Spring Security 参考手册（二）

正如我们在<<技术授予权，技术综述 >>所看到，所有的Authentication实现存储的列表GrantedAuthority对象.这些代表已被授予主要的的当局.?GrantedAuthority对象是由` authenticationManager?插入到`Authentication?对象，然后读取?AccessDecisionManager做出判断.

GrantedAuthority是一个只有一个方法的接口

这个方法允许AccessDecisionManager?来判断得到一个精确的String表示的` GrantedAuthority?.通过返回一个表示作为一个`String,一个` GrantedAuthority?可以很容易的通过`AccessDecisionManager?来read,如果一个` GrantedAuthority?不能精确地表示为一个`String,` GrantedAuthority?将会被认为是"complex"和`getAuthority()?必须返回为null.

"complex"?GrantedAuthority的一个将一个应用于不同客户帐户号码的操作和权限阈值的列表的实现例子.代表这个复杂的` GrantedAuthority?作为`String将是相当困难的，作为一个结果，` getauthority()?方法应该返回`null.这将对任何` accessDecisionManager?表明它需要明确的支持?GrantedAuthority `实施以了解其内容.

Spring Security包括一个具体的` GrantedAuthority?实施，?grantedauthorityimpl?.这允许用户指定的任何String转换成一种` GrantedAuthority?.所有的?AuthenticationProvider?的包括与安全架构使用?grantedauthorityimpl`填充Authentication对象.

正如我们在<<安全对象、技术综述>>章节中也看到过的,Spring Security,提供拦截控制访问安全对象如方法调用或Web请求。是否允许进行调用前调用的决定是由`AccessDecisionManager `作出判断.

` accessDecisionManager?被?abstractsecurityinterceptor?和负责制定最终的访问控制决策.`AccessDecisionManager接口包含三种方法:

AccessDecisionManager的decide方法传递了它所需要的所有相关信息，以作出授权决策.尤其,通过安全的“对象”，使这些参数包含在实际的安全对象调用中进行检查.例如,让我们假设安全对象是一个MethodInvocation `资料，这将是很容易实现`MethodInvocation对于任何Customer论点.然后执行某种安全逻辑判断、来确保AccessDecisionManager `主允许对客户操作.如果访问被拒绝并抛出`AccessDeniedException?我们的预期就实现了.

如果` accessDecisionManager?可以处理通过?configattribute?,`supports(ConfigAttribute)方法由AbstractSecurityInterceptor?在决定启动时候命名.?supports(Class)?方法被安全拦截器实现，确保配置` accessDecisionManager `支持类型的安全对象的被拦截.

而“AccessDecisionManager”是由“AbstractSecurityInterceptor”在继续之前调用安全对象调用.某些应用程序需要一种方法修改对象的实际安全返回的对象调用.同时您可以很容易地实现自己的AOP实现这一担忧, Spring Security提供了一个方便的钩,几个集成ACL的功能的具体实现.

After Invocation Implementation说明了Spring Security的AfterInvocationManager?以及这个具体实现.

像Spring Security的其他部分，AfterInvocationManager?有一个具体的实现，AfterInvocationProviderManager调查AfterInvocationProvider的表，每一个AfterInvocationProvider允许修改返回对象或抛出AccessDeniedException.的确多个提供者可以修改对象,如之前的供应商的结果传递给下一个列表中.

请注意,如果您正在使用AfterInvocationManager,你仍然需要配置属性,使MethodSecurityInterceptor的AccessDecisionManager允许一个操作.如果您使用的是典型的Spring Security包括“AccessDecisionManager”实现,没有配置属性定义为一个特定的安全方法调用将导致每个“AccessDecisionVoter”投弃权票,相反,如果AccessDecisionManager?性能 “allow IfAllAbstainDecisions”是false就会抛出一个?AccessDeniedException，你可以通过设置“allowIfAllAbstainDecisions”避免这种潜在的问题改变为true（虽然这是一般不推荐），或者（ii）只是确保至少有一个配置属性,一个“AccessDecisionVoter”将投票授权访问，后者(推荐)的方法通常是通过“ROLE_USER”或“ROLE_AUTHENTICATED”配置属性.

它是一个共同的要求，一个特定的应用程序中的角色应该自动"include"其他角色,例如，在一个应用程序中有一个"admin" 和"user"的角色的概念,你可能希望一个管理员能够尽一切正常的用户可以。要做到这一点，你可以确保所有的管理用户也被分配到"user"的角色.另外，您可以修改每一个访问约束，这需要"user"的角色，还包括"admin"的作用.这可能会变得相当复杂，如果你有很多不同的角色在你的应用程序.

使用角色层次结构允许您配置哪些角色（或主管）应包括其他角色（或主管部门）.一个额外的of Spring Security’s?RoleVoter的版本，RoleHierarchyVoter配置了一个` rolehierarchy `，从它获得所有的"reachable authorities"，用户被分配。一个典型的配置可能看起来像这样：

在这里，我们有四个角色在一个层次结构?ROLE_ADMIN ? ROLE_STAFF ? ROLE_USER ? ROLE_GUEST.通过身份验证的用户ROLE_ADMIN, 要表现得好像他们所有的四种角色在安全约束的评价与判断,要表现得好像他们所有的四种角色在安全约束的评价与判断,AccessDecisionManager?配置上述RoleHierarchyVoter.>符号可以被认为是意义的"includes".

