摘要:
2.1什么是spring安全? Spring Security为基于Java EE的企业软件应用程序提供全面的安全服务。特别强调支持使用Spring框架构建的项目,在企业软件开发方面,Spring框架领先Java EE解决方案。如果您没有使用Spring来开发企业应用程序,我们强烈建议您仔细研究一下 阅读全文
摘要:
本指南后面的部分将深入讨论框架体系结构和实现类,如果要进行任何认真的定制,您需要了解这些类。在这一部分中,我们将介绍SpringSecurity4.0,简要概述项目的历史,并稍微温和地了解如何开始使用该框架。特别是,与传统的Spring bean方法相比,命名空间配置提供了一种更简单的保护应用程序的 阅读全文
摘要:
32.1 Overview JA-SIG产生了一个企业范围的单点登录系统,称为CAS。与其他计划不同,JA-SIG的中央认证服务是开源的、广泛使用的、易于理解的、独立于平台的,并且支持代理功能。Spring Security完全支持CAS,并提供了从Spring Security的单应用程序部署到由 阅读全文
摘要:
31.1 Overview Spring Security提供了一个能够将身份验证请求委托给Java身份验证和授权服务(JAAS)的包。这个包将在下面详细讨论。 31.2 AbstractJaasAuthenticationProvider 抽象身份验证提供程序(AbstractJaasAuthen 阅读全文
摘要:
Spring Security有自己的标签库,为访问安全信息和在JSP中应用安全约束提供基本支持。 30.1 Declaring the Taglib 要使用任何标签,您必须在JSP中声明安全标签库: 30.2 The authorize Tag 该标记用于确定是否应该对其内容进行评估。在Sprin 阅读全文
摘要:
29.1 Overview 组织通常将LDAP用作用户信息的中央存储库和身份验证服务。它还可以用来存储应用程序用户的角色信息。 对于如何配置LDAP服务器有许多不同的场景,因此Spring Security的LDAP提供程序是完全可配置的。它使用独立的策略接口进行身份验证和角色检索,并提供默认实现, 阅读全文
摘要:
有些情况下,您希望使用Spring Security进行授权,但是在访问应用程序之前,用户已经被某个外部系统可靠地验证过了。我们将这些情况称为“预认证”场景。示例包括X.509、Siteminder和应用程序运行所在的Java EE容器的身份验证。使用预认证时,Spring Security必须 1 阅读全文
摘要:
27.1 Overview 复杂的应用程序通常会发现需要定义访问权限,而不仅仅是在web请求或方法调用级别。相反,安全决策需要包括谁(身份验证)、在哪里(方法位置)和什么(某些域对象)。换句话说,授权决策还需要考虑方法调用的实际域对象实例主体。 假设你正在为宠物诊所设计一个应用程序。基于Spring 阅读全文
摘要:
Spring Security 3.0引入了使用Spring EL表达式作为授权机制的能力,此外还有配置属性和访问决策投票者的简单使用,这在前面已经看到过。基于表达式的访问控制建立在相同的体系结构上,但是允许复杂的布尔逻辑封装在单个表达式中。 26.1 Overview Spring Securit 阅读全文
摘要:
24.1 Authorities 正如我们在技术概述中看到的,所有身份验证实现都存储了一个授权对象列表。这些代表委托人被授予的权力。授权权限对象(GrantedAuthority )由身份验证管理器(AuthenticationManager )插入到身份验证对象(Authentication )中 阅读全文