【正文】 需要添加額外的 intercepturl 元素，指定用來(lái)做登錄的頁(yè)面 的 URL，這些 URL 應(yīng)該可以被匿名訪問(wèn) 。/ / 主要的是意識(shí)到這些請(qǐng)求會(huì)被完全忽略，對(duì)任何 Spring Security 中 web 相關(guān)的配置，或額外的屬性，比如 requireschannel，所以你會(huì)不能訪問(wèn)當(dāng)前用戶信息，或調(diào)用被保護(hù)方法，在請(qǐng)求過(guò)程中。 . 設(shè)置一個(gè)默認(rèn)的提交登陸目標(biāo) 如果在進(jìn)行表單登陸之前，沒(méi)有試圖去訪問(wèn)一個(gè)被保護(hù)的資源， defaulttargeturl 就會(huì)起作用 ， 這是用戶登陸后會(huì)跳轉(zhuǎn)到的 URL，默認(rèn)是 /。 access=39。 / / . 使用其他認(rèn)證提供器 現(xiàn)實(shí)中，你會(huì)需要更大型的用戶信息源，而不是寫在 application context 里的幾個(gè)名字 。myUserDetailsService39。這應(yīng)該包含 application context 中一個(gè) bean 的名字，它應(yīng)該是 Spring Security 的 PasswordEncoder接口的一個(gè)實(shí)例。首先，你需要把下面的監(jiān)聽(tīng)器添加到你的 文件里，讓 Spring Security 獲得 session 生存周期事件： listener listenerclass /listenerclass /listener 然后，在你的 application context 加入如下部分： ... sessionmanagement concurrencycontrol maxsessions=1/ /sessionmanagement / 這將防止一個(gè)用戶重復(fù)登錄好幾次 ， 第二次登錄會(huì)讓第一次登錄失效。如果你不需要保護(hù)，或者它與其他一些需求沖突，你可以通過(guò)使用 中的sessionfixationprotection 屬性來(lái)配置它的行為，它有三個(gè)選項(xiàng) ? migrateSession 創(chuàng)建一個(gè)新 session，把原來(lái) session 中所有屬性復(fù)制到新 session中。內(nèi)部會(huì)生成一個(gè)隨機(jī)密碼，放置我們使用用戶數(shù)據(jù)時(shí)出現(xiàn)問(wèn)題，無(wú)論在你的配置的地方使用認(rèn)證信息。 . 添加你自己的 filter 如果你以前使用過(guò) Spring Security，你就應(yīng)該知道這個(gè)框架里維護(hù)了一個(gè)過(guò)濾器鏈，來(lái)提供服務(wù)。這會(huì)影響到你如何添加自己的過(guò)濾器，實(shí)體過(guò)濾器列表 必須在解析 元素的過(guò)程中了解這些，所以 中的語(yǔ)法變化的很明顯。 如果你替換了一個(gè)命名空間的過(guò)濾器，而這個(gè)過(guò)濾器需要一個(gè)驗(yàn)證入口點(diǎn)（比如，認(rèn)證過(guò)程是通過(guò)一個(gè)未通過(guò)驗(yàn)證的用戶訪問(wèn)受保護(hù)資源的嘗試來(lái)觸發(fā)的），你將也需要添加一個(gè)自定義的入口點(diǎn) bean。你可以提供安全給單個(gè) bean，使用 interceptmethods 來(lái)裝飾 bean 的聲明，或者你可以控制多個(gè) bean，通過(guò)實(shí)體服務(wù)層，使用 AspectJ 演示的切點(diǎn)功能。 } 為了使用新的基于表達(dá)式的預(yù)付，你可以好似用 globalmethodsecurity prepostannotations=enabled / 對(duì)應(yīng)的代碼將會(huì)是這樣 public interface BankService { PreAuthorize(isAnonymous()) public Account readAccount(Long id)。就像 URL匹配一樣，指定的匹配要放在切點(diǎn)隊(duì)列的最前面，第一個(gè)匹配的表達(dá)式才會(huì)被用到。 通常是Spring Security 中 ProviderManager 類的一個(gè)實(shí)例， 如果你以前使用過(guò)框架，你可能已經(jīng)很熟悉 了。你可以自己編譯部署它們，也可以從 Maven 中央資源庫(kù)里獲得單獨(dú)的 war 文件。 我們推薦你從 tutorial 例子開(kāi)始，因?yàn)?XML 非常小，也很容易看懂。你將看到需要 登錄的提示，這頁(yè)上會(huì)有一些測(cè)試用的用戶名和密碼。 \ Granted Authorities: ROLE_SUPERVISOR, ROLE_USER。在這場(chǎng)景后面，MethodSecurityInterceptor 保護(hù)著業(yè)務(wù)對(duì)象。這里還有一個(gè) 文件，解釋如何從源代碼樹(shù)中直 接運(yùn)行服務(wù)器和客戶端，提供完全的 SSL 支持。