【正文】 ，或作為一種附加功能，只需要進(jìn)行簡(jiǎn)單的修改： intercepturl pattern=/** access=ROLE_USER / openidlogin / / 你應(yīng)該注冊(cè)一個(gè) OpenID 供應(yīng)器（比如 ），然后把用戶信息添加到你的內(nèi)存userservice中： user name= authorities=ROLE_USER / 你應(yīng)該可以使用 網(wǎng)站登錄來(lái)進(jìn)行驗(yàn)證了。 如果你為 formbased 登錄使用了自定義認(rèn)證，你就必須特別配置同步會(huì)話控制。 使用 any意味著使用HTTP 或 HTTPS 都可以。查看 .“ 驗(yàn)證管理器和命名空間 ” 了解更多信息，AuthenticationManager 使用命名空間在 Spring Security 中是如何配置的。 authenticationmanager authenticationprovider userserviceref=39。 defaulttargeturl=39。 filters=39。 如果你希望使用基本認(rèn)證，代替表單登錄，可以把配置改為： autoconfig=39。 也可能讓所有的請(qǐng)求都匹配特定的模式，通過(guò)完全的安全過(guò)濾器鏈： autoconfig=39。 intercepturl pattern=/* access=IS_AUTHENTICATED_ANONYMOUSLY/ intercepturl pattern=/** access=ROLE_USER / formlogin loginpage=39。很值得去交叉檢查一下這里，如果你希望開(kāi)始理解框架中哪些是重要的類以及它們是如何使用的，特別是如果你希望以后做一些自定義工作。你可以擁有多個(gè) authenticationprovider元素來(lái)定義不同的認(rèn)證數(shù)據(jù)，每個(gè)會(huì) 在 需要時(shí)使用。換句話說(shuō)，一個(gè)普通的基于角色的約束應(yīng)該被使用。 . 最小 配置 只需要進(jìn)行如下配置就可以實(shí)現(xiàn)安全配置： autoconfig=39。 . 開(kāi)始使用安全命名空間配置 在本節(jié)中，我 們來(lái)看看如何使用一些框架里的主要配置，建立一個(gè)命名空間配置。 ? 業(yè)務(wù)類（方法）安全 可選的安全服務(wù)層。使用一個(gè)良好的 XML 編輯器來(lái)編輯應(yīng)用環(huán)境文件，應(yīng)該提供可用的屬性和元素信息。 異常堆棧不再是模糊的黑盒問(wèn)題，你可以直接找到發(fā)生問(wèn)題的那一行，查找發(fā)生了什么額外難題。頂級(jí)包是 。主包是 。使用 Spring Security 所必須的。 ” . 獲得 Spring Security 你可以通過(guò)多種方式獲得 Spring Security。 現(xiàn)在， Spring Security 成為了一個(gè)強(qiáng)大而又活躍的開(kāi)源社區(qū)。另外一些人加入到這些先行者中來(lái)，并建議在 sourcefe 上建立一個(gè)項(xiàng)目，項(xiàng)目在 2021 年 3月正式建立起來(lái)。 Spring Security 在所有這些重要領(lǐng)域都提供了完備的能力，我們將在這份參考指南的后面進(jìn)行探討。 Spring Security 的許多企業(yè)用戶需要整合不遵循任何特定安全標(biāo)準(zhǔn)的 “ 遺留 ” 系統(tǒng)， Spring Security 在這類系統(tǒng)上也表現(xiàn)的很好。這些概念是通用的，不是 Spring Security 特有的。提到這些規(guī)范，特別要指出的是它們不能在 WAR 或 EAR 級(jí)別進(jìn)行移植。 我們也會(huì)看看可用的 范例程序。企圖改造它也不是一個(gè)好主意。這些客戶化需求讓?xiě)?yīng)用安全顯得有趣，富有挑戰(zhàn)性而且物有所值。這些系統(tǒng)可以實(shí)時(shí)屏蔽惡意 TCP/IP 地址。每層自身越是 “ 緊密 ” ，你的程序就會(huì)越安全。在安全領(lǐng)域我們建議你采取 “ 分層安全 ” ，這樣讓每一層確保本身盡可能的安全，并為其他層提供額外的安全保障。入侵檢測(cè)系統(tǒng)在檢測(cè)和應(yīng)對(duì)攻擊的時(shí)候尤其有用。電子商務(wù)系統(tǒng)與企業(yè)銷售自動(dòng)化工具又有很大不同。重要的一點(diǎn)，應(yīng)用程序應(yīng)該從一開(kāi)始就為安全做好設(shè)計(jì)。特別是，我們將看看命名 空間 配置提供了一個(gè)更加簡(jiǎn)單的方式，在使用傳統(tǒng)的 spring bean 配置時(shí)，你不得不實(shí)現(xiàn)所有類。 人們使用 Spring Security 有很多種原因，不過(guò)通常吸引他們的是在 J2EE Servlet 規(guī)范或EJB 規(guī)范中找不到典型企業(yè)應(yīng)用場(chǎng)景的解決方案。