【正文】 Spring Security 中的訪問控制不限于簡單角色的應用（因此，我們使用不同的前綴來區(qū)分不同的安全屬性） ， 我們會在后面看到這些解釋是可變的 。true39。 我們假設你最初想要盡快的啟動運行，為已有的 web 應用添加認證支持和權(quán)限控制，使用一些測試登錄。 ? AuthenticationManager 通過框架的其它部分，處理認證請求。 我們推薦你嘗試一下 SpringSource 工具套件 因為它具有處理 spring 組合命名空間的特殊功能。 源代碼也是項目的最終文檔，常常是最簡單的方法，找出這些事情是如何工作的。 . OpenID OpenID web 認證支持。 . LDAP LDAP 認證和實現(xiàn)代碼，如果你需要使用 LDAP 認證或管理 LDAP用戶實體就是必須的。支持單獨運行的應用，遠程客戶端，方法（服務層）安全和 JDBC 用戶供應。你可以下載打包好的發(fā)行包，從 Spring 的網(wǎng)站 下載頁 ，下載單獨的 jar（和實例 WAR 文件）從 Maven 中央資源庫（或者 SpringSource Maven資源庫，獲得快照和里程碑發(fā)布）。在 Spring Security 支持論壇上有成千上萬的信息。 在早期，項目本身沒有自己的認證模塊。 . 歷史 Spring Security 開始于 2021 年年底， “spring 的 acegi 安全系統(tǒng) ” 。 有時基本的認證是不夠的 ， 有時你需要 根據(jù)在主體和應用交互的方式來應用不同的安全措施。 在身 份驗證層面， Spring Security 廣泛支持各種身份驗證模式。這樣，如果你更換服務器環(huán)境， 就要 在新的目標環(huán)境進行大量的工作，對你的應用系統(tǒng)進行重新配置安全 。它們值得試著運行，實驗，在你閱讀后面的章節(jié)之前 ， 你可以在對框架有了更多連接之后再回來看這些例子。特別的，如果你在制作一個 web 應用，你應該知道許多潛在的脆弱性，比如跨域腳本，偽造請求和會話劫持，這些都是你在一開始就應該考慮到的。 請閱讀 Part I, “ 入門 ” 部分，以它作為開始。 在更高層上 ， 你需要配置 Java 虛擬機，將授予不同 java 類 型權(quán)限最小化，然后，你的應用程序要添加針對自身特定問題域的安全 配置 。在底層，你需要處理傳輸安全和系統(tǒng)認證，減少 “ 中間人攻擊 ” （ maninthemiddle attacks）。 安全問題是一個不斷變化的目標，更重要的是尋求一種全面的，系統(tǒng)化的解決方案。 然后你要防止針對系統(tǒng)的拒絕服務和暴力攻擊。銀行系統(tǒng)跟電子商務應用就有很大的不同 。 Spring Security 也不是萬能的，它不可能解決所有問題。在這部分，我們將介紹 Spring Security ，簡要介紹該項目的歷史，然后看看如何開始在程序中使用框架。熟悉 Spring 尤其是依賴注入原理將幫助你更快的掌握 Spring Security。 “ 驗證 ” 指的一個用戶能否在你的應用中執(zhí)行某個操作。這樣，無論終端用戶需要什么，他們都可以快速集成到系統(tǒng)中，不用花很多功夫，也不用讓用戶改變運行環(huán)境。在授權(quán)方面主要有三個領域，授權(quán) web 請求，授權(quán)被調(diào)用方法，授權(quán)訪問單個對象的實例。幾周之后， spring 社區(qū)的其他成員詢問安全問題，代碼就被提供給了他們。 經(jīng)過了兩年半在許多生產(chǎn)軟件項目中的活躍使用和數(shù)以萬計的改善和社區(qū)的貢獻， 最終版本發(fā)布于 2021 年 5月?；舅悸肥侵饕姹臼遣患嫒莸模笠?guī)模升級 API。可選的，一個好辦法是參考實例應用中包含的依賴庫。 . Config 包含安全命名控制解析代碼（因此我們不能直接把它用在你的應用中）。 . CAS Spring Security 的 CAs 客戶端集成。 這樣你可以獲得所有的示例，你可以很容易的建立目前最新的項目。 簡單元素可能隱藏事實，多種 bean 和處理步驟添加到應用環(huán)境中。這種設計是基于框架內(nèi)的大型依賴，可以分割成下面這些部分： ? Web/HTTP安全 最復雜的部分。 ? UserDetailsService 密切相關(guān)的認證供應器，但往往也需要由其他 bean 需要。