【導讀】SpringSecurity為基于J2EE的企業(yè)應用軟件提供了一套全面的安全解決方案。手冊中看到的那樣，我們嘗試為您提供一套好用，高可配置的安全系統。安全問題是一個不斷變化的目標，更重要的是尋求一種全面的，系統化的解決方案。額外的安全保障。每層自身越是“緊密”，你的程序就會越安全。安全和系統認證，減少“中間人攻擊”。會使用防火墻，結合VPN或IP安全來確保只有獲得授權的系統才能嘗試連接。絕服務和暴力攻擊。入侵檢測系統在檢測和應對攻擊的時候尤其有用。應用程序安全變得更容易。災難回復，性能評測，負載檢測，集中日志，應急反應程序等等。電子商務系統與企業(yè)銷售。要是想更多的了解SpringSecurity是如。人們使用SpringSecurity有很多種原因，不過通常吸引他們的是在J2EEServlet規(guī)范或。在WAR或EAR級別進行移植。在到達授權判斷之前，身份的主體已經由身份驗證過程建。在身份驗證層面，SpringSecurity廣泛支持各種身份驗證模式。

　　

【正文】 ecisionmanagerref=myAccessDecisionManagerBean ... / . 驗證管理器和命名空間 主要接口提供了驗證服務在 Spring Security 中， 是 AuthenticationManager。 通常是Spring Security 中 ProviderManager 類的一個實例， 如果你以前使用過框架，你可能已經很熟悉 了。 如果沒有，它會在稍后被提及，在 techintroauthentication。 bean 實例被使用 authenticationmanager 命名空間元素注冊。你不能好似用一個自定義的AuthenticationManager 如果你使用 HTTp 或方法安全，在命名空間中，但是它不應該是一個問題， 因為你完全控制了使用的 AuthenticationProvider。 你可能注冊額外的 AuthenticationProviderbean， 在 ProviderManager 中，你可以使用 authenticationprovider做這些事情，使用 ref 屬性， 這個屬性的值，是你希望添加的provider 的 bean 的名字，比如： authenticationmanager authenticationprovider ref=casAuthenticationProvider/ /authenticationmanager bean id=casAuthenticationProvider class=er security:customauthenticationprovider / ... /bean 另一個常見的需求是，上下文中的另一個 bean 可能需要引用 AuthenticationManager。你可以為 AuthenticationManager 注冊一個別名，然后在 application context 的其他地 方使用這個名字。 security:authenticationmanager alias=authenticationManager ... /security:authenticationmanager bean id=customizedFormLoginFilter class= property name=authenticationManager ref=authenticationManager/ ... /bean Chapter 3. 示例程序 項目中包含了很多 web 實例程序。為了不讓下載包變得太大，我們只把 tutorial和contacts兩個例子放到了 zip 發(fā)布包里。你可以自己編譯部署它們，也可以從 Maven 中央資源庫里獲得單獨的 war 文件。我們建議你使用前一種方法。你可以按照簡介里的介紹獲得源代碼，使用 maven 編譯它們也很簡單。 如果你需要的話，可以在 網站上找到更多信息。 . Tutorial 示例 這個 tutorial 示例是帶你入門的很好的一個基礎例子。它完全使用了簡單命名空間配置。編譯好的應用就放在 zip 發(fā)布包中，已經準備好發(fā)布到你的 web 容器中（ ）。使用了 formbased 驗證機制，與常用的 rememberme 驗證提供器相結合，自動使用 cookie 記錄登錄信息。 我們推薦你從 tutorial 例子開始，因為 XML 非常小，也很容易看懂。更重要的是，你很容易就可以把這個 XML 文件（和它對應的 入口）添加到你的程序中。只有做基本集成成功的時候，我們建議你試著添加方法驗證和領域對象安全。 . Contacts Contacts 例子，是一個很高級的例子，它在基本程序安全上附加了領域對象 的訪問控制列表，演示了更多強大的功能。 要發(fā)布它，先把 Spring Security 發(fā)布中的 war 文件按復制到你的容器的 webapps 目錄下。這個 war 文件應該叫做 （后邊的版本號，很大程度上依賴于你使用的發(fā)布版本）。 在啟動你的容器之后，檢測一下程序是不是加載了，訪問 （或是其他你把 war 發(fā)布后，對應于你 web 容器的 URL）。 下一步，點擊 Debug。你將看到需要 登錄的提示，這頁上會有一些測試用的用戶名和密碼。 隨便使用其中的一個通過認證，就會看到結果頁面。它應該會包含下面這樣的一段成功信息： Security Debug Information Authentication object is of type: Authentication object as a String: @1f127853: Principal: @b07ed00: Username: rod。 \ Password: [PROTECTED]。 Enabled: true。 AccountNonExpired: true。 credentialsNonExpired: true。 AccountNonLocked: true。 \ Granted Authorities: ROLE_SUPERVISOR, ROLE_USER。 \ Password: [PROTECTED]。 Authenticated: true。 \ Details: ls@0: \ RemoteIpAddress: 。 SessionId: 8fkp8t83ohar。 \ Granted Authorities: ROLE_SUPERVISOR, ROLE_USER Authentication object holds the following granted authorities: ROLE_SUPERVISOR (getAuthority(): ROLE_SUPERVISOR) ROLE_USER (getAuthority(): ROLE_USER) Success! Your web filters appear to be properly configured! 一旦你成功的看到了上面的信息，就可以返回例子程序的主頁，點擊 Manage了。然后你就可以嘗試這個程序了。注意，只有當前登錄的用戶對應的聯系信息會顯示出來，而且只有ROLE_SUPERVISOR 權限的用戶可以授權刪除他們的聯系信息。在這場景后面，MethodSecurityInterceptor 保護著業(yè)務對象。 陳程序允許你修改訪問控制列表，分配不同的聯系方式。確保自己好好試用過，看看程序里的上下文 XML 文件，搞明白它是如何運行的。 . LDAP例子 LDAP 例子程序提供了一個基礎配置，同時使用命名 空間配置和使用傳統方式 bean 的配置方式，這兩種配置方式都寫在 application context 文件里。 這意味著，在這個程序里，其實是配置了兩個定義驗證提供器。 . CAS例子 CAS 示例要求你同時運行 CAS 服務器和 CAS 客戶端。它沒有包含在發(fā)布包里，你應該使用 簡介 中的介紹來獲得源代碼。你可以在 sample/cas 目錄下找到對應的文件。這里還有一個 文件，解釋如何從源代碼樹中直 接運行服務器和客戶端，提供完全的 SSL 支持。 你應該下載 CAS 服務器 web 程序（一個 war 文件）從 CAS 網站，把它放到 samples/cas/server目錄下。 . PreAuthentication 例子 這個例子演示了如何從 preauthentication 框架綁定 bean，從 J2EE 容器中獲得有用的登錄信息。 用戶名和角色是由容器設置的。 代碼在 samples/preauth 目錄下。 Chapter Security 社區(qū) . 任務跟蹤 Spring Security 使用 JIRA 管理 bug 報告和擴充請求。如果你發(fā)現一個 bug，請使用 JIRA 提交一個報告。不要把它放到支持論壇上，郵件列表里，或者直接發(fā)郵件給項目開發(fā)者。這樣做法是特設的，我們更愿意使用更正式的方式管理 bug。 如果有可能，最好為你的任務報告提供一個 Junit 單元測試，演示每一種不正確的行為。 或者，更好的是，提供一個不定來修正這個問題。一般來說，擴充也也可以提交到任務跟蹤系統里，雖然我們只 接受提供了對應的單元測試的擴充請求。因為保證項目的測試覆蓋率是非常必要的，它需要適當的進行維護。 你可以訪問任務跟蹤的網址 . 成為參與者 我們歡迎你加入到 Spring Security 項目中來。