【正文】 guration10. RememberMe 認證. 概述. 簡單基于散列標記的方法. 持久化標記方法. RememberMe 接口和實現(xiàn). TokenBasedRememberMeServices. PersistentTokenBasedRememberMeServices11. 會話管理. SessionManagementFilter. SessionAuthenticationStrategy. 同步會話12. 匿名認證. 概述. 配置. AuthenticationTrustResolverIV. 授權(quán)13. 驗證架構(gòu). 驗證. 處理預(yù)調(diào)用. AccessDecisionManager. 基于投票的AccessDecisionManager 實現(xiàn). RoleVoter. AuthenticatedVoter. Custom Voters. 處理后決定14. 安全對象實現(xiàn). AOP 聯(lián)盟(MethodInvocation) 安全攔截器. 精確的MethodSecurityIterceptor 配置. AspectJ (JoinPoint) 安全攔截器15. 基于表達式的權(quán)限控制. 概述. 常用內(nèi)建表達式. Web 安全表達式. 方法安全表達式. Pre 和Post 注解. 訪問控制使用PreAuthorize 和PostAuthorize. 過濾使用PreFilter 和PostFilter16. acegi 到spring security 的轉(zhuǎn)換方式. Spring Security 是什么. 目標. 步驟. 總結(jié)V. 高級話題17. 領(lǐng)域?qū)ο蟀踩?ACLs). 概述. 關(guān)鍵概念. 開始18. 預(yù)認證場景. 預(yù)認證框架類. AbstractPreAuthenticatedProcessingFilter. AbstractPreAuthenticatedAuthenticationDetailsSource. J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource. PreAuthenticatedAuthenticationProvider. Http403ForbiddenEntryPoint. 具體實現(xiàn). 請求頭認證（Siteminder）. Siteminder 示例配置. J2EE 容器認證19. LDAP 認證. 綜述. 在Spring Security 里使用LDAP. 配置LDAP 服務(wù)器. 使用嵌入測試服務(wù)器. 使用綁定認證. 讀取授權(quán). 實現(xiàn)類. LdapAuthenticator 實現(xiàn). 常用功能. BindAuthenticator. PasswordComparisonAuthenticator. 活動目錄認證. 鏈接到LDAP 服務(wù)器. LDAP 搜索對象. FilterBasedLdapUserSearch. LdapAuthoritiesPopulator. Spring Bean 配置. LDAP 屬性和自定義UserDetails20. JSP 標簽庫. 聲明Taglib. authorize 標簽. authentication 標簽. accesscontrollist 標簽21. Java 認證和授權(quán)服務(wù)（JAAS）供應(yīng)器. 概述. 配置. JAAS CallbackHandler. JAAS AuthorityGranter22. CAS 認證. 概述. CAS 是如何工作的. 配置CAS 客戶端23. 認證. 概述. 認證添加到你的web 系統(tǒng)中. 為tomcat 配置SSL24. 替換驗證身份. 概述. 配置A. 安全數(shù)據(jù)庫表結(jié)構(gòu). User 表. 組權(quán)限. 持久登陸（RememberMe）表. ACL 表. Hypersonic SQL. PostgreSQLB. 安全命名空間. Web 應(yīng)用安全 元素. 屬性. servletapiprovision. pathtype. lowercaseparisons. realm. entrypointref. accessdecisionmanagerref. accessdeniedpage. onceperrequest. createsession. accessdeniedhandler. intercepturl 元素. pattern. method. access. requireschannel. filters. portmappings 元素. formlogin 元素. loginpage. loginprocessingurl. defaulttargeturl. alwaysusedefaulttarget. authenticationfailureurl. authenticationsuccesshandlerref. authenticationfailurehandlerref. basic 元素. rememberme 元素. datasourceref. tokenrepositoryref. servicesref. tokenrepositoryref. key 屬性. tokenvalidityseconds. userserviceref. sessionmanagement 元素. sessionfixationprotection. concurrentcontrol 元素. maxsessions 屬性. expiredurl 屬性. errorifmaximumexceeded 屬性. sessionregistryalias 和sessionregistryref 屬性. anonymous 元素. x509 元素. subjectprincipalregex 屬性. userserviceref 屬性. openidlogin 元素. logout 元素. logouturl 屬性. logoutsuccessurl 屬性. invalidatesession 屬性. customfilter 元素. 認證服務(wù). authenticationmanager 元素. authenticationprovider元素. 使用authenticationprovider 來引用一個AuthenticationProvider Bean. 