【正文】 ticationEntryPoint如果你沒有通過命名空間，使用表單登陸，OpenID 或基本認(rèn)證，你可能想定義一個(gè)認(rèn)證過濾器，并使用傳統(tǒng)bean 語法定義一個(gè)入口點(diǎn)然后把它鏈接到命名空間里，就像我們已經(jīng)看到的那樣。對應(yīng)的AuthenticationEntryPoint 可以使用 元素中的entrypointref 屬性來進(jìn)行設(shè)置。CAS 示例程序是一個(gè)在命名空間中使用自定義bean 的好例子，包含這種語法。如果你對認(rèn)證入口點(diǎn)并不熟悉，可以在技術(shù)縱覽章中找到關(guān)于它們的討論。. 保護(hù)方法 Security 大幅改善了對你的服務(wù)層方法添加安全。它提供對JSR250安全注解的支持，這與框架提供的@secured 注解相似。，你也可以使用新的基于表達(dá)式的注解。你可以提供安全給單個(gè)bean，使用interceptmethods 來裝飾bean 的聲明， 或者你可以控制多個(gè)bean，通過實(shí)體服務(wù)層，使用AspectJ 演示的切點(diǎn)功能。. globalmethodsecurity元素這個(gè)元素用來在你的應(yīng)用程序中啟用基于安全的注解（通過在這個(gè)元素中設(shè)置響應(yīng)的屬性），也可以用來聲明將要應(yīng)用在你的實(shí)體application context 中的安全切點(diǎn)組。你應(yīng)該只定義一個(gè)globalmethodsecurity元素。下面的聲明同時(shí)啟用Spring Security 的@Secured 和JSR250注解：globalmethodsecurity securedannotations=enabled jsr250annotations=enabled/向一個(gè)方法（或一個(gè)類或一個(gè)接口）添加注解，會(huì)限制對這個(gè)方法的訪問。Spring Security原生注解支持為方法定義一系列屬性。這些屬性將傳遞給AccessDecisionManager，進(jìn)行決策：public interface BankService {@Secured(IS_AUTHENTICATED_ANONYMOUSLY)public Account readAccount(Long id)。@Secured(IS_AUTHENTICATED_ANONYMOUSLY)public Account[] findAccounts()。@Secured(ROLE_TELLER)public Account post(Account account, double amount)。}為了使用新的基于表達(dá)式的預(yù)付，你可以好似用globalmethodsecurity prepostannotations=enabled /對應(yīng)的代碼將會(huì)是這樣public interface BankService {@PreAuthorize(isAnonymous())public Account readAccount(Long id)。@PreAuthorize(isAnonymous())public Account[] findAccounts()。@PreAuthorize(hasAuthority(39。ROLE_TELLER39。))public Account post(Account account, double amount)。}. 使用protectpointcut添加安全切點(diǎn)protectpointcut 是非常強(qiáng)大的，它讓你可以用簡單的聲明對多個(gè)bean 的進(jìn)行安全聲明。參考下面的例子：globalmethodsecurityprotectpointcut expression=execution(* .*Service.*(..))access=ROLE_USER//globalmethodsecurity這樣會(huì)保護(hù)application context 中的符合條件的bean 的所有方法，這些bean 要在 包下，類名以Service結(jié)尾。ROLE_USER 的角色才能調(diào)用這些方法。就像URL 匹配一樣，指定的匹配要放在切點(diǎn)隊(duì)列的最前面，第一個(gè)匹配的表達(dá)式才會(huì)被用到。. 默認(rèn)的AccessDecisionManager這章假設(shè)你有一些Spring Security 權(quán)限控制有關(guān)的架構(gòu)知識(shí)。如果沒有，你可以跳過這段，以后再來看，因?yàn)檫@章只是為了自定義的用戶設(shè)置的，需要在簡單基于角色安全的基礎(chǔ)上加一些客戶化的東西。