【正文】 證（比如Computer Associates Siteminder）JASIG Central Authentication Service (也被稱為CAS，這是一個流行的開源單點登錄系統(tǒng))Transparent authentication context propagation for Remote Method Invocation(RMI) and HttpInvoker (一個Spring 遠程調(diào)用協(xié)議)Automatic rememberme authentication (這樣你可以設(shè)置一段時間，避免在一段時間內(nèi)還需要重新驗證)Anonymous authentication (允許任何調(diào)用，自動假設(shè)一個特定的安全主體)Runas authentication (這在一個會話內(nèi)使用不同安全身份的時候是非常有用的)Java Authentication and Authorization Service (JAAS)JEE Container autentication (這樣，你可以繼續(xù)使用容器管理認(rèn)證，如果想的話)KerberosJava Open Source Single Sign On (JOSSO) *OpenNMS Network Management Platform *AppFuse *AndroMDA *Mule ESB *Direct Web Request (DWR) *Grails *Tapestry *JTrac *Jasypt *Roller *Elastic Plath *Atlassian Crowd *你自己的認(rèn)證系統(tǒng)(向下看)(* 是指由第三方提供，查看我們的整合網(wǎng)頁，獲得最新詳情的鏈接。Spring Security 的許多企業(yè)用戶需要整合不遵循任何特定安全標(biāo)準(zhǔn)的“遺留”系統(tǒng)，SpringSecurity 在這類系統(tǒng)上也表現(xiàn)的很好。這在防止暴力攻擊保護密碼恢復(fù)過程特別有幫助， 或者簡單的，讓人難以復(fù)制你的系統(tǒng)的關(guān)鍵字內(nèi)容。為了幫你了解它們之間的區(qū)別，對照考慮授在Servlet 規(guī)范web 模式安全，EJB 容器管理安全，和文件系統(tǒng)安全方面的授權(quán)方式。在當(dāng)時Spring 的社區(qū)相對較?。ㄓ绕涫呛徒裉斓囊?guī)模比?。鋵峉pring 本身是從2003年初才作為一個sourceforge 的項目出現(xiàn)的。隨后又有人請求，在2004年一月左右，有20人在使用這些代碼。這在一開始是合適的，但隨著越來越多用戶要求提供額外的容器支持，基于容器認(rèn)證的限制就顯現(xiàn)出來了。經(jīng)過了兩年半在許多生產(chǎn)軟件項目中的活躍使用和數(shù)以萬計的改善和社區(qū)的貢獻，布于2006年5月。有一個積極的核心開發(fā)團隊專職開發(fā)，一個積極的社區(qū)定期共享補丁并支持他們的同伴。為了方便大家，我們引用頁面上的一段介紹：“版本號是一個包含三個整數(shù)的組合：。你可以下載打包好的發(fā)行包，從Spring 的網(wǎng)站下載頁，下載單獨的jar（和實例WAR 文件）從Maven 中央資源庫（或者SpringSourceMaven 資源庫，獲得快照和里程碑發(fā)布）。如果你在使用Maven 來構(gòu)建你的項目，你需要把這些模塊添加到你的 中。使用Spring Security所必須的。你將需要它，如果你需要Spring Security Web 認(rèn)證服務(wù)和基于URL 的權(quán)限控制。主包是。用來提供安全給特定的領(lǐng)域?qū)ο髮嵗?，在你的?yīng)用中。. OpenID OpenID web 認(rèn)證支持。. 獲得源代碼Spring Security 是一個開源項目，我們大力推薦你從subversion 獲得源代碼。源代碼也是項目的最終文檔，常常是最簡單的方法，找出這些事情是如何工作的。命名空間元素可以簡單的配置單個bean，或使用更強大的，定義一個備用配置語法，這可以更加緊密的匹配問題域，隱藏用戶背后的復(fù)雜性。[1]。如果你把應(yīng)用上下文分割成單獨的文件，讓你的安全配置都放到其中一個文件里，這樣更容易使用這種配置方法。設(shè)置過濾器和相關(guān)的服務(wù)bean 來應(yīng)用框架驗證機制，保護URL，渲染登錄和錯誤頁面還有更多。一個默認(rèn)的主體會被注冊，但是你也可以選擇自定義一個，使用正常的spring bean 語法進行聲明。