【正文】 . CAS例子CAS 示例要求你同時(shí)運(yùn)行CAS 服務(wù)器和CAS 客戶端。. LDAP例子LDAP 例子程序提供了一個(gè)基礎(chǔ)配置，同時(shí)使用命名空間配置和使用傳統(tǒng)方式bean 的配置方式，這兩種配置方式都寫在application context 文件里。陳程序允許你修改訪問(wèn)控制列表，分配不同的聯(lián)系方式。注意，只有當(dāng)前登錄的用戶對(duì)應(yīng)的聯(lián)系信息會(huì)顯示出來(lái)，而且只有ROLE_SUPERVISOR 權(quán)限的用戶可以授權(quán)刪除他們的聯(lián)系信息。 \Granted Authorities: ROLE_SUPERVISOR, ROLE_USERAuthentication object holds the following granted authorities:ROLE_SUPERVISOR (getAuthority(): ROLE_SUPERVISOR)ROLE_USER (getAuthority(): ROLE_USER)Success! Your web filters appear to be properly configured!一旦你成功的看到了上面的信息，就可以返回例子程序的主頁(yè)，點(diǎn)擊Manage了。 \Details:0:\RemoteIpAddress: 。 \Password: [PROTECTED]。 AccountNonLocked: true。 AccountNonExpired: true。 \Password: [PROTECTED]。隨便使用其中的一個(gè)通過(guò)認(rèn)證，就會(huì)看到結(jié)果頁(yè)面。下一步，點(diǎn)擊Debug。這個(gè)war （后邊的版本號(hào)，很大程度上依賴于你使用的發(fā)布版本）。. ContactsContacts 例子，是一個(gè)很高級(jí)的例子，它在基本程序安全上附加了領(lǐng)域?qū)ο蟮脑L問(wèn)控制列表，演示了更多強(qiáng)大的功能。更重要的是，你很容易就可以把這個(gè)XML 文件（ 入口）添加到你的程序中。使用了formbased 驗(yàn)證機(jī)制，與常用的rememberme 驗(yàn)證提供器相結(jié)合，自動(dòng)使用cookie 記錄登錄信息。它完全使用了簡(jiǎn)單命名空間配置。如果你需要的話， 可以在。我們建議你使用前一種方法。為了不讓下載包變得太大，我們只把tutorial和contacts兩個(gè)例子放到了zip 發(fā)布包里。[4] 參考匿名認(rèn)證章節(jié)和AuthenticatedVoter 類獲得更多細(xì)節(jié)， 和IS_AUTHENTICATED_ANONYMOUSLY 如何被處理。這是因?yàn)橐恍┡渲蒙先菀讻_突。在SpringSecurity ，這個(gè)屬性也可以使用EL 表達(dá)式。security:authenticationmanager alias=authenticationManager.../security:authenticationmanagerbean id=customizedFormLoginFilterclass=property name=authenticationManager ref=authenticationManager/.../bean[1]你可以在LDAP 的章節(jié)里，找到更多有關(guān)使用的ldapserver 的元素。你可能注冊(cè)額外的AuthenticationProviderbean， 在ProviderManager 中，你可以使用authenticationprovider做這些事情，使用ref 屬性， 這個(gè)屬性的值，是你希望添加的provider 的bean 的名字，比如：authenticationmanagerauthenticationprovider ref=casAuthenticationProvider//authenticationmanagerbean id=casAuthenticationProviderclass=security:customauthenticationprovider /.../bean另一個(gè)常見(jiàn)的需求是，上下文中的另一個(gè)bean 可能需要引用AuthenticationManager。bean實(shí)例被使用authenticationmanager 命名空間元素注冊(cè)。通常是Spring Security 中ProviderManager 類的一個(gè)實(shí)例， 如果你以前使用過(guò)框架，你可能已經(jīng)很熟悉了。. 自定義AccessDecisionManager如果你需要使用一個(gè)更復(fù)雜的訪問(wèn)控制策略，把它設(shè)置給方法和web 安全是很簡(jiǎn)單的。