【正文】 spring Security使用一個 Authentication 對應來表現(xiàn)這些信息。對于一個單獨的應用系統(tǒng)，你可以使用 策略。 . SecurityContextHolder,SecurityContext 和 Authentication 對象 最基礎的對象 就是 SecurityContextHolder。特別是，不需要特別配置一個 Java Authentication and Authorization Service (JAAS)政策文件，也不需要把 Spring Security 放到 server 的 classLoader 下。 . 更多信息 歡迎大家為 Spring Security 提出問題或評論。不要把它放到支持論壇上，郵件列表里，或者直接發(fā)郵件給項目開發(fā)者。你可以在 sample/cas 目錄下找到對應的文件。注意，只有當前登錄的用戶對應的聯(lián)系信息會顯示出來，而且只有ROLE_SUPERVISOR 權限的用戶可以授權刪除他們的聯(lián)系信息。 AccountNonLocked: true。 下一步，點擊 Debug。使用了 formbased 驗證機制，與常用的 rememberme 驗證提供器相結合，自動使用 cookie 記錄登錄信息。為了不讓下載包變得太大，我們只把 tutorial和contacts兩個例子放到了 zip 發(fā)布包里。 對于方法安全，你可以設置 globalsecurity 里的 accessdecisionmanagerref 屬性，用對應 AccessDecisionManager bean 在 application context 里的 id： globalmethodsecurity accessdecisionmanagerref=myAccessDecisionManagerBean ... /globalmethodsecurity web 安全安全的語法也是一樣，但是放在 元素里： accessdecisionmanagerref=myAccessDecisionManagerBean ... / . 驗證管理器和命名空間 主要接口提供了驗證服務在 Spring Security 中， 是 AuthenticationManager。 ROLE_USER 的角色才能調用這些方法。 Secured(ROLE_TELLER) public Account post(Account account, double amount)。從 開始，你也可以使用新的 基于表達式的注解 。 注意，你不能替換那些 元素自己使用而創(chuàng)建出的過濾器，比如SecurityContextPersistenceFilter,ExceptionTranslationFilter 或FilterSecurityInterceptor。在 +版本中，執(zhí)行會在 bean 元元素級別被執(zhí)行，在 bean 實例化之前。我們將看到更多關于 SecurityContextHolder 如何使用的信息，只要我們在 技術概述 章節(jié)瀏覽核心Spring Security 組件。請注意，上面用戶配置中我們省略了密碼屬性，因為這里的用戶數(shù)據(jù)只用來為數(shù)據(jù)讀取數(shù)據(jù)。 Spring Security 通過在用戶登錄時，創(chuàng)建一個新 session 來防止這個問題。 ... sessionmanagement invalidsessionurl=// / . 同步會話控制 如果你希望限制單個用戶只能登錄到你的程序一次， Spring Security 通過添加下面簡單的部分支持這個功能。比如，使用 username 屬性，你可以這樣用： passwordencoder hash=sha saltsource userproperty=username/ /passwordencoder 你可以通過 passwordencoder 的 ref 屬性，指定一個自定義的密碼編碼器 bean。另外，你可以配置一個 Spring Security JdbcDaoImpl bean，使用 userserviceref 屬性指定 ： authenticationmanager authenticationprovider userserviceref=39。true39。/**39。 在這種配置中，表單登錄依然是可用的，如果你還想用的話，比如，把一個登錄表單內嵌到其他頁面里。/39。這個 formlogin 元素會覆蓋默認的設置。 . 表單和基本登錄選項 你也許想知道，在需要登錄的時候，去哪里找這個登錄頁面，到現(xiàn)在為止我們都沒有提到任何的 HTML 或 JSP 文件。 如果你熟悉以前的版本，你很可能已經猜到了這里是怎么回事。所以你必須把期望使用的匹配條件放到最上邊。元素是所有 web 相關的命名空間功能的上級元素。在以后的章節(jié)里我們將引入更多高級的命名空間配置選項。一個默認的主體會被注冊，但是你也可以選擇自定義一個，使用正常的 spring bean 語法進行聲明 。如果你把應用上下文分割成單獨的文件，讓你的安全配置都放到其中一個文件里，這樣更容易使用這種配置方法。使用它呢，可以通過附加 xml 架構，為傳統(tǒng)的 spring beans 應用環(huán)境語法做補充。 。 . ACL 處理領域對象 ACL 實現(xiàn)。任何需要依賴 servlet API 的。 . 項目模塊 在 Spring Security 中，項目已經分割成單獨的 jar，這更清楚的按照功能進行分割模塊和第三方依賴。 . 發(fā)行版本號 了解 spring Security 發(fā)行版本號是非常有用的。這在一開始是合適的，但隨著越來越多用戶要求提供額外的容器支持，基于容器認證的限制就顯現(xiàn)出來了。在當時Spring 的社區(qū)相對較?。ㄓ绕涫呛徒裉斓囊?guī)模比?。鋵?Spring 本身是從 2021 年初才作為一個 sourcefe 的項目出現(xiàn)的。這在防止暴力攻擊保護密碼恢復過程特別有幫助，或者簡單的，讓人難以復制你的系統(tǒng)的關鍵字內容。作為補充， Spring Security 也提供了自己的一套驗證功能。 你可能知道，安全包括兩個主要操作， “ 認證 ” 和 “ 驗證 ” （或權限控制）。 Chapter 1. 介紹 . Spring Security 是什么？ Spring Security 為基于 J2EE 企業(yè)應用軟件提供了全面安全服務。 