這樣做法是特設(shè)的，我們更愿意使用更正式的方式管理 bug。你可以使用 Spring 社區(qū)論壇網(wǎng)址 同框架的其他用戶討論 Spring Security。 相同的，如果你使用了一個(gè) EJB 容器或者是 Servlet 容器，都不需要把任何特定的配置文件放到什么地方，也不需要把 Spring Security 放到 server 的 classloader 下。我們把當(dāng)前應(yīng)用程序的當(dāng)前安全環(huán)境的細(xì)節(jié)存儲(chǔ)到它里邊了，它也包含了應(yīng)用當(dāng)前使用的主體細(xì)節(jié)。其他程序可能想讓一個(gè)線程創(chuàng)建的線程也使用相同的安全主體。雖然你通常不需要自己創(chuàng)建一個(gè)Authentication 對(duì)象，但是常見(jiàn)的情況是，用戶查詢 Authentication 對(duì)象。 . 獲得當(dāng)前用戶的信息 我們把安全主體和系統(tǒng)交互的信息都保存在 SecurityContextHolder 中了 。 SecurityContextHolder 可以使用一個(gè)策略進(jìn)行配置在啟動(dòng)時(shí)，指定你想讓上下文怎樣被保存。它們展示了框架的構(gòu)建基礎(chǔ)，所以如果你需要超越簡(jiǎn)單的命名空間配置 ， 理解它們就是很重要的，即便你不需要直接操作他們。因?yàn)?Spring Security 的目標(biāo)是自己容器內(nèi)管理，所以不需要為你的 Java 運(yùn)行環(huán)境進(jìn)行什么特別的配置。這里有很多貢獻(xiàn)的方式，包括在論壇上閱讀別人的帖子發(fā)表回復(fù)，寫新代碼，提升舊代碼，幫助寫文檔，開(kāi)發(fā)例子或指南，或簡(jiǎn)單的 提供建議。如果你發(fā)現(xiàn)一個(gè) bug，請(qǐng)使用 JIRA 提交一個(gè)報(bào)告。它沒(méi)有包含在發(fā)布包里，你應(yīng)該使用 簡(jiǎn)介 中的介紹來(lái)獲得源代碼。然后你就可以嘗試這個(gè)程序了。 credentialsNonExpired: true。 在啟動(dòng)你的容器之后，檢測(cè)一下程序是不是加載了，訪問(wèn) （或是其他你把 war 發(fā)布后，對(duì)應(yīng)于你 web 容器的 URL）。編譯好的應(yīng)用就放在 zip 發(fā)布包中，已經(jīng)準(zhǔn)備好發(fā)布到你的 web 容器中（ ）。 security:authenticationmanager alias=authenticationManager ... /security:authenticationmanager bean id=customizedFormLoginFilter class= property name=authenticationManager ref=authenticationManager/ ... /bean Chapter 3. 示例程序 項(xiàng)目中包含了很多 web 實(shí)例程序。 . 自定義 AccessDecisionManager 如果你需要使用一個(gè)更復(fù)雜的訪問(wèn)控制策略，把它設(shè)置給方法和 web 安全是很簡(jiǎn)單的。參考下面的例子： globalmethodsecurity protectpointcut expression=execution(* .*Service.*(..)) access=ROLE_USER/ /globalmethodsecurity 這樣會(huì)保護(hù) application context 中的符合條件的 bean 的所有方法，這些 bean 要在 包下，類名以 Service結(jié)尾。 Secured(IS_AUTHENTICATED_ANONYMOUSLY) public Account[] findAccounts()。它提供對(duì) JSR250安全注解的支持，這與框架提供的 secured 注解相似。避免使用 autoconfig屬性，然后刪除所有會(huì)創(chuàng)建你希望替換的過(guò)濾器的元素。 Note 在之前的版本中，排序是在過(guò)濾器實(shí)例創(chuàng)建后執(zhí)行的，在 application context 的執(zhí)行 后的過(guò)程中。 OpenIDAttribute 包含的屬性類型和獲取的值（或者在多屬性情況下是多個(gè)值）。查看上一節(jié) 認(rèn)證提供器 獲得更多信息。 . 防止 Session固定攻擊 Session 固定 攻擊是一個(gè)潛在危險(xiǎn)，當(dāng)一個(gè)惡意攻擊者可以 創(chuàng)建一個(gè) session 訪問(wèn)一個(gè)網(wǎng)站的時(shí)候，然后說(shuō)服另一個(gè)用戶登錄到同一個(gè)會(huì)話上（比如，發(fā)送給他們一個(gè)包含了 session標(biāo)識(shí)參數(shù)的鏈接）。這可以通過(guò) sessionmanagement 元素配置 。