當(dāng)你使用命名空間配置時(shí)，默認(rèn)的AccessDecisionManager 實(shí)例會(huì)自動(dòng)注冊，然后用來為方法調(diào)用和web URL 訪問做驗(yàn)證， 這些都是基于你設(shè)置的intercepturl 和protectpointcut 權(quán)限屬性內(nèi)容（和注解中的內(nèi)容，如果你使用注解控制方法的權(quán)限）。默認(rèn)的策略是使用一個(gè)AffirmativeBased AccessDecisionManager ，以及RoleVoter和AuthenticatedVoter?？梢栽赼uthorization 中獲得更多信息。. 自定義AccessDecisionManager如果你需要使用一個(gè)更復(fù)雜的訪問控制策略，把它設(shè)置給方法和web 安全是很簡單的。對于方法安全，你可以設(shè)置globalsecurity 里的accessdecisionmanagerref 屬性，用對應(yīng)AccessDecisionManager bean 在application context 里的id：globalmethodsecurity accessdecisionmanagerref=myAccessDecisionManagerBean.../globalmethodsecurityweb 安全安全的語法也是一樣，但是放在 元素里： accessdecisionmanagerref=myAccessDecisionManagerBean.../. 驗(yàn)證管理器和命名空間主要接口提供了驗(yàn)證服務(wù)在Spring Security 中， 是AuthenticationManager。通常是Spring Security 中ProviderManager 類的一個(gè)實(shí)例， 如果你以前使用過框架，你可能已經(jīng)很熟悉了。如果沒有，它會(huì)在稍后被提及，在techintroauthentication。bean實(shí)例被使用authenticationmanager 命名空間元素注冊。你不能好似用一個(gè)自定義的AuthenticationManager 如果你使用HTTp 或方法安全，在命名空間中，但是它不應(yīng)該是一個(gè)問題， 因?yàn)槟阃耆刂屏耸褂玫腁uthenticationProvider。你可能注冊額外的AuthenticationProviderbean， 在ProviderManager 中，你可以使用authenticationprovider做這些事情，使用ref 屬性， 這個(gè)屬性的值，是你希望添加的provider 的bean 的名字，比如：authenticationmanagerauthenticationprovider ref=casAuthenticationProvider//authenticationmanagerbean id=casAuthenticationProviderclass=security:customauthenticationprovider /.../bean另一個(gè)常見的需求是，上下文中的另一個(gè)bean 可能需要引用AuthenticationManager。你可以為AuthenticationManager 注冊一個(gè)別名，然后在application context 的其他地方使用這個(gè)名字。security:authenticationmanager alias=authenticationManager.../security:authenticationmanagerbean id=customizedFormLoginFilterclass=property name=authenticationManager ref=authenticationManager/.../bean[1]你可以在LDAP 的章節(jié)里，找到更多有關(guān)使用的ldapserver 的元素。[2]access 中逗號(hào)分隔的值的解釋依賴使用的AccessDecisionManager 的實(shí)現(xiàn)。在SpringSecurity ，這個(gè)屬性也可以使用EL 表達(dá)式。[3]，這里列表中還包含rememberme 功能。這是因?yàn)橐恍┡渲蒙先菀讻_突。，AnonymousAuthenticationFilter 已經(jīng)成為了默認(rèn)的配置的一部分，所以anonymous / 元素?zé)o論是否設(shè)置autoconfig都會(huì)被添加到配置中。[4] 參考匿名認(rèn)證章節(jié)和AuthenticatedVoter 類獲得更多細(xì)節(jié)， 和IS_AUTHENTICATED_ANONYMOUSLY 如何被處理。