【導(dǎo)讀】SpringSecurity為基于J2EE的企業(yè)應(yīng)用軟件提供了一套全面的安全解決方案。手冊中看到的那樣，我們嘗試為您提供一套好用，高可配置的安全系統(tǒng)。安全問題是一個不斷變化的目標(biāo)，更重要的是尋求一種全面的，系統(tǒng)化的解決方案。額外的安全保障。每層自身越是“緊密”，你的程序就會越安全。安全和系統(tǒng)認(rèn)證，減少“中間人攻擊”。會使用防火墻，結(jié)合VPN或IP安全來確保只有獲得授權(quán)的系統(tǒng)才能嘗試連接。絕服務(wù)和暴力攻擊。入侵檢測系統(tǒng)在檢測和應(yīng)對攻擊的時候尤其有用。應(yīng)用程序安全變得更容易。災(zāi)難回復(fù)，性能評測，負(fù)載檢測，集中日志，應(yīng)急反應(yīng)程序等等。電子商務(wù)系統(tǒng)與企業(yè)銷售。要是想更多的了解SpringSecurity是如。人們使用SpringSecurity有很多種原因，不過通常吸引他們的是在J2EEServlet規(guī)范或。在WAR或EAR級別進行移植。在到達(dá)授權(quán)判斷之前，身份的主體已經(jīng)由身份驗證過程建。在身份驗證層面，SpringSecurity廣泛支持各種身份驗證模式。

　　

【正文】 ecisionmanagerref=myAccessDecisionManagerBean ... / . 驗證管理器和命名空間 主要接口提供了驗證服務(wù)在 Spring Security 中， 是 AuthenticationManager。 通常是Spring Security 中 ProviderManager 類的一個實例， 如果你以前使用過框架，你可能已經(jīng)很熟悉 了。 如果沒有，它會在稍后被提及，在 techintroauthentication。 bean 實例被使用 authenticationmanager 命名空間元素注冊。你不能好似用一個自定義的AuthenticationManager 如果你使用 HTTp 或方法安全，在命名空間中，但是它不應(yīng)該是一個問題， 因為你完全控制了使用的 AuthenticationProvider。 你可能注冊額外的 AuthenticationProviderbean， 在 ProviderManager 中，你可以使用 authenticationprovider做這些事情，使用 ref 屬性， 這個屬性的值，是你希望添加的provider 的 bean 的名字，比如： authenticationmanager authenticationprovider ref=casAuthenticationProvider/ /authenticationmanager bean id=casAuthenticationProvider class=er security:customauthenticationprovider / ... /bean 另一個常見的需求是，上下文中的另一個 bean 可能需要引用 AuthenticationManager。你可以為 AuthenticationManager 注冊一個別名，然后在 application context 的其他地 方使用這個名字。 security:authenticationmanager alias=authenticationManager ... /security:authenticationmanager bean id=customizedFormLoginFilter class= property name=authenticationManager ref=authenticationManager/ ... /bean Chapter 3. 示例程序 項目中包含了很多 web 實例程序。為了不讓下載包變得太大，我們只把 tutorial和contacts兩個例子放到了 zip 發(fā)布包里。你可以自己編譯部署它們，也可以從 Maven 中央資源庫里獲得單獨的 war 文件。我們建議你使用前一種方法。你可以按照簡介里的介紹獲得源代碼，使用 maven 編譯它們也很簡單。 如果你需要的話，可以在 網(wǎng)站上找到更多信息。 . Tutorial 示例 這個 tutorial 示例是帶你入門的很好的一個基礎(chǔ)例子。它完全使用了簡單命名空間配置。編譯好的應(yīng)用就放在 zip 發(fā)布包中，已經(jīng)準(zhǔn)備好發(fā)布到你的 web 容器中（ ）。使用了 formbased 驗證機制，與常用的 rememberme 驗證提供器相結(jié)合，自動使用 cookie 記錄登錄信息。 我們推薦你從 tutorial 例子開始，因為 XML 非常小，也很容易看懂。更重要的是，你很容易就可以把這個 XML 文件（和它對應(yīng)的 入口）添加到你的程序中。只有做基本集成成功的時候，我們建議你試著添加方法驗證和領(lǐng)域?qū)ο蟀踩? . Contacts Contacts 例子，是一個很高級的例子，它在基本程序安全上附加了領(lǐng)域?qū)ο?