角色层次结构提供了一个方便的方法简化了您的应用程序的访问控制配置数据和/或减少您需要分配给用户的权限数.对于更复杂的要求，您可能希望定义您的应用程序所需的特定访问权限和被分配给用户的角色之间的逻辑映射，在加载用户信息时将两者翻译成两者之间的关系.

方法在执行安全使用` methodsecurityinterceptor?,这是一个固定的`MethodInvocation?.根据配置的方法，一个拦截可能是特定的一个单一的bean或多个beans之间的共享.拦截器使用` methodsecuritymetadatasource?实例获取配置属性，适用于一个特定的方法调用.`MapBasedMethodSecurityMetadataSource用于存储配置属性的键控的方法名称（可以使用通配符），将在内部使用时，这些属性定义在应用程序的上下文中使用的<intercept-methods>拦截或<protect-point>元素。

当然你可以使用一个Spring AOP的代理机制配置一个` methodsecurityiterceptor `直接应用程序上下文中:

AspectJ的安全拦截器是AOP联盟安全拦截器在上一节讨论非常相似。事实上，我们将只讨论在这一部分的差异.

AspectJ拦截器被命名为?AspectJSecurityInterceptor.不像AOP联盟安全拦截器，它依赖于Spring应用程序上下文编织的安全拦截器通过代理,AspectJSecurityInterceptor是基于AspectJ编译器.不会罕见的在同一个程序中使用的两种安全拦截器,与AspectJSecurityInterceptor用于域对象实例安全,AOP联盟` methodsecurityinterceptor `用于服务层安全.

让我们首先考虑的是如何AspectJSecurityInterceptor配置在Spring应用程序上下文：

正如你所看到的，除了类名称，AspectJSecurityInterceptor是完全一样的AOP联盟安全拦截器.事实上，两个拦截器可以共享相同的` securitymetadatasource?,作为?securitymetadatasource?作品 `java.lang.reflect.Method而不是AOP库类。当然,你访问的决定获得有关特定AOP库调用（即` MethodInvocation?或`JoinPoint），这样可以使访问的决定时，考虑的范围之外的标准（如方法的参数）.

下次你需要定义一个AspectJ?aspect.例如:

在上面的例子中，安全拦截器将被应用到每一个实例` persistableentity?，这是一个抽象类没有显示（你可以使用任何其他类或`pointcut表达你喜欢）.对于那些好奇的人，` aspectjcallback?是因为?proceed()；声明具有特殊的意义只有在?around()?体。当它想要的目标继续,`AspectJSecurityInterceptor?调用这个匿名` aspectjcallback `类.

你需要配置Spring 负载方面和连接AspectJSecurityInterceptor。一个实现这一的bean声明如下所示：

是这么回事！现在你可以从你的应用程序中的任何地方创建你的豆子，使用任何你认为合适的方式(eg?new Person();)他们会拥有安全拦截器的应用

Spring Security 使用Spring EL来支持，你应该看看如何，如果你有兴趣在更深入了解主题。表达式是用"root object" 评估的，作为评价上下文的一部分。Spring Security使用特定的类用于Web和方法安全作为根对象，以提供内置表达式和访问当前主体的值等.

使用表达式来保护个人网址,首先需要设置“use-expressions”属性的< http >为true.Spring Security预期的“访问”属性的< intercept-url >元素包含Spring EL表达式。一个布尔表达式应该评估,定义是否应该允许访问. 例如:

这里我们定义了应用程序的“admin”区域(定义的URL模式)只能提供给用户授予机关“admin”,其IP地址匹配本地子网.在前一节中我们已经看到内置hasRole表达式。表达“hasIpAddress”是另一个内置的表达式是特定于网络安全.这由WebSecurityExpressionRoot下定义，一个实例时用作表达式根对象评估web访问表达式。这个对象也直接暴露的HttpServletRequest对象的名字“请求”,这样你就可以直接调用请求在一个表达式。如果正在使用表情,“WebExpressionVoter”将被添加到“AccessDecisionManager”所使用的名称空间. 如果你不使用名称空间和想使用表情,你必须添加一个配置.

方法安全性是一个更复杂的比一个简单的规则允许或拒绝，Spring Security 3.0介绍了一些新的注释,以便全面支持表达式的使用.