我們希望你覺得這是一篇很有用的參考指南，并歡迎您提供反饋意見和 建議 。要是想更多的了解 Spring Security 是如何工作和一些你可能需要用到的類，你應該閱讀 Part II, “ 結構和實現(xiàn) ” 部分。 當然，你需要妥善處理上面提到的每個安全層，以及包含于每個層的管理因素。在企業(yè)環(huán)境中，你可能會部署一個 DMZ（ demilitarized zone，隔離區(qū)），將面向公眾的服務器與后端數(shù)據(jù)庫，應用服務器隔離開。序言 Spring Security 為基于 J2EE 的企業(yè)應用軟件提供了一套全面的安全解決方案。在以非授權用戶運行進程和文件系統(tǒng)安全最大化上，你的操作系統(tǒng)也將扮演一個關鍵的角色。 這些管理因素具體包括：安全公告檢測，補丁，人工診斷，審計，變更管理，工程管理系統(tǒng)，數(shù)據(jù)備份，災難回復，性能評測，負載檢測，集中日志，應急反應程序等等。本指 南的其余部分使用了較傳統(tǒng)的參考文檔方式，請按照自己的需要選擇閱讀的部分。 最后，歡迎加入 Spring Security 社區(qū) 。特別是使用領先的 J2EE解決方案 spring 框架開發(fā)的企業(yè)軟件項目。這就是 Spring Security 面向的兩個主要方向。 Spring Security 目前支持認證一體化和如下認證技術： ? HTTP BASIC authentication headers (一個基于 IEFT RFC 的標準 ) ? HTTP Digest authentication headers (一個基于 IEFT RFC 的標準 ) ? HTTP client certificate exchange (一個基于 IEFT RFC 的標準 ) ? LDAP (一個非常常見的跨平臺認證需要做法，特別是在大環(huán)境 ) ? Formbased authentication (提供簡單用戶接口的需求 ) ? OpenID authentication ? 基于預先建立的請求頭進行認證 （比如 Computer Associates Siteminder） ? JASIG Central Authentication Service (也被稱為 CAS，這是一個流行的開源單點登錄系統(tǒng) ) ? Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (一個 Spring 遠程調用協(xié)議 ) ? Automatic rememberme authentication (這樣你可以設置一段時間，避免在一段時間內還需要重新驗證 ) ? Anonymous authentication (允許任何調用，自動假設一個特定的安全主 體 ) ? Runas authentication (這在一個會話內使用不同安全身份的時候是非常有用的 ) ? Java Authentication and Authorization Service (JAAS) ? JEE Container autentication (這樣，你可以繼續(xù)使用容器管理認證，如果想的話 ) ? Kerberos ? Java Open Source Single Sign On (JOSSO) * ? OpenNMS Network Management Platform * ? AppFuse * ? AndroMDA * ? Mule ESB * ? Direct Web Request (DWR) * ? Grails * ? Tapestry * ? JTrac * ? Jasypt * ? Roller * ? Elastic Plath * ? Atlassian Crowd * ? 你自己的認證系統(tǒng) (向下看 ) (* 是指由第三方提供，查看我們的 整合網(wǎng)頁 ，獲得最新詳情的鏈接。為了幫助你實現(xiàn)這些目標， Spring Security完全支持自動 “ 信道安全 ” ，整合 jcaptcha一體化進行人類用戶檢測。對這個問題的回應是，這的確是一個值得研究的領域，雖然限于時間問題阻礙了對它的繼續(xù)研究。還有一個有關的問題，向容器的 classpath 中添加新 jar，常常讓最終用戶感到困惑，又容易出現(xiàn)配置錯誤。它可以幫助你判斷升級到新的版本是否需要花費很大的精力。如果你在使用 Maven 來構建你的項目，你需要把這些模塊添加到你的 中。 你將需要它，如果你需要 Spring Security Web 認證服務和基于 URL 的權限控制。用來提供安全給特定的領域對象實例，在你的應用中。需要 OpenID4Java。你可以在 spring 參考文檔 得到更多信息。你的安全應用上下文應該像這樣開頭 beans:beans xmlns= xmlns:beans= xmlns:xsi= xsi:schemaLocation= ... /beans:beans 就在這一章里，我們都將假設使用這種語法。 ? AuthenticationProviders 驗證管理器驗證用戶的機制。 . 配置 我們要做的第一件事是把下面的 filter 聲明添加到 文件中： filter filternamespringSecurityFilterChain/filtername filterclass /filterclass /filter filtermapping filternamespringSecurityFilterChain/filtername urlpattern/*/urlpattern /filtermapping 這是為 Spring Security 的 web 機制提供了一個調用鉤子。 intercepturl元素定義了pattern，用來匹配進入的請求 URL，使用一個 ant 路徑語法。你也可以添加一個 method 屬性來限制匹配一個特定的 HTTP method(GET, POST, PUT 等等 )。 元素會創(chuàng)建一個FilterChainProxy 和 filter 使用的 bean， 以前常常出現(xiàn)的，因為 filter 順序不正確產生的問題 ， 不會再出現(xiàn)了，現(xiàn)在這些過濾器的位置都是預定義好的。實際上，如果我們沒有確切的指定一個頁面用來登錄， Spring Security會自動生成一個，基于可用的功能，為這個 URL 使用標準的數(shù)據(jù)，處理提交的登錄，然后在登陸后發(fā)送到默認的目標 URL。也要注意我們