SpringSecurity中文教程.pdf_springsecurity教程pdf

4星 · 超过85%的资源需积分: 9 57 浏览量更新于2023-06-17 评论 2 收藏 1.19MB PDF 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

序言 I. 入门 1. 介绍 1.1. Spring Security是什么？ 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config - spring-security-config.jar 1.4.1.4. LDAP - spring-security-ldap.jar 1.4.1.5. ACL - spring-security-acl.jar 1.4.1.6. CAS - spring-security-cas-client.jar 1.4.1.7. OpenID - spring-security-openid.jar 1.4.2. 获得源代码 2. Security命名空间配置 2.1. 介绍 2.1.1. 命名空间的设计 2.2. 开始使用安全命名空间配置 2.2.1. 配置web.xml 2.2.2. 最小 <http> 配置 2.2.2.1. auto-config 包含了什么？ 2.2.2.2. 表单和基本登录选项 2.2.3. 使用其他认证提供器 2.2.3.1. 添加一个密码编码器 2.3. 高级web特性 2.3.1. Remember-Me认证 2.3.2. 添加HTTP/HTTPS信道安全 2.3.3. 会话管理 2.3.3.1. 检测超时 2.3.3.2. 同步会话控制 2.3.3.3. 防止Session固定攻击 2.3.4. 对OpenID的支持 2.3.4.1. 属性交换 2.3.5. 添加你自己的filter 2.3.5.1. 设置自定义 AuthenticationEntryPoint 2.4. 保护方法 2.4.1. <global-method-security> 元素 2.4.1.1. 使用protect-pointcut 添加安全切点 2.5. 默认的AccessDecisionManager 2.5.1. 自定义AccessDecisionManager 2.6. 验证管理器和命名空间 3. 示例程序 3.1. Tutorial示例 3.2. Contacts 3.3. LDAP例子 3.4. CAS例子 3.5. Pre-Authentication例子 4. Spring Security社区 4.1. 任务跟踪 4.2. 成为参与者 4.3. 更多信息 II. 结构和实现 5. 技术概述 5.1. 运行环境 5.2. 核心组件 5.2.1. SecurityContextHolder, SecurityContext 和 Authentication对象 5.2.1.1. 获得当前用户的信息 5.2.2. UserDetailsService 5.2.3. GrantedAuthority 5.2.4. 小结 5.3. 验证 5.3.1. 什么是Spring Security的验证呢？ 5.3.2. 直接设置SecurityContextHolder的内容 5.4. 在web应用中验证 5.4.1. ExceptionTranslationFilter 5.4.2. AuthenticationEntryPoint 5.4.3. 验证机制 5.4.4. 在请求之间保存SecurityContext 。 5.5. Spring Security中的访问控制（验证） 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么？ 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4. 扩展安全对象模型 5.6. 国际化 6. 核心服务 6.1. The AuthenticationManager , ProviderManager 和 AuthenticationProvider s 6.1.1. DaoAuthenticationProvider 6.2. UserDetailsService 实现 6.2.1. 内存认证 6.2.2. JdbcDaoImpl 6.2.2.1. 权限分组 6.3. 密码加密 6.3.1. 什么是散列加密？ 6.3.2. 为散列加点儿盐 6.3.3. 散列和认证 III. web应用安全 7. 安全过滤器链 7.1. DelegatingFilterProxy 7.2. FilterChainProxy 7.2.1. 绕过过滤器链 7.3. 过滤器顺序 7.4. 使用其他过滤器 —— 基于框架 8. 