一、Spring Security基础了解

1、一、spring security基础了解公司目前在用spring security框架,用来控制权限;平安包含两块一,验证 1.效验用户合法性 2.对一些受庇护的信息是否可拜访二,认证 1.当验证1通过,可以给该用户或者说是主体授权这两块用了很久,但今日还想了一会,又查了查所谓(aa，authentiion和authorization，普通翻译成认证和授权。认证是识别客户，授权的前提是认证，授权给指定客户权限。)认证是对用户是否可以执行操作的推断或者说是授权验证是对用户权限推断,是否可执行一些特定操作目前支持认证一体化和如下认证技术：http basic authentication hea

2、ders (一个基于ieft rfc 的标准)http digest authentication headers (一个基于ieft rfc 的标准)http x.509 client certificate change (一个基于ieft rfc 的标准)ldap (一个十分频繁的跨平台认证需要做法，特殊是在大环境)fo-bas authentication (提供容易用户接口的需求)openid authentication基于预先建立的哀求头举行认证（比如computer associates siteminder）ja-sig cenal authentication servic

3、e (也被称为cas，这是一个流行的开源单点登录系统)transparent authentication context propagation for remote method invocation(rmi) and httpinvoker (一个spring 远程调用协议)automatic "remember-me" authentication (这样你可以设置一段时光，避开在一段时间内还需要重新验证)anonymous authentication (允许任何调用，自动假设一个特定的平安主体)run-as authentication (这在一个会话内用法不同

4、平安身份的时候是十分实用的)java authentication and authorization service (jaas)jee container autentication (这样，你可以继续用法容器管理认证，假如想的话). core - spring-security-core.jar包含了核心认证和权限控制类和接口， 运程支持和基本供给api。用法spring security所必需的。支持单独运行的应用， 远程客户端，办法（服务层）平安和jdbc 用户供给。包含顶级包：org.springframework.security.coreorg.springfra

5、visioningorg.springframework.security.remoting. web - spring-security-web.jar包含过滤器和对应的web 平安代码。任何需要依靠servlet api 的。你将需要它，如果你需要spring security web 认证服务和基于url 的权限控制。主包是org.springframework.security.w

6、eb。. config - spring-security-config.jar包含平安命名控制解析代码（因此我们不能挺直把它用在你的应用中）。你需要它， 假如使用了spring security xml 命名控制来举行配置。主包是org.springframework.security.config。. ldap - spring-security-ldap.jarldap 认证和实现代码，假如你需要用法ldap 认证或管理ldap 用户实体就是必需的。顶级包是org.springframework.security.ldap。. acl - spr

7、ing-security-acl.jar处理领域对象acl 实现。用来提供平安给特定的领域对象实例，在你的应用中。顶级包是org.springframework.security.ac。. cas - spring-security-cas-client.jarspring security 的cas 客户端集成。假如你希翼用法spring security web 认证整合一个cas 单点登录服务器。顶级包是org.springframework.security.cas。. openid - spring-security-open.jaropenid web

8、认证支持。用来认证用户， 通过一个外部的openid 服务。org.springframework.security.openid。需要openid4java。1.4.2. 获得源代码spring security 是一个开源项目，我们大力推举你从bversion 获得源代码。这样你可以获得全部的示例，你可以很简单的建立目前最新的项目。获得项目的源代码对调试也有很大的协助。异样堆栈不再是含糊的黑盒问题，你可以挺直找到发生问题的那一行，查找发生了什么额外难题。源代码也是项目的终于文档，经常是最容易的办法，找出这些事情是如何工作的。要像获得项目最新的源代码，用法如下subversion :svn

9、checkout 命名空间配置从spring-2.0开头可以用法命名空间的配置方式。用法它呢，可以通过附加xml 架构，为传统的spring beans 应用环境语法做补充。你可以在spring 参考文档得到更多信息。命名空间元素可以容易的配置单个bean，或用法更强大的，定义一个备用配置语法，这可以越发紧密的匹配问题域，躲藏用户背后的复杂性。容易元素可能躲藏事实，多种bean 和处理步骤添加到应用环境中。比如，把下面的security 命名元素添加到应用环境中，将会为测试用途，在应用内部启动一个内嵌ldap 服务器： security:ldap-server / 这比配置一个apache 名

10、目服务器bean 要容易得多。最频繁的替代配置需求都可以用法ldap-server 元素的属性举行配置，这样用户就不用不安他们需要设置什么，不用不安bean里的各种属性。1。用法一个良好的xml 编辑器来编辑应用环境文件，应当提供可用的属性和元素信息。我们推举你尝试一下springsource 工具套件由于它具有处理spring 组合命名空间的特别功能。要开头在你的应用环境里用法security 命名空间，你所需要的就是把架构声明添加到你的应用环境文件里： beans xms="/schema/beans" xmln

11、s:security="/schema/security" xmlns:xsi="/2001/xmlschema-instae" xsi:schemalocation="/schema/beans /schema/beans/spring-beans-3.0.xsd /schema/s

12、ecurity /schema/security/spring-security-3.0.xsd" /beans 在许多例子里，你会看到（在示例中）应用，我们通常用法"security"作为默认的命名空间，而不是"beans"，这意味着我们可以省略全部security 命名空间元素的前缀，使上下文更简单阅读。假如你把应用上下文分割成单独的文件，让你的平安配置都放到其中一个文件里，这样更简单用法这种配置办法。你的平安应用上下文应当像这样开始 beans:beans xmlns="/schema/security" xmlns:beans="/schema/beans" xmlns:xsi="/2001/xmlschema-instance" xsi:schemalocation="/schema/beans http:/w