的訪問控制列表，演示了更多強大的功能。 要發(fā)布它，先把 Spring Security 發(fā)布中的 war 文件按復(fù)制到你的容器的 webapps 目錄下。這個 war 文件應(yīng)該叫做 （后邊的版本號，很大程度上依賴于你使用的發(fā)布版本）。 在啟動你的容器之后，檢測一下程序是不是加載了，訪問 （或是其他你把 war 發(fā)布后，對應(yīng)于你 web 容器的 URL）。 下一步，點擊 Debug。你將看到需要 登錄的提示，這頁上會有一些測試用的用戶名和密碼。 隨便使用其中的一個通過認(rèn)證，就會看到結(jié)果頁面。它應(yīng)該會包含下面這樣的一段成功信息： Security Debug Information Authentication object is of type: Authentication object as a String: @1f127853: Principal: @b07ed00: Username: rod。 \ Password: [PROTECTED]。 Enabled: true。 AccountNonExpired: true。 credentialsNonExpired: true。 AccountNonLocked: true。 \ Granted Authorities: ROLE_SUPERVISOR, ROLE_USER。 \ Password: [PROTECTED]。 Authenticated: true。 \ Details: ls@0: \ RemoteIpAddress: 。 SessionId: 8fkp8t83ohar。 \ Granted Authorities: ROLE_SUPERVISOR, ROLE_USER Authentication object holds the following granted authorities: ROLE_SUPERVISOR (getAuthority(): ROLE_SUPERVISOR) ROLE_USER (getAuthority(): ROLE_USER) Success! Your web filters appear to be properly configured! 一旦你成功的看到了上面的信息，就可以返回例子程序的主頁，點擊 Manage了。然后你就可以嘗試這個程序了。注意，只有當(dāng)前登錄的用戶對應(yīng)的聯(lián)系信息會顯示出來，而且只有ROLE_SUPERVISOR 權(quán)限的用戶可以授權(quán)刪除他們的聯(lián)系信息。在這場景后面，MethodSecurityInterceptor 保護著業(yè)務(wù)對象。 陳程序允許你修改訪問控制列表，分配不同的聯(lián)系方式。確保自己好好試用過，看看程序里的上下文 XML 文件，搞明白它是如何運行的。 . LDAP例子 LDAP 例子程序提供了一個基礎(chǔ)配置，同時使用命名 空間配置和使用傳統(tǒng)方式 bean 的配置方式，這兩種配置方式都寫在 application context 文件里。 這意味著，在這個程序里，其實是配置了兩個定義驗證提供器。 . CAS例子 CAS 示例要求你同時運行 CAS 服務(wù)器和 CAS 客戶端。它沒有包含在發(fā)布包里，你應(yīng)該使用 簡介 中的介紹來獲得源代碼。你可以在 sample/cas 目錄下找到對應(yīng)的文件。這里還有一個 文件，解釋如何從源代碼樹中直 接運行服務(wù)器和客戶端，提供完全的 SSL 支持。 你應(yīng)該下載 CAS 服務(wù)器 web 程序（一個 war 文件）從 CAS 網(wǎng)站，把它放到 samples/cas/server目錄下。 . PreAuthentication 例子 這個例子演示了如何從 preauthentication 框架綁定 bean，從 J2EE 容器中獲得有用的登錄信息。 用戶名和角色是由容器設(shè)置的。 代碼在 samples/preauth 目錄下。 Chapter Security 社區(qū) . 任務(wù)跟蹤 Spring Security 使用 JIRA 管理 bug 報告和擴充請求。如果你發(fā)現(xiàn)一個 bug，請使用 JIRA 提交一個報告。不要把它放到支持論壇上，郵件列表里，或者直接發(fā)郵件給項目開發(fā)者。這樣做法是特設(shè)的，我們更愿意使用更正式的方式管理 bug。 如果有可能，最好為你的任務(wù)報告提供一個 Junit 單元測試，演示每一種不正確的行為。 或者，更好的是，提供一個不定來修正這個問題。一般來說，擴充也也可以提交到任務(wù)跟蹤系統(tǒng)里，雖然我們只 接受提供了對應(yīng)的單元測試的擴充請求。因為保證項目的測試覆蓋率是非常必要的，它需要適當(dāng)?shù)倪M行維護。 你可以訪問任務(wù)跟蹤的網(wǎng)址 . 成為參與者 我們歡迎你加入到 Spring Security 項目中來。這里有很多貢獻(xiàn)的方式，包括在論壇上閱讀別人的帖子發(fā)表回復(fù)，寫新代碼，提升舊代碼，幫助寫文檔，開發(fā)例子或指南，或簡單的 提供建議。 . 更多信息 歡迎大家為 Spring Security 提出問題或評論。你可以使用 Spring 社區(qū)論壇網(wǎng)址 同框架的其他用戶討論 Spring Security。記得使用 JIRA提交 bug，這部分在上面提到過了。 Part II. 結(jié)構(gòu)和實現(xiàn) 當(dāng)你熟悉了如何設(shè)置和使用基于命名空間配置的應(yīng)用，你也許希望了解更多關(guān)于框架是如何在命名空間的外觀下實際運 行的。和大多數(shù)軟件一樣， Spring Security 有一系列的中央接口，類和抽象概念，貫穿整個框架。在指南的這個部分，我們會觀察它們是如何在一起工作的，同 Spring Security 支持驗證和權(quán)限控制。 Chapter . 運行環(huán)境 Spring Security 需要運行在 Java 或更高版本環(huán)境上。因為 Spring Security 的目標(biāo)是自己容器內(nèi)管理，所以不需要為你的 Java 運行環(huán)境進行什么特別的配置。特別是，不需要特別配置一個 Java Authentication and Authorization Service (JAAS)政策文件，也不需要把 Spring Security 放到 server 的 classLoader 下。 相同的，如果你使用了一個 EJB 容器或者是 Servlet 容器，都不需要把任何特定的配置文件放到什么地方，也不需要把 Spring Security 放到 server 的 classloader 下。所有必須的文件都可以配置在你的應(yīng)用中。 這些設(shè)計確保了發(fā)布時的最大輕便性，你可以簡單把你的目標(biāo)文件（ JAR 或 WAR 或 EAR）從一個系統(tǒng)復(fù)制到另一個系統(tǒng)，它會立即正 常工作。 . 核心組件 在 Spring Security 中， springsecuritycorejar 的內(nèi)容已經(jīng)被縮減到最小。它不再包含任何與 web 應(yīng)用安全， LDAP 或命名空間相關(guān)的代碼。我們會看一下這里，看看你在核心模塊中找到的 Java 類型。它們展示了框架的構(gòu)建基礎(chǔ)，所以如果你需要超越簡單的命名空間配置 ， 理解它們就是很重要的，即便你不需要直接操作他們。 . SecurityContextHolder,SecurityContext 和 Authentication 對象 最基礎(chǔ)的對象 就是 SecurityContextHolder。我們把當(dāng)前應(yīng)用程序的當(dāng)前安全環(huán)境的細(xì)節(jié)存儲到它里邊了，它也包含了應(yīng)用當(dāng)前使用的主體細(xì)節(jié)。默認(rèn)情況下， SecurityContextHolder使用 ThreadLocal 存儲這些信息，這意味著，安全環(huán)境在同一個線程執(zhí)行的方法一直是有效的，即使這個安全環(huán)境沒有作為一個方法參數(shù)傳遞到那些方法里。這種情況下使用ThreadLocal 是非常安全的，只要記得在處理完當(dāng)前主體的請求以后，把這個線程清除就行了。當(dāng)然， Spring Security 自動幫你管理這一切了，你就不用 擔(dān)心什么了。 有些程序并不適合使用 ThreadLocal，因為它們處理線程的特殊方法。比如， swing 客戶端也許希望 JVM 里的所有線程都使用同一個安全環(huán)境。 SecurityContextHolder 可以使用一個策略進行配置在啟動時，指定你想讓上下文怎樣被保存。對于一個單獨的應(yīng)用系統(tǒng)，你可以使用 策略。其他程序可能想讓一個線程創(chuàng)建的線程也使用相同的安全主體。這時可以使用 。想要修改默認(rèn)的 模式，可以使用兩種方法。第一個是設(shè)置系統(tǒng)屬性。另一個是調(diào)用 SecurityContextHolder 的靜態(tài)方法。大多數(shù)程序不需要修改默認(rèn)值， 但是如果你需要做修改，先看一下 SecurityContextHolder 的 JavaDoc 中的詳細(xì)信息。 . 獲得當(dāng)前用戶的信息 我們把安全主體和系統(tǒng)交互的信息都保存在 SecurityContextHolder 中了 。 spring Security使用一個 Authentication 對應(yīng)來表現(xiàn)這些信息。雖然你通常不需要自己創(chuàng)建一個Authentication 對象，但是常見的情況是，用戶查詢 Authentication 對象。你可以使用下面的代碼 在你程序中的任何位置 來獲得已認(rèn)證用戶的名字，比如： Object principal = ().getAuthentication().getPrincipal()。 if (principal instanceof User