《Spring Security3》第六章第一部分翻译(自定义安全过滤器)

第六章  高级配置和扩展 到目前为止,我们已经介绍了大多数Spring Security组件的理论以及架构和使用。我们的JBCP Pets商业站点也在逐渐变成一个安全的web应用,我们将会深入讲解一些更有难度的挑战。 在本章的课程中,我们将会: l  实现我们自己的安全过滤器,解决一个很有趣...

2014-12-26 16:25:38

阅读数:325

评论数:0

《Spring Security3》第五章第四部分翻译(方法安全的高级知识和小结)

方法安全的高级知识 方法安全的表现力不仅局限于简单的角色检查。实际上,一些方法安全的注解能够完全使用Spring表达式语言(SpEL)的强大功能,正如我们在第二章中讨论URL授权规则所使用的那样。这意味着任意的表达式,包含计算、Boolean逻辑等等都可以使用。 使用bean包装类实现方法安全...

2014-12-26 11:45:16

阅读数:284

评论数:0

《Spring Security3》第五章第三部分翻译(保护业务层)

保护业务层          到目前为止,在本书中我们的关注点都主要在JBCP Pets 应用web层面的安全。但是,在实际的安全系统规划中,对服务方法应该给予同等的重视,因为它们能够访问系统中最重要的部分——数据。          Spring Security支持添加授权层(或者基于授权...

2014-12-23 16:42:48

阅读数:253

评论数:0

《Spring Security3》第五章第二部分翻译下(实现授权精确控制的方法——页面级权限)

使用控制器逻辑进行有条件渲染内容            现在,让我们将刚刚用标签实现的例子改成用java代码的方式。为了简洁起见,我们只实现一个例子,但实现基于控制器检查的其它例子是很简单直接的。 添加有条件显示的Log In链接          为了替代Spring Security的...

2014-12-23 15:14:52

阅读数:399

评论数:0

《Spring Security3》第五章第二部分翻译上(实现授权精确控制的方法——页面级权限)

实现授权精确控制的方法   精确的授权指的是基于用户特定的请求进行授权的应用功能特性。不同于我们在第二章:Spring Security起步、第三章增强用户体验和第四章凭证安全存储中的粗粒度的授权,精确的授权一般指的是对页面中的部分进行选择性显示的功能,而不是限制访问一个完整的页面。现实世界中...

2014-12-23 13:03:39

阅读数:273

评论数:0

《Spring Security3》第五章第一部分翻译(重新思考应用功能和安全)

第五章  精确的访问控制   到目前为止,我们已经为JBCP Pets站点添加了用户友好的一些功能,包括自定义的登录页以及修改密码、remember me功能。   在本章中,我们将要学习规划应用安全的技术以及用户/组的划分。其次,我们学习两种实现精确访问控制的实现方式——这会影响应用中页...

2014-12-23 11:50:13

阅读数:264

评论数:0

tomcat6.0实现https安全访问

因为客户要求,需要tomcat6.0配置https访问,在网上找了一些方法,自己尝试了一下,基本成功。以下是些简单的操作步骤: 1、生成安全访问的证书。 命令行下执行:keytool -genkey -alias tomcat -keyalg RSA -keystore c:\tomcat.k...

2014-12-23 09:29:24

阅读数:263

评论数:0

《Spring Security3》第四章第四部分翻译(Remember me后台存储和SSL)附前四章doc文件

到此,前四章翻译完成,欢迎朋友提些意见!     将Remember me功能迁移至数据库          现在你可能会意识到我们remember me功能的实现,能够在应用重启前很好的使用,但在应用重启时用户的session会被丢失。这对用户来说会不太便利,他们不应该关心JBCP Pe...

2014-12-22 15:56:49

阅读数:371

评论数:0

《Spring Security3》第四章第三部分翻译下(密码加salt)

你是否愿意在密码上添加点salt?   如果安全审计人员检查数据库中编码过的密码,在网站安全方面,他可能还会找到一些令其感到担心的地方。让我们查看一下存储的admin和guest用户的用户名和密码值:          用户名 明文密码 加密密码 ...

2014-12-22 11:51:25

阅读数:547

评论数:0

《Spring Security3》第四章第三部分翻译上(配置安全的密码)

配置安全的密码          我们回忆第一章:一个不安全应用的剖析中,审计人员认为密码以明文形式进行存储是最高优先级的安全风险。实际上,在任何安全系统中,密码安全都是保证已经经过认证的安全实体是真实可靠的重要方面。安全系统的设计人员必须保证密码存储时,任何恶意的用户想要进行破解都是非常困难的...