核心安全过滤器 8.1. FilterSecurityInterceptor 8.2. ExceptionTranslationFilter 8.2.1. AuthenticationEntryPoint 8.2.2. AccessDeniedHandler 8.3. SecurityContextPersistenceFilter 8.3.1. SecurityContextRepository 8.4. UsernamePasswordAuthenticationFilter 8.4.1. 认证成功和失败的应用流程 9. Basic（基本）和Digest（摘要）验证 9.1. BasicAuthenticationFilter 9.1.1. 配置 9.2. DigestAuthenticationFilter 9.2.1. Configuration 10. Remember-Me认证 10.1. 概述 10.2. 简单基于散列标记的方法 10.3. 持久化标记方法 10.4. Remember-Me接口和实现 10.4.1. TokenBasedRememberMeServices 10.4.2. PersistentTokenBasedRememberMeServices 11. 会话管理 11.1. SessionManagementFilter 11.2. SessionAuthenticationStrategy 11.3. 同步会话 12. 匿名认证 12.1. 概述 12.2. 配置 12.3. AuthenticationTrustResolver IV. 授权 13. 验证架构 13.1. 验证 13.2. 处理预调用 13.2.1. AccessDecisionManager 13.2.2. 基于投票的AccessDecisionManager实现 13.2.2.1. RoleVoter 13.2.2.2. AuthenticatedVoter 13.2.2.3. Custom Voters 13.3. 处理后决定 14. 安全对象实现 14.1. AOP联盟 (MethodInvocation) 安全拦截器 14.1.1. 精确的 MethodSecurityIterceptor 配置 14.2. AspectJ (JoinPoint) 安全拦截器 15. 基于表达式的权限控制 15.1. 概述 15.1.1. 常用内建表达式 15.2. Web 安全表达式 15.3. 方法安全表达式 15.3.1. @Pre 和 @Post 注解 15.3.1.1. 访问控制使用 @PreAuthorize 和 @PostAuthorize 15.3.1.2. 过滤使用 @PreFilter 和 @PostFilter 16. acegi到spring security的转换方式 16.1. Spring Security是什么 16.2. 目标 16.3. 步骤 16.4. 总结 V. 高级话题 17. 领域对象安全(ACLs) 17.1. 概述 17.2. 关键概念 17.3. 开始 18. 预认证场景 18.1. 预认证框架类 18.1.1. AbstractPreAuthenticatedProcessingFilter 18.1.2. AbstractPreAuthenticatedAuthenticationDetailsSource 18.1.2.1. J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource 18.1.3. PreAuthenticatedAuthenticationProvider 18.1.4. Http403ForbiddenEntryPoint 18.2. 具体实现 18.2.1. 请求头认证（Siteminder） 18.2.1.1. Siteminder示例配置 18.2.2. J2EE容器认证 19. LDAP认证 19.1. 综述 19.2. 在Spring Security里使用LDAP 19.3. 配置LDAP服务器 19.3.1. 使用嵌入测试服务器 19.3.2. 使用绑定认证 19.3.3. 读取授权 19.4. 实现类 19.4.1. LdapAuthenticator实现 19.4.1.1. 常用功能 19.4.1.2. BindAuthenticator 19.4.1.3. PasswordComparisonAuthenticator 19.4.1.4. 活动目录认证 19.4.2. 链接到LDAP服务器 19.4.3. LDAP搜索对象 19.4.3.1. FilterBasedLdapUserSearch 19.4.4. LdapAuthoritiesPopulator 19.4.5. Spring Bean配置 19.4.6. LDAP属性和自定义UserDetails 20. JSP标签库 20.1. 声明Taglib 20.2. authorize 标签 20.3. authentication 标签 20.4. accesscontrollist 标签 21. Java认证和授权服务（JAAS）供应器 21.1. 概述 21.2. 配置 21.2.1. JAAS CallbackHandler 21.2.2. JAAS AuthorityGranter 22. CAS认证 22.1. 