Spring Security框架中文手册：Acegi安全系统与Servlet过滤器保护

"Spring Security框架的中文版PDF详细解读了如何部署和使用该框架，内容涵盖了Acegi安全系统、Servlet过滤器的使用、基于数据库或LDAP的身份认证以及方法调用的保护。" Spring Security（原名Acegi）是一个强大的、高度可定制的安全框架，专门为基于Spring的应用程序提供安全防护。它通过利用Spring的依赖注入（DI）和面向切面编程（AOP）特性，实现了安全性的分离，使得应用的核心业务逻辑不受安全代码的影响，从而保持代码的清晰和可维护性。 1. Acegi安全系统介绍 Acegi（现为Spring Security的一部分）为Spring应用程序提供了声明式的安全控制，允许开发者通过配置来定义哪些用户、角色或权限可以访问特定的资源。它提供了一系列的Bean，这些Bean可以在Spring应用上下文中配置，以执行如认证、授权等安全任务。此外，Acegi还支持Web应用的安全性，通过Servlet过滤器拦截请求，确保只有经过身份验证的用户才能访问受保护的页面或资源。 2. 使用Servlet过滤器保护Web应用系统 在Web应用中，Acegi使用Servlet过滤器机制来实现安全控制。每当有HTTP请求到达时，过滤器会检查请求是否符合预设的安全策略，如果用户未认证或无权访问，Acegi会阻止请求并可能重定向到登录页面。这种机制使得保护Web应用变得简单且高效，无需在每个控制器或服务方法中添加安全检查代码。 3. 基于数据库或LDAP进行身份认证 Acegi（Spring Security）支持多种身份验证机制，包括基于数据库的用户账户存储和 Lightweight Directory Access Protocol (LDAP)。通过连接到数据库或LDAP服务器，Acegi能够验证用户提供的凭证，如用户名和密码，以确认他们的身份。这样，开发者可以灵活地集成现有的用户认证系统，而无需重新实现认证逻辑。 4. 透明地对方法调用进行保护 除了Web层的保护，Acegi还提供了一种称为“方法安全”的特性，可以对服务层的方法调用进行安全控制。通过AOP，Acegi能够动态地插入安全拦截器，检查调用方法的用户是否具备执行该操作的权限。这确保了即使在非Web环境中，如后台服务或批处理作业，也能得到恰当的安全控制。 总结起来，Spring Security（Acegi）是Spring生态中不可或缺的安全组件，它提供了全面、灵活的安全解决方案，覆盖了从Web应用到服务层的方法调用的全方位保护。通过深入理解和应用这个框架，开发者可以构建出既强大又安全的Spring应用系统。