SpringSecurity参考手册_SpringSecurity中文版.pdf_springsecurity中文文档资源-CSDN文库

需积分: 23 132 浏览量 2019-10-12 00:31:26 上传评论收藏 2.92MB PDF 举报

资源详情

资源评论

Spring Security 
参
考
手
册
Ben Alex⋅Luke Taylor⋅Rob Winch⋅Gunnar Hillert
Table of Contents
前
言
入
门
简
介
Spring Security
是
什么
?
历史
发
布
版
本
号
Getting Spring Security
Spring Security 4.1
新
特
性
Java 
配
置
提
升
Web
应
用
程
序
安
全
性
提
升
授
权
改
进
密
码
模
块
的
改
进
测
试
的
改
进
一
般
的
改
进
样
品和
指
南
 (Start Here)
Java 
配
置
基
础的
网
站
安
全
java
配
置
HttpSecurity
Java
配
置
和
表
单
登
录
验
证请
求
处
理
登
出
验
证
多
个
HttpSecurity
方
法
安
全
已
配
置
对
象
的
后
续
处
理
安
全
命名
空
间
配
置
简
介
开
始
使
用
安
全
命名
空
间
配
置
高
级
web
功
能
方
法
安
全
默
认
的
 AccessDecisionManager
验
证
管
理
器
和命名
空
间
应
用
程
序
示
例
Tutorial 
示
例
Contacts 
示
例
LDAP 
示
例
OpenID 
示
例
CAS 
示
例
JAAS 
示
例
Pre-Authentication 
示
例
Spring Security 
社
区
问题
跟踪
成
为
参
与
者
更
多
信
息
架构
与
实
现
技
术
概
述
运
行
环
境
核
心
组
件
验
证
在
Web
应
用
程
序
中
的
身
份
验
证
Spring Security
的
访
问
控
制
(
授
权
)
Localization
核
心
服
务
The AuthenticationManager, ProviderManager and AuthenticationProvider
UserDetailsService
实
现
Password Encoding
Testing
Testing Method Security

Spring Data 
整
合
Spring 
数据
 & Spring 
安
全
配
置
安
全
的
表
达
 @Query
Appendix
安
全
数据
库
模
式
用
户
模
式
持
续
登
录
 (
记
住
我
) Schema
ACL Schema
安
全
空
间
Web
应
用
安
全
WebSocket 
安
全
认证
服
务
方
法
安
全
性
LDAP
命名
空
间
选
项
Spring Security
依
赖
关
系
spring-security-core
spring-security-remoting
spring-security-web
spring-security-ldap
spring-security-con
ﬁ
g
spring-security-acl
spring-security-cas
spring-security-openid
spring-security-taglibs
Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。
前
言
Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的，我们试图为你提供一个有用的并
且高度可配置的安全系统。
安全是一个不断移动的目标，采取一个全面的全系统的方法很重要。在安全领域，我们鼓励你采取"layers of security"(安全层)，这样每一层尽
可能的在自己范围内诶保证安全，连续的层提供额外的安全性。安全层更密集你的程序将更加健壮更加安全。在最底层，你需要处理传输安
全和系统识别这些问题，以减少中间人攻击。接下来，你讲通常利用防火墙，或许使用VPN或者IP担保以确保只有授权的系统能够尝试连
接。在企业环境中你可以部署一个DMZ将面向公众的服务器和数据库以及应用服务器分隔开来。你的操作系统也将扮演重要的部分，解决
问题，类似，使用非特权用户运行进程和提高文件系统安全性。操作系统通常会配置自己的防火墙。但愿在某处前进的道路上，你会试图阻
止拒绝服务和暴力攻击。一个入侵检测系统将在监视和相应攻击时非常有用，这种系统能采取保护动作，比如实时阻断违规的TCP/IP地址。
在更高的层，你的java虚拟机希望被配置为尽量减少不同的java类型授予的权限，然后将你的应用程序增加到器自身的制定域特定的安全配
置。Spring Security 使后者 ，应用程序将更加安全更加容易。
当然你需要妥善处理上面提到的所有安全层，连同各层的管理因素。这样的管理因素答题包括安全公告监测、补丁、人员审查、审计、变更
控制、工程管理系统、数据备份、灾难恢复、性能基准测试、负载监控、集中式日志记录、事件相应程序等。
Spring Secruity 致力于在企业应用程序安全层对你进行帮助，你会发现这里有如此不同的需求正如业务问题的领域。一个银行应用程序具有
与电子商务应用不同的需求。电子商务应用程序同企业销售自订花工具具有不同的需求。这些定制需求使得应用安全有趣、有挑战性和有回
报。
请阅读入门第二部分, 从“入门”开始。 这一章将为你介绍的框架和基于命名空间的配置系统，你可以配置好应用，来了解Spring Security 如何
工作和一些你可能 需要使用的类 。你需要阅读 架构与实现。本指南的其余部分是更传统的引用样式结构，设计用于按需进行阅读。我们也
建议你尽可能于都完一般的应用安全问题。Spring Secruity 不是万能的，不能解决所有的安全问题。重要的实在应用设计开始之初就考虑到
安全性。后期改造不是一个好的主意。特别是，如果你正在构件一个Web应用程序，你应该知道许多潜在的漏洞，比如跨站脚本、请求伪造
和会话劫持。这些你一开始就应该考虑。这个网站 (http://www.owasp.org/) 维护了一个大网站应用漏洞列表和一些有用的参考信息。
我希望这个参考手册对你来说比较有用，欢迎你的反馈和建议。 suggestions.
最后欢迎你来到Spring Security 社区。 community.
入
门
本指南的稍后张杰会对框架的架构和实现类进行一个深度的讨论，如果你的相对Spring Security进行一个深度定制没这一章节将会包含你需要
了解的内容。在本章我们将会介绍Spring Security 3.0 给项目的历史进行简要的概述，简单的讲讲如何开始使用设个框架。尤其是我们将看看
命名空间配置，他提供与传统Spring Bean你必须连接所有实现类的途径更简单的方式保护你的应用程序。
我们也会看看实例应用。在你阅读后面的章节之前你指的试着运行体验它。当时你对框架连接更多的时候你还可以汇过来回顾一下。 project
website (http://spring.io/spring-security) 同时请参阅项目的网站，因为他有创建这个项目的有用的信息，以及文章、视频和教程。