理想情況下，你可能想為每個(gè)用戶隨機(jī)生成一個(gè)鹽值，不過(guò)，你可以使用從UserDetailsService 讀取出來(lái)的 UserDetails 對(duì)象中的屬性。/ /authenticationmanager 如果你想用數(shù)據(jù)庫(kù)，可以使用下面的方式 authenticationmanager authenticationprovider jdbcuserservice datasourceref=securityDataSource/ /authenticationprovider /authenticationmanager 這里的 “ securityDataSource” 就是 DataSource bean 在 application context 里的名字，它指向了包含著 Spring Security 用戶信息的表 。 alwaysusedefaulttarget=39。/ intercepturl pattern=39。 intercepturl pattern=/** access=ROLE_USER / basic / / 基本身份認(rèn)證會(huì)被優(yōu)先用到，在用戶嘗試訪問(wèn)一個(gè)受保護(hù)的資源時(shí)，用來(lái)提示用戶登錄。 intercepturl pattern=/css/** filters=none/ intercepturl pattern=/* filters=none/ intercepturl pattern=/** access=ROLE_USER / formlogin loginpage=39。/ / 注意，你依舊可以使用 autoconfig。他們擁有各自的屬性，來(lái)改變他們的具體 行為。 上述配置實(shí)際上把很多服務(wù)添加到了程序里，因?yàn)槲覀兪褂昧?autoconfig 屬性 ， 比如，表單登錄和 rememberme服務(wù)自動(dòng)啟動(dòng)了。 Note 你可以使用多個(gè) intercepturl元素為不同 URL 的集合定義不同的訪問(wèn)需求， 它們會(huì)被歸入一個(gè)有序隊(duì)列中，每 次取出最先匹配的一個(gè)元素使用。 intercepturl pattern=/** access=ROLE_USER / / 這表示，我們要保護(hù)應(yīng)用程序中的所有 URL，只有擁有 ROLE_USER 角色的用戶才能訪問(wèn)。 然后我們看一下如何修改 ，使用數(shù)據(jù)庫(kù)或其他安全信息參數(shù)。 ? AccessDecisionManager 提供訪問(wèn)的決定，適用于 web 以及方法的安全。 要開(kāi)始在你的應(yīng)用環(huán)境里使用 security 命名空間，你所需要的就是把架構(gòu)聲明添加到你的應(yīng)用環(huán)境文件里： beans xmlns= xmlns:security= xmlns:xsi= xsi:schemaLocation= ... /beans 在許多例子里，你會(huì)看到（在示例中）應(yīng)用，我們通常使 用 security作為默認(rèn)的命名空間，而不是 beans，這意味著我們可以省略所有 security 命名空間元素的前綴，使上下文更容易閱讀。 要像獲得項(xiàng)目最新的源代碼，使用如下 subversion 命令 : svn checkout runk/ 你可以獲得特定版本的源代碼 ags/. Chapter 2. Security 命名空間配置 . 介紹 從 Spring 開(kāi)始可以使用命名空間的配置方式。用來(lái)認(rèn)證用戶，通過(guò)一個(gè)外部的 OpenID 服務(wù)。 頂級(jí)包是 。包含頂級(jí)包： ? ? ? ? ? . Web 包含過(guò)濾器和對(duì)應(yīng)的 web 安全架構(gòu)代碼。 可選的，你可以通過(guò)源代碼創(chuàng)建項(xiàng)目 ， 參考項(xiàng)目網(wǎng)站獲得更多細(xì)節(jié)。有一個(gè)積極的核心開(kāi)發(fā)團(tuán)隊(duì)專職開(kāi)發(fā)，一個(gè)積極的社區(qū)定期共享補(bǔ)丁并支持他們的同伴。認(rèn)證過(guò)程都是依賴容器管理安全的，而 acegi 則注重授權(quán)。起因是 Spring 開(kāi)發(fā)者郵件列表中的一個(gè)問(wèn)題，有人提問(wèn)是否考慮提供一個(gè)基于 spring 的安全實(shí)現(xiàn)。比如， 為了保護(hù)密碼，不被竊聽(tīng)或受到中間人攻擊，希望確保請(qǐng)求只通過(guò) HTTPS 到達(dá)。這些驗(yàn)證模型絕大多數(shù)都由第三方提供，或正在開(kāi)發(fā)的有關(guān)標(biāo)準(zhǔn)機(jī)構(gòu)提供的，例如 Inter Engineering Task Force。 使用 Spring Security 解決了這些問(wèn)題，也為你提供了很多有用的，可定制的其他安全特性。也請(qǐng)參考 項(xiàng)目網(wǎng)站 獲得構(gòu)建項(xiàng)目有用的信息，另外鏈接到網(wǎng)站，視頻和教程。 OWASP 網(wǎng)站（ web 應(yīng)