springsecurity3.x开发手册.pdf

所需积分/C币:48 2015-11-20 23:22:50 1.42MB PDF
9
收藏 收藏
举报

springsecurity3.x开发手册.pdf
153.匿名用户的限制… 第16章防御会话伪造 78 16.1.攻击场景… .78 162.解决会话伪造. 第17章预先认证 999 17.1.为 Jetty!7置 Realm… 172.配置 Spring Sccurity 7788 第18章切换用户 18.1.配置方式 18.2.实例演示 4 第19章信道安全 .85 19.1.设置信道安全 192指定htp和htts端冂1… 85 第20章 digest认证 86 20.1.配置 digest!验证 202使用aax实现 digest认证 20.3.编程实现 digest客户端 第21章通过LDAP获取用户信息 88 第22章通过 OpenId进行脊录 22.1.配置. 222.系统时间问题… .92 第23章使用X509登录 23.1.生成证书… ···.·; 93 232.配置服冬器使用双向加密...94 23.3.配置X509认证 94 第24章使用NTLM登录(无法成功登陆) 警告 95 第25章使用JAAS机制 第26章使用 Httplnvoker. 102 第27章使用ri 103 第28章控制 portal的权限 第29章保存登录之前的请求 部分Ⅲ.内部机制篇 106 第30章保护方法调用… 4“······+·+···· .106 30.1.控制全局范围的方法权限…… 06 302.控制某个bean内的方法权限 使用 Jintercept-methods面临着几个问题 30.3.使用 annotation控制方法权限 108 30.3.1.使用 Secured. 30.32.使用jsr250 .109 第31章权限管理的基本概念 ·“+·“··· 111 31.1.认证与验证 “着自面新““自““自自“ 2. Security Context安全上下文 31.3. Authentication验证对象 112 第32章oter表决者 32.1. Voter表决者 113 32. 2. Role voter 114 323. Authenticated voter 32. 4. Abstractaclvoter .115 第33章拦截器…..115 331.权限配置数据源 115 332.权限管理器 33.3.后置调用管理器 117 334.临时分配额外权限…… 117 第34章用户信息 118 34. 1. UscrDctails 342.使用角色继承… l18 343.为ACL添加角色继承 .119 344. PasswordEncoder和SatⅤaue 122 第35章集成 captcha 第36章动态资源管理 124 36.1.基本知识 362.读取资源 24 36.3.URL资源扩展点 36.4. METHOD资源扩展点126 第37章扩展 UserDetails .126 37.1.实现 UserDetails接1 126 372.实现 UserDetailsService接口 128 37.3.修改配置文件.… 129 374.测试运行 129 第38章锁定用户 130 第39章设置过滤器链. 132 警告 132 第40章自定义过滤器. 134 第41章使用用户组.… 136 41.1.数据库结构 136 41.2.修改配置文件 138 第42章在JSF中使用 Spring securit!y.. 138 42.1.修改过滤器支持 forward 139 422.自定义登录页面 139 42.3.显示密码错误信息.. 140 第43章自定义会话管理 142 43.1.默认策略的缺陷. 432.记录用户名与ip 143 43.3.改造控制类. ·“+·“··· 144 43.4.修改配置文件 145 第44章匹配URL地址 46 44. 1. AntUrlPathMatcher 146 44.2. RegexUrlPath Matcher.... .147 44.3. lowercase-comparisons 147 第45章配置过滤器 .148 45.1.标准过滤器 452.在http中启用标准过滤器 149 453.为自定义过滤器设置位置. 150 部分ⅣVACL篇 第46章ACL基木操作 46.1.准备数据库和 aclService 151 46.1.1.为aC配置 cache… 151 46.12.配置 lookup Strategy 46.1.3.配置 acIScrvico 462.使用 aclService管里acl信息 153 46.3.使用acl控制 delete操作 154 46.4.控制用户可以看到哪些信息 第47章管理acl… 158 47.1.管理多个 domain类 158 472.动态授权与收回授…..159 47.2.1.获得对象的acl权限 .159 47.22.添加授权… 4723.收回报权… 161 第48章acl自动提醒 481.自动创建ac ···.·; 482.自动删除ac1. 和丰·和。和和和·和 483.根据id删除acl 166 部分V最佳实践篇 第49章最简控制台 “面B“面面由“面面“面“ 49.1.平台搭建 169 492.用户登录 ...171 49.3.用户信息列表 172 494.添加用户 49.5.修改用户信息… 176 49.6.修改自己的密码 177 第50章用户组控制台…… 179 50.1.添加对用户组的支持 502.浏览用户组… 179 50.3.创建用户组 50.4.修改用户组. 181 附录B.常见问题解答…. 附录C. Spring Security-3.0.0.M1 C.I. Hello world 185 C.2. Spring-EL……… 185 C.3. Rolehierarchy C 4. Success Handler 187 5 C.5.REST下的权限控制 附录D.命名空间 D.1.htp…… 190 D 2. authentication-provider ..191 D.3. ldap-server 192 D 4. global-method-security 附录E.数据库表结构 E.1.U E 2 Group 194 E. 3. RememberMe 194 E,4.ACL 194 附录F.异常 org. springframework. securily…… .195 org. springframework security. concurrent 196 org. springframework security confi 196 org.springframework security.ldap.…… 196 org.springframework sccurity provider 196 org. springer .k securi p org.springframeworksecurity userdetails .197 org. springframework security userdetails. hierarchicalroles org.springframework securily ui. digestauth 197 org. springframework sccurity ui. prcauth .197 org. springframework security. ui rememberme 197 附录G事件 ……197 认证事件 197 验证事件 附录H.RBAC模型(转载) “面B“面面自由“面面“面“B自自自自国“面 198 H1.RBAC模型介绍… H2.有关概念 H2.1.什么是角色 H22.角色与用户组 ? H3.基本模型RBAC H.3.1.RBAC0模型的形式定义如下.202 H4角色分级模型RBAC1 4“······+·+···· ∏41.定义2:RBAC1由以下内容确定 204 H.5.限制模型RBAC2 204 H.51.定义3: 204 H6.统一模型RBAC3 206 H7.定义4 207 H8.在 ARBAC97中,包括三种组件 208 H9.RBAC模型的特点…… ·“+·“··· 6 序言 为啥选择 Spring security 欢迎阅读咱们写的 Spring security教程,咱们既不想写一个简单的入门教程,也 不想翻译已有的国外教程。咱们这个教程就是建立在咱们自己做的OA的基础 上,一点一滴总结出来的经验和教训。 首先必须一提的是, Spring sccurity出身名门,它是 Spring的一个子项 htt/ static springsource. org/spring- security/site/index. html它之前有个很响亮的名 字 Acegi。这个原本坐落在snet上的项日,后来终于因为跟 espring的紧密连接,在 20时成为了 Spring的一个子项目 即使是在开源泛滥的Java领域,统一权限管理框架依然是稀缺的,这也是为什 么 Spring security( Acegi已岀现就受到热捧的原因,据俺们所知,直到现在也」 看到 apache社区的 Jsecurity在做同样的事情。(据小道消息, Jsecurity还很稚嫩。) pring Security( Acegi)支持·大堆的权限功能,然后它又和 Spring这个当今超流 行的框架整合的很紧密,所以我们选择它。