【正文】 Spring Security 中的訪問控制不限于簡單角色的應(yīng)用（因此，我們使用不同的前綴來區(qū)分不同的安全屬性） ， 我們會在后面看到這些解釋是可變的 。true39。 我們假設(shè)你最初想要盡快的啟動(dòng)運(yùn)行，為已有的 web 應(yīng)用添加認(rèn)證支持和權(quán)限控制，使用一些測試登錄。 ? AuthenticationManager 通過框架的其它部分，處理認(rèn)證請求。 我們推薦你嘗試一下 SpringSource 工具套件 因?yàn)樗哂刑幚?spring 組合命名空間的特殊功能。 源代碼也是項(xiàng)目的最終文檔，常常是最簡單的方法，找出這些事情是如何工作的。 . OpenID OpenID web 認(rèn)證支持。 . LDAP LDAP 認(rèn)證和實(shí)現(xiàn)代碼，如果你需要使用 LDAP 認(rèn)證或管理 LDAP用戶實(shí)體就是必須的。支持單獨(dú)運(yùn)行的應(yīng)用，遠(yuǎn)程客戶端，方法（服務(wù)層）安全和 JDBC 用戶供應(yīng)。你可以下載打包好的發(fā)行包，從 Spring 的網(wǎng)站 下載頁 ，下載單獨(dú)的 jar（和實(shí)例 WAR 文件）從 Maven 中央資源庫（或者 SpringSource Maven資源庫，獲得快照和里程碑發(fā)布）。在 Spring Security 支持論壇上有成千上萬的信息。 在早期，項(xiàng)目本身沒有自己的認(rèn)證模塊。 . 歷史 Spring Security 開始于 2021 年年底， “spring 的 acegi 安全系統(tǒng) ” 。 有時(shí)基本的認(rèn)證是不夠的 ， 有時(shí)你需要 根據(jù)在主體和應(yīng)用交互的方式來應(yīng)用不同的安全措施。 在身 份驗(yàn)證層面， Spring Security 廣泛支持各種身份驗(yàn)證模式。這樣，如果你更換服務(wù)器環(huán)境， 就要 在新的目標(biāo)環(huán)境進(jìn)行大量的工作，對你的應(yīng)用系統(tǒng)進(jìn)行重新配置安全 。它們值得試著運(yùn)行，實(shí)驗(yàn)，在你閱讀后面的章節(jié)之前 ， 你可以在對框架有了更多連接之后再回來看這些例子。特別的，如果你在制作一個(gè) web 應(yīng)用，你應(yīng)該知道許多潛在的脆弱性，比如跨域腳本，偽造請求和會話劫持，這些都是你在一開始就應(yīng)該考慮到的。 請閱讀 Part I, “ 入門 ” 部分，以它作為開始。 在更高層上 ， 你需要配置 Java 虛擬機(jī)，將授予不同 java 類 型權(quán)限最小化，然后，你的應(yīng)用程序要添加針對自身特定問題域的安全 配置 。在底層，你需要處理傳輸安全和系統(tǒng)認(rèn)證，減少 “ 中間人攻擊 ” （ maninthemiddle attacks）。 安全問題是一個(gè)不斷變化的目標(biāo)，更重要的是尋求一種全面的，系統(tǒng)化的解決方案。 然后你要防止針對系統(tǒng)的拒絕服務(wù)和暴力攻擊。銀行系統(tǒng)跟電子商務(wù)應(yīng)用就有很大的不同 。 Spring Security 也不是萬能的，它不可能解決所有問題。在這部分，我們將介紹 Spring Security ，簡要介紹該項(xiàng)目的歷史，然后看看如何開始在程序中使用框架。熟悉 Spring 尤其是依賴注入原理將幫助你更快的掌握 Spring Security。 “ 驗(yàn)證 ” 指的一個(gè)用戶能否在你的應(yīng)用中執(zhí)行某個(gè)操作。這樣，無論終端用戶需要什么，他們都可以快速集成到系統(tǒng)中，不用花很多功夫，也不用讓用戶改變運(yùn)行環(huán)境。在授權(quán)方面主要有三個(gè)領(lǐng)域，授權(quán) web 請求，授權(quán)被調(diào)用方法，授權(quán)訪問單個(gè)對象的實(shí)例。幾周之后， spring 社區(qū)的其他成員詢問安全問題，代碼就被提供給了他們。 經(jīng)過了兩年半在許多生產(chǎn)軟件項(xiàng)目中的活躍使用和數(shù)以萬計(jì)的改善和社區(qū)的貢獻(xiàn)， 最終版本發(fā)布于 2021 年 5月?；舅悸肥侵饕姹臼遣患嫒莸?，大規(guī)模升級 API?？蛇x的，一個(gè)好辦法是參考實(shí)例應(yīng)用中包含的依賴庫。 . Config 包含安全命名控制解析代碼（因此我們不能直接把它用在你的應(yīng)用中）。 . CAS Spring Security 的 CAs 客戶端集成。 這樣你可以獲得所有的示例，你可以很容易的建立目前最新的項(xiàng)目。 簡單元素可能隱藏事實(shí)，多種 bean 和處理步驟添加到應(yīng)用環(huán)境中。