- 博客(30)
- 资源 (9)
- 收藏
- 关注
RSS订阅转载 《Spring Security3》第六章第一部分翻译(自定义安全过滤器)
第六章 高级配置和扩展到目前为止,我们已经介绍了大多数Spring Security组件的理论以及架构和使用。我们的JBCP Pets商业站点也在逐渐变成一个安全的web应用,我们将会深入讲解一些更有难度的挑战。在本章的课程中,我们将会:l 实现我们自己的安全过滤器,解决一个很有趣的问题,即对特定的用户角色用IP过滤的方式增强站点的安全;l 构建自定义的Authenticat
2014-12-26 16:25:38
423
转载 《Spring Security3》第五章第四部分翻译(方法安全的高级知识和小结)
方法安全的高级知识方法安全的表现力不仅局限于简单的角色检查。实际上,一些方法安全的注解能够完全使用Spring表达式语言(SpEL)的强大功能,正如我们在第二章中讨论URL授权规则所使用的那样。这意味着任意的表达式,包含计算、Boolean逻辑等等都可以使用。使用bean包装类实现方法安全规则 另外一种定义方法安全的形式与XML声明有关,它可以包含在Spring Bea
2014-12-26 11:45:16
406
转载 《Spring Security3》第五章第三部分翻译(保护业务层)
保护业务层 到目前为止,在本书中我们的关注点都主要在JBCP Pets 应用web层面的安全。但是,在实际的安全系统规划中,对服务方法应该给予同等的重视,因为它们能够访问系统中最重要的部分——数据。 Spring Security支持添加授权层(或者基于授权的数据处理)到应用中所有Spring管理的bean中。尽管很多的开发人员关注层的安全,其实业务层的俄安
2014-12-23 16:42:48
359
转载 《Spring Security3》第五章第二部分翻译下(实现授权精确控制的方法——页面级权限)
使用控制器逻辑进行有条件渲染内容 现在,让我们将刚刚用标签实现的例子改成用java代码的方式。为了简洁起见,我们只实现一个例子,但实现基于控制器检查的其它例子是很简单直接的。添加有条件显示的Log In链接 为了替代Spring Security的标签,我们假设在模型数据中有一个Boolean变量来标示是否显示显示“Log in”链接,而这个变量可
2014-12-23 15:14:52
490
转载 《Spring Security3》第五章第二部分翻译上(实现授权精确控制的方法——页面级权限)
实现授权精确控制的方法 精确的授权指的是基于用户特定的请求进行授权的应用功能特性。不同于我们在第二章:Spring Security起步、第三章增强用户体验和第四章凭证安全存储中的粗粒度的授权,精确的授权一般指的是对页面中的部分进行选择性显示的功能,而不是限制访问一个完整的页面。现实世界中的应用将会花费可观的时间用在规划精确授权的细节上。 Spring Security
2014-12-23 13:03:39
397
转载 《Spring Security3》第五章第一部分翻译(重新思考应用功能和安全)
第五章 精确的访问控制 到目前为止,我们已经为JBCP Pets站点添加了用户友好的一些功能,包括自定义的登录页以及修改密码、remember me功能。 在本章中,我们将要学习规划应用安全的技术以及用户/组的划分。其次,我们学习两种实现精确访问控制的实现方式——这会影响应用中页面的授权。然后,我们会了解Spring Security如何通过使用方法注解和AOP的方式来实现业务层
2014-12-23 11:50:13
361
转载 tomcat6.0实现https安全访问
因为客户要求,需要tomcat6.0配置https访问,在网上找了一些方法,自己尝试了一下,基本成功。以下是些简单的操作步骤:1、生成安全访问的证书。命令行下执行:keytool -genkey -alias tomcat -keyalg RSA -keystore c:\tomcat.keystore然后按提示输入一些密码等信息:输入keystore密码:再次输入新密码:
2014-12-23 09:29:24
369