实际上自从 Acegi时代它就很有名了。 内容结构组织 咱们要循序渐进,深入浅岀的把藂个教程分成几个阶段,一点一点儿慢慢写。反 正不用赶稿,从头开始慢慢考虑如何更好的整理自己的思绪不会是一种浪费时间 行为 第Ⅰ部分“基础篇”。环境搭建,进行最简单的配置。 第∏部分“侏护web篇”。谈谈对ur的权限控制。 第Ⅲ部分“内部机制篇”。对方法调用进行权限控制。 第Ⅳ部分“ACL篇”。实现ACL( Access Control list)。 第Ⅴ部分“最仹实践篇”。包含最佧实践,可以当做是OA甲权限模块的总结。 意见反馈 咱们的例了都是·运行过的,文档内容都是好几个人复审过的。但是毕竞百密 疏,没人敢说自己不会犯错,所以如果同志们在文档或者例子上发现了任何问 题,可以通过以下几个途径跟咱们联系。 论坛:http://www.family168com/bbs。 Email:xyz20003@gmail.com QQ群:3038490。 其实个只是错误,如果对咱们的东西有什么改进意见,或者有什么需要讨论的, 不用见外,直接用以上途径找咱们聊天。 相关信息 如果想了解 Spring sccurity或是OA相关的更多信息,请访问我们的网站 htt/www.familyl68com或在论坛htt:wwfamilyl68com/bbs中参与相关讨 论。 教程相关的实例代码可以从 google code上下载: http://code.googlecom/p/family168/downloads/detail?name=springsecurity-sample.ra 我们的网站暂时围绕着OA相关的各个技术进行研究,希望大家在这方面对我们 提出各种意见。 部分Ⅰ.基础篇 在一开始,我们主要谈谈怎么配置 Spring Security,怎么使用 Spring Security 为了避免在每个例了中重复包含所有的第三方依赖,要知道 Spring. jar就有2M多, 所以我们使用了 Maven2管理项。如果你的机器上还没安装 Maven2,那么可以 参考我们网站提供的 Maven2教程 http://www.family168.com/oa/maven2/htmlindex.html 我们用使用的第三方依赖厍关系如下所示: inFo dependency: tree I INFO. com. family168 springsecuritybook: ch001: war: 0.1 INFO org. springframework. security: spring-security-taglibs: jar: 2.0.5. RELEASE: compile ⊥NO+ org. springframework security: spring-security-core: jar: 2.0. 5 RELEASE: compile INFO +-org springframework: spring-core: jar: 2. 0. 8: compile INFO org. springframework: spring-context: jar: 2.0. 8: compile INFO - aopalliance: aopalliance: jar: 1.0: compile ⊥NO t-org. springframework: spring aop: jar: 2.0. 8: compile INFO org. springframework: spring support: jar: 2.0. 8: runtime INFO ommons-logging: commons-logging: jar: 1.1.1: compile INFO commons-codec: commons-codec: jar: 1.3: compile INFO commons-collections: commons-collections: jar: 3. 2: compile INFO org. springframework. security: spring-security-acl: jar: 2. 5. RELEASE: compile NFO org springframework: spring jdbc: jar: 2.0. 8: compile INFO - org. springframework: spring-dao: jar: 2. 8: compile INF0-org. springframework: spring-web: jar: 2.0.8: compile INFO \ -org. spring framework: spring-beans: jar: 2. 0.8: compile 第1章一个简单的 Hello world Spring Security中可以使用 Acegi-1x时代的普通配置方式,也可以使用从2.0时 代才出现的命名空间配置方式,实际上这两者实现的功能是完全一致的,只是新 的命名空问配置方式可以把原来需要几百行的配置压缩成短短的几十行。我们的 教程中都会使用命名空间的方式进行配置,凡事务求最简。 1】.配置过滤器 为了在项目中使用 Spring Security控制权限,首先要在web,xm中配置过滤器 这样我们就可以控制对这个项∏的每个请求 <filter <filter- name>springSecuritylilter Chain</filter-name> Kfilter-classyorg springframework web. filter. DelegatingFilterProxy/filter-class> K/filter> Kfilter-mapping> <filter-name>springSecurityl'ilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 所有的用户在访问项目之前,都要先通过 Spring Security的检测,这从第一时间 把没有授权的请求排除在系统之外,保证系统资源的安全。关于过滤器配冒的更 多讲解可以参考 http://www.family168.com/tutorialisp/html/isp-ch-07.html#isp-ch-07-03-01 12.使用命名空间 在 application Context. xml中使用 Spring Security提供的命名空间进行配置。 K?mI version=1.0 encoding=UTF-8?> <beans:beansxmlns-http://www.springframeworkorg/schema/securityo xmins:beans=http://www.springframeworkorg/schema/beans xmins:xsi=http://www.w3.org/2001/xmlschema-instance xsischemalocationhttp://www.springframeworkorg/schema/beans http ing ork. org/schema/be 2.0. xsd hllp://www.springframeworkorg/schema/securily http://www.springframeworkorg/schema/security/spring-security-2.0.4.xsd> Http auto-config= true'>2 intercept-urI pattern=" admin. jsp"access=ROLE ADMTV"/>3 intercepl-url pallern-"/**k access-"ROLE USER/> Shttp Kauthentication-provider> Kuser-service> Kuser name="admin password="admin authorities="ROLE USER, ROLE ADMIN /4 Kuser name="user password="user authorities=ROLL USER"/> A /user-service> </authentication-provider> K/beans: beans> o声明在xm中使用 Spring security提供的命名空间。 2http部分配置如何拦截用户请求auto-config=true将自动配置儿种常用 的权限控制机制,包括form, anonymous, rememberMe。 6我们利用 intercept-ur1来判断用户需要具有何种权限才能访问对应的url 资源,可以在 pattern中指定一个特定的url资源,也可以使用通配符指定 组类似的ur1资源。例子中定义的两个 intercepter-ur1l,第一个用来控 制对/ admin.jsp的访问,第二个使用了通配符/来,说明它将控制对系统中 所有ur1资源的访问。 在实际使用中, Spring Security采用的是一利就近原则,就是说当用户访 门的ur资源满足多个 lntercepter-ur时,系统将使用第一个符合条件的 Intercept-ur1进行权限控制。在我们这个例子中就是,当用户访问 / admin.jsp时,虽然两个 Interceptor1都满足要求,但因为第一个 10