复杂的应用需要的往往不是简单的得到在web请求或方法调用级别来定义访问权限。而是，安全决议需要包括谁（认证），其中（的MethodInvocation）和什么（一些领域对象）。换句话说，授权决策还需要考虑一个方法调用的实际域对象实例的主题。

想象你正在设计申请宠物诊所。将会有两个主要基于spring的应用程序的用户组:宠物诊所的工作人员,以及宠物诊所的客户。员工将获得的所有数据,而你的客户只能看到自己的客户记录。使它更有趣,你的客户可以让其他用户看到他们的客户记录,例如"puppy preschool"的导师或当地的"Pony Club"的总统。使用Spring安全为基础,有几种方法可以使用:

每一个这些方法是完全合法的。然而,第一对授权检查你的业务代码。主要问题包括增强的困难的单元测试和重用会更困难的Customer授权逻辑。获得“GrantedAuthority[]的从Authentication对象也很好,但不会扩展到大量的Customer。如果用户可以访问5000`Customer`(不可能在这种情况下,但试想一下,如果它是一个受欢迎的兽医大小马俱乐部!)所需的内存消耗和时间来构造对象将是不受欢迎的Authentication。最后的方法,直接从外部代码打开Customer,可能是最好的三个。实现关注点分离,不滥用内存或CPU周期,但它仍然是低效的,“AccessDecisionVoter”和最终的商业方法本身将执行调用DAO负责检索AccessDecisionVoter对象。两个访问每个方法调用显然是不可取的。此外,每个方法列出你需要编写自己的访问控制列表(ACL)从头持久性和业务逻辑.

幸运的是,还有另一个选择,我们下面会讲到.

Spring Security的ACL服务运送spring-security-acl-xxx.jar.您需要将这个JAR添加到类路径中使用Spring安全域对象实例的安全功能.

Spring Security的域对象实例的安全能力中心的概念一个访问控制列表(ACL)。每个域对象实例系统中有自己的ACL,和ACL记录的细节,谁能和不能使用域对象。有鉴于此,Spring Security提供三个主要ACL-related功能应用程序:

第一个要点,Spring Security ACL的的一个主要功能模块提供了一个高性能的方式检索ACL。这个ACL库能力是极其重要的,因为每一个域对象实例系统中可能有多个访问控制条目,并且每个ACL可能继承其他树形结构中的ACL(这是开箱即用的支持由Spring Security,非常常用)。Spring Security的ACL能力都是被仔细设计以提供高性能检索ACL,加上可插入的缓存,deadlock-minimizing数据库更新、独立于ORM框架(我们直接使用JDBC),适当的封装,和透明的数据库更新.

给定数据库ACL的操作模块的核心,让我们探索使用四个主要表的默认实现。下面表的大小在一个典型的Spring Security ACL部署,最后列出的表行:

*最后,ACL_ENTRY存储个人权限分配给每个收件人。ACL_OBJECT_IDENTITY列包括一个外键,收件人ACL_SID(外键),是否我们将审计,整数位屏蔽代表实际的权限被授予或拒绝。我们为每个收件人接收一行允许使用一个域对象.

如最后一段中所述,ACL系统使用整数位屏蔽。别担心,你不需要知道的细微之处,转向使用ACL系统,但是我想说的是,我们有32位我们可以打开或关闭。每一个位代表一个许可,并默认权限阅读(0),写(1),创建(2)、删除(第3位)和管理(4)。很容易实现自己的“许可”实例如果你希望使用其他权限,和其余的ACL框架将没有知识的扩展.

重要的是要理解,域对象的数量在系统完全没有影响我们选择使用整数位屏蔽。虽然你有32位用于权限,你可以有数十亿的域对象实例(这将意味着数十亿行ACL_OBJECT_IDENTITY而且很可能ACL_ENTRY)。我们这一点,因为我们发现有时人们错误地认为他们需要一点对于每一个可能的域对象,这并非如此.

现在我们已经提供了一个基本的概述ACL系统做什么,看起来在一个表结构,让我们探索的关键接口。关键接口:

请注意我们的开箱即用的AclService和相关数据库类都使用ANSI SQL.这是主要的数据库.在写这篇文章的时候,系统已经成功测试了使用超音速SQL,PostgreSQL,Microsoft SQL Server和Oracle.

两个样本船与演示Spring Security ACL模块。第一个是联系人样本,另一个是文档管理系统(DMS)样本。我们建议采取一看这些例子.

要开始使用Spring Security ACL的功能,你需要你的ACL信息存储在某个地方。这需要实例化的DataSource使用Spring。DataSource然后注入JdbcMutableAclService和BasicLookupStrategy?实例。后者提供高性能的ACL检索功能,和前提供增变基因功能。指的一个样本船与Spring Security配置的一个示例。您还需要用四个ACL-specific填充数据库表中列出的最后一部分(参见ACL样本的适当的SQL语句).

一旦您创建了所需的模式和实例化JdbcMutableAclService,接下来将需要确保您的域模型支持互操作性的Spring Security ACL包。希望ObjectIdentityImpl?将是足够的,因为它提供了大量的方法可以使用它。大部分人都有包含?public Serializable getId()的方法。如果返回类型是长,或兼容长(例如int),你会发现你不需要提供进一步的考虑ObjectIdentity问题。许多地方的ACL模块依赖长标识符。如果你不使用长(或int,字节等),有一个非常好的机会你需要重新实现的类。我们不打算支持非long标识符在Spring Security的ACL模块,多头已经兼容所有数据库序列,最常见的标识符的数据类型和长度足够容纳所有常见的使用场景。

以下代码片段显示了如何创建一个Acl,或修改现有Acl:

在上面的示例中,我们检索ACL的44号"Foo" 域对象标识符。我们添加一个ACE,然后名叫"Samantha"能"administer"的对象。代码片段相对明显,除了insertAce方法。insertAce方法的第一个参数是确定在什么位置Acl新条目将被插入。在上面的示例中,我们只是把新的现有ACE。最后一个参数是一个布尔值指示是否允许或拒绝。大部分时间它将授予(真实的),但如果是否认(假),实际上是被屏蔽的权限.