转载 《Spring Security3》第四章第四部分翻译(Remember me后台存储和SSL)附前四章doc文件
到此,前四章翻译完成,欢迎朋友提些意见! 将Remember me功能迁移至数据库 现在你可能会意识到我们remember me功能的实现,能够在应用重启前很好的使用,但在应用重启时用户的session会被丢失。这对用户来说会不太便利,他们不应该关心JBCP Pets的维护信息。 幸运的是,Spring Security提供了将remember
2014-12-22 15:56:49
486
转载 《Spring Security3》第四章第三部分翻译下(密码加salt)
你是否愿意在密码上添加点salt? 如果安全审计人员检查数据库中编码过的密码,在网站安全方面,他可能还会找到一些令其感到担心的地方。让我们查看一下存储的admin和guest用户的用户名和密码值: 用户名明文密码加密密码adminadmin7b2e9f54cdff413fcde01f3
2014-12-22 11:51:25
773
转载 《Spring Security3》第四章第三部分翻译上(配置安全的密码)
配置安全的密码 我们回忆第一章:一个不安全应用的剖析中,审计人员认为密码以明文形式进行存储是最高优先级的安全风险。实际上,在任何安全系统中,密码安全都是保证已经经过认证的安全实体是真实可靠的重要方面。安全系统的设计人员必须保证密码存储时,任何恶意的用户想要进行破解都是非常困难的。 在数据库存储时,需要遵守以下的准则:l 密码不能以明文的形式进行存储(简
2014-12-19 13:43:31
427
转载 《Spring Security3》第四章第二部分翻译(JdbcDaoImpl的高级配置)
JdbcDaoImpl的高级配置JdbcDaoImpl拥有众多的可配置选项使其可以在已存在的schema中使用,或对其功能进行更复杂地调整。在很多场景下,很可能我们只需调整内置UserDetailsService类的配置而不需要写自己的代码。 有一个很重要的功能就是在用户(User)和权限(GrantedAuthority)之间添加一个隔离层(a level of indirectio
2014-12-19 10:22:02
546
转载 《Spring Security3》第四章第一部分翻译下(自定义的UserDetailsService)
实现自定义的JDBC UserDetailsService正如在前面章节中的那个练习,我们将以基本的JdbcDaoImpl作为起点,将其进行扩展以支持修改密码功能。创建一个自定义的JDBC UserDetailsService在com.packtpub.springsecurity.security包下创建如下的类: Java代码 public class
2014-12-18 16:31:03
593
转载 《Spring Security3》第四章第一部分翻译上(数据库管理信息)
这次上传的部分内容是入门级的,比较简单,但是本章整体的功能还是非常重要的。 第四章 凭证安全存储到现在为止,我们已经将JBCP Pets站点做了一些用户友好性方面的升级,包括一个自定义的登录页、修改密码以及remember me功能。 在本章中,我们将会把到目前为止都在使用的内存存储转移到数据库作为后台的认证存储。我们将会介绍默认的Spring Security数据库
2014-12-18 15:33:05
338
转载 《Spring Security3》第三章第四部分翻译(修改密码)
实现修改密码管理现在我们将要对基于内存的UserDetailsService进行简单的扩展以使其支持用户修改密码。因为这个功能对用户名和密码存于数据库的场景更有用,所以基于o.s.s.core.userdetails.memory.InMemoryDaoImpl扩展的实现不会关注存储机制,而是关注框架对这种方式扩展的整体流程和设计。在第四章中,我们将通过将其转移到数据库后台存储来进一步扩展我们
2014-12-18 13:11:22
524
转载 《Spring Security3》第三章第三部分翻译下(Remember me安全吗?)