這種情況下， bean 的名字是 springSecurityFilterChain，這是由命名空間創(chuàng)建的用于處理 web 安全的一個內(nèi)部的機制。使用默認的配置， 這個一般是一個逗號分隔的角色隊列，一個用戶中的一個必須被允許訪問請求。 要是想添加一些用戶，你可以直接使用下面的命名空間直接定義一些測試數(shù)據(jù)： authenticationmanager authenticationprovider userservice user name=jimi password=jimi authorities= ROLE_ADMIN / user name=bob password=bob authorities=ROLE_USER / /userservice /authenticationprovider /authenticationmanager 上面的配置定義了兩個用戶，他們在應用程序中的密碼和角色（用在權(quán)限控制上）。所有 authenticationprovider 元素必須作為 authenticationmanager的子元素，它創(chuàng)建了一個 ProviderManager，并把authentication provider 注冊到它里面。比如，如果你想實現(xiàn)自己的登錄頁面，你可以使用： autoconfig=39。這是一個很常見的配置錯誤，它會導致系統(tǒng)出現(xiàn)無限循環(huán)。IS_AUTHENTICATED_ANONYMOUSLY39。如果你的系統(tǒng)一直需要用戶從首頁進入，就可以使用它了，比如： intercepturl pattern=39。 / formlogin loginpage=39。 LDAP 命名空間會在 LDAP章 里詳細討論，所以我們這里不會講它。myAuthenticationProvider39。 . 添加 HTTP/HTTPS 信道安全 如果你的同時支持 HTTP 和 HTTPS 協(xié)議，然后你要求特定的 URL 只能使用 HTTPS，這時可以直接使用 intercepturl的 requireschannel 屬性： intercepturl pattern=/secure/** access=ROLE_USER requireschannel=/ intercepturl pattern=/** access=ROLE_USER requireschannel=any/ ... / 使用了這個配置以后，如果用戶通過 HTTP 嘗試訪問 /secure/**匹配的網(wǎng)址，他們會先被重定向到 HTTPS 網(wǎng)址下。如果第二次驗證使用了其他非內(nèi)置的機制，比如 “ rememberme” ，一個 “ 未認證 ”(402) 錯誤就會發(fā)送給客戶端。 ? none 什么也不做，繼續(xù)使用原來的 session。作為一個例子，下面的配置會嘗試從 OpenID 提供器中獲得 和全名，這些會被應用程序使用到： openidlogin attributeexchange openidattribute name= type= required=true/ openidattribute name=name type= / /attributeexchange /openidlogin 每個 OpenID 的 “ type” 屬性是一個 URI，這是由特定的 schema 決定的，在這個例子中是 required。或者你想要使用一個特定版本的標準命名空間過濾器，比如 formlogin創(chuàng)建的UsernamePasswordAuthenticationFilter，從而獲得一些額外的配置選項的優(yōu)勢，這些可以通過直接配置 bean 獲得。過濾器按照次序排列在過濾器鏈中。對應的 AuthenticationEntryPoint 可以使用 元素中的 entrypointref 屬性來進行設置。 你應該只定義一個 globalmethodsecurity元素。 PreAuthorize(hasAuthority(39。如果沒有，你可以跳過這段，以后再來看，因為這章只是為了自定義的用戶設置的，需要在簡單基于角色安全的基礎上加一些客戶化的東西。 bean 實例被使用 authenticationmanager 命名空間元素注冊。你可以按照簡介里的介紹獲得源代碼，使用 maven 編譯它們也很簡單。