)制 session 中的數(shù)據(jù)。請注意，上面用戶配置中我們省略了密碼屬性，因為這里的用戶數(shù)據(jù)只用來為數(shù)據(jù)讀取數(shù)據(jù)。確切的 schema 和對屬性的支持會依賴于你使用的 OpenID 提供器。我們將看到更多關(guān)于 SecurityContextHolder 如何使用的信息，只要我們在 技術(shù)概述 章節(jié)瀏覽核心Spring Security 組件。你如何在命名空間配置里實現(xiàn)這些功能呢？過濾器鏈現(xiàn)在已經(jīng)不能直接看到了。在 +版本中，執(zhí)行會在 bean 元元素級別被執(zhí)行，在 bean 實例化之前。 Table . 標準過濾器假名和順序 假名 過濾器累 命名空間元素或?qū)傩? CHANNEL_FILTER ChannelProcessingFilter /intercepturlrequireschannel CONCURRENT_SESSION_FILTER ConcurrentSessionFilter sessionmanagement/concurrencycontrol SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter LOGOUT_FILTER LogoutFilter /logout X509_FILTER X509AuthenticationFilter /x509 PRE_AUTH_FILTER AstractPreAuthenticatedProcessingFilter Subclasses N/A CAS_FILTER CasAuthenticationFilter N/A FORM_LOGIN_FILTER UsernamePasswordAuthenticationFilter /formlogin BASIC_AUTH_FILTER BasicAuthenticationFilter /basic SERVLET_API_SUPPORT_FILTER SecurityContextHolderAwareFilter /servletapiprovision REMEMBER_ME_FILTER RememberMeAuthenticationFilter /rememberme ANONYMOUS_FILTER SessionManagementFilter /anonymous SESSION_MANAGEMENT_FILTER AnonymousAuthenticationFilter sessionmanagement EXCEPTION_TRANSLATION_FILTER ExceptionTranslationFilter FILTER_SECURITY_INTERCEPTOR FilterSecurityInterceptor SWITCH_USER_FILTER SwitchUserAuthenticationFilter N/A 你可以把你自己的過濾器添加到隊列中，使用 customfilter 元素，使用這些名字中的一個，來指定你的過濾器應(yīng)該出現(xiàn)的位置： customfilter position=FORM_LOGIN_FILTER ref=myFilter / / beans:bean id=myFilter class=/ 你還可以使用 after 或 before 屬性，如果你想把你的過濾器添 加到隊列中另一個過濾器的前面或后面。 注意，你不能替換那些 元素自己使用而創(chuàng)建出的過濾器，比如SecurityContextPersistenceFilter,ExceptionTranslationFilter 或FilterSecurityInterceptor。 CAS 示例程序是一個在命名空間中使用自定義 bean 的好例子，包含這種語法。從 開始，你也可以使用新的 基于表達式的注解 。 下面的聲明同時啟用 Spring Security 的 Secured和 JSR250 注解： globalmethodsecurity securedannotations=enabled jsr250annotations=enabled/ 向一個方法（或一個類或一個接口）添加注解，會限制對這個方法 的訪問。 Secured(ROLE_TELLER) public Account post(Account account, double amount)。ROLE_TELLER39。 ROLE_USER 的角色才能調(diào)用這些方法。 當你使用命名空間配置時，默認的 AccessDecisionManager 實例會自動注冊，然后用來為方法調(diào)用和 web URL 訪問做驗證，這些都是基于你設(shè)置的 intercepturl 和 protectpointcut權(quán)限屬性內(nèi)容（和注解中的內(nèi)容，如果你使用注解控制方法的權(quán)限）。 對于方法安全，你可以設(shè)置 globalsecurity 里的 accessdecisionmanagerref 屬性，用對應(yīng) AccessDecisionManager bean 在 application context 里的 id： globalmethodsecurity accessdecisionmanagerref=myAccessDecisionManagerBean ... /globalmethodsecurity web 安全安全的語法也是一樣，但是放在 元素里： accessdecisionmanagerref=myAccessDecisionManagerBean ... / . 驗證管理器和命名空間 主要接口提供了驗證服務(wù)在 Spring Security 中， 是 AuthenticationManager。你不能好似用一個自定義的AuthenticationManager 如果你使用 HTTp 或方法安全，在命名空間中，但是它不應(yīng)該是一個問題， 因為你完全控制了使用的 AuthenticationProvider。為了不讓下載包變得太大，我們只把 tutorial和contacts兩個例子放到了 zip 發(fā)布包里。 如果你需要的話，可以在 網(wǎng)站上找到更多信息。使用了 formbased 驗證機制，與常用的 rememberme 驗證提供器相結(jié)合，自動使用 cookie 記錄登錄信息。 . Contacts Contacts 例子，是一個很高級的例子，它在基本程序安全上附加了領(lǐng)域?qū)ο?的訪問控制列表，演示了更多強大的功能。 下一步，點擊 Debug。 \ Password: [PROTECTED]。 AccountNonLocked: true。 \ Details: ls0: \ RemoteIpAddress: 。注意，只有當前登錄的用戶對應(yīng)的聯(lián)系信息會顯示出來，而且只有ROLE_SUPERVISOR 權(quán)限的用戶可以授權(quán)刪除他們的聯(lián)系信息。 . LDAP例子 LDAP 例子程序提供了一個基礎(chǔ)配置，同時使用命名 空間配置和使用傳統(tǒng)方式 bean 的配置方式，這兩種配置方式都寫在 application context 文件里。你可以在 sample/cas 目錄下找到對應(yīng)的文件。 用戶名和角色是由容器設(shè)置的。不要把它放到支持論壇上，郵件列表里，或者直接發(fā)郵件給項目開發(fā)者。一般來說，擴充也也可以提交到任務(wù)跟蹤系統(tǒng)里，雖然我們只 接受提供了對應(yīng)的單元測試的擴充請求。 . 更多信息 歡迎大家為 Spring Security 提出問題或評論。和大多數(shù)軟件一樣， Spring Security 有一系列的中央接口，類和抽象概念，貫穿整個框架。特別是，不需要特別配置一個 Java Authentication and Authorization Service (JAAS)政策文件，也不需要把 Spring Security 放到 server 的 classLoader 下。 . 核心組件 在 Spring Security 中， springsecuritycorejar 的內(nèi)容已經(jīng)被縮減到最小。 . SecurityContextHolder,SecurityContext 和 Authentication 對象 最基礎(chǔ)的對象 就是 SecurityContextHolder。當然， Spring Security 自動幫你管理這一切了，你就不用 擔心什么了。對于一個單獨的應(yīng)用系統(tǒng)，你可以使用 策略。第一個是設(shè)置系統(tǒng)屬性。 spring Security使用一個 Authentication 對應(yīng)來表現(xiàn)這