默認(rèn)的策略是使用一個(gè)AffirmativeBased AccessDecisionManager ，以及RoleVoter和AuthenticatedVoter。如果沒(méi)有，你可以跳過(guò)這段，以后再來(lái)看，因?yàn)檫@章只是為了自定義的用戶設(shè)置的，需要在簡(jiǎn)單基于角色安全的基礎(chǔ)上加一些客戶化的東西。就像URL 匹配一樣，指定的匹配要放在切點(diǎn)隊(duì)列的最前面，第一個(gè)匹配的表達(dá)式才會(huì)被用到。參考下面的例子：globalmethodsecurityprotectpointcut expression=execution(* .*Service.*(..))access=ROLE_USER//globalmethodsecurity這樣會(huì)保護(hù)application context 中的符合條件的bean 的所有方法，這些bean 要在 包下，類名以Service結(jié)尾。))public Account post(Account account, double amount)。PreAuthorize(hasAuthority(39。}為了使用新的基于表達(dá)式的預(yù)付，你可以好似用globalmethodsecurity prepostannotations=enabled /對(duì)應(yīng)的代碼將會(huì)是這樣public interface BankService {PreAuthorize(isAnonymous())public Account readAccount(Long id)。Secured(IS_AUTHENTICATED_ANONYMOUSLY)public Account[] findAccounts()。Spring Security原生注解支持為方法定義一系列屬性。你應(yīng)該只定義一個(gè)globalmethodsecurity元素。你可以提供安全給單個(gè)bean，使用interceptmethods 來(lái)裝飾bean 的聲明， 或者你可以控制多個(gè)bean，通過(guò)實(shí)體服務(wù)層，使用AspectJ 演示的切點(diǎn)功能。它提供對(duì)JSR250安全注解的支持，這與框架提供的secured 注解相似。如果你對(duì)認(rèn)證入口點(diǎn)并不熟悉，可以在技術(shù)縱覽章中找到關(guān)于它們的討論。對(duì)應(yīng)的AuthenticationEntryPoint 可以使用 元素中的entrypointref 屬性來(lái)進(jìn)行設(shè)置。如果你替換了一個(gè)命名空間的過(guò)濾器，而這個(gè)過(guò)濾器需要一個(gè)驗(yàn)證入口點(diǎn)（比如，認(rèn)證過(guò)程是通過(guò)一個(gè)未通過(guò)驗(yàn)證的用戶訪問(wèn)受保護(hù)資源的嘗試來(lái)觸發(fā)的），你將也需要添加一個(gè)自定義的入口點(diǎn)bean。避免使用autoconfig 屬性，然后刪除所有會(huì)創(chuàng)建你希望替換的過(guò)濾器的元素。可以分別在position 屬性使用FIRST 或LAST來(lái)指定你想讓你的過(guò)濾器出現(xiàn)在隊(duì)列元素的前面或后面。過(guò)濾器按照次序排列在過(guò)濾器鏈中。這會(huì)影響到你如何添加自己的過(guò)濾器，實(shí)體過(guò)濾器列表必須在解析元素的過(guò)程中了解這些， 。Note在之前的版本中，排序是在過(guò)濾器實(shí)例創(chuàng)建后執(zhí)行的，在application context 的執(zhí)行后的過(guò)程中。過(guò)濾器順序在使用命名空間的時(shí)候是被嚴(yán)格執(zhí)行的?；蛘吣阆胍褂靡粋€(gè)特定版本的標(biāo)準(zhǔn)命名空間過(guò)濾器， 比如formlogin 創(chuàng)建的UsernamePasswordAuthenticationFilter，從而獲得一些額外的配置選項(xiàng)的優(yōu)勢(shì)，這些可以通過(guò)直接配置bean 獲得。. 添加你自己的filter如果你以前使用過(guò)Spring Security，你就應(yīng)該知道這個(gè)框架里維護(hù)了一個(gè)過(guò)濾器鏈，來(lái)提供服務(wù)。OpenIDAttribute 包含的屬性類型和獲取的值（或者在多屬性情況下是多個(gè)值）。屬性值作為認(rèn)證過(guò)程的一部分返回， 可以使用下面的代碼在后面的過(guò)程中獲得：OpenIDAuthenticationToken token = (OpenIDAuthenticationToken)().getAuthentication()。如果一個(gè)屬性必須為了成功認(rèn)證而獲取，可以設(shè)置required。. 屬性交換支持OpenID 的屬性交換。