【正文】 g Security Web 認(rèn)證服務(wù)和基于 URL 的權(quán)限控制。包含頂級(jí)包： ? ? ? ? ? . Web 包含過濾器和對(duì)應(yīng)的 web 安全架構(gòu)代碼。使用 Spring Security 所必須的?？蛇x的，一個(gè)好辦法是參考實(shí)例應(yīng)用中包含的依賴庫(kù)。如果你在使用 Maven 來(lái)構(gòu)建你的項(xiàng)目，你需要把這些模塊添加到你的 中。 可選的，你可以通過源代碼創(chuàng)建項(xiàng)目 ， 參考項(xiàng)目網(wǎng)站獲得更多細(xì)節(jié)。 ” . 獲得 Spring Security 你可以通過多種方式獲得 Spring Security?；舅悸肥侵饕姹臼遣患嫒莸?，大規(guī)模升級(jí) API。它可以幫助你判斷升級(jí)到新的版本是否需要花費(fèi)很大的精力。有一個(gè)積極的核心開發(fā)團(tuán)隊(duì)專職開發(fā)，一個(gè)積極的社區(qū)定期共享補(bǔ)丁并支持他們的同伴。 現(xiàn)在， Spring Security 成為了一個(gè)強(qiáng)大而又活躍的開源社區(qū)。 經(jīng)過了兩年半在許多生產(chǎn)軟件項(xiàng)目中的活躍使用和數(shù)以萬(wàn)計(jì)的改善和社區(qū)的貢獻(xiàn)， 最終版本發(fā)布于 2021 年 5月。還有一個(gè)有關(guān)的問題，向容器的 classpath 中添加新 jar，常常讓最終用戶感到困惑，又容易出現(xiàn)配置錯(cuò)誤。認(rèn)證過程都是依賴容器管理安全的，而 acegi 則注重授權(quán)。另外一些人加入到這些先行者中來(lái)，并建議在 sourcefe 上建立一個(gè)項(xiàng)目，項(xiàng)目在 2021 年 3月正式建立起來(lái)。幾周之后， spring 社區(qū)的其他成員詢問安全問題，代碼就被提供給了他們。對(duì)這個(gè)問題的回應(yīng)是，這的確是一個(gè)值得研究的領(lǐng)域，雖然限于時(shí)間問題阻礙了對(duì)它的繼續(xù)研究。起因是 Spring 開發(fā)者郵件列表中的一個(gè)問題，有人提問是否考慮提供一個(gè)基于 spring 的安全實(shí)現(xiàn)。 Spring Security 在所有這些重要領(lǐng)域都提供了完備的能力，我們將在這份參考指南的后面進(jìn)行探討。在授權(quán)方面主要有三個(gè)領(lǐng)域，授權(quán) web 請(qǐng)求，授權(quán)被調(diào)用方法，授權(quán)訪問單個(gè)對(duì)象的實(shí)例。為了幫助你實(shí)現(xiàn)這些目標(biāo)， Spring Security完全支持自動(dòng) “ 信道安全 ” ，整合 jcaptcha一體化進(jìn)行人類用戶檢測(cè)。比如， 為了保護(hù)密碼，不被竊聽或受到中間人攻擊，希望確保請(qǐng)求只通過 HTTPS 到達(dá)。 Spring Security 的許多企業(yè)用戶需要整合不遵循任何特定安全標(biāo)準(zhǔn)的 “ 遺留 ” 系統(tǒng)， Spring Security 在這類系統(tǒng)上也表現(xiàn)的很好。這樣，無(wú)論終端用戶需要什么，他們都可以快速集成到系統(tǒng)中，不用花很多功夫，也不用讓用戶改變運(yùn)行環(huán)境。 Spring Security 目前支持認(rèn)證一體化和如下認(rèn)證技術(shù)： ? HTTP BASIC authentication headers (一個(gè)基于 IEFT RFC 的標(biāo)準(zhǔn) ) ? HTTP Digest authentication headers (一個(gè)基于 IEFT RFC 的標(biāo)準(zhǔn) ) ? HTTP client certificate exchange (一個(gè)基于 IEFT RFC 的標(biāo)準(zhǔn) ) ? LDAP (一個(gè)非常常見的跨平臺(tái)認(rèn)證需要做法，特別是在大環(huán)境 ) ? Formbased authentication (提供簡(jiǎn)單用戶接口的需求 ) ? OpenID authentication ? 