這種設(shè)計(jì)是基于框架內(nèi)的大型依賴，可以分割成下面這些部分： ? Web/HTTP安全 最復(fù)雜的部分。 ? UserDetailsService 密切相關(guān)的認(rèn)證供應(yīng)器，但往往也需要由其他 bean 需要。這種情況下， bean 的名字是 springSecurityFilterChain，這是由命名空間創(chuàng)建的用于處理 web 安全的一個(gè)內(nèi)部的機(jī)制。使用默認(rèn)的配置， 這個(gè)一般是一個(gè)逗號分隔的角色隊(duì)列，一個(gè)用戶中的一個(gè)必須被允許訪問請求。 要是想添加一些用戶，你可以直接使用下面的命名空間直接定義一些測試數(shù)據(jù)： authenticationmanager authenticationprovider userservice user name=jimi password=jimi authorities= ROLE_ADMIN / user name=bob password=bob authorities=ROLE_USER / /userservice /authenticationprovider /authenticationmanager 上面的配置定義了兩個(gè)用戶，他們在應(yīng)用程序中的密碼和角色（用在權(quán)限控制上）。所有 authenticationprovider 元素必須作為 authenticationmanager的子元素，它創(chuàng)建了一個(gè) ProviderManager，并把a(bǔ)uthentication provider 注冊到它里面。比如，如果你想實(shí)現(xiàn)自己的登錄頁面，你可以使用： autoconfig=39。這是一個(gè)很常見的配置錯(cuò)誤，它會導(dǎo)致系統(tǒng)出現(xiàn)無限循環(huán)。IS_AUTHENTICATED_ANONYMOUSLY39。如果你的系統(tǒng)一直需要用戶從首頁進(jìn)入，就可以使用它了，比如： intercepturl pattern=39。 / formlogin loginpage=39。 LDAP 命名空間會在 LDAP章 里詳細(xì)討論，所以我們這里不會講它。myAuthenticationProvider39。 . 添加 HTTP/HTTPS 信道安全 如果你的同時(shí)支持 HTTP 和 HTTPS 協(xié)議，然后你要求特定的 URL 只能使用 HTTPS，這時(shí)可以直接使用 intercepturl的 requireschannel 屬性： intercepturl pattern=/secure/** access=ROLE_USER requireschannel=/ intercepturl pattern=/** access=ROLE_USER requireschannel=any/ ... / 使用了這個(gè)配置以后，如果用戶通過 HTTP 嘗試訪問 /secure/**匹配的網(wǎng)址，他們會先被重定向到 HTTPS 網(wǎng)址下。如果第二次驗(yàn)證使用了其他非內(nèi)置的機(jī)制，比如 “ rememberme” ，一個(gè) “ 未認(rèn)證 ”(402) 錯(cuò)誤就會發(fā)送給客戶端。 ? none 什么也不做，繼續(xù)使用原來的 session。作為一個(gè)例子，下面的配置會嘗試從 OpenID 提供器中獲得 和全名，這些會被應(yīng)用程序使用到： openidlogin attributeexchange openidattribute name= type= required=true/ openidattribute name=name type= / /attributeexchange /openidlogin 每個(gè) OpenID 的 “ type” 屬性是一個(gè) URI，這是由特定的 schema 決定的，在這個(gè)例子中是 required?；蛘吣阆胍褂靡粋€(gè)特定版本的標(biāo)準(zhǔn)命名空間過濾器，比如 formlogin創(chuàng)建的UsernamePasswordAuthenticationFilter，從而獲得一些額外的配置選項(xiàng)的優(yōu)勢，這些可以通過直接配置 bean 獲得。過濾器按照次序排列在過濾器鏈中。對應(yīng)的 AuthenticationEntryPoint 可以使用 元素中的 entrypointref 屬性來進(jìn)行設(shè)置。 你應(yīng)該只定義一個(gè) globalmethodsecurity元素。 PreAuthorize(hasAuthority(39。如果沒有，你可以跳過這段，以后再來看，因?yàn)檫@章只是為了自定義的用戶設(shè)置的，需要在簡單基于角色安全的基礎(chǔ)上加一些客戶化的東西。 bean 實(shí)例被使用 authenticationmanager 命名空間元素注冊。