简

介

Spring Security

是

什么

Spring Security 提供了基于javaEE的企业应有个你软件全面的安全服务。这里特别强调支持使用SPring框架构件的项目，Spring框架是企业软

件开发javaEE方案的领导者。如果你还没有使用Spring来开发企业应用程序，我们热忱的鼓励你仔细的看一看。熟悉Spring特别是一来注入原

理两帮助你更快更方便的使用Spring Security。

人们使用Spring Secruity的原因有很多，单大部分都发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景所需的深度。

提到这些规范，重要的是要认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境，这里有典型的大量工作去重新配置你的应

用程序员安全到新的目标环境。使用Spring Security 解决了这些问题，也为你提供许多其他有用的，可定制的安全功能。

正如你可能知道的两个应用程序的两个主要区域是“认证”和“授权”（或者访问控制）。这两个主要区域是Spring Security 的两个目标。“认

证”，是建立一个他声明的主题的过程（一个“主体”一般是指用户，设备或一些可以在你的应用程序中执行动作的其他系统）。“授权”指确定

一个主体是否允许在你的应用程序执行一个动作的过程。为了抵达需要授权的店，主体的身份已经有认证过程建立。这个概念是通用的而不

只在Spring Security中。

在身份验证层，Spring Security 的支持多种认证模式。这些验证绝大多数都是要么由第三方提供，或由相关的标准组织，如互联网工程任务

组开发。另外Spring Security 提供自己的一组认证功能。具体而言，Spring Security 目前支持所有这些技术集成的身份验证：

HTTP BASIC 认证头 (基于 IETF RFC-based 标准)

HTTP Digest 认证头 ( IETF RFC-based 标准)

HTTP X.509 客户端证书交换 ( IETF RFC-based 标准)

LDAP (一个非常常见的方法来跨平台认证需要, 尤其是在大型环境)

Form-based authentication (用于简单的用户界面)

OpenID 认证

Authentication based on pre-established request headers (such as Computer Associates Siteminder) 根据预先建立的请求有进行验证

JA-SIG Central Authentication Service (CAS，一个开源的SSO系统 )

Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (Spring远程协议)

Automatic "remember-me" authentication (你可以勾选一个框以避免预定的时间段再认证)

Anonymous authentication (让每一个未经验证的访问自动假设为一个特定的安全标识)

Run-as authentication (在一个访问应该使用不同的安全标识时非常有用)

Java Authentication and Authorization Service (JAAS)

JEE container autentication (所以如果愿你以可以任然使用容器管理的认证)

Kerberos

Java Open Source Single Sign On (JOSSO) *

OpenNMS Network Management Platform *

AppFuse *

AndroMDA *

Mule ESB *

Direct Web Request (DWR) *

Grails *

Tapestry *

JTrac *

Jasypt *

Roller *

Elastic Path *

Atlassian Crowd *

Your own authentication systems (see below)

表示由第三方提供

很多独立软件供应商，因为灵活的身份验证模式二选择Spring Security。这样做允许他们快速的集成到他们的终端客户需求的解决方案而不用

进行大量工程或者改变客户的环境。如果上面的验证机制不符合你的需求，Spring Security 是一个开放的平台，要实现你自己的验证机制检

查。Spring Security 的许多企业用户需要与不遵循任何安全标准的“遗留”系统集成，Spring Security可以很好的与这类系统集成。

剩余128页未读，继续阅读

评论收藏

内容反馈

Spring Security 参考手册_Spring Security中文版.pdf

评论0

最新资源

Spring Security 参考手册_Spring Security中文版.pdf

评论0

最新资源

相关推荐

Spring Security参考手册中文版

Spring Security 参考手册 中文版

Spring Security 参考手册_Spring Security中文版

Spring Security 参考手册Spring Security中文版

spring security 参考文档.pdf

spring-security-core-5.0.7.RELEASE-API文档-中文版.zip

spring-security 官方文档 中文版

Spring security4.1 中文版参考手册 PDF版

SpringSecurity.pdf

Spring Security4.1版本中文参考手册百度网盘地址

Spring Security Reference中文版

Spring Security 中文教程.pdf

Spring Security.pdf

Spring Security 2.0 参考手册.pdf

acegi(Spring Security) 参考手册

Spring Security 5.1 中文 参考手册 中文文档

Spring Security 中文官方文档

Spring Security 2.0.x中文参考文档.pdf

SpringSecurity中文文档.zip

CCIE Security 面试题库

Spring Security 3.0.1 中文官方文档

Spring Security 4.1 中文文档@www.java1234.com.pdf

Spring Security3中文文档

Spring_Security-3中文版

初识 Spring Security - v1.1.pdf

Spring Security 3.x 参考手册 中文版 CHM版

Spring Security 3.1.pdf

Spring Security 参考手册中文版

spring-security 官方文档中文版

Spring Security 5.1 中文参考手册中文文档

Spring Security 3.x 参考手册中文版 CHM版