基于預(yù)先建立的請(qǐng)求頭進(jìn)行認(rèn)證 （比如 Computer Associates Siteminder） ? JASIG Central Authentication Service (也被稱為 CAS，這是一個(gè)流行的開源單點(diǎn)登錄系統(tǒng) ) ? Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (一個(gè) Spring 遠(yuǎn)程調(diào)用協(xié)議 ) ? Automatic rememberme authentication (這樣你可以設(shè)置一段時(shí)間，避免在一段時(shí)間內(nèi)還需要重新驗(yàn)證 ) ? Anonymous authentication (允許任何調(diào)用，自動(dòng)假設(shè)一個(gè)特定的安全主 體 ) ? Runas authentication (這在一個(gè)會(huì)話內(nèi)使用不同安全身份的時(shí)候是非常有用的 ) ? Java Authentication and Authorization Service (JAAS) ? JEE Container autentication (這樣，你可以繼續(xù)使用容器管理認(rèn)證，如果想的話 ) ? Kerberos ? Java Open Source Single Sign On (JOSSO) * ? OpenNMS Network Management Platform * ? AppFuse * ? AndroMDA * ? Mule ESB * ? Direct Web Request (DWR) * ? Grails * ? Tapestry * ? JTrac * ? Jasypt * ? Roller * ? Elastic Plath * ? Atlassian Crowd * ? 你自己的認(rèn)證系統(tǒng) (向下看 ) (* 是指由第三方提供，查看我們的 整合網(wǎng)頁(yè) ，獲得最新詳情的鏈接。這些驗(yàn)證模型絕大多數(shù)都由第三方提供，或正在開發(fā)的有關(guān)標(biāo)準(zhǔn)機(jī)構(gòu)提供的，例如 Inter Engineering Task Force。這些概念是通用的，不是 Spring Security 特有的。 “ 驗(yàn)證 ” 指的一個(gè)用戶能否在你的應(yīng)用中執(zhí)行某個(gè)操作。這就是 Spring Security 面向的兩個(gè)主要方向。 使用 Spring Security 解決了這些問題，也為你提供了很多有用的，可定制的其他安全特性。提到這些規(guī)范，特別要指出的是它們不能在 WAR 或 EAR 級(jí)別進(jìn)行移植。熟悉 Spring 尤其是依賴注入原理將幫助你更快的掌握 Spring Security。特別是使用領(lǐng)先的 J2EE解決方案 spring 框架開發(fā)的企業(yè)軟件項(xiàng)目。也請(qǐng)參考 項(xiàng)目網(wǎng)站 獲得構(gòu)建項(xiàng)目有用的信息，另外鏈接到網(wǎng)站，視頻和教程。 我們也會(huì)看看可用的 范例程序。在這部分，我們將介紹 Spring Security ，簡(jiǎn)要介紹該項(xiàng)目的歷史，然后看看如何開始在程序中使用框架。 最后，歡迎加入 Spring Security 社區(qū) 。 OWASP 網(wǎng)站（ web 應(yīng)用脆弱性前十名的名單，還有很 多有用的參考信息。企圖改造它也不是一個(gè)好主意。 Spring Security 也不是萬(wàn)能的，它不可能解決所有問題。本指 南的其余部分使用了較傳統(tǒng)的參考文檔方式，請(qǐng)按照自己的需要選擇閱讀的部分。它向你介紹了整個(gè)框架和以命名空間為基礎(chǔ)系統(tǒng)配置方式，讓你可以很快啟動(dòng)并運(yùn)行系統(tǒng)。這些客戶化需求讓應(yīng)用安全顯得有趣，富有挑戰(zhàn)性而且物有所值。銀行系統(tǒng)跟電子商務(wù)應(yīng)用就有很大的不同 。 