示例程序項(xiàng)目中包含了很多web 實(shí)例程序。為了不讓下載包變得太大，我們只把tutorial和contacts兩個(gè)例子放到了zip 發(fā)布包里。你可以自己編譯部署它們，也可以從Maven中央資源庫里獲得單獨(dú)的war 文件。我們建議你使用前一種方法。你可以按照簡介里的介紹獲得源代碼， 使用maven 編譯它們也很簡單。如果你需要的話， 可以在。. Tutorial示例這個(gè)tutorial 示例是帶你入門的很好的一個(gè)基礎(chǔ)例子。它完全使用了簡單命名空間配置。編譯好的應(yīng)用就放在zip 發(fā)布包中， 已經(jīng)準(zhǔn)備好發(fā)布到你的web 容器中（）。使用了formbased 驗(yàn)證機(jī)制，與常用的rememberme 驗(yàn)證提供器相結(jié)合，自動(dòng)使用cookie 記錄登錄信息。我們推薦你從tutorial 例子開始，因?yàn)閄ML 非常小，也很容易看懂。更重要的是，你很容易就可以把這個(gè)XML 文件（ 入口）添加到你的程序中。只有做基本集成成功的時(shí)候，我們建議你試著添加方法驗(yàn)證和領(lǐng)域?qū)ο蟀踩? ContactsContacts 例子，是一個(gè)很高級(jí)的例子，它在基本程序安全上附加了領(lǐng)域?qū)ο蟮脑L問控制列表，演示了更多強(qiáng)大的功能。要發(fā)布它，先把Spring Security 發(fā)布中的war 文件按復(fù)制到你的容器的webapps 目錄下。這個(gè)war （后邊的版本號(hào)，很大程度上依賴于你使用的發(fā)布版本）。在啟動(dòng)你的容器之后， 檢測一下程序是不是加載了， 訪問://localhost:8080/contacts（或是其他你把war 發(fā)布后，對應(yīng)于你web 容器的URL）。下一步，點(diǎn)擊Debug。你將看到需要登錄的提示，這頁上會(huì)有一些測試用的用戶名和密碼。隨便使用其中的一個(gè)通過認(rèn)證，就會(huì)看到結(jié)果頁面。它應(yīng)該會(huì)包含下面這樣的一段成功信息：Security Debug InformationAuthentication object is of type:nTokenAuthentication object as a String:nToken@1f127853:Principal: @b07ed00:Username: rod。 \Password: [PROTECTED]。 Enabled: true。 AccountNonExpired: true。credentialsNonExpired: true。 AccountNonLocked: true。 \Granted Authorities: ROLE_SUPERVISOR, ROLE_USER。 \Password: [PROTECTED]。 Authenticated: true。 \Details:@0:\RemoteIpAddress: 。 SessionId: 8fkp8t83ohar。 \Granted Authorities: ROLE_SUPERVISOR, ROLE_USERAuthentication object holds the following granted authorities:ROLE_SUPERVISOR (getAuthority(): ROLE_SUPERVISOR)ROLE_USER (getAuthority(): ROLE_USER)Success! Your web filters appear to be properly configured!一旦你成功的看到了上面的信息，就可以返回例子程序的主頁，點(diǎn)擊Manage了。然后你就可以嘗試這個(gè)程序了。注意，只有當(dāng)前登錄的用戶對應(yīng)的聯(lián)系信息會(huì)顯示出來，而且只有ROLE_SUPERVISOR 權(quán)限的用戶可以授權(quán)刪除他們的聯(lián)系信息。在這場景后面，MethodSecurityInterceptor 保護(hù)著業(yè)務(wù)對象。陳程序允許你修改訪問控制列表，分配不同的聯(lián)系方式。確保自己好好試用過，看看程序里的上下文XML 文件，搞明白它是如何運(yùn)行的。. LDAP例子LDAP 例子程序提供了一個(gè)基礎(chǔ)配置，同時(shí)使用命名空間配置和使用傳統(tǒng)方式bean 的配置方式，這兩種配置方式都寫在application context 文件里。這意味著，在這個(gè)程序里，其實(shí)是配置了兩個(gè)定義驗(yàn)證提供器。. CAS例子CAS 示例要求你同時(shí)運(yùn)行CAS 服務(wù)器和CAS 客戶端。它沒有包含在