![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
springsecurity
文章平均质量分 92
临远
这个作者很懒,什么都没留下…
展开
-
(翻译)Spring Security-2.0.x参考文档”支持的基础设施“
支持的基础设施这章里讨论一些Spring Security中用到的基础设施。 如果这个功能跟安全没有直接关系,但是还是包含在Spring Security中了,我们就在这章里讨论它。6.1. 国际化Spring Security支持异常信息的国际化,最终用户会很喜欢这点。 如果你的程序是为英语用户设计的,你不需要做任何事,因为默认情况下所有的Spring Security消息都...2008-07-05 21:57:24 · 108 阅读 · 0 评论 -
springsecurity-2.x官方文档中文翻译初步整理完成,附上几个例子
预览地址:http://family168.com/tutorial/springsecurity/html/springsecurity.html例子:因为网站不允许下载war扩展名的文件,我已经把扩展名改成.zip了,请各位下载后,将扩展名修改为war再使用。 secure-hello,最简单的namespace配置方式,两个用户:admin:admin, user:user...原创 2008-08-17 11:12:38 · 213 阅读 · 0 评论 -
【分享】《基于Spring Security的ACL实现与扩展》内附ppt下载
上次朋友间技术交流整理的ppt文档,因为之前一直在整理Spring Security安全权限管理手册,所以这次的主题就是《基于Spring Security的ACL实现与扩展》。什么是ACL呢?最通俗易懂的解释就是每个业务员只能查看自己签署的合同信息,它也被成为数据的行级权限控制。实际上SpringSecurity自从acegi-0.x时代起就提供了ACL实现,但是市场上却鲜见深入研究...2009-09-21 09:43:00 · 121 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档的”使用命名空间简化配置“部分
Security命名空间配置2.1. 介绍从Spring-2.0开始可以使用命名空间的配置方式。 使用它呢,可以通过附加xml架构,为传统的spring beans应用环境语法做补充。 你可以在spring参考文档得到更多信息。 命名空间元素可以简单的配置单个bean,或使用更强大的,定义一个备用配置语法,这可以更加紧密的匹配问题域,隐藏用户背后的复杂性。 简单元素可能隐藏事实,多种b...2008-05-26 10:59:18 · 139 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档”技术概述“
技术概述5.1. 运行环境Spring Security可以运行在标准的Java 1.4运行环境下。 它也支持Java 5.0,不过这部分代码单独打包起来,放到发布的,文件名是"tiger"前缀的JAR文件里。 因为Spring Security的目标是自己容器内管理,所以不需要为你的Java运行环境进行什么特别的配置。 特别是,不需要特别配置一个Java Authentication...2008-05-29 11:56:53 · 104 阅读 · 0 评论 -
Spring Security-2.0入门教程(基础篇)
欢迎阅读咱们写的Spring Security教程,咱们既不想写一个简单的入门教程,也不想翻译已有的国外教程。咱们这个教程就是建立在咱们自己做的OA的基础上,一点一滴总结出来的经验和教训。首先必须一提的是,Spring Security出身名门,它是Spring的一个子项目http://static.springsource.org/spring-security/site/index.html。...2009-06-04 17:48:42 · 143 阅读 · 1 评论 -
Spring Security-2.0导航-基础篇,又添两章
目前我们在基础篇中已经编写了六章,基本上可以带新手从头开始使用Spring Security了,稍稍还带了一些定制的功能,有深有浅,等到下次整理时再考虑是否细分章节,深挖内容。I. 基础篇1. 一个简单的HelloWorld1.1. 配置过滤器1.2. 使用命名空间1.3. 完善整个项目1.4. ...2009-06-10 10:31:14 · 110 阅读 · 0 评论 -
请把acegi替换成Spring Security(内附视频)
在对web项目进行权限管理时,采用的方法无非是写一大堆JSP或者干脆一个Filter搞定。写完简单的权限功能后,又开始考虑如何自动记忆上次用户信息,限制每台机器只能有一个用户登录,把用户密码进行加密。接着更上一层楼,尝试实现单点登录,使用HTTPS保护传输数据,防御会话伪造攻击等等。于是好几年前出现了名叫acegi的东西,它建立在spring的基础上,提供了可以丰盛的权限功能集合,同时也以...2010-03-22 09:54:09 · 136 阅读 · 0 评论 -
图解Spring Security默认使用的过滤器
第 9 章 图解过滤器图 9.1. auto-config='true'时的过滤器列表9.1. HttpSessionContextIntegrationFilter图 9.2. org.springframework.security.context.HttpSessionContextIntegrationF...2009-06-15 10:38:59 · 404 阅读 · 0 评论 -