下一章中，我們將看到如何把這些放到一起工作。在以后的章節(jié)里我們將引入更多高級的命名空間配置選項。注意，你不應(yīng)該自己使用這個bean 的名字。true39。access 屬性定義了請求匹配了指定模式時的需求。Spring Security 中的訪問控制不限于簡單角色的應(yīng)用（因此，我們使用不同的前綴來區(qū)分不同的安全屬性）.我們會在后面看到這些解釋是可變的[2]Note你可以使用多個intercepturl元素為不同URL 的集合定義不同的訪問需求， 它們會被歸入一個有序隊列中，每次取出最先匹配的一個元素使用。要是想添加一些用戶，你可以直接使用下面的命名空間直接定義一些測試數(shù)據(jù)：authenticationmanagerauthenticationprovideruserserviceuser name=jimi password=jimispassword authorities=ROLE_USER,ROLE_ADMIN /user name=bob password=bobspassword authorities=ROLE_USER //userservice/authenticationprovider/authenticationmanager如果你熟悉以前的版本，你很可能已經(jīng)猜到了這里是怎么回事。所有authenticationprovider元素必須作為authenticationmanager 的子元素， 它創(chuàng)建了一個ProviderManager，并把authentication provider 注冊到它里面。也可以從一個標(biāo)準(zhǔn)properties 文件中讀取這些信息，使用userservice 的properties 屬性?，F(xiàn)在，你可以啟動程序，然后就會進入登錄流程了。. autoconfig包含了什么？我們在上面用到的autoconfig 屬性，其實是下面這些配置的縮寫：formlogin /basic /logout //這些元素分別與formlogin，基本認(rèn)證和注銷處理對應(yīng)。然而，命名空間提供了許多支持，讓你可以自定義這些選項。/39。[4] 否則，這些請求會被/**部分?jǐn)r截，它沒法訪問到登錄頁面。true39。使用access=39。true39。這是用戶登陸后會跳轉(zhuǎn)到的URL ， 默認(rèn)是/ 。 filters=39。 access=39。 defaulttargeturl=39。 //. 使用其他認(rèn)證提供器現(xiàn)實中，你會需要更大型的用戶信息源，而不是寫在application context 里的幾個名字。authenticationmanagerauthenticationprovider userserviceref=39。myUserDetailsService39。查看Section , “驗證管理器和命名空間”了解更多信息， AuthenticationManager 使用命名空間在Spring Security 中是如何配置的。理想情況下， 你可能想為每個用戶隨機生成一個鹽值， 不過， 你可以使用從UserDetailsService 讀取出來的UserDetails 對象中的屬性。. 添加HTTP/HTTPS信道安全如果你的同時支持HTTP 和HTTPS 協(xié)議，然后你要求特定的URL 只能使用HTTPS，這時可以直接使用intercepturl的requireschannel 屬性：intercepturl pattern=/secure/** access=ROLE_USER requireschannel=/intercepturl pattern=/** access=ROLE_USER requireschannel=any/.../使用了這個配置以后，如果用戶通過HTTP 嘗試訪問/secure/**匹配的網(wǎng)址，他們會先被重定向到HTTPS 網(wǎng)址下。. 會話管理. 檢測超時你可以配置Spring Security 檢測失效的session ID， 并把用戶轉(zhuǎn)發(fā)到對應(yīng)的URL。如果第二次驗證使用了其他非內(nèi)置的機制，比如“rememberme”，一個“未認(rèn)證”(402)錯誤就會發(fā)送給客戶端。. 防止Session固定攻擊Session 固定攻擊是一個潛在危險，當(dāng)一個惡意攻擊者可以創(chuàng)建一個session 訪問一個網(wǎng)站的時候，然后說服另一個用戶登錄到同一個會話上（比如，發(fā)送給他們一個包含了session標(biāo)識參數(shù)的鏈接）。none 什么也不做，繼續(xù)使用原來的session。