摘要:
Spring Security中的高级授权功能是它受欢迎的最重要的原因之一。无论您选择如何进行身份验证,无论是使用Spring Security提供的机制和提供程序,还是与容器或其他非Spring Security身份验证机构集成,您都会发现授权服务可以以一致且简单的方式在您的应用程序中使用。 在这 阅读全文
摘要:
spring Security 4增加了对保护spring的网络套接字支持的支持。本节描述如何使用Spring Security的网络套接字支持。 您可以在samples/javaconfig/chat中找到一个完整的WebSocket安全性工作示例。 直接JSR-356支持 Spring Secu 阅读全文
摘要:
与HTTP会话相关的功能由SessionManagementFilter(会话管理过滤器) 和SessionAuthenticationStrategy(会话身份验证策略)接口的组合来处理,过滤器将这些接口委托给它们。典型的用法包括会话固定保护、防止攻击、检测会话超时以及限制经过身份验证的用户可以同 阅读全文
摘要:
本节讨论Spring Security对响应中添加各种安全头的支持。 20.1 Default Security Headers(默认安全表头) Spring Security允许用户轻松地注入默认安全头,以帮助保护他们的应用程序。Spring Security的默认设置是包含以下标题: 只有在HT 阅读全文
摘要:
本节讨论Spring Security的跨站点请求伪造(CSRF)支持。 18.1 CSRF Attacks(CSRF攻击) 在我们讨论Spring Security如何保护应用程序免受CSRF攻击之前,我们将解释什么是CSRF攻击。让我们看一个具体的例子来更好地理解。假设您的银行网站提供了一个表单 阅读全文
摘要:
17.1 Overview 记住我或持久登录身份验证是指网站能够记住会话之间主体的身份。这通常是通过向浏览器发送一个cookie来实现的,在以后的会话中会检测到该cookie,并导致自动登录。Spring Security为这些操作的发生提供了必要的挂钩,并且有两个具体的记忆实现。一种使用哈希来保持 阅读全文
摘要:
基本认证和摘要认证是网络应用中流行的替代认证机制。基本身份验证通常与无状态客户端一起使用,无状态客户端会在每次请求时传递其凭据。将它与基于表单的身份验证结合使用是很常见的,在这种情况下,应用程序既可以通过基于浏览器的用户界面使用,也可以作为web服务使用。但是,基本身份验证会以纯文本形式传输密码,因 阅读全文
摘要:
本节描述了Spring安全性是如何与Servlet API集成的。 servletapi-xml示例应用程序演示了这些方法的用法。 15.1 Servlet 2.5+ Integration(Servlet 2.5+集成) 15.1.1 HttpServletRequest.getRemoteUse 阅读全文
摘要:
在使用Spring Security的web应用程序中,总会用到一些关键的过滤器,所以我们首先来看看这些过滤器及其支持类和接口。我们不会涵盖所有特性,所以如果你想了解完整的情况,一定要看看Javadoc。 14.1 FilterSecurityInterceptor(过滤器安全性拦截器) 在讨论一般 阅读全文
摘要:
Spring Security的网络基础设施完全基于标准的servlet过滤器。它在内部不使用servlet或任何其他基于servlet的框架(如Spring MVC),因此它与任何特定的web技术都没有强有力的链接。它处理HttpServletRequest和HttpServletResponse 阅读全文