只有做基本集成成功的時候，我們建議你試著添加方法驗證和領域?qū)ο蟀踩?。它應該會包含下面這樣的一段成功信息： Security Debug Information Authentication object is of type: Authentication object as a String: 1f127853: Principal: b07ed00: Username: rod。 Authenticated: true。確保自己好好試用過，看看程序里的上下文 XML 文件，搞明白它是如何運行的。 . PreAuthentication 例子 這個例子演示了如何從 preauthentication 框架綁定 bean，從 J2EE 容器中獲得有用的登錄信息。 或者，更好的是，提供一個不定來修正這個問題。 Part II. 結(jié)構(gòu)和實現(xiàn) 當你熟悉了如何設置和使用基于命名空間配置的應用，你也許希望了解更多關(guān)于框架是如何在命名空間的外觀下實際運 行的。 這些設計確保了發(fā)布時的最大輕便性，你可以簡單把你的目標文件（ JAR 或 WAR 或 EAR）從一個系統(tǒng)復制到另一個系統(tǒng)，它會立即正 常工作。這種情況下使用ThreadLocal 是非常安全的，只要記得在處理完當前主體的請求以后，把這個線程清除就行了。想要修改默認的 模式，可以使用兩種方法。 if (principal instanceof UserD。另一個是調(diào)用 SecurityContextHolder 的靜態(tài)方法。 有些程序并不適合使用 ThreadLocal，因為它們處理線程的特殊方法。它不再包含任何與 web 應用安全， LDAP 或命名空間相關(guān)的代碼。在指南的這個部分，我們會觀察它們是如何在一起工作的，同 Spring Security 支持驗證和權(quán)限控制。因為保證項目的測試覆蓋率是非常必要的，它需要適當?shù)倪M行維護。 代碼在 samples/preauth 目錄下。 這意味著，在這個程序里，其實是配置了兩個定義驗證提供器。 SessionId: 8fkp8t83ohar。 Enabled: true。 要發(fā)布它，先把 Spring Security 發(fā)布中的 war 文件按復制到你的容器的 webapps 目錄下。 . Tutorial 示例 這個 tutorial 示例是帶你入門的很好的一個基礎例子。 你可能注冊額外的 AuthenticationProviderbean， 在 ProviderManager 中，你可以使用 authenticationprovider做這些事情，使用 ref 屬性， 這個屬性的值，是你希望添加的provider 的 bean 的名字，比如： authenticationmanager authenticationprovider ref=casAuthenticationProvider/ /authenticationmanager bean id=casAuthenticationProvider class=er security:customauthenticationprovider / ... /bean 另一個常見的需求是，上下文中的另一個 bean 可能需要引用 AuthenticationManager。 默認的策略是使用一個 AffirmativeBased AccessDecisionManager，以及 RoleVoter 和AuthenticatedVoter。)) public Account post(Account account, double amount)。 Spring Security原生注解支持為方法定義一系列屬性。 如果你對認證入口點并不熟悉，可以在 技術(shù)縱覽 章中找到關(guān)于它們的討論。可以分別在 position 屬性使用 FIRST或 LAST來指定你想讓你的過濾器出現(xiàn)在隊列元素的前面或后面。 過濾器順序在使用命名空間的時候是被嚴格執(zhí)行的。屬性值作為認證過程的一部分返回，可以使用下面的代碼在后面的過程中獲得： OpenIDAuthenticationToken token = (OpenIDAuthenticationToken) ().getAuthentication()。 . 對 OpenID 的支持 命名空間支持 OpenID 登錄，替代普通的表單登錄