Remember me是否安全?对我们精心保护的站点来说,为了用户体验而添加的任何与安全相关的功能,都有增加安全风险的潜在可能。按照其默认方式,Remember me功能存在用户的cookie被拦截并被恶意用户重用的风险。下图展现了这种情况是如何发生的: 使用SSL(第四章进行讨论)以及其他的网络安全技术能缓解这种类型攻击的风险,但是要注意的是还有其他技术如跨站脚本攻击(
2014-12-18 11:07:57
384
转载 《Spring Security3》第三章第三部分翻译上(Remember me功能实现)
Remember me对于经常访问站点的用户有一个便利的功能就是remember me。这个功能允许一个再次访问的用户能够被记住,它通过在用户的浏览器上存储一个加密的cookie来实现的。如果Spring Security能够识别出用户提供的remember me cookie,用户将不必填写用户名和密码,而是直接登录进入系统。 与到目前为止我们介绍的其它功能不同,remember m
2014-12-18 10:25:12
426
转载 《Spring Security3》第三章第二部分翻译(退出功能的实现)
理解退出功能术语退出(Logout)指的是用户使其安全session失效的一种操作。一般来说,用户在退出后,将会被重定向到站点的非安全保护的界面。让我们在站点的页头部分添加一个“Log Out”的链接,并再次访问站点以了解其如何实现功能的。在站点页头上添加“Log Out”链接正如我们在第二章中讨论的那样,Spring Security将会监视一些特殊的URL,这些URL将会触发过滤器
2014-12-17 17:15:27
340
转载 《Spring Security3》第三章第一部分翻译
第三章 增强用户体验 在本章中,我们将对JBCP Pets在线商店增加一些功能,这些新功能能够为用户提供更愉悦和可用的用户体验,同时提供一些对安全系统很重要的功能。在本章中,我们将要:l 按照你的意愿自定义登录和退出页面,并将它们与标准的Spring web MVC的控制器相关联;l 使用remember me功能为用户提供便利,并理解其背后的安全含义;l 构建用户账
2014-12-17 15:18:15
381
转载 《Spring Security3》第二章第三部分翻译(下)附前两章doc文档
关注这个系列的同学们有福了,我把前两章翻译的doc文档上传了,欢迎传播。有谬误之处,请不吝指正。 使用Spring表达式语言配置访问控制 基于角色标准投票机制的标准实现是使用RoleVoter,还有一种替代方法可用来定义语法复杂的投票规则即使用Spring表达式语言(SpEL)。要实现这一功能的直接方式是在配置元素上添加use-expressions属性:
2014-12-17 14:53:27
480
转载 《Spring Security3》第二章第三部分翻译(中)
请求是怎样被授权的?在Spring Security的默认过滤器链中,最后一个servelt过滤器是FilterSecurityInterceptor,它的作用是判断一个特定的请求是被允许还是被拒绝。在FilterSecurityInterceptor被触发的时候,安全实体已经经过了认证,所以系统知道他们是合法的用户。(其实也有可能是匿名的用户,译者注)。请记住的一点是,Authenticat
2014-12-17 14:05:51
359
转载 《Spring Security3》第二章第三部分翻译(上)
安全的复杂之处:安全web请求的架构 借助于SpringSecurity的强大基础配置功能以及内置的认证功能,我们在前面讲述的三步配置是很快就能完成的;它们的使用是通过添加auto-config属性和http元素实现的。 但不幸的是,应用实现的考量、架构的限制以及基础设施集成的要求可能使你的Spring Security实现远较这个简单的配置所提供的复杂。很
2014-12-17 11:42:43
408
转载 《Spring Security3》第二章第二部分翻译
三步之内使我们的应用变得安全 尽管SpringSecurity的配置可能会很难,但是它的作者是相当为我们着想的,因为他们为我们提供了一种简单的机制来使用它很多的功能并可以此作为起点。以这个为起点,额外的配置能够实现应用的分层次详细的安全控制。 我们将从我们不安全的在线商店开始,并且使用三步操作将它变成一个拥有基本用户名和密码安全认证的站点。这个认证仅仅是为了
2014-12-17 11:41:35
345
转载 《Spring Security3》第二章第一部分翻译