查看上一節(jié)認(rèn)證提供器獲得更多信息。作為一個例子，下面的配置會嘗試從OpenID 提供器中獲得 和全名， 這些會被應(yīng)用程序使用到：openidloginattributeexchangeopenidattribute name= type= required=true/openidattribute name=name type= //attributeexchange/openidlogin每個OpenID 的“type”屬性是一個URI，這是由特定的schema 決定的， 在這個例子中是。ListOpenIDAttribute attributes = ()。你也許想把你自己的過濾器添加到鏈條的特定位置，或者使用一個SpringSecurity 的過濾器，這個過濾器現(xiàn)在還沒有在命名空間配置中進行支持（比如CAS）。當(dāng)application context 創(chuàng)建時，過濾器bean 通過namespace 的處理代碼進行排序， 標(biāo)準(zhǔn)的spring security 過濾器都有自己的假名和一個容易記憶的位置。有關(guān)創(chuàng)建過濾器的過濾器，假名和命名空間元素，屬性可以在Table , “標(biāo)準(zhǔn)過濾器假名和順序”中找到。避免過濾器位置發(fā)生沖突如果你插入了一個自定義的過濾器，而這個過濾器可能與命名空間自己創(chuàng)建的標(biāo)準(zhǔn)過濾器放在同一個位置上，這樣首要的是你不要錯誤包含命名空間的版本信息。. 設(shè)置自定義AuthenticationEntryPoint如果你沒有通過命名空間，使用表單登陸，OpenID 或基本認(rèn)證，你可能想定義一個認(rèn)證過濾器，并使用傳統(tǒng)bean 語法定義一個入口點然后把它鏈接到命名空間里，就像我們已經(jīng)看到的那樣。. 保護方法 Security 大幅改善了對你的服務(wù)層方法添加安全。. globalmethodsecurity元素這個元素用來在你的應(yīng)用程序中啟用基于安全的注解（通過在這個元素中設(shè)置響應(yīng)的屬性），也可以用來聲明將要應(yīng)用在你的實體application context 中的安全切點組。這些屬性將傳遞給AccessDecisionManager，進行決策：public interface BankService {Secured(IS_AUTHENTICATED_ANONYMOUSLY)public Account readAccount(Long id)。PreAuthorize(isAnonymous())public Account[] findAccounts()。}. 使用protectpointcut添加安全切點protectpointcut 是非常強大的，它讓你可以用簡單的聲明對多個bean 的進行安全聲明。. 默認(rèn)的AccessDecisionManager這章假設(shè)你有一些Spring Security 權(quán)限控制有關(guān)的架構(gòu)知識?？梢栽赼uthorization 中獲得更多信息。如果沒有，它會在稍后被提及，在techintroauthentication。你可以為AuthenticationManager 注冊一個別名，然后在application context 的其他地方使用這個名字。[3]，這里列表中還包含rememberme 功能。示例程序項目中包含了很多web 實例程序。你可以按照簡介里的介紹獲得源代碼， 使用maven 編譯它們也很簡單。編譯好的應(yīng)用就放在zip 發(fā)布包中， 已經(jīng)準(zhǔn)備好發(fā)布到你的web 容器中（）。只有做基本集成成功的時候，我們建議你試著添加方法驗證和領(lǐng)域?qū)ο蟀踩?。在啟動你的容器之后?檢測一下程序是不是加載了， 訪問://localhost:8080/contacts（或是其他你把war 發(fā)布后，對應(yīng)于你web 容器的URL）。它應(yīng)該會包含下面這樣的一段成功信息：Security Debug InformationAuthentication object is of type:nTokenAuthentication object as a String:nToken1f127853:Principal: b07ed00:Username: rod。credentialsNonExpired: true。 Authenticated: true。然后你就可以嘗試這個程序了。確保自己好好試用過，看看程序里的上下文XML 文件，搞明白它是如何運行的。它沒有包含在發(fā)布