概述 22.2. CAS是如何工作的 22.3. 配置CAS客户端 23. X.509认证 23.1. 概述 23.2. 把X.509认证添加到你的web系统中 23.3. 为tomcat配置SSL 24. 替换验证身份 24.1. 概述 24.2. 配置 A. 安全数据库表结构 A.1. User表 A.1.1. 组权限 A.2. 持久登陆（Remember-Me）表 A.3. ACL表 A.3.1. Hypersonic SQL A.3.1.1. PostgreSQL B. 安全命名空间 B.1. Web应用安全 - <http> 元素 B.1.1. <http> 属性 B.1.1.1. servlet-api-provision B.1.1.2. path-type B.1.1.3. lowercase-comparisons B.1.1.4. realm B.1.1.5. entry-point-ref B.1.1.6. access-decision-manager-ref B.1.1.7. access-denied-page B.1.1.8. once-per-request B.1.1.9. create-session B.1.2. <access-denied-handler> B.1.3. <intercept-url> 元素 B.1.3.1. pattern B.1.3.2. method B.1.3.3. access B.1.3.4. requires-channel B.1.3.5. filters B.1.4. <port-mappings> 元素 B.1.5. <form-login> 元素 B.1.5.1. login-page B.1.5.2. login-processing-url B.1.5.3. default-target-url B.1.5.4. always-use-default-target B.1.5.5. authentication-failure-url B.1.5.6. authentication-success-handler-ref B.1.5.7. authentication-failure-handler-ref B.1.6. <http-basic> 元素 B.1.7. <remember-me> 元素 B.1.7.1. data-source-ref B.1.7.2. token-repository-ref B.1.7.3. services-ref B.1.7.4. token-repository-ref B.1.7.5. key 属性 B.1.7.6. token-validity-seconds B.1.7.7. user-service-ref B.1.8. <session-management> 元素 B.1.8.1. session-fixation-protection B.1.9. <concurrent-control> 元素 B.1.9.1. max-sessions 属性 B.1.9.2. expired-url 属性 B.1.9.3. error-if-maximum-exceeded 属性 B.1.9.4. session-registry-alias 和session-registry-ref 属性 B.1.10. <anonymous> 元素 B.1.11. <x509> 元素 B.1.11.1. subject-principal-regex 属性 B.1.11.2. user-service-ref 属性 B.1.12. <openid-login> 元素 B.1.13. <logout> 元素 B.1.13.1. logout-url 属性 B.1.13.2. logout-success-url 属性 B.1.13.3. invalidate-session 属性 B.1.14. <custom-filter> 元素 B.2. 认证服务 B.2.1. <authentication-manager> 元素 B.2.1.1. <authentication-provider>元素 B.2.1.2. 使用 <authentication-provider> 来引用一个 AuthenticationProvider Bean B.3. 方法安全 B.3.1. <global-method-security> 元素 B.3.1.1. secured-annotations 和jsr250-annotations 属性 B.3.1.2. 安全方法使用<protect-pointcut> B.3.1.3. <after-invocation-provider> 元素 B.3.2. LDAP命名空间选项 B.3.2.1. 使用<ldap-server> 元素定义LDAP服务器 B.3.2.2. <ldap-provider> 元素 B.3.2.3. <ldap-user-service> 元素