在到達(dá)授權(quán)判斷之前，身份的主體已經(jīng)由身份驗(yàn)證過(guò)程建立了。 如果上述的驗(yàn)證機(jī)制都沒(méi)有滿足你的需要， Spring Security 是一個(gè)開(kāi)放的平臺(tái)，編寫(xiě)自己的驗(yàn)證機(jī)制是十分簡(jiǎn)單的。為了幫你了解它 們之間的區(qū)別，對(duì)照考慮授在 Servlet 規(guī)范 web 模式安全， EJB 容器管理安全，和文件系統(tǒng)安全方面的授權(quán)方式。隨后又有人請(qǐng)求，在 2021 年一月左右，有 20 人在使用這些代碼。 acegi 在 2021 年年底，正式成為 spring 組合項(xiàng)目，被更名為 “ Spring Security” 。次要版本號(hào)在源代碼和二進(jìn)制要與老版本保持兼容，補(bǔ)丁則意味著向前向后的完全兼容。 . Core 包含了核心認(rèn)證和權(quán)限控制類和接口，運(yùn)程支持和基本供應(yīng) API。你需要它， 如果使用了 Spring Security XML 命名控制來(lái)進(jìn)行配置。如果你希望使用 Spring Security web 認(rèn)證 整合一個(gè)CAS 單點(diǎn)登錄服務(wù)器。 獲得項(xiàng)目的源代碼對(duì)調(diào)試也有很大的幫助。比如，把下面的 security 命名元素添加到應(yīng)用環(huán)境中，將會(huì)為測(cè)試用途，在應(yīng)用內(nèi)部啟動(dòng)一個(gè)內(nèi)嵌 LDAP 服務(wù)器： security:ldapserver / 這比配置一 個(gè) Apache 目錄服務(wù)器 bean 要簡(jiǎn)單得多 ,最常見(jiàn)的替代配置需求都可以使用ldapserver 元素的屬性進(jìn)行配置，這樣用戶就不用擔(dān)心他們需要設(shè)置什么，不用擔(dān)心 bean里的各種屬性。設(shè)置過(guò)濾器和相關(guān)的服務(wù) bean來(lái)應(yīng)用框架驗(yàn)證機(jī)制，保護(hù) URL，渲染登錄和錯(cuò)誤頁(yè)面還有更多。 下一章中，我們將看到如何把這些放到一起工作。注意，你不應(yīng)該自己使用這個(gè) bean 的名字 ， 一旦你把這個(gè)添加到你的 中，你就準(zhǔn)備好開(kāi)始編輯 你 的 application context 文件了 ，web 安全服務(wù)是使用 元素配置的。 前綴 “ ROLE_” 表示的是一個(gè)用戶應(yīng)該擁有的權(quán)限比對(duì)。也可以從一個(gè)標(biāo) 準(zhǔn) properties 文件中讀取這些信息，使用 userservice 的 properties 屬性 （ 參考inmemory authentication 獲得更多信息 ） ， 使用 authenticationprovider元素意味著用戶信息將被認(rèn)證管理用作處理認(rèn)證請(qǐng)求。你可以在 命名空間附錄 中找到關(guān)于創(chuàng)建這個(gè) bean的更新信息。true39。 如果你的登錄頁(yè)面是被保護(hù)的 ， Spring Security會(huì)在日志中發(fā)出一個(gè)警告 。作為一個(gè)選擇方式如果你還想要安全過(guò)濾器鏈起作用。/*39。/39。如果你自定義了一個(gè) Spring Security 的UserDetailsService 實(shí)現(xiàn)，在你的 application context 中名叫 myUserDetailsService，然后你可以使用下面的驗(yàn)證。/ /authenticationmanager 這里 myAuthenticationProvider 是你的 application context 中的一個(gè) bean 的名字，它實(shí)現(xiàn)了 AuthenticationProvider。 可用的選項(xiàng)有 , 或 any。如果你希望使用一個(gè)錯(cuò)誤頁(yè)面替代，你可以在 sessionmanagement 中添加sessionauthenticationerrorurl 屬性。 ? newSession 創(chuàng)建一個(gè)新的 “ 干凈的 ”session ，不會(huì)復(fù)制 session 中的數(shù)據(jù)。確切的 schema 和對(duì)屬性的支持會(huì)依賴于你使用的 OpenID 提供器。你如何在命名空間配置里實(shí)現(xiàn)這些功能呢？過(guò)濾器鏈現(xiàn)在已經(jīng)不能直接看到了。 Table . 