Spring Security并不提供任何特殊的集成自动创建、更新或删除acl DAO或存储库操作的一部分。相反,您需要编写代码如上图所示为你单独的域对象.值得考虑使用AOP在服务层与服务层自动把ACL信息操作.我们发现这在过去的一个相当有效的方法.

一旦你使用上述技术将一些ACL信息存储在数据库中,下一步是实际使用ACL信息作为授权决策逻辑的一部分。这里有许多选择。您可以编写自己的AccessDecisionVoter或AfterInvocationProvider?分别触发一个方法调用之前或之后。这些课程将使用AclService来检索相关的ACL,然后调用的ACL。i`Acl.isGranted(Permission[] permission, Sid[] sids, boolean administrativeMode)决定是否授予或拒绝许可。或者,您可以使用我们的`AclEntryVoter,?AclEntryAfterInvocationProvider?或?AclEntryAfterInvocationCollectionFilteringProvider类。所有这些类提供一个declarative-based方法评估ACL信息在运行时,释放你需要编写任何代码。请参阅示例应用程序来学习如何使用这些类。

因为大多数pre-authentication机制遵循相同的模式,Spring Security一组类,提供一个内部框架实现pre-authenticated身份验证提供者。这个删除复制和允许添加新的实现结构化的方式,无需写一切从头开始。你不需要知道这些类,如果希望使用类似于X.509 authentication,因为它已经有了一个名称空间配置选项,简单的使用和开始使用。如果你需要使用显式的bean配置或计划编写自己的实现提供的实现如何工作的理解将是有用的。你会发现类“org.springframework.security.web.authentication.preauth”。我们在适当的地方提供一个大纲你应该咨询Javadoc和源.

X.509认证被?own chapter覆盖.下面我们来看看一些类,它们提供支持其他pre-authenticated场景.

LDAP作为一个中央存储库对用户信息和身份验证服务是常用的组织.它也可以用于存储应用程序用户的角色信息.这里有一些不同的场景对于如何配置LDAP服务器，因此Spring Security LDAP提供者是完全可配置的，它使用单独的策略为身份验证和角色接口检索,并提供默认的实现,可以配置为处理各种情况.在使用之前你应该熟悉Spring Security LDAP.以下链接提供了一个很好的介绍涉及的概念和使用OpenLDAP免费的LDAP服务器建立一个目录指南http://www.zytrax.com/books/ldap/[http://www.zytrax.com/books/ldap/]. 一些熟悉的JNDI api用于访问LDAP从Java也可能是有用的。我们在LDAP不使用任何第三方LDAP库(Mozilla,JLDAP等等),但Spring 的广泛使用是由LDAP,如果你打算添加您自己的定制,对这方面有所了解对你的项目可能是有用的.

使用LDAP身份验证时,重要的是要确保你正确配置LDAP连接池。如果你不熟悉如何做到这一点,你可以参考?Java LDAP documentation.

在Spring的LDAP身份验证安全大致可以分为以下几个阶段

唯一的例外是当LDAP目录只是被用于检索用户信息并在本地对其进行身份验证.这个不可能设置有限的读访问属性目录,如用户密码.

下面,我们将看看一些配置场景。完整的可用配置选项的信息,请查阅安全模式名称空间(信息应该在XML编辑器中可用).

你需要做的第一件事是配置的服务器身份验证应该发生。这是通过使用?<ldap-server>?的元素从安全名称空间。这可以配置为指向外部LDAP服务器,使用的url属性:

上面的名称空间配置选项我们使用易于使用,更比使用Spring bean简洁明确。有些情况下,您可能需要了解如何配置Spring Security LDAP直接在您的应用程序上下文。您可能希望定制的一些类的行为,例如。如果你使用名称空间配置,那么你可以跳过这一节和下一个.

LDAP provider,LdapAuthenticationProvider,实际上并不做太多工作本身,而是代表其他两个bean,一个LdapAuthenticator?和一个LdapAuthoritiesPopulator分别负责验证用户和检索用户的组GrantedAuthority.

活动目录支持自己的标准身份验证选项,和正常的使用模式不适合太明显与标准LdapAuthenticationProvider.通常执行身份验证使用域用户名(user@domain),而不是使用LDAP专有名称.为了更简单,Spring Security 3.1有一个身份验证提供者是一个典型的定制活动目录设置.

要使用的任何标签,必须有安全JSP 标签库:

这个标签是用来确定是否应评估其内容。在Spring Security 3.0中,可以以两种方式使用脚注:[遗留的选项从Spring Security 2.0也支持,但不推荐.].第一种方法使用一个web-security expression,access?属性中指定的标签,表达式求值将委托给SecurityExpressionHandler<FilterInvocation>?中定义的应用程序(你应该启用web表达式<http>的名称空间配置,以确保这个服务是可用的).