资源详情

资源评论

资源推荐

Part I. 入门

本指南的后面部分提供对框架结构和实现类的深入讨论，了解它们，对你进行复杂的定

制是十分重要的。在这部分，我们将介绍 Spring Security 3.0，简要介绍该项目的历

史，然后看看如何开始在程序中使用框架。特别是，我们将看看命名控件配置提供了一

个更加简单的方式，在使用传统的 spring bean 配置时，你不得不实现所有类。

我们也会看看可用的范例程序。它们值得试着运行，实验，在你阅读后面的章节之前 -

你可以在对框架有了更多连接之后再回来看这些例子。也请参考项目网站获得构建项

目有用的信息，另外链接到网站，视频和教程。

Chapter 1. 介绍

1.1. Spring Security 是什么？

Spring Security 为基于 J2EE 企业应用软件提供了全面安全服务。特别是使用领先

的 J2EE 解决方案-spring 框架开发的企业软件项目。如果你没有使用 Spring 开发企

业软件，我们热情的推荐你仔细研究一下。熟悉 Spring-尤其是依赖注入原理-将帮助

你更快的掌握 Spring Security。

人们使用 Spring Security 有很多种原因，不过通常吸引他们的是在 J2EE Servlet

规范或 EJB 规范中找不到典型企业应用场景的解决方案。提到这些规范，特别要指出

的是它们不能在 WAR 或 EAR 级别进行移植。这样，如果你更换服务器环境，就要，

在新的目标环境进行大量的工作，对你的应用系统进行重新配置安全。使用 Spring

Security 解决了这些问题，也为你提供了很多有用的，可定制的其他安全特性。

你可能知道，安全包括两个主要操作， “认证”和“验证”（或权限控制）。这就是 Spring

Security 面向的两个主要方向。“认证” 是为用户建立一个他所声明的主体的过程，

（“主体”一般是指用户，设备或可以在你系统中执行行动的其他系统）。 “验证”指的

一个用户能否在你的应用中执行某个操作。在到达授权判断之前，身份的主体已经由

身份验证过程建立了。这些概念是通用的，不是 Spring Security 特有的。

在身份验证层面，Spring Security 广泛支持各种身份验证模式。这些验证模型绝大

多数都由第三方提供，或正在开发的有关标准机构提供的，例如 Internet Engineering

Task Force。作为补充，Spring Security 也提供了自己的一套验证功能。 Spring

Security 目前支持认证一体化和如下认证技术：

 HTTP BASIC authentication headers (一个基于 IEFT RFC 的标准)

 HTTP Digest authentication headers (一个基于 IEFT RFC 的标准)

 HTTP X.509 client certificate exchange (一个基于 IEFT RFC 的标准)

 LDAP (一个非常常见的跨平台认证需要做法，特别是在大环境)

 Form-based authentication (提供简单用户接口的需求)

 OpenID authentication

 基于预先建立的请求头进行认证（比如 Computer Associates Siteminder）

 JA-SIG Central Authentication Service (也被称为 CAS，这是一个流行的

开源单点登录系统)

 Transparent authentication context propagation for Remote Method

Invocation (RMI) and HttpInvoker (一个 Spring 远程调用协议)

 Automatic "remember-me" authentication (这样你可以设置一段时间，避

免在一段时间内还需要重新验证)

 Anonymous authentication (允许任何调用，自动假设一个特定的安全主体)

 Run-as authentication (这在一个会话内使用不同安全身份的时候是非常有

用的)

 Java Authentication and Authorization Service (JAAS)

 JEE Container autentication (这样，你可以继续使用容器管理认证，如果想

的话)

 Kerberos

 Java Open Source Single Sign On (JOSSO) *

 OpenNMS Network Management Platform *

 AppFuse *

 AndroMDA *

 Mule ESB *

 Direct Web Request (DWR) *

 Grails *

 Tapestry *

 JTrac *

 Jasypt *

 Roller *

 Elastic Plath *

 Atlassian Crowd *

 你自己的认证系统(向下看)

(* 是指由第三方提供，查看我们的整合网页，获得最新详情的链接。)

