【正文】 第一個是設(shè)置系統(tǒng)屬性。 . 核心組件 在 Spring Security 中， springsecuritycorejar 的內(nèi)容已經(jīng)被縮減到最小。一般來說，擴充也也可以提交到任務(wù)跟蹤系統(tǒng)里，雖然我們只 接受提供了對應(yīng)的單元測試的擴充請求。 . LDAP例子 LDAP 例子程序提供了一個基礎(chǔ)配置，同時使用命名 空間配置和使用傳統(tǒng)方式 bean 的配置方式，這兩種配置方式都寫在 application context 文件里。 \ Password: [PROTECTED]。 如果你需要的話，可以在 網(wǎng)站上找到更多信息。 當你使用命名空間配置時，默認的 AccessDecisionManager 實例會自動注冊，然后用來為方法調(diào)用和 web URL 訪問做驗證，這些都是基于你設(shè)置的 intercepturl 和 protectpointcut權(quán)限屬性內(nèi)容（和注解中的內(nèi)容，如果你使用注解控制方法的權(quán)限）。 下面的聲明同時啟用 Spring Security 的 Secured和 JSR250 注解： globalmethodsecurity securedannotations=enabled jsr250annotations=enabled/ 向一個方法（或一個類或一個接口）添加注解，會限制對這個方法 的訪問。 Table . 標準過濾器假名和順序 假名 過濾器累 命名空間元素或?qū)傩? CHANNEL_FILTER ChannelProcessingFilter /intercepturlrequireschannel CONCURRENT_SESSION_FILTER ConcurrentSessionFilter sessionmanagement/concurrencycontrol SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter LOGOUT_FILTER LogoutFilter /logout X509_FILTER X509AuthenticationFilter /x509 PRE_AUTH_FILTER AstractPreAuthenticatedProcessingFilter Subclasses N/A CAS_FILTER CasAuthenticationFilter N/A FORM_LOGIN_FILTER UsernamePasswordAuthenticationFilter /formlogin BASIC_AUTH_FILTER BasicAuthenticationFilter /basic SERVLET_API_SUPPORT_FILTER SecurityContextHolderAwareFilter /servletapiprovision REMEMBER_ME_FILTER RememberMeAuthenticationFilter /rememberme ANONYMOUS_FILTER SessionManagementFilter /anonymous SESSION_MANAGEMENT_FILTER AnonymousAuthenticationFilter sessionmanagement EXCEPTION_TRANSLATION_FILTER ExceptionTranslationFilter FILTER_SECURITY_INTERCEPTOR FilterSecurityInterceptor SWITCH_USER_FILTER SwitchUserAuthenticationFilter N/A 你可以把你自己的過濾器添加到隊列中，使用 customfilter 元素，使用這些名字中的一個，來指定你的過濾器應(yīng)該出現(xiàn)的位置： customfilter position=FORM_LOGIN_FILTER ref=myFilter / / beans:bean id=myFilter class=/ 你還可以使用 after 或 before 屬性，如果你想把你的過濾器添 加到隊列中另一個過濾器的前面或后面。確切的 schema 和對屬性的支持會依賴于你使用的 OpenID 提供器。如果你希望使用一個錯誤頁面替代，你可以在 sessionmanagement 中添加sessionauthenticationerrorurl 屬性。/ /authenticationmanager 這里 myAuthenticationProvider 是你的 application context 中的一個 bean 的名字，它實現(xiàn)了 AuthenticationProvider。/39。作為一個選擇方式如果你還想要安全過濾器鏈起作用。true39。也可以從一個標 準 properties 文件中讀取這些信息，使用 userservice 的 properties 屬性 （ 參考inmemory authentication 獲得更多信息 ） ， 使用 authenticationprovider元素意味著用戶信息將被認證管理用作處理認證請求。注意，你不應(yīng)該自己使用這個 bean 的名字 ， 一旦你把這個添加到你的 中，你就準備好開始編輯 你 的 application context 文件了 ，web 安全服務(wù)是使用 元素配置的。設(shè)置過濾器和相關(guān)的服務(wù) bean來應(yīng)用框架驗證機制，保護 URL，渲染登錄和錯誤頁面還有更多。 獲得項目的源代碼對調(diào)試也有很大的幫助。你需要它， 如果使用了 Spring Security XML 命名控制來進行配置。次要版本號在源代碼和二進制要與老版本保持兼容，補丁則意味著向前向后的完全兼容。隨后又有人請求，在 2021 年一月左右，有 20 人在使用這些代碼。 如果上述的驗證機制都沒有滿足你的需要， Spring Security 是一個開放的平臺，編寫自己的驗證機制是十分簡單的。 人們使用 Spring Security 有很多種原因，不過通常吸引他們的是在 J2EE Servlet 規(guī)范或EJB 規(guī)范中找不到典型企業(yè)應(yīng)用場景的解決方案。重要的一點，應(yīng)用程序應(yīng)該從一開始就為安全做好設(shè)計。入侵檢測系統(tǒng)在檢測和應(yīng)對攻擊的時候尤其有用。每層自身越是 “ 緊密 ” ，你的程序就會越安全。這些客戶化需求讓應(yīng)用安全顯得有趣，富有挑戰(zhàn)性而且物有所值。 我們也會看看可用的 范例程序。