在与Spring Security PermissionEvaluator共同使用时,标签也可以用来检查权限.例如:

一个常见的需求是只显示一个特定的链接,如果用户实际上是允许点击它。我们如何能提前确定事情是否会被允许吗?这个标签也可以在另一种操作模式,允许您定义一个特定的URL属性。如果允许用户调用的URL,然后标记的身体将被评估,否则它将被忽略。所以你可能类似

在你的程序内使用这个标签也必须的一个实例WebInvocationPrivilegeEvaluator,如果您正在使用名称空间,将自动注册。这是一 个DefaultWebInvocationPrivilegeEvaluator的实例，它创建了一个虚拟网络提供的URL请求,并调用安全拦截器请求是否会成功或失败，这允许您代表您定义的访问控制设置中使用intercept-url声明<http>的名称空间配置省去了重复的信息(如所需的角色)在您的jsp.这种方法还可以加上一个method属性,提供HTTP方法,更具体的匹配.

布尔结果评估标签(是否允许或拒绝访问)通过设置var属性变量名称可以存储在一个页面上下文范围变量,避免复制和重新评估在页面中的其他点.

这个标签允许访问当前存储在安全内?Authentication对象,它直接在JSP中 呈现一个属性对象.所以,例如,如果principal`属性的Authentication是Spring Security的UserDetails的对象的一个实例,之后用<sec:authentication property="principal.username" />?将会显示当前用户的名称.

当然,这种事情没有必要使用JSP标记,有些人喜欢保持尽可能少的逻辑视图.您可以在你的MVC控制器访问Authentication对象(通过调用SecurityContextHolder.getContext().getAuthentication())并将数据直接添加到您的模型渲染的视图.

这个标记只在使用Spring Security的ACL模块,它检查一个以逗号分隔的所需权限指定的域对象.如果当前用户所有的权限,然后标记的内容将被评估。如果他们不这样做,它将被忽略.例如

在程序内容中,权限被传递到“PermissionFactory”中定义中定义,将它们转换为ACL`Permission`的实例,所以他们支持任何格式工厂,他们不一定是整数,字符串可以像READ或WRITE.如果没有找到PermissionFactory?,将使用DefaultPermissionFactory的一个实例.程序中的“AclService”将被用于加载Acl的实例提供对象.Acl的将调用所需的权限,以检查是否都是合法的.

这个标签还支持var属性,以同样的方式authorize?的标签.

如果启用了CSRF保护,这个标签插入一个隐藏表单字段的正确名称和值CSRF保护令牌。如果没有启用CSRF保护,这个标签输出.对于任何的<form:form>?标签使用,通常Spring Security自动插入一个CSRF表单字段.但如果由于某种原因你不能使用<form:form>,你可以使用<form:form>更换.

你应该把这个标签在一个HTML?<form></form>形式的块,通常地方其他输入字段.不要将这个标签放置在一个Spring?<form:form></form:form>,block—Spring Security会自动处理 Spring.

如果启用了CSRF保护,这个标签插入元素标记包含CSRF保护令牌表单字段和标题名称和CSRF保护令牌的值。这些元素标记可用于使用CSRF保护在JavaScript应用程序.

你应该把csrfMetaTags在一个 HTML?<head></head>?,通常地方其他元标记。一旦你使用这个标签,你可以使用JavaScript访问表单字段的名称,标题名称.JQuery中使用这个例子使这项任务变得更加简单.

如果不启用CSRF保护,csrfMetaTags输出.

Spring Security提供一个包可以将身份验证请求委托给Java身份验证和授权服务(JAAS).这个包是在下面详细讨论.

AbstractJaasAuthenticationProvider提供JAAS?AuthenticationProvider实现的基础.子类必须实现方法,创建了LoginContext.?AbstractJaasAuthenticationProvider有许多依赖关系,下面讨论它

DefaultJaasAuthenticationProvider允许将一个JAAS配置的对象注入依赖项。然后使用JAAS配置的注入创建一个LoginContext.这意味着DefaultJaasAuthenticationProvider不绑定任何特定实现的Configuration因为JaasAuthenticationProvider.

JaasAuthenticationProvider?假定默认的Configuration的一个实例http://download.oracle.com/javase/1.4.2/docs/guide/security/jaas/spec/com/sun/security/auth/login/ConfigFile.html[ ConfigFile].这种假设是为了尝试更新Configuration.JaasAuthenticationProvider使用默认配置的创建LoginContext.

假设我们有一个JAAS登录配置文件,/WEB-INF/login.conf, 用下面的内容:

像所有Spring Security beans,JaasAuthenticationProvider通过应用程序上下文配置.下面的定义将对应于上面的JAAS登录配置文件

如果配置,“JaasApiIntegrationFilter”将试图运行“JaasAuthenticationToken”上的Subject。这意味着可以使用访问Subject:

这种集成可以很容易地使用jaas-api-provision配置属性。当集成遗留或外部依赖JAAS Subject API被填充,这个特性很有用

JA-SIG产生一个企业范围的单点登录系统称为CAS。与其他计划,JA-SIG中央身份验证服务是开源的,广泛使用,容易理解,平台独立,支持代理功能。Spring Security完全支持ca,并提供了一个简单的迁移路径从Spring Security的单个应用程序部署到多个应用程序部署的企业级CAS服务器.