標(biāo)準(zhǔn)過(guò)濾器假名和順序 假名 過(guò)濾器累 命名空間元素或?qū)傩? CHANNEL_FILTER ChannelProcessingFilter /intercepturlrequireschannel CONCURRENT_SESSION_FILTER ConcurrentSessionFilter sessionmanagement/concurrencycontrol SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter LOGOUT_FILTER LogoutFilter /logout X509_FILTER X509AuthenticationFilter /x509 PRE_AUTH_FILTER AstractPreAuthenticatedProcessingFilter Subclasses N/A CAS_FILTER CasAuthenticationFilter N/A FORM_LOGIN_FILTER UsernamePasswordAuthenticationFilter /formlogin BASIC_AUTH_FILTER BasicAuthenticationFilter /basic SERVLET_API_SUPPORT_FILTER SecurityContextHolderAwareFilter /servletapiprovision REMEMBER_ME_FILTER RememberMeAuthenticationFilter /rememberme ANONYMOUS_FILTER SessionManagementFilter /anonymous SESSION_MANAGEMENT_FILTER AnonymousAuthenticationFilter sessionmanagement EXCEPTION_TRANSLATION_FILTER ExceptionTranslationFilter FILTER_SECURITY_INTERCEPTOR FilterSecurityInterceptor SWITCH_USER_FILTER SwitchUserAuthenticationFilter N/A 你可以把你自己的過(guò)濾器添加到隊(duì)列中，使用 customfilter 元素，使用這些名字中的一個(gè)，來(lái)指定你的過(guò)濾器應(yīng)該出現(xiàn)的位置： customfilter position=FORM_LOGIN_FILTER ref=myFilter / / beans:bean id=myFilter class=/ 你還可以使用 after 或 before 屬性，如果你想把你的過(guò)濾器添 加到隊(duì)列中另一個(gè)過(guò)濾器的前面或后面。 CAS 示例程序是一個(gè)在命名空間中使用自定義 bean 的好例子，包含這種語(yǔ)法。 下面的聲明同時(shí)啟用 Spring Security 的 Secured和 JSR250 注解： globalmethodsecurity securedannotations=enabled jsr250annotations=enabled/ 向一個(gè)方法（或一個(gè)類或一個(gè)接口）添加注解，會(huì)限制對(duì)這個(gè)方法 的訪問(wèn)。ROLE_TELLER39。 當(dāng)你使用命名空間配置時(shí)，默認(rèn)的 AccessDecisionManager 實(shí)例會(huì)自動(dòng)注冊(cè)，然后用來(lái)為方法調(diào)用和 web URL 訪問(wèn)做驗(yàn)證，這些都是基于你設(shè)置的 intercepturl 和 protectpointcut權(quán)限屬性內(nèi)容（和注解中的內(nèi)容，如果你使用注解控制方法的權(quán)限）。你不能好似用一個(gè)自定義的AuthenticationManager 如果你使用 HTTp 或方法安全，在命名空間中，但是它不應(yīng)該是一個(gè)問(wèn)題， 因?yàn)槟阃耆刂屏耸褂玫?AuthenticationProvider。 如果你需要的話，可以在 網(wǎng)站上找到更多信息。 . Contacts Contacts 例子，是一個(gè)很高級(jí)的例子，它在基本程序安全上附加了領(lǐng)域?qū)ο?的訪問(wèn)控制列表，演示了更多強(qiáng)大的功能。 \ Password: [PROTECTED]。 \ Details: ls0: \ RemoteIpAddress: 。 . LDAP例子 LDAP 例子程序提供了一個(gè)基礎(chǔ)配置，同時(shí)使用命名 空間配置和使用傳統(tǒng)方式 bean 的配置方式，這兩種配置方式都寫(xiě)在 application context 文件里。 用戶名和角色是由容器設(shè)置的。一般來(lái)說(shuō)，擴(kuò)充也也可以提交到任務(wù)跟蹤系統(tǒng)里，雖然我們只 接受提供了對(duì)應(yīng)的單元測(cè)試的擴(kuò)充請(qǐng)求。和大多數(shù)軟件一樣， Spring Security 有一系列的中央接口，類和抽象概念，貫穿整個(gè)框架。 . 核心組件 在 Spring Security 中， springsecuritycorejar 的內(nèi)容已經(jīng)被縮減到最小。當(dāng)然， Spring Security 自動(dòng)幫你管理這一切了，你就不用 擔(dān)心什么了。第一個(gè)是設(shè)置系