這些管理因素具體包括：安全公告檢測(cè)，補(bǔ)丁，人工診斷，審計(jì)，變更管理，工程管理系統(tǒng)，數(shù)據(jù)備份，災(zāi)難回復(fù)，性能評(píng)測(cè)，負(fù)載檢測(cè)，集中日志，應(yīng)急反應(yīng)程序等等。 Spring Security 使后者 應(yīng)用程序安全變得更容易。這些系統(tǒng)可以實(shí)時(shí)屏蔽惡意 TCP/IP 地址。 然后你要防止針對(duì)系統(tǒng)的拒絕服務(wù)和暴力攻擊。在以非授權(quán)用戶運(yùn)行進(jìn)程和文件系統(tǒng)安全最大化上，你的操作系統(tǒng)也將扮演一個(gè)關(guān)鍵的角色。接下來(lái)，我們 通常會(huì)使用防火墻，結(jié)合 VPN 或 IP 安全來(lái)確保只有獲得授權(quán)的系統(tǒng)才能嘗試連接。每層自身越是 “ 緊密 ” ，你的程序就會(huì)越安全。 安全問題是一個(gè)不斷變化的目標(biāo)，更重要的是尋求一種全面的，系統(tǒng)化的解決方案。序言 Spring Security 為基于 J2EE 的企業(yè)應(yīng)用軟件提供了一套全面的安全解決方案。正如你在本手冊(cè)中看到的那樣，我們嘗試為您提供一套好用，高可配置的安全系統(tǒng)。在安全領(lǐng)域我們建議你采取 “ 分層安全 ” ，這樣讓每一層確保本身盡可能的安全，并為其他層提供額外的安全保障。在底層，你需要處理傳輸安全和系統(tǒng)認(rèn)證，減少 “ 中間人攻擊 ” （ maninthemiddle attacks）。在企業(yè)環(huán)境中，你可能會(huì)部署一個(gè) DMZ（ demilitarized zone，隔離區(qū)），將面向公眾的服務(wù)器與后端數(shù)據(jù)庫(kù)，應(yīng)用服務(wù)器隔離開。操作系統(tǒng)通常配置了自己的防火墻。入侵檢測(cè)系統(tǒng)在檢測(cè)和應(yīng)對(duì)攻擊的時(shí)候尤其有用。 在更高層上 ， 你需要配置 Java 虛擬機(jī)，將授予不同 java 類 型權(quán)限最小化，然后，你的應(yīng)用程序要添加針對(duì)自身特定問題域的安全 配置 。 當(dāng)然，你需要妥善處理上面提到的每個(gè)安全層，以及包含于每個(gè)層的管理因素。 Spring Security 關(guān)注的重點(diǎn)是在企業(yè)應(yīng)用安全層為您提供服務(wù)，你將發(fā)現(xiàn)業(yè)務(wù)問題領(lǐng)域存在著各式各樣的需求。電子商務(wù)系統(tǒng)與企業(yè)銷售自動(dòng)化工具又有很大不同。 請(qǐng)閱讀 Part I, “ 入門 ” 部分，以它作為開始。要是想更多的了解 Spring Security 是如何工作和一些你可能需要用到的類，你應(yīng)該閱讀 Part II, “ 結(jié)構(gòu)和實(shí)現(xiàn) ” 部分。我們也推薦你閱讀盡可能多的在應(yīng)用安全中可能出現(xiàn)的一般問題。重要的一點(diǎn)，應(yīng)用程序應(yīng)該從一開始就為安全做好設(shè)計(jì)。特別的，如果你在制作一個(gè) web 應(yīng)用，你應(yīng)該知道許多潛在的脆弱性，比如跨域腳本，偽造請(qǐng)求和會(huì)話劫持，這些都是你在一開始就應(yīng)該考慮到的。 我們希望你覺得這是一篇很有用的參考指南，并歡迎您提供反饋意見和 建議 。 Part I. 入門 本指南的后面部分提供對(duì)框架結(jié)構(gòu)和實(shí)現(xiàn)類的深入討論，了解它們，對(duì)你進(jìn)行復(fù)雜的定制是十分重要的。特別是，我們將看看命名 空間 配置提供了一個(gè)更加簡(jiǎn)單的方式，在使用傳統(tǒng)的 spring bean 配置時(shí)，你不得不實(shí)現(xiàn)所有類。它們值得試著運(yùn)行，實(shí)驗(yàn)，在你閱讀后面的章節(jié)之前 ， 你可以在對(duì)框架有了更多連接之后再回來(lái)看這些例子。 Chapter 1. 介紹 . Spring Security 是什么？ Spring Security 為基于 J2EE 企業(yè)應(yīng)用軟件提供了全面安全服務(wù)。