【正文】 SpringSource Maven資源庫，獲得快照和里程碑發(fā)布）。 . 項目模塊 在 Spring Security 中，項目已經(jīng)分割成單獨的 jar，這更清楚的按照功能進行分割模塊和第三方依賴。即使你沒有使用 Maven，我們也推薦你參考這個 文件，來了解第三方依賴和對應的版本。 . Core 包含了核心認證和權限控制類和接口，運程支持和基本供應 API。支持單獨運行的應用，遠程客戶端，方法（服務層）安全和 JDBC 用戶供應。任何需要依賴 servlet API 的。 主包是。你需要它， 如果使用了 Spring Security XML 命名控制來進行配置。 . LDAP LDAP 認證和實現(xiàn)代碼，如果你需要使用 LDAP 認證或管理 LDAP用戶實體就是必須的。 . ACL 處理領域對象 ACL 實現(xiàn)。 頂級包是。如果你希望使用 Spring Security web 認證 整合一個CAS 單點登錄服務器。 . OpenID OpenID web 認證支持。 。 . 獲得源代碼 Spring Security 是一個開源項目，我們大力推薦你從 subversion 獲得源 代碼。 獲得項目的源代碼對調試也有很大的幫助。 源代碼也是項目的最終文檔，常常是最簡單的方法，找出這些事情是如何工作的。使用它呢，可以通過附加 xml 架構，為傳統(tǒng)的 spring beans 應用環(huán)境語法做補充。命名空間元素可以簡單的配置單個 bean，或使用更強大的，定義一個備用配置語法，這可以更加緊密的匹配問題域，隱藏用戶背后的復雜性。比如，把下面的 security 命名元素添加到應用環(huán)境中，將會為測試用途，在應用內部啟動一個內嵌 LDAP 服務器： security:ldapserver / 這比配置一 個 Apache 目錄服務器 bean 要簡單得多 ,最常見的替代配置需求都可以使用ldapserver 元素的屬性進行配置，這樣用戶就不用擔心他們需要設置什么，不用擔心 bean里的各種屬性。 我們推薦你嘗試一下 SpringSource 工具套件 因為它具有處理 spring 組合命名空間的特殊功能。如果你把應用上下文分割成單獨的文件，讓你的安全配置都放到其中一個文件里，這樣更容易使用這種配置方法。 . 命名空間的設計 命名空間被用來設計成 處理框架內最常見的功能，提供一個簡化和簡潔的語法，使他們在一個應用程序里。設置過濾器和相關的服務 bean來應用框架驗證機制，保護 URL，渲染登錄和錯誤頁面還有更多。 ? AuthenticationManager 通過框架的其它部分，處理認證請求。一個默認的主體會被注冊，但是你也可以選擇自定義一個，使用正常的 spring bean 語法進行聲明 。 該命名空間提供幾種標準選項，意味著使用傳統(tǒng)語法添加自定義 bean。 下一章中，我們將看到如何把這些放到一起工作。 我們假設你最初想要盡快的啟動運行，為已有的 web 應用添加認證支持和權限控制，使用一些測試登錄。在以后的章節(jié)里我們將引入更多高級的命名空間配置選項。 DelegatingFilterProxy 是一個Spring Framework 的類，它可以代理一個 application context 中定義的 Spring bean 所實現(xiàn)的 filter。注意，你不應該自己使用這個 bean 的名字 ， 一旦你把這個添加到你的 中，你就準備好開始編輯 你 的 application context 文件了 ，web 安全服務是使用 元素配置的。true39。元素是所有 web 相關的命名空間功能的上級元素。 access 屬性定義了請求匹配了指定模式時的需求。 前綴 “ ROLE_” 表示的是一個用戶應該擁有的權限比對。 Spring Security 中的訪問控制不限于簡單角色的應用（因此，我們使用不同的前綴來區(qū)分不同的安全屬性） ， 我們會在后面看到這些解釋是可變的 。所以你必須把期望使用的匹配條件放到最上邊。對于一個模式同時定義在定義了 method 和未定義 method 的情況，指定 method的匹配會無視順序優(yōu)先被使用。也可以從一個標 準 properties 文件中讀取這些信息，使用 userservice 的 properties 屬性 （ 參考inmemory authentication 獲得更多信息 ） ， 使用 authenticationprovider元素意味著用戶信息將被認證管理用作處理認證請求。 現(xiàn)在，你可以啟動程序，然后就會進 入登錄流程了 ， 試試這個，或者試試工程里的 “ tutorial”例子 。 如果你熟悉以前的版本，你很可能已經(jīng)猜到了這里是怎么回事。 authenticationprovider元素 創(chuàng)建了一個 DaoAuthenticationProvider bean，userservice元素創(chuàng)建了一個 InMemoryDaoImpl。你可以在 命名空間附錄 中找到關于創(chuàng)建這個 bean的更新信息。 . autoconfig包含了什么？ 我們在上面用到的 autoconfig 屬性，其實是下面這些配置的縮寫： formlogin / basic / logout / / 這些元素分別與 formlogin，基本認證和注銷處理對應。 . 表單和基本登錄選項 你也許想知道，在需要登錄的時候，去哪里找這個登錄頁面，到現(xiàn)在為止我們都沒有提到任何的 HTML 或 JSP 文件。然而，命名空間提供了許多支持，讓你可以自定義這些選項。true39。/39。這個 formlogin 元素會覆蓋默認的設置。 否則，這些請求會被 /**部分攔截，它沒法訪問到登錄頁面。 如果你的登錄頁面是被保護的 ， Spring Security會在日志中發(fā)出一個警告 。true39。/39。使用 access=39。作為一個選擇方式如果你還想要安全過濾器鏈起作用。true39。 在這種配置中，表單登錄依然是可用的，如果你還想用的話，比如，把一個登錄表單內嵌到其他頁面里。你也可以把 alwaysusedefaulttarget屬性配置成 true，這樣 用戶就會 一直 跳轉 到這一頁（無論登陸是 “ 跳轉過來的 ” 還是用戶特定進行登陸）。/*39。none39。/**39。ROLE_USER39。/39。/39。true39。