方法安全. globalmethodsecurity 元素. securedannotations 和jsr250annotations 屬性. 安全方法使用protectpointcut. afterinvocationprovider 元素. LDAP 命名空間選項. 使用ldapserver 元素定義LDAP 服務(wù)器. ldapprovider 元素. ldapuserservice 元素Part I. 入門本指南的后面部分提供對框架結(jié)構(gòu)和實現(xiàn)類的深入討論，了解它們，對你進行復(fù)雜的定制是十分重要的。如果你沒有使用Spring 開發(fā)企業(yè)軟件，我們熱情的推薦你仔細研究一下?！罢J證” 是為用戶建立一個他所聲明的主體的過程， （“主體”一般是指用戶，設(shè)備或可以在你系統(tǒng)中執(zhí)行行動的其他系統(tǒng)）。)許多獨立軟件供應(yīng)商（ISVs, independent software vendors）采用Spring Security，是因為它擁有豐富靈活的驗證模型。為了幫助你實現(xiàn)這些目標，Spring Security 完全支持自動“信道安全”， 整合jcaptcha 一體化進行人類用戶檢測。對這個問題的回應(yīng)是，這的確是一個值得研究的領(lǐng)域，雖然限于時間問題阻礙了對它的繼續(xù)研究。還有一個有關(guān)的問題，向容器的classpath 中添加新jar，常常讓最終用戶感到困惑，又容易出現(xiàn)配置錯誤。. 發(fā)行版本號了解spring Security 發(fā)行版本號是非常有用的。可選的，你可以通過源代碼創(chuàng)建項目。支持單獨運行的應(yīng)用， 遠程客戶端，方法（服務(wù)層）安全和JDBC 用戶供應(yīng)。. LDAP LDAP 認證和實現(xiàn)代碼，如果你需要使用LDAP 認證或管理LDAP 用戶實體就是必須的。用來認證用戶， 通過一個外部的OpenID 服務(wù)。要像獲得項目最新的源代碼，使用如下subversion 命令:svn checkout你可以獲得特定版本的源代碼/tags/.Security 命名空間配置. 介紹。使用一個良好的XML 編輯器來編輯應(yīng)用環(huán)境文件，應(yīng)該提供可用的屬性和元素信息。業(yè)務(wù)類（方法）安全 可選的安全服務(wù)層。. 開始使用安全命名空間配置在本節(jié)中，我們來看看如何使用一些框架里的主要配置，建立一個命名空間配置。 中， 你就準備好開始編輯呢的application context 文件了。使用默認的配置， 這個一般是一個逗號分隔的角色隊列，一個用戶中的一個必須被允許訪問請求。元素會創(chuàng)建一個FilterChainProxy 和filter 使用的bean。參考inmemory authentication 獲得更多信息。[3] 他們擁有各自的屬性，來改變他們的具體行為。//注意，你依舊可以使用autoconfig。intercepturl pattern=/css/** filters=none/intercepturl pattern=/* filters=none/intercepturl pattern=/** access=ROLE_USER /formlogin loginpage=39。intercepturl pattern=/** access=ROLE_USER /basic //基本身份認證會被優(yōu)先用到，在用戶嘗試訪問一個受保護的資源時，用來提示用戶登錄。none39。/39。myUserDetailsService39。. 添加一個密碼編碼器你的密碼數(shù)據(jù)通常要使用一種散列算法進行編碼?？捎玫倪x項有, 或any。如果你希望使用一個錯誤頁面替代， 你可以在sessionmanagement 中添加sessionauthenticationerrorurl 屬性。newSession 創(chuàng)建一個新的“干凈的”session，不會復(fù)制session 中的數(shù)據(jù)。如果一個屬性必須為了成功認證而獲取，可以設(shè)置required。或者你想要使用一個特定版本的標準命名空間過濾器， 比如formlogin 創(chuàng)建的UsernamePasswordAuthenticationFilter，從而獲得一些額外的配置選項的優(yōu)勢，這些可以通過直接配置bean 獲得。過濾器按照次序排列在過濾器鏈中。對應(yīng)的AuthenticationEntryPoint 可以使用 元素中的entrypointref 屬性來進行設(shè)置。你應(yīng)該只定義一個globalmethodsecurity元素。PreAuthorize(hasAuthority(39。如果沒有，你可以跳過這段，以后再來看，因為這章只是為了自定義的用戶設(shè)置的，需要在簡單基于角色安全的基礎(chǔ)上加一些客戶化的東西。bean實例被使用authenticationmanager 命名空間元素注冊。這是因為一些配置上容易沖突。如果你需要的話， 可以在。. ContactsContacts 例子，是一個很高級的例子，它在基本程序安全上附加了領(lǐng)域?qū)ο蟮脑L問控制列表，演示了更多強大的功能。 \Password: [PROTECTED]。 \Details:0:\RemoteIpAddress: 。. LDAP例子LDAP 例子程序提供了一個基礎(chǔ)配置，同時使用命名空間配置和使用傳統(tǒng)方式bean 的配置方式，這兩種配置方式都寫在application context 文件里。陳程序允許你修改訪問控制列表，分配不同的聯(lián)系方式。 \Password: [PROTECTED]。隨便使用其中的一個通過認證，就會看到結(jié)果頁面。更重要的是，你很容易就可以把這個XML 文件（ 入口）添加到你的程序中。我們建議你使用前一種方法。在SpringSecurity ，這個屬性也可以使用EL 表達式。通常是Spring Security 中ProviderManager 類的一個實例， 如果你以前使用過框架，你可能已經(jīng)很熟悉了。就像URL 匹配一樣，指定的匹配要放在切點隊列的最前面，第一個匹配的表達式才會被用到。}為了使用新的基于表達式的預(yù)付，你可以好似用globalmethodsecurity prepostannotations=enabled /對應(yīng)的代碼將會是這樣public interface BankService