你可以按照簡介里的介紹獲得源代碼，使用 maven 編譯它們也很簡單。只有做基本集成成功的時(shí)候，我們建議你試著添加方法驗(yàn)證和領(lǐng)域?qū)ο蟀踩?。它?yīng)該會包含下面這樣的一段成功信息： Security Debug Information Authentication object is of type: Authentication object as a String: 1f127853: Principal: b07ed00: Username: rod。 Authenticated: true。確保自己好好試用過，看看程序里的上下文 XML 文件，搞明白它是如何運(yùn)行的。 . PreAuthentication 例子 這個(gè)例子演示了如何從 preauthentication 框架綁定 bean，從 J2EE 容器中獲得有用的登錄信息。 或者，更好的是，提供一個(gè)不定來修正這個(gè)問題。 Part II. 結(jié)構(gòu)和實(shí)現(xiàn) 當(dāng)你熟悉了如何設(shè)置和使用基于命名空間配置的應(yīng)用，你也許希望了解更多關(guān)于框架是如何在命名空間的外觀下實(shí)際運(yùn) 行的。 這些設(shè)計(jì)確保了發(fā)布時(shí)的最大輕便性，你可以簡單把你的目標(biāo)文件（ JAR 或 WAR 或 EAR）從一個(gè)系統(tǒng)復(fù)制到另一個(gè)系統(tǒng)，它會立即正 常工作。這種情況下使用ThreadLocal 是非常安全的，只要記得在處理完當(dāng)前主體的請求以后，把這個(gè)線程清除就行了。想要修改默認(rèn)的 模式，可以使用兩種方法。 if (principal instanceof UserD。另一個(gè)是調(diào)用 SecurityContextHolder 的靜態(tài)方法。 有些程序并不適合使用 ThreadLocal，因?yàn)樗鼈兲幚砭€程的特殊方法。它不再包含任何與 web 應(yīng)用安全， LDAP 或命名空間相關(guān)的代碼。在指南的這個(gè)部分，我們會觀察它們是如何在一起工作的，同 Spring Security 支持驗(yàn)證和權(quán)限控制。因?yàn)楸ＷC項(xiàng)目的測試覆蓋率是非常必要的，它需要適當(dāng)?shù)倪M(jìn)行維護(hù)。 代碼在 samples/preauth 目錄下。 這意味著，在這個(gè)程序里，其實(shí)是配置了兩個(gè)定義驗(yàn)證提供器。 SessionId: 8fkp8t83ohar。 Enabled: true。 要發(fā)布它，先把 Spring Security 發(fā)布中的 war 文件按復(fù)制到你的容器的 webapps 目錄下。 . Tutorial 示例 這個(gè) tutorial 示例是帶你入門的很好的一個(gè)基礎(chǔ)例子。 你可能注冊額外的 AuthenticationProviderbean， 在 ProviderManager 中，你可以使用 authenticationprovider做這些事情，使用 ref 屬性， 這個(gè)屬性的值，是你希望添加的provider 的 bean 的名字，比如： authenticationmanager authenticationprovider ref=casAuthenticationProvider/ /authenticationmanager bean id=casAuthenticationProvider class=er security:customauthenticationprovider / ... /bean 另一個(gè)常見的需求是，上下文中的另一個(gè) bean 可能需要引用 AuthenticationManager。 默認(rèn)的策略是使用一個(gè) AffirmativeBased AccessDecisionManager，以及 RoleVoter 和AuthenticatedVoter。)) public Account post(Account account, double amount)。 Spring Security原生注解支持為方法定義一系列屬性。 如果你對認(rèn)證入口點(diǎn)并不熟悉，可以在 技術(shù)縱覽 章中找到關(guān)于它們的討論。可以分別在 position 屬性使用 FIRST或 LAST來指定你想讓你的過濾器出現(xiàn)在隊(duì)列元素的前面或后面。 過濾器順序在使用命名空間的時(shí)候是被嚴(yán)格執(zhí)行的。屬性值作為認(rèn)證過程的一部分返回，可以使用下面的代碼在后面的過程中獲得： OpenIDAuthenticationToken token = (OpenIDAuthenticationToken) ().getAuthentication()。 . 對 OpenID 的支持 命名空間支持 OpenID 登錄，替代普通的表單登錄