许多独立软件供应商（ISVs, independent software vendors ）采用 Spring

Security，是因为它拥有丰富灵活的验证模型。这样，无论终端用户需要什么，他们

都可以快速集成到系统中，不用花很多功夫，也不用让用户改变运行环境。如果上述

的验证机制都没有满足你的需要，Spring Security 是一个开放的平台，编写自己的验

证机制是十分简单的。 Spring Security 的许多企业用户需要整合不遵循任何特定安

全标准的“遗留”系统，Spring Security 在这类系统上也表现的很好。

有时基本的认证是不够的。有时你需要根据在主体和应用交互的方式来应用不同的安

全措施。比如，你可能，为了保护密码，不被窃听或受到中间人攻击，希望确保请求

只通过 HTTPS 到达。这在防止暴力攻击保护密码恢复过程特别有帮助，或者简单的，

让人难以复制你的系统的关键字内容。为了帮助你实现这些目标，Spring Security

完全支持自动“信道安全”，整合 jcaptcha 一体化进行人类用户检测。

Spring Security 不仅提供认证功能，也提供了完备的授权功能。在授权方面主要有

三个领域，授权 web 请求，授权被调用方法，授权访问单个对象的实例。为了帮你了

解它们之间的区别，对照考虑授在 Servlet 规范 web 模式安全，EJB 容器管理安全，

和文件系统安全方面的授权方式。 Spring Security 在所有这些重要领域都提供了完

备的能力，我们将在这份参考指南的后面进行探讨。

1.2. 历史

Spring Security 开始于 2003 年年底，““spring 的 acegi 安全系统”。起因是 Spring

开发者邮件列表中的一个问题，有人提问是否考虑提供一个基于 spring 的安全实现。

在当时 Spring 的社区相对较小（尤其是和今天的规模比！），其实 Spring 本身是从

2003 年初才作为一个 sourceforge 的项目出现的。对这个问题的回应是，这的确是

一个值得研究的领域，虽然限于时间问题阻碍了对它的继续研究。

有鉴于此，一个简单的安全实现建立起来了，但没有发布。几周之后，spring 社区的

其他成员询问安全问题，代码就被提供给了他们。随后又有人请求，在 2004 年一月

左右，有 20 人在使用这些代码。另外一些人加入到这些先行者中来，并建议在

sourceforge 上建立一个项目，项目在 2004 年 3 月正式建立起来。

在早期，项目本身没有自己的认证模块。认证过程都是依赖容器管理安全的，而 acegi

则注重授权。这在一开始是合适的，但随着越来越多用户要求提供额外的容器支持，

基于容器认证的限制就显现出来了。还有一个有关的问题，向容器的 classpath 中添

加新 jar，常常让最终用户感到困惑，又容易出现配置错误。

随后 acegi 加入了认证服务。大约一年后，acegi 成为 spring 的官方子项目。经过了

两年半在许多生产软件项目中的活跃使用和数以万计的改善和社区的贡献，1.0.0 最终

版本发布于 2006 年 5 月。

acegi 在 2007 年年底，正式成为 spring 组合项目，被更名为“Spring Security”。

现在，Spring Security 成为了一个强大而又活跃的开源社区。在 Spring Security

支持论坛上有成千上万的信息。有一个积极的核心开发团队专职开发，一个积极的社

区定期共享补丁并支持他们的同伴。

1.3. 发行版本号

了解 spring Security 发行版本号是非常有用的。它可以帮助你判断升级到新的版本是

否需要花费很大的精力。我们使用 apache 便携式运行项目版本指南，可以在以下网

址查看 http://apr.apache.org/versioning.html。为了方便大家，我们引用页面

上的一段介绍：

“版本号是一个包含三个整数的组合：主要版本号.次要版本号.补丁。基本思路是主要

版本是不兼容的，大规模升级 API。次要版本号在源代码和二进制要与老版本保持兼

容，补丁则意味着向前向后的完全兼容。”