這些概念是通用的，不是 Spring Security 特有的。 Spring Security 在所有這些重要領(lǐng)域都提供了完備的能力，我們將在這份參考指南的后面進行探討。 現(xiàn)在， Spring Security 成為了一個強大而又活躍的開源社區(qū)。使用 Spring Security 所必須的。頂級包是 。使用一個良好的 XML 編輯器來編輯應(yīng)用環(huán)境文件，應(yīng)該提供可用的屬性和元素信息。 . 開始使用安全命名空間配置 在本節(jié)中，我 們來看看如何使用一些框架里的主要配置，建立一個命名空間配置。換句話說，一個普通的基于角色的約束應(yīng)該被使用。很值得去交叉檢查一下這里，如果你希望開始理解框架中哪些是重要的類以及它們是如何使用的，特別是如果你希望以后做一些自定義工作。 也可能讓所有的請求都匹配特定的模式，通過完全的安全過濾器鏈： autoconfig=39。 filters=39。 authenticationmanager authenticationprovider userserviceref=39。 使用 any意味著使用HTTP 或 HTTPS 都可以。 . 對 OpenID 的支持 命名空間支持 OpenID 登錄，替代普通的表單登錄，或作為一種附加功能，只需要進行簡單的修改： intercepturl pattern=/** access=ROLE_USER / openidlogin / / 你應(yīng)該注冊一個 OpenID 供應(yīng)器（比如 ），然后把用戶信息添加到你的內(nèi)存userservice中： user name= authorities=ROLE_USER / 你應(yīng)該可以使用 網(wǎng)站登錄來進行驗證了。 過濾器順序在使用命名空間的時候是被嚴格執(zhí)行的。 如果你對認證入口點并不熟悉，可以在 技術(shù)縱覽 章中找到關(guān)于它們的討論。)) public Account post(Account account, double amount)。 你可能注冊額外的 AuthenticationProviderbean， 在 ProviderManager 中，你可以使用 authenticationprovider做這些事情，使用 ref 屬性， 這個屬性的值，是你希望添加的provider 的 bean 的名字，比如： authenticationmanager authenticationprovider ref=casAuthenticationProvider/ /authenticationmanager bean id=casAuthenticationProvider class=er security:customauthenticationprovider / ... /bean 另一個常見的需求是，上下文中的另一個 bean 可能需要引用 AuthenticationManager。 要發(fā)布它，先把 Spring Security 發(fā)布中的 war 文件按復制到你的容器的 webapps 目錄下。 SessionId: 8fkp8t83ohar。 代碼在 samples/preauth 目錄下。在指南的這個部分，我們會觀察它們是如何在一起工作的，同 Spring Security 支持驗證和權(quán)限控制。 有些程序并不適合使用 ThreadLocal，因為它們處理線程的特殊方法。 if (principal instanceof UserD。這種情況下使用ThreadLocal 是非常安全的，只要記得在處理完當前主體的請求以后，把這個線程清除就行了。 Part II. 結(jié)構(gòu)和實現(xiàn) 當你熟悉了如何設(shè)置和使用基于命名空間配置的應(yīng)用，你也許希望了解更多關(guān)于框架是如何在命名空間的外觀下實際運 行的。 . PreAuthentication 例子 這個例子演示了如何從 preauthentication 框架綁定 bean，從 J2EE 容器中獲得有用的登錄信息。 Authenticated: true。只有做基本集成成功的時候，我們建議你試著添加方法驗證和領(lǐng)域?qū)ο蟀踩?bean 實例被使用 authenticationmanager 命名空間元素注冊。 PreAuthorize(hasAuthority(39。對應(yīng)的 AuthenticationEntryPoint 可以使用 元素中的 entrypointref 屬性來進行設(shè)置?；蛘吣阆胍褂靡粋€特定版本的標準命名空間過濾器，比如 formlogin創(chuàng)建的UsernamePasswordAuthenticationFilter，從而獲得一些額外的配置選項的優(yōu)勢，這些可以通過直接配置 bean 獲得。 ? none 什么也不做，繼續(xù)使用原來的 session。 . 添加 HTTP/HTTPS 信道安全 如果你的同時支持 HTTP 和 HTTPS 協(xié)議，然后你要求特定的 URL 只能使用 HTTPS，這時可以直接使用 intercepturl的 requireschannel 屬性： intercepturl pattern=/secure/** access=ROLE_USER requireschannel=/ intercepturl pattern=/** access=ROLE_USER requireschannel=any/ ... / 使用了這個配置以后，如果用戶通過 HTTP 嘗試訪問 /secure/**匹配的網(wǎng)址，他們會先被重定向到 HTTPS 網(wǎng)址下。 LDAP 命名空間會在 LDAP章 里詳細討論，所以我們這里不會講它。如果你的系統(tǒng)一直需要用戶從首頁進入，就可以使用它了，比如： intercepturl pattern=39。這是一個很常見的配置錯誤，它會導致系統(tǒng)出現(xiàn)無限循環(huán)。所有 authenticationprovider 元素必須作為 authenticationmanager的子元素，它創(chuàng)建了一個 ProviderManager，并把authentication provider 注冊到它里面。使用默認的配置， 這個一般是一個逗號分隔的角色隊列，一個用戶中的一個必須被允許訪問請求。 ? UserDetailsService 密切相關(guān)的認證供應(yīng)器，但往往也需要由其他 bean 需要。 簡單元素可能隱藏事實，多種 bean 和處理步驟添加到應(yīng)用環(huán)境中。 . CAS Sprin