你可以从at?http://www.ja-sig.org/cas了解更多CAS.您还需要访问这个网站下载CAS服务器文件.

而中科院网站包含文档的细节CAS的体系结构,提出总体概述了Spring Security.Spring Security 3.x支持中科院。在撰写本文时,还在使用CAS服务器3.4版.

在您的企业,您需要设置一个CAS服务器。CAS服务器只是一个标准的WAR文件,所以设置您的服务器没有什么困难。在WAR文件您将定制登录和其他单点登录页面显示给用户.

当部署一个CAS 3.4服务器,您还需要指定一个AuthenticationHandler在deployerConfigContext.xml包含ca。AuthenticationHandler有一个简单的方法,该方法返回一个布尔判断是否一个给定的证书是有效的.你AuthenticationHandler的实现需要链接到某种类型的后端身份验证存储库,如LDAP服务器或数据库,CAS本身包含许多AuthenticationHandler的协助.当你下载服务器和部署war文件时,它被设置为成功进行身份验证的用户输入一个密码匹配他们的用户名,用于测试.

由于Spring Security中科院的web应用程序是很容易.这是假设你已经知道使用Spring安全的基本知识,下面这些是不会再覆盖。我们假设基于命名空间的配置使用,根据需要添加在CAS bean。每个部分建立在前一节。一个完整的CAS sample application可以在Spring Security样本找到.

最常用的X.509 证书身份验证是验证服务器在使用SSL的身份,从浏览器通常在使用HTTPS。浏览器会自动检查服务器证书的已发布(即数字签名)的一个受信任的证书颁发机构的列表维护。

您还可以使用SSL与"mutual authentication";服务器将请求从客户端作为一个有效的证书的SSL握手。服务器将验证客户端通过检查其签署的证书是一个可接受的权威。如果提供了一个有效的证书,它可以通过servlet API的应用程序。Spring Security X.509模块提取证书使用一个过滤器。它将证书映射到一个应用程序用户和加载用户的组授予机关使用标准的Spring安全基础设施。

X.509客户端身份验证非常简单。只是<x509/>?元素添加到您的http安全性名称空间配置.

元素有两个可选属性:

subject-principal-regex应该包含一个组。例如默认表达式"CN=(.*?)," 与常见的名称字段。如果证书的主题名称是"CN=Jimi Hendrix, OU=…?",这将给一个用户名"Jimi Hendrix",不分大小写。所以"emailAddress=(.?),"匹配"EMAILADDRESS=jimi@hendrix.org,CN=…?"给一个用户名"jimi@hendrix.org",如果客户端提供一个证书,成功提取有效的用户名,然后应该有一个有效的安全上下文中的Authentication对象.如果没有找到证书,或没有相应的用户可能会发现然后安全上下文仍将是空的。这意味着您可以轻松地使用 X.509年与其他选项,如基于表单的登录身份验证.

有一些证书的samples/certificate的目录在春季安全项目.您可以使用这些启用SSL进行测试如果你不想生成自己的.文件的服务器.jks包含服务器证书、私钥和发行证书的证书颁发机构.也有一些客户端证书文件从示例应用程序用户.你可以在你的浏览器安装这些启用SSL客户机身份验证.

在SSL支持下tomcat运行,下降的server.jks文件到tomcat的配置的目录并添加以下连接器的`server.xml`l的文件

如果你仍然希望SSL连接成功clientAuth也可以被设置为want,即使客户没有提供一个证书。客户不提供证书将无法获得的任何对象的访问Spring Security,除非你使用一个non-X.509认证机制,如表单身份验证.

AbstractSecurityInterceptor?能够暂时取代Authentication对象在SecurityContext和SecurityContextHolder安全对象回调阶段。这只发生如果最初的Authentication?对象是成功处理的AuthenticationManager和AccessDecisionManager.RunAsManager将指示更换Authentication对象,如果有的话,应该使用在SecurityInterceptorCallback.

Spring Security提供RunAsManager?接口:

第一个方法返回Authentication对象应该取代现有的身份验证的对象方法调用的持续时间。如果方法返回null,它表明你没有更换。第二种方法是使用AbstractSecurityInterceptor?启动验证配置属性的一部分。?supports(Class)的方法被调用以确保安全拦截器将安全对象实现配置的`RunAsManager支持的类型安全拦截器.

一个具体实现RunAsManager提供Spring Security,如果?ConfigAttribute从?RUN_AS_开始，RunAsManagerImpl的类返回一个替代RunAsUserToken.如果找到任何此类ConfigAttribute,替换“RunAsUserToken”将包含相同的主要,凭证,当局为最初的Authentication对象.伴随着一个新的GrantedAuthorityImpl?为每个RUN_AS_?ConfigAttribute.每一个新的GrantedAuthorityImpl将前缀?ROLE_,其次是RUN_AS?ConfigAttribute.例如,?RUN_AS_SERVER将导致更换RunAsUserToken包含ROLE_RUN_AS_SERVER授予权力.