1.4. 获得 Spring Security

你可以通过多种方式获得 Spring Security。你可以下载打包好的发行包，从 Spring

的网站下载页，下载单独的 jar（和实例 WAR 文件）从 Maven 中央资源库（或者

SpringSource Maven 资源库，获得快照和里程碑发布）。可选的，你可以通过源代

码创建项目。参考项目网站获得更多细节。

1.4.1. 项目模块

在 Spring Security 3.0 中，项目已经分割成单独的 jar，这更清楚的按照功能进行分

割模块和第三方依赖。如果你在使用 Maven 来构建你的项目，你需要把这些模块添

加到你的 pom.xml 中。即使你没有使用 Maven，我们也推荐你参考这个 pom.xml 文

件，来了解第三方依赖和对应的版本。可选的，一个好办法是参考实例应用中包含的

依赖库。

1.4.1.1. Core - spring-security-core.jar

包含了核心认证和权限控制类和接口，运程支持和基本供应 API。使用 Spring

Security 所必须的。支持单独运行的应用，远程客户端，方法（服务层）安全和 JDBC

用户供应。包含顶级包：

 org.springframework.security.core

 org.springframework.security.access

 org.springframework.security.authentication

 org.springframework.security.provisioning

 org.springframework.security.remoting

1.4.1.2. Web - spring-security-web.jar

包含过滤器和对应的 web 安全架构代码。任何需要依赖 servlet API 的。你将需要它，

如果你需要 Spring Security Web 认证服务和基于 URL 的权限控制。主包是

org.springframework.security.web。

1.4.1.3. Config - spring-security-config.jar

包含安全命名控制解析代码（因此我们不能直接把它用在你的应用中）。你需要它，如

果使用了 Spring Security XML 命名控制来进行配置。主包是

org.springframework.security.config。

1.4.1.4. LDAP - spring-security-ldap.jar

LDAP 认证和实现代码，如果你需要使用 LDAP 认证或管理 LDAP 用户实体就是必须的。

顶级包是 org.springframework.security.ldap。

1.4.1.5. ACL - spring-security-acl.jar

处理领域对象 ACL 实现。用来提供安全给特定的领域对象实例，在你的应用中。顶级

包是 org.springframework.security.acls。

1.4.1.6. CAS - spring-security-cas-client.jar

Spring Security 的 CAs 客户端集成。如果你希望使用 Spring Security web 认证整

合一个 CAS 单点登录服务器。顶级包是 org.springframework.security.cas。

1.4.1.7. OpenID - spring-security-openid.jar

OpenID web 认证支持。用来认证用户，通过一个外部的 OpenID 服务。

org.springframework.security.openid。需要 OpenID4Java。

1.4.2. 获得源代码

Spring Security 是一个开源项目，我们大力推荐你从 subversion 获得源代码。这

样你可以获得所有的示例，你可以很容易的建立目前最新的项目。获得项目的源代码

对调试也有很大的帮助。异常堆栈不再是模糊的黑盒问题，你可以直接找到发生问题

的那一行，查找发生了什么额外难题。源代码也是项目的最终文档，常常是最简单的

方法，找出这些事情是如何工作的。

要像获得项目最新的源代码，使用如下 subversion 命令:

svn checkout

http://acegisecurity.svn.sourceforge.net/svnroot/acegisecurity/

spring-security/trunk/

Security 命名空间配置

2.1. 介绍

从 Spring-2.0 开始可以使用命名空间的配置方式。使用它呢，可以通过附加 xml 架

构，为传统的 spring beans 应用环境语法做补充。你可以在 spring 参考文档得到更

多信息。命名空间元素可以简单的配置单个 bean，或使用更强大的，定义一个备用配

置语法，这可以更加紧密的匹配问题域，隐藏用户背后的复杂性。简单元素可能隐藏

事实，多种 bean 和处理步骤添加到应用环境中。比如，把下面的 security 命名元素

添加到应用环境中，将会为测试用途，在应用内部启动一个内嵌 LDAP 服务器：

<security:ldap-server />

这比配置一个 Apache 目录服务器 bean 要简单得多。最常见的替代配置需求都可以

使用 ldap-server 元素的属性进行配置，这样用户就不用担心他们需要设置什么，不

用担心 bean 里的各种属性。

[1]

。使用一个良好的 XML 编辑器来编辑应用环境文件，

剩余139页未读，继续阅读

Qimi丶z

2014-07-05

不错，很适合入门

xuoluo1

粉丝: 0
资源: 1

会员权益专享

Spring Security 中文教程.pdf

评论28

会员权益专享

最新资源

Spring Security 中文教程.pdf

评论28

SpringSecurity课程文档下载 pdf 教学

Spring Security 实战干货.pdf

spring security 3.0入门教程PDF

spring security+jwt+oauth2.0 pdf

深入浅出SpringSecurity的pdf

spring security的流程

springboot3 教程 pdf

spring技术内幕:深入解析spring架构与设计原理 pdf

spring 技术实战4pdf

spring实战5 pdf

spring实战（第5版） pdf

springmvc教程

spring boot+vue 3 大型前后端分离项目实战 pdf

springboot 2攻略 pdf

springcloud和springboot先

vue+springboot前后端分离开发实战 pdf下载

ouath2 项目实战

vue+springboot前后端分离开发实战pdf

用java写一个基于ssm的课程资源管理系统

叶片截面的结构参数和几何参数包括哪些

会员权益专享

最新资源