Spring security框架集成了多种流行的安全认证服务，为我们提供了多种多样的安全认证服务。在这里讨论一下它为我们提供的HTTP Basic认证服务。要实现HTTP Basic认证服务，需要实现这几步： 　　一。导入Spring security相关jar包   <dependency> <groupId&g...

       Spring Security实现Basic Authentication        配置Security文件           <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans" ...

      Spring Security在验证用户登录后的另一个重要步骤就是对受保护资源进行授权判断，以确定当前登录用户是否具有相应的权限访问当前受保护资源，针对受保护资源的权限设置在相关安全配置文件中进行设定，而当用户登录后，用户的相应权限也就随之确定，将两者进行比较，查看访问当前受保护资源的权限是否在当前登录用户的权限列表中，这一系列的过程都是由FilterSecurityIntercept...

     Spring Security的退出功能由LogoutFilter过滤器实现，只需要一段简单的配置就可以在项目中实现退出功能，如下示  <logout logout-url="/logout" logout-success-url="/login"/>     1.logout-url表示退出的URL地址　 2.logout-success-url表示...

      部分情况下用户希望能够在不知道其它用户账号及密码的情况下，直接通过内部系统切换到另一个用户，比如一个项目经理希望在一个项目管理系统中直接切换到他的项目组下的成员账号上去，这时候就可以考虑使用Spring Security提供的Switch user功能。Switch user功能的大致流程是向服务器发送一个切换用户的请求，请求参数要有用户名称，SwitchUserFilter拦截这个请...

      Spring Security实现自动登录的基本流程是，在第一次登录成功时将相关用户凭证及相关自动登录所需信息保存起来，在下次未登录访问受限资源时，会从中取出相关信息进行验证来实现自动登录的效果。       Spring Security除了提供将用户凭证信息存储在Cookie以便下次登录时进行自动登录的方式外，还支持将相关用户凭证信息及自动登录所需信息存储在持久化存储中的方...

    Spring Security为我们提供了两种方式的自动登录，一种是基于Cookie的自动登录，想实现这种自动登录功能，需要使用TokenBasedRememberMeServices类，如果想扩展自己的特殊登录，可以继承该类；一种是基于持久化存储的自动登录，需要使用PersistentTokenBasedRememberMeServices类，两者都继承了抽象类AbstractRemem...

      验证登录失败后的处理的常见处理是返回到登录页面，并提醒用户发生了何种错误，Spring Security提供了一个通用的验证错误异常，这个抽象类的名字叫做AuthenticationException， 并且还提供了一个名为ExceptionMappingAuthenticationFailureHandler的验证发生异常进行处理的类， 查看源代码可以发现这个类中有一个类型为Map的...

    验证用户后主要有这样两种走向，一种是验证失败，一种是验证成功，验证失败后应该如何处理呢，验证成功又该如何处理呢？    验证失败的处理需要实现AuthenticationFailureHandler接口，我的前台用户认证失败的处理是这样的  package com.template.security.authentication.handler;import...

   有了用户凭证后， 如何验证用户的凭证是否正确呢， 这就需要借助AuthenticationManager了， AuthenticationManager可以包含多个AuthenticationProvider， 每个AuthenticationProvider都会针对特定的AuthenticationToken， 也就是用户凭证来验证相应的用户凭证是否正确。    来看看我为了实现验...

       前讲讲到AuthenticationFilter会拦截我们的登录表单提交信息并根据相应的信息构造出对应的用户凭证，这里的用户凭证将会贯穿整个Spring Security安全验证过程，如果验证用户凭证成功，我们可以为相应的用户凭证分配相应的权限，并将用户导向登录成功的界面。来看看这里的多种类型用户登录凭证的实现吧，这里主要实现了两种用户凭证，一种是前台用户登录凭证，一种是后台用户...

     当填写完成登录表单提交后，首先会被对应的提交表单提起的过滤器进行拦截，这里过滤器的作用就是拦截登录表单提交验证请求，并根据相应的表单信息构造对应的登录凭证，这里来看看过滤器是如何构造相应的用户凭证。  package com.template.security.filter;import org.springframework.security.core.Authen...

      接前讲，首先针对一个多种用户类型的登录需求，需要先实现多种用户类型的登录界面的展示，Spring Security提供了这样一个接口来帮助我们实现多种用户类型的登录界面的展示，这个接口就是AuthenticationEntryPoint， 实现这样一个接口，我们就可以随心所欲的控制登录界面的展示了，当我们访问一个受权限的资源，而当前又没有权限访问时，Spring Security就会将...

      使用Spring Security 3 来实现多种用户类型的登录方式，在我看来，大致分为两大步，第一步是控制多种用户登录类型的登录界面的展示，第二步是控制多种用户登录的验证方式，而第二大步又可分为三个小步来展开，第一小步是验证过滤器，第二小步是验证凭证的制作，第三小步是验证用户凭证，在这里我将就这几步的分析与实现一步一步展开来进行描述。       这里我假定有这样一个系统，分...

　　Spring security为我们提供了一个接口PasswordEncoder，实现这个接口就可以定义一个自定义的PasswordEncoder，从而加强应用的安全认证和高安全性。 　　一。CustomizePasswordEncoder.java package com.template.security;import org.springframework.dao...

　　使用Spring security如何防止用户的重复登录呢？如果用户账号已登录，这时再进行第二次或多次登录，需要阻止这样的多次登录。 　　一。在web.xml中配置listener <listener> <listener-class>org.springframework.security.web.session.HttpSessio...

　　关于安全性服务，有两个重要的概念需要理解，一是认证，即判断用户是否在应用程序中存在，二是授权，即判断用户是否有权限访问资源。　　 　　Spring　security为我们提供的HTTP Basic,Digest等认证服务，因为要在配置文件中对用户和权限进行配置，所以局限性很强。除此之外，它还允许我们在数据库中对用户和权限进行配置。那么如何实现呢？ 　　在系统中定义用户，角色，权...

     Spring  Security为我们提供了SessionAuthenticationStrategy接口来定制针对Session的一些特殊管理，如防Session的固定攻击， 防Session的单用户多次登陆等， 这些特殊的管理功能Spring Security都为我们提供了相应的类，如下示：      1. SessionFixationProtectionStrategy，...