這里有很多貢獻的方式，包括在論壇上閱讀別人的帖子發(fā)表回復，寫新代碼，提升舊代碼，幫助寫文檔，開發(fā)例子或指南，或簡單的 提供建議。 . 更多信息 歡迎大家為 Spring Security 提出問題或評論。你可以使用 Spring 社區(qū)論壇網址 同框架的其他用戶討論 Spring Security。記得使用 JIRA提交 bug，這部分在上面提到過了。 Part II. 結構和實現 當你熟悉了如何設置和使用基于命名空間配置的應用，你也許希望了解更多關于框架是如何在命名空間的外觀下實際運 行的。和大多數軟件一樣， Spring Security 有一系列的中央接口，類和抽象概念，貫穿整個框架。在指南的這個部分，我們會觀察它們是如何在一起工作的，同 Spring Security 支持驗證和權限控制。 Chapter . 運行環(huán)境 Spring Security 需要運行在 Java 或更高版本環(huán)境上。因為 Spring Security 的目標是自己容器內管理，所以不需要為你的 Java 運行環(huán)境進行什么特別的配置。特別是，不需要特別配置一個 Java Authentication and Authorization Service (JAAS)政策文件，也不需要把 Spring Security 放到 server 的 classLoader 下。 相同的，如果你使用了一個 EJB 容器或者是 Servlet 容器，都不需要把任何特定的配置文件放到什么地方，也不需要把 Spring Security 放到 server 的 classloader 下。所有必須的文件都可以配置在你的應用中。 這些設計確保了發(fā)布時的最大輕便性，你可以簡單把你的目標文件（ JAR 或 WAR 或 EAR）從一個系統復制到另一個系統，它會立即正 常工作。 . 核心組件 在 Spring Security 中， springsecuritycorejar 的內容已經被縮減到最小。它不再包含任何與 web 應用安全， LDAP 或命名空間相關的代碼。我們會看一下這里，看看你在核心模塊中找到的 Java 類型。它們展示了框架的構建基礎，所以如果你需要超越簡單的命名空間配置 ， 理解它們就是很重要的，即便你不需要直接操作他們。 . SecurityContextHolder,SecurityContext 和 Authentication 對象 最基礎的對象 就是 SecurityContextHolder。我們把當前應用程序的當前安全環(huán)境的細節(jié)存儲到它里邊了，它也包含了應用當前使用的主體細節(jié)。默認情況下， SecurityContextHolder使用 ThreadLocal 存儲這些信息，這意味著，安全環(huán)境在同一個線程執(zhí)行的方法一直是有效的，即使這個安全環(huán)境沒有作為一個方法參數傳遞到那些方法里。這種情況下使用ThreadLocal 是非常安全的，只要記得在處理完當前主體的請求以后，把這個線程清除就行了。當然， Spring Security 自動幫你管理這一切了，你就不用 擔心什么了。 有些程序并不適合使用 ThreadLocal，因為它們處理線程的特殊方法。比如， swing 客戶端也許希望 JVM 里的所有線程都使用同一個安全環(huán)境。 SecurityContextHolder 可以使用一個策略進行配置在啟動時，指定你想讓上下文怎樣被保存。對于一個單獨的應用系統，你可以使用 策略。其他程序可能想讓一個線程創(chuàng)建的線程也使用相同的安全主體。這時可以使用 。想要修改默認的 模式，可以使用兩種方法。第一個是設置系統屬性。另一個是調用 SecurityContextHolder 的靜態(tài)方法。大多數程序不需要修改默認值， 但是如果你需要做修改，先看一下 SecurityContextHolder 的 JavaDoc 中的詳細信息。 . 獲得當前用戶的信息 我們把安全主體和系統交互的信息都保存在 SecurityContextHolder 中了 。 spring Security使用一個 Authentication 對應來表現這些信息。雖然你通常不需要自己創(chuàng)建一個Authentication 對象，但是常見的情況是，用戶查詢 Authentication 對象。你可以使用下面的代碼 在你程序中的任何位置 來獲得已認證用戶的名字，比如： Object principal = ().getAuthentication().getPrincipal()。 if (principal instanceof User