替代RunAsUserToken就像任何其他身份验证的对象。需要验证的?Authentication?,可能通过一个合适的AuthenticationManager代表团。RunAsImplAuthenticationProvider?执行身份验证。它只是接受任何有效的?RunAsUserToken?.

为了确保恶意代码不创建一个RunAsUserToken和现在它保证接受‘RunAsImplAuthenticationProvider,散列键存储在所有生成的令牌.?RunAsManagerImpl和RunAsImplAuthenticationProvider?中创建bean相同的:

通过使用相同的密钥,每个RunAsUserToken可以验证它是由一个RunAsManagerImpl批准。出于安全原因?RunAsManagerImpl创造后是不可变的

Spring Security Crypto模块提供了对称加密，支持密钥的生成、编码和密码。该代码是分布式的核心模块的一部分 但没有任何其他Spring Security (或Spring) 代码的依赖关系。

加密类提供了构造对称加密工厂方法,使用这个类 您可以创建字节加密器加密数据在byte[]形式， 你也可以构建textencryptors加密文本字符串，且加密是线程安全的。

keygenerators类构造密钥生成器不同类型提供了许多便利的工厂方法。 使用这个类，你可以创建一个byteskeygenerator生成byte[]秘钥。你也可以建立一个stringkeygenerator生成字符串键。keygenerators线程是安全的。

Spring Security Crypto模块的密码包提供了编码密码支持.?PasswordEncoder?是中心的服务接口，并具有以下签名:

如果rawpassword编码，等于encodedpassword，方法返回true，此方法的目的是支持基于密码的身份验证方案。

BCryptPasswordEncoder?实现使用广泛支持的“BCrypt”算法哈希密码。BCrypt的使用16字节的随机salt值是故意减慢的算法，以阻碍密码破解。它可以使用“强度”参数，从4到31的“强度”参数来调整它的数量。值越高，就必须做更多的工作来计算哈希值。默认值为10。您可以在部署的系统中更改此值，而不影响现有的密码，因为该值也存储在编码的散列中

最基本的建筑块内Spring Security’s并发支持DelegatingSecurityContextRunnable. 不包委托Runnable为了初始化的SecurityContextHolder?用指定的SecurityContext为代表。然后调用委托运行保障明确SecurityContextHolder以后DelegatingSecurityContextRunnable?有些东西看起来就像这样:

虽然很简单，但这使得它无缝的securitycontext从一个线程转移到另一个。这很重要，因为，在大多数情况下，每个线程的基础上的securitycontextholder行为都可能使用了Spring Security的?<global-method-security>?来支持你的服务，你现在可以很容易地转移?SecurityContext?当前?Thread到?Thread?调用安全服务。下面是你如何做这件事的一个例子：

上面的代码执行以下步骤:

我们有的代码是简单使用的,但它仍然需要使用我们的 Spring Security知识。 在下一节中，我们将看看我们如何利用DelegatingSecurityContextExecutor隐藏的因素来使用Spring Security。

在前面的章节中，我们发现，它是很容易使用的DelegatingSecurityContextRunnable,但它是不理想，不方便的，因为我们必须意识到Spring Security 是为了使用它.让我们看看DelegatingSecurityContextExecutor如何能屏蔽我们的任何代码知识，如果我们使用Spring Security.

设计DelegatingSecurityContextExecutor是非常相似于DelegatingSecurityContextRunnable除非它接受委托Executor而不是一个代表Runnable。你可以看到一个例子，它可能会被用在下面：

该代码执行以下步骤:

现在我们的代码是不可知的?SecurityContext?正在传播到Thread,然后originalRunnable?被执行，然后SecurityContextHolder?被清除。在这个示例中，同一个用户正在被用于执行每个线程.如果我们想使用户从?SecurityContextHolder?at the time we invoked?executor.execute(Runnable)?(i.e. the currently logged in user) 处理?originalRunnable? 是可以做到的 removing the?SecurityContext我们的争论是?DelegatingSecurityContextExecutor构造函数，比如:

现在任何时候?executor.execute(Runnable)?执行?SecurityContext?是首先获得的?SecurityContextHolder?然后?SecurityContext?是用来创建?DelegatingSecurityContextRunnable的. 这意味着我们正在执行的?Runnable?使用相同的用户来调用?executor.execute(Runnable)?代码.

指javadoc额外的集成与java并发API和Spring的抽象任务，一旦你理解了以前的代码你会发现，他们的解释是很单一的。

使MVC和Spring Security更好的整合与集成@EnableWebSecurity?对你的配置的注释。

Spring Security 提供如何深度整合Spring MVC 匹配的网址和?MvcRequestMatcher. 这是有帮助的，以确保您的Security规则匹配用于处理您的请求的逻辑.

考虑一个控制器映射如下:

如果我们想通过限制访问该控制器的方法来管理用户, 一个开发人员可以通过匹配的?HttpServletRequest?得到以下的:

或者在xml中

任何配置URL?/admin将经过身份验证的用户作为管理用户. 然而, 这取决于我们 Spring MVC配置, URL?/admin.html也会告诉我们admin()?方法.