如果你沒有使用 Spring 開發(fā)企業(yè)軟件，我們熱情的推薦你仔細(xì)研究一下。 人們使用 Spring Security 有很多種原因，不過通常吸引他們的是在 J2EE Servlet 規(guī)范或EJB 規(guī)范中找不到典型企業(yè)應(yīng)用場(chǎng)景的解決方案。這樣，如果你更換服務(wù)器環(huán)境， 就要 在新的目標(biāo)環(huán)境進(jìn)行大量的工作，對(duì)你的應(yīng)用系統(tǒng)進(jìn)行重新配置安全 。 你可能知道，安全包括兩個(gè)主要操作， “ 認(rèn)證 ” 和 “ 驗(yàn)證 ” （或權(quán)限控制）。 “ 認(rèn)證 ” 是為用戶建立一個(gè)他所聲明的主體的過程，（ “ 主體 ” 一般是指用戶，設(shè)備或可以在你系統(tǒng)中執(zhí)行行動(dòng)的其他系統(tǒng)）。在到達(dá)授權(quán)判斷之前，身份的主體已經(jīng)由身份驗(yàn)證過程建立了。 在身 份驗(yàn)證層面， Spring Security 廣泛支持各種身份驗(yàn)證模式。作為補(bǔ)充， Spring Security 也提供了自己的一套驗(yàn)證功能。 ) 許多獨(dú)立軟件供應(yīng)商（ ISVs, independent software vendors）采用 Spring Security，是因?yàn)樗鼡碛胸S富靈活的驗(yàn)證模型。 如果上述的驗(yàn)證機(jī)制都沒有滿足你的需要， Spring Security 是一個(gè)開放的平臺(tái)，編寫自己的驗(yàn)證機(jī)制是十分簡(jiǎn)單的。 有時(shí)基本的認(rèn)證是不夠的 ， 有時(shí)你需要 根據(jù)在主體和應(yīng)用交互的方式來(lái)應(yīng)用不同的安全措施。這在防止暴力攻擊保護(hù)密碼恢復(fù)過程特別有幫助，或者簡(jiǎn)單的，讓人難以復(fù)制你的系統(tǒng)的關(guān)鍵字內(nèi)容。 Spring Security 不僅提供認(rèn)證功能，也提供了完備的授權(quán)功能。為了幫你了解它 們之間的區(qū)別，對(duì)照考慮授在 Servlet 規(guī)范 web 模式安全， EJB 容器管理安全，和文件系統(tǒng)安全方面的授權(quán)方式。 . 歷史 Spring Security 開始于 2021 年年底， “spring 的 acegi 安全系統(tǒng) ” 。在當(dāng)時(shí)Spring 的社區(qū)相對(duì)較?。ㄓ绕涫呛徒裉斓囊?guī)模比?。?，其實(shí) Spring 本身是從 2021 年初才作為一個(gè) sourcefe 的項(xiàng)目出現(xiàn)的。 有鑒于此，一個(gè)簡(jiǎn)單的安全實(shí)現(xiàn)建立起來(lái)了，但沒有發(fā)布。隨后又有人請(qǐng)求，在 2021 年一月左右，有 20 人在使用這些代碼。 在早期，項(xiàng)目本身沒有自己的認(rèn)證模塊。這在一開始是合適的，但隨著越來(lái)越多用戶要求提供額外的容器支持，基于容器認(rèn)證的限制就顯現(xiàn)出來(lái)了。 隨后 acegi 加入了認(rèn)證服務(wù) ， 大約一年后， acegi 成為 spring 的官方子項(xiàng)目。 acegi 在 2021 年年底，正式成為 spring 組合項(xiàng)目，被更名為 “ Spring Security” 。在 Spring Security 支持論壇上有成千上萬(wàn)的信息。 . 發(fā)行版本號(hào) 了解 spring Security 發(fā)行版本號(hào)是非常有用的。我們使用 apache 便攜式運(yùn)行項(xiàng)目版本指南，可以在以下網(wǎng)址查看 用頁(yè)面上的一段介紹： “ 版本號(hào)是一個(gè)包含三個(gè)整數(shù)的組合：主要版本號(hào) .次要版本號(hào) .補(bǔ)丁。次要版本號(hào)在源代碼和二進(jìn)制要與老版本保持兼容，補(bǔ)丁則意味著向前向后的完全兼容。你可以下載打包好的發(fā)行包，從 Spring 的網(wǎng)站 下載頁(yè) ，下載單獨(dú)的 jar（和實(shí)例 WAR 文件）從 Maven 中央資源庫(kù)（或者