...展开详情
试读 127P springsecurity3.x开发手册.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • 分享精英

    成功上传11个资源即可获取
关注 私信 TA的资源
上传资源赚积分or赚钱
    最新推荐
    springsecurity3.x开发手册.pdf 48积分/C币 立即下载
    1/127
    springsecurity3.x开发手册.pdf第1页
    springsecurity3.x开发手册.pdf第2页
    springsecurity3.x开发手册.pdf第3页
    springsecurity3.x开发手册.pdf第4页
    springsecurity3.x开发手册.pdf第5页
    springsecurity3.x开发手册.pdf第6页
    springsecurity3.x开发手册.pdf第7页
    springsecurity3.x开发手册.pdf第8页
    springsecurity3.x开发手册.pdf第9页
    springsecurity3.x开发手册.pdf第10页
    springsecurity3.x开发手册.pdf第11页
    springsecurity3.x开发手册.pdf第12页
    springsecurity3.x开发手册.pdf第13页
    springsecurity3.x开发手册.pdf第14页
    springsecurity3.x开发手册.pdf第15页
    springsecurity3.x开发手册.pdf第16页
    springsecurity3.x开发手册.pdf第17页
    springsecurity3.x开发手册.pdf第18页
    springsecurity3.x开发手册.pdf第19页
    springsecurity3.x开发手册.pdf第20页

    试读结束, 可继续阅读

    48积分/C币 立即下载 >