請(qǐng)注意，上面用戶配置中我們省略了密碼屬性，因?yàn)檫@里的用戶數(shù)據(jù)只用來(lái)為數(shù)據(jù)讀取數(shù)據(jù)。也可能選擇一個(gè)特定的UserDetailsService bean 來(lái)使用OpenID，通過(guò)設(shè)置元素。newSession 創(chuàng)建一個(gè)新的“干凈的”session，不會(huì)復(fù)制session 中的數(shù)據(jù)。這是默認(rèn)值。Spring Security 通過(guò)在用戶登錄時(shí)，創(chuàng)建一個(gè)新session 來(lái)防止這個(gè)問(wèn)題。更多的細(xì)節(jié)可以在會(huì)話管理章節(jié)找到。如果你希望使用一個(gè)錯(cuò)誤頁(yè)面替代， 你可以在sessionmanagement 中添加sessionauthenticationerrorurl 屬性。通常我們更想防止第二次登錄，這時(shí)候我們可以使用...sessionmanagementconcurrencycontrol maxsessions=1 errorifmaximumexceeded=true //sessionmanagement/第二次登錄將被阻止， 通過(guò)“ 注入” ， 我們的意思是用戶會(huì)被轉(zhuǎn)發(fā)到authenticationfailureurl，如果使用了formbased 登錄。這可以通過(guò)sessionmanagement 元素配置： ... sessionmanagementinvalidsessionurl=/ / /. 同步會(huì)話控制如果你希望限制單個(gè)用戶只能登錄到你的程序一次，Spring Security 通過(guò)添加下面簡(jiǎn)單的部分支持這個(gè)功能。如果你的程序使用的不是HTTP 或HTTPS 的標(biāo)準(zhǔn)端口，你可以用下面的方式指定端口對(duì)應(yīng)關(guān)系：...portmappingsportmapping =9080 =9443//portmappings/你可以在???找到更詳細(xì)的討論?？捎玫倪x項(xiàng)有, 或any。. 高級(jí)web特性. RememberMe認(rèn)證參考RememberMe 章獲得rememberme 命名空間配置的詳細(xì)信息。比如，使用username 屬性，你可以這樣用：passwordencoder hash=shasaltsource userproperty=username//passwordencoder你可以通過(guò)passwordencoder 的ref 屬性，指定一個(gè)自定義的密碼編碼器bean。使用SHA 加密密碼，原始的認(rèn)證供應(yīng)器配置，看起來(lái)就像這樣：authenticationmanagerauthenticationproviderpasswordencoder hash=sha/userserviceuser name=jimi password=d7e6351eaa13189a5a3641bab846c8e8c69ba39fauthorities=ROLE_USER, ROLE_ADMIN /user name=bob password=4e7421b1b8765d8f9406d87e7cc6aa784c4ab97fauthorities=ROLE_USER //userservice/authenticationprovider/authenticationmanager在使用散列密碼時(shí)，用鹽值防止字典攻擊是個(gè)好主意，Spring Security 也支持這個(gè)功能。. 添加一個(gè)密碼編碼器你的密碼數(shù)據(jù)通常要使用一種散列算法進(jìn)行編碼。//authenticationmanager這里myAuthenticationProvider 是你的application context 中的一個(gè)bean 的名字，它實(shí)現(xiàn)了AuthenticationProvider。//authenticationmanagerbeans:bean id=myUserDetailsServiceclass=beans:property name=dataSource ref=dataSource//beans:bean你也可以使用標(biāo)準(zhǔn)的AuthenticationProvider 類，像下面authenticationmanagerauthenticationprovider ref=39。另外，你可以配置一個(gè)SpringSecurity JdbcDaoImpl bean，使用userserviceref 屬性指定：authenticationmanagerauthenticationprovider userserviceref=39。myUserDetailsService39。如果你自定義了一個(gè)Spring Security的UserDetail