【正文】 ession 訪問一個網(wǎng)站的時候，然后說服另一個用戶登錄到同一個會話上（比如，發(fā)送給他們一個包含了 session標(biāo)識參數(shù)的鏈接）。 如果你為 formbased 登錄使用了自定義認證，你就必須特別配置同步會話控制。如果第二次驗證使用了其他非內(nèi)置的機制，比如 “ rememberme” ，一個 “ 未認證 ”(402) 錯誤就會發(fā)送給客戶端。首先，你需要把下面的監(jiān)聽器添加到你的 文件里，讓 Spring Security 獲得 session 生存周期事件： listener listenerclass /listenerclass /listener 然后，在你的 application context 加入如下部分： ... sessionmanagement concurrencycontrol maxsessions=1/ /sessionmanagement / 這將防止一個用戶重復(fù)登錄好幾次 ， 第二次登錄會讓第一次登錄失效。這可以通過 sessionmanagement 元素配置 。 使用 any意味著使用HTTP 或 HTTPS 都可以。 . 添加 HTTP/HTTPS 信道安全 如果你的同時支持 HTTP 和 HTTPS 協(xié)議，然后你要求特定的 URL 只能使用 HTTPS，這時可以直接使用 intercepturl的 requireschannel 屬性： intercepturl pattern=/secure/** access=ROLE_USER requireschannel=/ intercepturl pattern=/** access=ROLE_USER requireschannel=any/ ... / 使用了這個配置以后，如果用戶通過 HTTP 嘗試訪問 /secure/**匹配的網(wǎng)址，他們會先被重定向到 HTTPS 網(wǎng)址下。這應(yīng)該包含 application context 中一個 bean 的名字，它應(yīng)該是 Spring Security 的 PasswordEncoder接口的一個實例。理想情況下，你可能想為每個用戶隨機生成一個鹽值，不過，你可以使用從UserDetailsService 讀取出來的 UserDetails 對象中的屬性。查看 .“ 驗證管理器和命名空間 ” 了解更多信息，AuthenticationManager 使用命名空間在 Spring Security 中是如何配置的。myAuthenticationProvider39。myUserDetailsService39。/ /authenticationmanager 如果你想用數(shù)據(jù)庫，可以使用下面的方式 authenticationmanager authenticationprovider jdbcuserservice datasourceref=securityDataSource/ /authenticationprovider /authenticationmanager 這里的 “ securityDataSource” 就是 DataSource bean 在 application context 里的名字，它指向了包含著 Spring Security 用戶信息的表 。 authenticationmanager authenticationprovider userserviceref=39。 LDAP 命名空間會在 LDAP章 里詳細討論，所以我們這里不會講它。 / / . 使用其他認證提供器 現(xiàn)實中，你會需要更大型的用戶信息源，而不是寫在 application context 里的幾個名字 。 alwaysusedefaulttarget=39。 defaulttargeturl=39。 / formlogin loginpage=39。 access=39。/ intercepturl pattern=39。 filters=39。如果你的系統(tǒng)一直需要用戶從首頁進入，就可以使用它了，比如： intercepturl pattern=39。 . 設(shè)置一個默認的提交登陸目標(biāo) 如果在進行表單登陸之前，沒有試圖去訪問一個被保護的資源， defaulttargeturl 就會起作用 ， 這是用戶登陸后會跳轉(zhuǎn)到的 URL，默認是 /。 intercepturl pattern=/** access=ROLE_USER / basic / / 基本身份認證會被優(yōu)先用到，在用戶嘗試訪問一個受保護的資源時，用來提示用戶登錄。 如果你希望使用基本認證，代替表單登錄，可以把配置改為： autoconfig=39。IS_AUTHENTICATED_ANONYMOUSLY39。/ / 主要的是意識到這些請求會被完全忽略，對任何 Spring Security 中 web 相關(guān)的配置，或額外的屬性，比如 requireschannel，所以你會不能訪問當(dāng)前用戶信息，或調(diào)用被保護方法，在請求過程中。 intercepturl pattern=/css/** filters=none/ intercepturl pattern=/* filters=none/ intercepturl pattern=/** access=ROLE_USER / formlogin loginpage=39。 也可能讓所有的請求都匹配特定的模式，通過完全的安全過濾器鏈： autoconfig=39。這是一個很常見的配置錯誤，它會導(dǎo)致系統(tǒng)出現(xiàn)無限循環(huán)。也要注意我們需要添加額外的 intercepturl 元素，指定用來做登錄的頁面 的 URL，這些 URL 應(yīng)該可以被匿名訪問 。/ / 注意，你依舊可以使用 autoconfig。 intercepturl pattern=/* access=IS_AUTHENTICATED_ANONYMOUSLY/ intercepturl pattern=/** access=ROLE_USER / formlogin loginpage=39。比如，如果你想實現(xiàn)自己的登錄頁面，你可以使用： autoconfig=39。實際上，如果我們沒有確切的指定一個頁面用來登錄， Spring Security會自動生成一個，基于可用的功能，為這個 URL 使用標(biāo)準(zhǔn)的數(shù)據(jù)，處理提交的登錄，然后在登陸后發(fā)送到默認的目標(biāo) URL。