摘要:
25.1 AOP Alliance (MethodInvocation) Security Interceptor(AOP联盟(方法定位)安全拦截器) 方法安全性是通过使用MethodSecurityInterceptor来实现的,它保护方法位置的安全。根据配置方法的不同,拦截器可能特定于单个bea 阅读全文
摘要:
大多数Spring Security用户将在使用HTTP和Servlet API的应用程序中使用该框架。在这一部分中,我们将了解Spring Security如何为应用程序的web层提供身份验证和访问控制功能。我们将从名称空间的外表后面看,看看哪些类和接口实际上是为了提供web层安全性而组装的。在某 阅读全文
摘要:
22.1 Overview(概要) 采用“默认拒绝”通常被认为是良好的安全实践,在这种情况下,您明确指定什么是允许的,什么是不允许的。定义未经身份验证的用户可以访问的内容也是类似的情况,尤其是对于web应用程序。许多网站要求用户必须通过除了几个网址之外的任何东西的认证(例如主页和登录页面)。在这种情 阅读全文
摘要:
Spring框架为CORS提供了一流的支持。CORS必须在spring安全之前处理,因为预请求的申请将不包含任何cookies。如果请求不包含任何cookies,并且Spring Security是第一个,请求将确定用户未通过身份验证(因为请求中没有cookies ),并拒绝它。 确保首先处理COR 阅读全文
摘要:
本节描述了Spring Security提供的测试支持。 要使用spring安全测试支持,您必须将spring-security-test-4.2.15.RELEASE.jar作为项目的一个依赖项。 问题是“作为一个特定的用户,我们如何最容易地运行测试?”答案是使用@WithMockUser。以下测 阅读全文
摘要:
一旦你熟悉了设置和运行一些基于命名空间配置的应用程序,你可能希望开发更多的框架去理解命名空间门面后面实际上是如何运转。类似大部分软件, Spring Security有一定的中央接口,以及通常在整个框架中使用的概念抽象类。在参考指南的这一部分,我们将看看其中的一些,看看它们如何协同工作去支持Spri 阅读全文
摘要:
问题跟踪 Spring Security 使用JIRA来管理bug报告和改进请求,如果你发现错误,请使用JIRA记录报告。不要在支持论坛,邮件列表,或通过电子邮件项目的记录。这些方法是临时的,我们更喜欢使用正式的流程。 如果可能的话,在你的问题的报告摸清提供一个JUnit测试,演示任何不正确的行为。 阅读全文
摘要:
Hello Spring Security 演示如何将Spring Security与现有的Java配置应用程序集成。 Hello Spring Security Guide Hello Spring Security Boot 演示如何将Spring Security与现有的Spring Boot 阅读全文
摘要:
除其他外,SpringSecurity4.2为SpringFramework5提供了早期支持。您可以找到4.2.0.M1、4.2.0.RC1、4.2.0.RELEASE的更改日志,它关闭了80多个问题。绝大多数这些特征都是由社区贡献的。下面你可以找到这个版本的亮点。 3.1Web Improveme 阅读全文
摘要:
2.1什么是spring安全? Spring Security为基于Java EE的企业软件应用程序提供全面的安全服务。特别强调支持使用Spring框架构建的项目,在企业软件开发方面,Spring框架领先Java EE解决方案。如果您没有使用Spring来开发企业应用程序,我们强烈建议您仔细研究一下 阅读全文
摘要:
本指南后面的部分将深入讨论框架体系结构和实现类,如果要进行任何认真的定制,您需要了解这些类。在这一部分中,我们将介绍SpringSecurity4.0,简要概述项目的历史,并稍微温和地了解如何开始使用该框架。特别是,与传统的Spring bean方法相比,命名空间配置提供了一种更简单的保护应用程序的 阅读全文
摘要:
32.1 Overview JA-SIG产生了一个企业范围的单点登录系统,称为CAS。与其他计划不同,JA-SIG的中央认证服务是开源的、广泛使用的、易于理解的、独立于平台的,并且支持代理功能。Spring Security完全支持CAS,并提供了从Spring Security的单应用程序部署到由 阅读全文
摘要:
31.1 Overview Spring Security提供了一个能够将身份验证请求委托给Java身份验证和授权服务(JAAS)的包。这个包将在下面详细讨论。 31.2 AbstractJaasAuthenticationProvider 抽象身份验证提供程序(AbstractJaasAuthen 阅读全文
摘要:
Spring Security有自己的标签库,为访问安全信息和在JSP中应用安全约束提供基本支持。 30.1 Declaring the Taglib 要使用任何标签,您必须在JSP中声明安全标签库: 30.2 The authorize Tag 该标记用于确定是否应该对其内容进行评估。在Sprin 阅读全文
摘要:
29.1 Overview 组织通常将LDAP用作用户信息的中央存储库和身份验证服务。它还可以用来存储应用程序用户的角色信息。 对于如何配置LDAP服务器有许多不同的场景,因此Spring Security的LDAP提供程序是完全可配置的。它使用独立的策略接口进行身份验证和角色检索,并提供默认实现, 阅读全文
摘要:
有些情况下,您希望使用Spring Security进行授权,但是在访问应用程序之前,用户已经被某个外部系统可靠地验证过了。我们将这些情况称为“预认证”场景。示例包括X.509、Siteminder和应用程序运行所在的Java EE容器的身份验证。使用预认证时,Spring Security必须 1 阅读全文
摘要:
27.1 Overview 复杂的应用程序通常会发现需要定义访问权限,而不仅仅是在web请求或方法调用级别。相反,安全决策需要包括谁(身份验证)、在哪里(方法位置)和什么(某些域对象)。换句话说,授权决策还需要考虑方法调用的实际域对象实例主体。 假设你正在为宠物诊所设计一个应用程序。基于Spring 阅读全文
摘要:
Spring Security 3.0引入了使用Spring EL表达式作为授权机制的能力,此外还有配置属性和访问决策投票者的简单使用,这在前面已经看到过。基于表达式的访问控制建立在相同的体系结构上,但是允许复杂的布尔逻辑封装在单个表达式中。 26.1 Overview Spring Securit 阅读全文
摘要:
24.1 Authorities 正如我们在技术概述中看到的,所有身份验证实现都存储了一个授权对象列表。这些代表委托人被授予的权力。授权权限对象(GrantedAuthority )由身份验证管理器(AuthenticationManager )插入到身份验证对象(Authentication )中 阅读全文
摘要:
Spring Security中的高级授权功能是它受欢迎的最重要的原因之一。无论您选择如何进行身份验证,无论是使用Spring Security提供的机制和提供程序,还是与容器或其他非Spring Security身份验证机构集成,您都会发现授权服务可以以一致且简单的方式在您的应用程序中使用。 在这 阅读全文