第二章 Spring Security起步在本章中,我们将要学习SpringSecurity背后的核心理念,包括重要的术语和产品架构。我们将会关注配置Spring Security的一些方式以及对应用的作用。最重要的是为了解决工作中的问题,我们要开始使得JBCP Pets的在线商店系统变得安全。我们将会通过分析和理解认证如何保护在线商店的适当区域来解决在第一章:一个不安全应用的剖析中审计
2014-12-17 11:40:49
362
转载 《Spring Security3》第一章第二部分翻译
应用所使用的技术我们使用了一些每个Spring程序员都会遇到的技术和工具,以使得示例应用很容易的运行起来。尽管如此,我们还是提供了补充的起步资料信息在附录:参考资料。我们建立使用如下的IDE以提高开发的效率并使用本书的示例代码:l Eclipse 3.4或3.5 Java EE版本可以在以下地址获得:http://www.eclipse.org/downloads/l Sp
2014-12-17 11:39:34
412
转载 《Spring Security3》第一章第一部分翻译
第一章 一个不安全应用的剖析毫无疑问,安全是任何一个写于21世纪的web工程中最重要的架构组件之一。在这样一个时代,计算机病毒、犯罪以及不合法的员工一直存在并且持续考验软件的安全性试图有所收益,因此对你负责的项目综合合理地使用安全是至关重要的一个元素。 本书的写作遵循了这样的一个开发模式,这个模式我们感觉提供了一个有用的前提来解决复杂的话题——即使用一个基于Spring3的web
2014-12-17 11:31:29
325
转载 关于对《Spring Security3》一书的翻译说明
原文地址:http://lengyun3566.iteye.com/blog/1068998最近阅读了《Spring Security3》一书,颇有收获(封面见图片)。因此将其部分内容翻译成中文,对于电子版内容,本人放弃一切权利。在翻译之前,本人曾发邮件征询原作者的意见,如今已是半月有余,未见其回复。因为非盈利为目的,所以斗胆将内容发布于博客之上。这是我第一
2014-12-17 11:30:40
555
转载 activiti:async的作用
一、参考 http://www.mossle.com/docs/activiti/#bpmnConcurrencyAndTransactions有如下说明:我们可以看到包含用户任务,服务任务和定时器事件的流程。完成用户任务,和校验地址是在同一个工作单元中,所以它们的成功和失败是原子性的。意味着如果服务任务抛出异常,我们要回滚当前事务,这样流程会退回到用户任务,用户任务就依然在数据库
2014-12-10 14:26:52
2404
转载 目前能够找到的最有效的 JFreeChart 中文乱码解决方案
原文地址:http://developer.51cto.com/art/201112/308902.htm由于JFreeChart组件的版本、操作平台、JDK 的设置等因素,在使用 JFreeChart 组件时可能会出现中文乱码的现象。遇到此问题时,可通过设置文字的字体来解决问题。在此提供以下两种解决此问题的方法。一、设置主题的样式(强烈推荐) 在创建统计图表之前,创建主题样式
2014-12-08 13:10:42
394
转载 maven使用过程中遇到的问题(依赖jar文件下载失败等)
问题 1:依赖jar文件下载失败 1. 我们从svn工程下载maven工程项目时,maven工程都有pom.xml文件,里面设置了maven工程项目的依赖的jar包,有的jar下载失败,在pom.xml文件提示缺失对应的jar,而在nexus服务上有对应的jar。 1)在pom.xml文件上提示缺失对应的jar: 2)本地
2014-12-04 14:16:33
2836
转载 Nexus下载Maven仓库索引(远程OR离线)
在开发过程中, 常常只记得某个构建名字,而不记得其具体的配置信息及可用版本等,这个时候可以通过nexus的构建搜索功能查询得到适用的构建;搜索构建的前提是构建在仓库中已经建立索引,没有建立索引或者索引不存在的情况下是搜索不到构建信息的;Nexus默认是不下载远程仓库的索引的,如果想在Nexus中搜索远程仓库中的构建需要先下载远程仓库的索引。如果通过nexus搜不到某个的构件,那说明这个构件不在当前
2014-12-04 10:33:27
1182
nexus-maven-repository-index.part2.rar
2014-12-10
实现图片截取预览功能的jquery插件
2013-01-09
表格行列合并JS
2013-01-09
jbpm4.3表结构和表字段说明
2012-12-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人