他們擁有各自的屬性，來改變他們的具體 行為。很值得去交叉檢查一下這里，如果你希望開始理解框架中哪些是重要的類以及它們是如何使用的，特別是如果你希望以后做一些自定義工作。所有 authenticationprovider 元素必須作為 authenticationmanager的子元素，它創(chuàng)建了一個 ProviderManager，并把authentication provider 注冊到它里面。 元素會創(chuàng)建一個FilterChainProxy 和 filter 使用的 bean， 以前常常出現(xiàn)的，因為 filter 順序不正確產(chǎn)生的問題 ， 不會再出現(xiàn)了，現(xiàn)在這些過濾器的位置都是預(yù)定義好的。 上述配置實際上把很多服務(wù)添加到了程序里，因為我們使用了 autoconfig 屬性 ， 比如，表單登錄和 rememberme服務(wù)自動啟動了。你可以擁有多個 authenticationprovider元素來定義不同的認證數(shù)據(jù)，每個會 在 需要時使用。 要是想添加一些用戶，你可以直接使用下面的命名空間直接定義一些測試數(shù)據(jù)： authenticationmanager authenticationprovider userservice user name=jimi password=jimi authorities= ROLE_ADMIN / user name=bob password=bob authorities=ROLE_USER / /userservice /authenticationprovider /authenticationmanager 上面的配置定義了兩個用戶，他們在應(yīng)用程序中的密碼和角色（用在權(quán)限控制上）。你也可以添加一個 method 屬性來限制匹配一個特定的 HTTP method(GET, POST, PUT 等等 )。 Note 你可以使用多個 intercepturl元素為不同 URL 的集合定義不同的訪問需求， 它們會被歸入一個有序隊列中，每 次取出最先匹配的一個元素使用。換句話說，一個普通的基于角色的約束應(yīng)該被使用。使用默認的配置， 這個一般是一個逗號分隔的角色隊列，一個用戶中的一個必須被允許訪問請求。 intercepturl元素定義了pattern，用來匹配進入的請求 URL，使用一個 ant 路徑語法。 intercepturl pattern=/** access=ROLE_USER / / 這表示，我們要保護應(yīng)用程序中的所有 URL，只有擁有 ROLE_USER 角色的用戶才能訪問。 . 最小 配置 只需要進行如下配置就可以實現(xiàn)安全配置： autoconfig=39。這種情況下， bean 的名字是 springSecurityFilterChain，這是由命名空間創(chuàng)建的用于處理 web 安全的一個內(nèi)部的機制。 . 配置 我們要做的第一件事是把下面的 filter 聲明添加到 文件中： filter filternamespringSecurityFilterChain/filtername filterclass /filterclass /filter filtermapping filternamespringSecurityFilterChain/filtername urlpattern/*/urlpattern /filtermapping 這是為 Spring Security 的 web 機制提供了一個調(diào)用鉤子。 然后我們看一下如何修改 ，使用數(shù)據(jù)庫或其他安全信息參數(shù)。 . 開始使用安全命名空間配置 在本節(jié)中，我 們來看看如何使用一些框架里的主要配置，建立一個命名空間配置。 ? UserDetailsService 密切相關(guān)的認證供應(yīng)器，但往往也需要由其他 bean 需要。 ? AuthenticationProviders 驗證管理器驗證用戶的機制。 ? AccessDecisionManager 提供訪問的決定，適用于 web 以及方法的安全。 ? 業(yè)務(wù)類（方法）安全 可選的安全服務(wù)層。這種設(shè)計是基于框架內(nèi)的大型依賴，可以分割成下面這些部分： ? Web/HTTP安全 最復(fù)雜的部分。你的安全應(yīng)用上下文應(yīng)該像這樣開頭 beans:beans xmlns= xmlns:beans= xmlns:xsi= xsi:schemaLocation= ... /beans:beans 就在這一章里，我們都將假設(shè)使用這種語法。 要開始在你的應(yīng)用環(huán)境里使用 security 命名空間，你所需要的就是把架構(gòu)聲明添加到你的應(yīng)用環(huán)境文件里： beans xmlns= xmlns:security= xmlns:xsi= xsi:schemaLocation= ... /beans 在許多例子里，你會看到（在示例中）應(yīng)用，我們通常使 用 security作為默認的命名空間，而不是 beans，這意味著我們可以省略所有 security 命名空間元素的前綴，使上下文更容易閱讀。使用一個良好的 XML 編輯器來編輯應(yīng)用環(huán)境文件，應(yīng)該提供可用的屬性和元素信息。 簡單元素可能隱藏事實，多種 bean 和處理步驟添加到應(yīng)用環(huán)境中。你可以在 spring 參考文檔 得到更多信息。 要像獲得項目最新的源代碼，使用如下 subversion 命令 : svn checkout runk/ 你可以獲得特定版本的源代碼 ags/. Chapter 2. Security 命名空間配置 . 介紹 從 Spring 開始可以使用命名空間的配置方式。 異常堆棧不再是模糊的黑盒問題，你可以直接找到發(fā)生問題的那一行，查找發(fā)生了什么額外難題。 這樣你可以獲得所有的示例，你可以很容易的建立目前最新的項目。需要 OpenID4Java。用來認證用戶，通過一個外部的 OpenID 服務(wù)。頂級包是 。 . CAS Spring Security 的 CAs 客戶端集成。用來提供安全給特定的領(lǐng)域?qū)ο髮嵗谀愕膽?yīng)用中。 頂級包是 。主包是 。 . Config 包含安全命名控制解析代碼（因此我們不能直接把它用在你的應(yīng)用中）。 你將需要它，如果你需要 Sprin