实战SpringSecurity3.x：企业级安全开发指南

"Spring Security3x开发手册是关于基于Spring Security3框架的安全技术的实战指南，由罗时飞撰写，旨在帮助企业级开发者快速构建安全系统。本书深入剖析了Spring Security的核心特性和使用方法，包括其设计理念、实际操作以及各种安全认证机制。" Spring Security 3.x 是一个强大的Java安全框架，它解决了传统Java EE安全性编程模型的多种问题，如可移植性差、企业级能力不足、不便于集成测试和持续集成(CI)等。该框架以其独特的过滤器链设计，与Web容器解耦，构建在Spring框架之上，提供了丰富的企业级特性。 书中首先介绍了企业级安全的背景，指出传统安全模型的局限性，例如： 1. 可移植性差：传统安全解决方案往往绑定到特定的应用服务器，不便于在不同环境间迁移。 2. 企业级能力差：功能有限，无法满足复杂的企业级安全需求。 3. 集成测试和CI工作不便：安全配置通常与应用代码紧密耦合，使得自动化测试和持续集成变得困难。 4. Spring Security通过提供一个灵活且可扩展的安全层，克服了这些局限，使得开发者可以更专注于业务逻辑。 接下来，书中详细阐述了如何触动Spring Security 3.0，包括下载和运行框架提供的示例应用，如SpringSecurityTutorialApplication和ContactsSampleApplication，以便读者理解其工作原理。这些示例帮助读者了解如何配置和实现Spring Security的各种功能。 在认证支持部分，书中的内容涵盖了Spring Security内置的Java EE应用认证方式，如： 1. 安全性认证概述：安全认证涉及到访问控制和身份验证两个核心概念，它们是矛盾的统一体，既要保护系统安全，又要确保合法用户的正常访问。 2. HTTP BASIC认证：一种简单的认证方式，但存在明文传输密码的风险。 3. HTTP Digest认证：相对安全的认证机制，通过哈希算法处理密码，减少安全风险，同时讨论了MD5加密存储用户密码的方法。 4. HTTP表单认证：适用于大多数Web应用程序的认证方式，Spring Security提供了内置支持，包括登录表单的定制和会话管理。 此外，书中还涵盖了授权、访问控制、记住我功能、会话管理、过滤器链配置等多个主题，旨在为开发者提供全面的Spring Security 3.x实践指导。通过深入学习，读者将能够利用Spring Security构建强大而安全的企业级应用。