2014-12-19 13:43:31

阅读数:322

评论数:0

《Spring Security3》第四章第二部分翻译(JdbcDaoImpl的高级配置)

JdbcDaoImpl的高级配置 JdbcDaoImpl拥有众多的可配置选项使其可以在已存在的schema中使用,或对其功能进行更复杂地调整。在很多场景下,很可能我们只需调整内置UserDetailsService类的配置而不需要写自己的代码。   有一个很重要的功能就是在用户(User)和...

2014-12-19 10:22:02

阅读数:228

评论数:0

《Spring Security3》第四章第一部分翻译下(自定义的UserDetailsService)

实现自定义的JDBC UserDetailsService 正如在前面章节中的那个练习,我们将以基本的JdbcDaoImpl作为起点,将其进行扩展以支持修改密码功能。 创建一个自定义的JDBC UserDetailsService 在com.packtpub.springsecurity.s...

2014-12-18 16:31:03

阅读数:409

评论数:0

《Spring Security3》第四章第一部分翻译上(数据库管理信息)

这次上传的部分内容是入门级的,比较简单,但是本章整体的功能还是非常重要的。     第四章   凭证安全存储 到现在为止,我们已经将JBCP Pets站点做了一些用户友好性方面的升级,包括一个自定义的登录页、修改密码以及remember me功能。   在本章中,我们将会把到目前为止都...

2014-12-18 15:33:05

阅读数:257

评论数:0

《Spring Security3》第三章第四部分翻译(修改密码)

实现修改密码管理 现在我们将要对基于内存的UserDetailsService进行简单的扩展以使其支持用户修改密码。因为这个功能对用户名和密码存于数据库的场景更有用,所以基于o.s.s.core.userdetails.memory.InMemoryDaoImpl扩展的实现不会关注存储机制,而是关...

2014-12-18 13:11:22

阅读数:361

评论数:0

《Spring Security3》第三章第三部分翻译下(Remember me安全吗?)

Remember me是否安全? 对我们精心保护的站点来说,为了用户体验而添加的任何与安全相关的功能,都有增加安全风险的潜在可能。按照其默认方式,Remember me功能存在用户的cookie被拦截并被恶意用户重用的风险。下图展现了这种情况是如何发生的:     使用SSL(第四...

2014-12-18 11:07:57

阅读数:241

评论数:0

《Spring Security3》第三章第三部分翻译上(Remember me功能实现)

Remember me 对于经常访问站点的用户有一个便利的功能就是remember me。这个功能允许一个再次访问的用户能够被记住,它通过在用户的浏览器上存储一个加密的cookie来实现的。如果Spring Security能够识别出用户提供的remember me cookie,用户将不必填写...

2014-12-18 10:25:12

阅读数:306

评论数:0

《Spring Security3》第三章第二部分翻译(退出功能的实现)

理解退出功能 术语退出(Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接,并再次访问站点以了解其如何实现功能的。 在站点页头上添加“Log Out”链接 正如我们...

2014-12-17 17:15:27

阅读数:237

评论数:0

《Spring Security3》第三章第一部分翻译

第三章   增强用户体验 在本章中,我们将对JBCP Pets在线商店增加一些功能,这些新功能能够为用户提供更愉悦和可用的用户体验,同时提供一些对安全系统很重要的功能。 在本章中,我们将要: l  按照你的意愿自定义登录和退出页面,并将它们与标准的Spring web MVC的控制器相关联...

2014-12-17 15:18:15

阅读数:258

评论数:0

《Spring Security3》第二章第三部分翻译(下)附前两章doc文档

关注这个系列的同学们有福了,我把前两章翻译的doc文档上传了,欢迎传播。有谬误之处,请不吝指正。     使用Spring表达式语言配置访问控制 基于角色标准投票机制的标准实现是使用RoleVoter,还有一种替代方法可用来定义语法复杂的投票规则即使用Spring表达式语言(SpEL)。...

2014-12-17 14:53:27

阅读数:255

评论数:0

《Spring Security3》第二章第三部分翻译(中)

请求是怎样被授权的? 在Spring Security的默认过滤器链中,最后一个servelt过滤器是FilterSecurityInterceptor,它的作用是判断一个特定的请求是被允许还是被拒绝。在FilterSecurityInterceptor被触发的时候,安全实体已经经过了认证,所以...

2014-12-17 14:05:51

阅读数:218

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