多數(shù)情況下，你會想把用戶信息保存到數(shù)據(jù)庫或者是 LDAP 服務器里。如果你自定義了一個 Spring Security 的UserDetailsService 實現(xiàn)，在你的 application context 中名叫 myUserDetailsService，然后你可以使用下面的驗證。myUserDetailsService39。另外，你可以配置一個 Spring Security JdbcDaoImpl bean，使用 userserviceref 屬性指定 ： authenticationmanager authenticationprovider userserviceref=39。/ /authenticationmanager beans:bean id=myUserDetailsService class= beans:property name=dataSource ref=dataSource/ /beans:bean 你也可以使用標準的 AuthenticationProvider 類，像下面 authenticationmanager authenticationprovider ref=39。/ /authenticationmanager 這里 myAuthenticationProvider 是你的 application context 中的一個 bean 的名字，它實現(xiàn)了 AuthenticationProvider。 . 添加一個密碼編碼器 你的密碼數(shù)據(jù)通常要使用一種散列算法進行編碼 ， 使用 passwordencoder元素支持這個功能 ， 使用 SHA 加密密碼，原始的認證供應器配置，看起來就像這樣： authenticationmanager authenticationprovider passwordencoder hash=sha/ userservice user name=jimi password=d7e6351eaa13189a5a3641bab846c8e8c69ba39f authorities=ROLE_USER, ROLE_ADMIN / user name=bob password=4e7421b1b8765d8f9406d87e7cc6aa784c4ab97f authorities=ROLE_USER / /userservice /authenticationprovider /authenticationmanager 在使用散列密碼時，用鹽值防止字典攻擊是個好主意， Spring Security 也支持這個功能。比如，使用 username 屬性，你可以這樣用： passwordencoder hash=sha saltsource userproperty=username/ /passwordencoder 你可以通過 passwordencoder 的 ref 屬性，指定一個自定義的密碼編碼器 bean。 . 高級 web 特性 . RememberMe 認證 參考 RememberMe 章 獲得 rememberme 命名空間配置的詳細信息 。 可用的選項有 , 或 any。 如果你的程序使用的不是 HTTP或 HTTPS的標準端口，你可以用下面的方式指定端口對應關系： ... portmappings portmapping =9080 =9443/ /portmappings / . 會話管理 . 檢測超時 你可以配置 Spring Security 檢測失效的 session ID，并把用戶轉發(fā)到對應的 URL。 ... sessionmanagement invalidsessionurl=// / . 同步會話控制 如果你希望限制單個用戶只能登錄到你的程序一次， Spring Security 通過添加下面簡單的部分支持這個功能。通常我們更想防止第二次登錄，這時候我們可以使用 ... sessionmanagement concurrencycontrol maxsessions=1 errorifmaximumexceeded=true / /sessionmanagement / 第二次登錄將被阻止，通過 “ 注入 ” ，我們的意思是用戶會被轉發(fā)到authenticationfailureurl，如果使用了 formbased 登錄。如果你希望使用一個錯誤頁面替代，你可以在 sessionmanagement 中添加sessionauthenticationerrorurl 屬性。更多的細節(jié)可以在 會話管理章節(jié) 找到。 Spring Security 通過在用戶登錄時，創(chuàng)建一個新 session 來防止這個問題。這是默認 值。 ? newSession 創(chuàng)建一個新的 “ 干凈的 ”session ，不會復制 session 中的數(shù)據(jù)。也可能選擇一個特定的UserDetailsService bean 來使用 OpenID，通過設置元素。請注意，上面用戶配置中我們省略了密碼屬性，因為這里的用戶數(shù)據(jù)只用來為數(shù)據(jù)讀取數(shù)據(jù)。 . 屬性交換 支持 OpenID 的 屬性交換 。確切的 schema 和對屬性的支持會依賴于你使用的 OpenID 提供器。 ListOpenIDAttribute attributes = ()。我們將看到更多關于 SecurityContextHolder 如何使用的信息，只要我們在 技術概述 章節(jié)瀏覽核心Spring Security 組件。你也許想把你自己的過濾器添加到鏈條的特定位置，或者使用一個 Spring Security的過濾器，這個過濾器現(xiàn)在還沒有在命名空間配置中進行支持（比如 CAS）。你如何在命名空間配置里實現(xiàn)這些功能呢？過濾器鏈現(xiàn)在已經(jīng)不能直接看到了。當 application context 創(chuàng)建時，過濾器 bean 通過 namespace 的處理代碼進行排序，標準的 spring security 過濾器都有自己的假名和一個容易記憶的位置。在 +版本中，執(zhí)行會在 bean 元元素級別被執(zhí)行，在 bean 實例化之前。 有關創(chuàng)建過濾器的過濾器，假名和命名空間元素，屬性可以在 Table .“ 標準過濾器假名和順序 ” 中找到。 Table . 標準過濾器假名