问题是，我们的安全规则只是保护?/admin. 我们可以为所有的排列添加额外的规则 Spring MVC,但这将是相当冗长而乏味的.

相反，我们可以利用Spring Security’s?MvcRequestMatcher. 下面的配置会保护，Spring MVC将匹配利用Spring MVC匹配URL的URL。

在XML中：

Spring Security provides?AuthenticationPrincipalArgumentResolver?能解决问题?Authentication.getPrincipal()?对于 Spring MVC 争论. 通过使用?@EnableWebSecurity?您将自动将此添加到您的 Spring MVC 配置. 如果你使用 XML 基于你的配置, 你必须自己添加这个。例如:

一旦?AuthenticationPrincipalArgumentResolver?是正确配置的，您可以完全完成 Spring Security 在Spring MVC层。

考虑一个自定义的情况?UserDetailsService返回一个?Object?实现?UserDetails?你自己的?CustomUser?Object. 和?CustomUser?当前已验证的用户可以使用以下代码访问:

至于 Spring Security 3.2 我们可以更直接地通过添加注释来解决这个问题。例如:

有时，它可能是必要的，以某种方式来改造. 比如, 如果?CustomUser?需要是最终它不能被扩展。 在这种情况下?UserDetailsService?可能会返回一个?Object?实现?UserDetails并提供了一个命名的方法?getCustomUser?访问?CustomUser. 比如，他看起来是这个样子的:

然后，我们可以访问?CustomUser?使用?SpEL expression?使用?Authentication.getPrincipal()?作为根对象:

我们可以进一步消除我们的依赖 Spring Security通过标记?@AuthenticationPrincipal?我们有我们自己的元注释注释. 下面，我们展示了如何我们可以这样做的注释命名?@CurrentUser.

NOTE:重要的是要认识到消除依赖 Spring Security,它是将创建的消耗应用程序?@CurrentUser. 这一步不是严格要求，但有助于隔离你的依赖 Spring Security 到一个更重要的位置.

现在@CurrentUser?已指定, 我们可以用它来信号来解决我们的?CustomUser当前已验证的用户孤立了我们依赖 Spring Security 到一个单一的文件.

Spring Web MVC 3.2+ 有极好的支持?Asynchronous Request Processing. 没有额外的配置, Spring Security 将自动设置?SecurityContext?到?Thread执行?Callable?由你的控制器返回. 例如，下面的方法将自动有它的?Callable?执行的?SecurityContext?这是可用的，当?Callable?被创建:

没有一个自动集成与?DeferredResult由控制器返回. 这是因为?DeferredResult?是由用户处理的，因此没有自动整合的方式。 当然, 你依然可以用?Concurrency Support提供透明的集成与 Spring Security.

JDBC 的标准实现了UserDetailsService?(JdbcDaoImpl) 需要表加载密码, 帐户状态(可用或者不可用)和权力名单 (角色) 给用户. 您将需要调整此架构以与您正在使用的数据库语言相匹配.

此表用于存储更安全的使用的数据?persistent token?remember-me 实施. 如果你正在使用?JdbcTokenRepositoryImpl?无论是直接或通过命名空间，您都将需要此表. 请记住调整此架构以与您正在使用的数据库语言相匹配.

有四个表所使用 Spring Security?ACL?实施.

它假定数据库将自动生成每个身份的主键。?JdbcMutableAclService?必须能够检索这些时，它已创建了一个新的行?acl_sid或者?acl_class表。它有两个属性定义需要检索这些值的SQL?classIdentityQuery?和?sidIdentityQuery. 这两个默认?call identity()

ACL加工创建JRC包含在hypersql创建ACL模式的文件 (HSQLDB), PostgreSQL, MySQL/MariaDB, Microsoft SQL Server, and Oracle 数据库。 这些架构也被证明在以下几个部分.

Spring Security 4.0+为授权消息提供支持.这是一个为WebSocket基础应用程序提供授权有用的例子.

在Spring Security 3.0之前,?AuthenticationManager?在内部是自动注册的. 现在，你必须使用?<authentication-manager>?元素明确的注册一个. 这将创建Spring Security的?ProviderManager类的一个实例, 需要配置一个或多个` AuthenticationProvider?实例. 这些都可以使用命名空间提供的语法元素来创建, 也可以是标准的bean定义, 标记为除了使用 `authentication-provider元素的列表.

LDAP是覆盖一些细节在its own chapter. 我们将扩大在一些解释的名称空间映射到Spring bean的选项.LDAP 广泛的实现使用Spring LDAP,因此,一些熟悉该项目的API可能是有用的.

使用Spring Security核心模块必须包含在任何项目中.

这个模块通常需要在Web应用程序中使用Servlet API.

这个模块通常需要在Web应用程序中使用Servlet API.

这个模块是如果需要你使用LDAP认证.

这个模块是如果需要你使用Spring Security命名空间的配置.

ACL模块.

CAS模块提供集成JA-SIG CAS.

OpenID模块.

提供Spring Security的JSP标记的实现.

包括::_includes/faq.adoc[]

包括::_includes/migrating.adoc[]