Spring Security手册更新——添加“管理会话”和对namespace,database
新增的部分有,第八章“管理会话”,附录D,E分别整理了命名空间中的元素和属性,以及数据库表结构。8. 管理会话8.1. 添加监听器8.2. 添加过滤器8.3. 控制策略8.3.1. 后登陆的将先登录的踢出系统8.3.2. 后面的用户禁止登陆D. 命名空间...2009-06-22 10:04:27 · 88 阅读 · 0 评论 -
Spring Security手册更新cas, basic, acl
这次更新的都是重头戏,CAS和ACL。其中ACL只是简述了Spring Security中默认提供的实现方式,如何让它更明快的跑在我们的应用里,估计还要下一番功夫。9. 单点登录9.1. 配置JA-SIG9.2. 配置Spring Security9.2.1. 添加依赖9.2.2. 修改applicationContex...2009-06-29 18:13:31 · 76 阅读 · 0 评论 -
Spring Security 安全权限管理手册(0.0.6更新)
这一次,我们添加了taglib标签库的时候,以及如何使用多种方式保护方法的调用。而我们推荐大家阅读的,包含在本次更新中的重头戏是“使用springsecurity实现最简的权限后台”,这就好比我们学会了26个字母,但是依然很难讲出流利的英语,我们教程的最后将包含多个知识点的汇集和整合,探索一条如何依靠spring security完成多种实际应用的最佳实践之路。11. 标签...2009-07-10 01:54:15 · 72 阅读 · 0 评论 -
敬献Spring Security-3.x官方文档中文版
Spring Security-3.x新近发布,整体的项目结构和包名都出现了天翻地覆的变化,与此同时,Spring Security-3.x中也提供了session-management和SpEL的多种强大功能,family168第一时间提供官方文档的翻译版本,希望同大家一起领略Spring Security-3.x的最新时髦风尚。介于Spring Security官方文档本身倾向于...原创 2009-12-29 11:43:06 · 165 阅读 · 0 评论 -
Spring Security 安全权限管理手册(0.0.7更新)
这一次迭代,对章节的命名进行了这里,目标是尽快覆盖Spring Security中提供的各项功能,从而逐渐进入安全框架的内核。修订 0.0.72009-07-10 整理章节的名称结构。添加:第 12 章 自动登录添加:第 13 章 匿名登录添加:第 14 章 防御会话伪造。...2009-07-13 00:38:30 · 109 阅读 · 0 评论 -
Spring Security 安全权限管理手册(0.0.8更新)
Spring Security-2.0.5发布,这个bugfix版很可能为2.x系列画上了一个句号,只是3.0的进度一直缓慢,大概也是在等待着spring-3.0的来临。springsecurity文档写到这里已经到了一个阶段,基本覆盖了框架提供的所有特性,下一步要仔细考虑如何基于框架创造出完善的应用了。 修订历史 修...2009-07-20 09:58:38 · 87 阅读 · 0 评论 -
Spring Security 安全权限管理手册(0.0.9更新)
这次更新中包含了一个在用户输入密码错误三次后锁定账户的示例,比较有意思,推荐大家阅读一下。 修订 0.0.92009-07-21 添加:第 27 章 保存登录之前的请求。添加:第 34 章 动态资源管理。添加:第 38 章 管理acl。添加:第 39 章 acl自动提醒...2009-07-27 09:27:35 · 102 阅读 · 0 评论 -
Spring Security-3.0.1中文官方文档(翻译版)
这次发布的Spring Security-3.0.1是一个bug fix版,主要是对3.0中存在的一些问题进行修正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行了修正,建议开发者以这一版本的文档为参考。另:SpringSecurity从2010-01-01以后,版本控制从SVN换成了GIT,我们在翻译文档的时候,主要是根据SVN的变化来进行文档内容的比对,这次换成GIT...原创 2010-01-19 09:36:06 · 190 阅读 · 0 评论 -
Spring Security 安全权限管理手册(0.1.0更新)
随着内容的堆叠,文档结构开始渐渐混乱了,到0.1.0为止关于认证与授权的基本功能已经覆盖的七七八八了,下面开始进入整理和深入研究的阶段,之后的更新会大大放慢,同时其他谁能提出一些有建设性的建议来点醒一下,否则就会真是进入漫长蛰伏期了。修订 0.1.02009-07-27添加:第 7 章 自定义访问拒绝页面。添加:第 8 章 动态管理资源结合自定...2009-08-05 10:26:48 · 91 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“领域对象安全”
领域对象安全24.1. 概述请注意:在2.0.0之前,Spring Security还叫Acegi Security。 在老的Acegi Security发布里提供了一个ACL模块,放在 org.[acegisecurity/springsecurity].acl下。 旧包现在被废弃了,会在Spring Security未来发布里删除。 这章提到的新ACL模块,是由Spring Sec...2008-08-13 00:18:57 · 119 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“安全对象实现”
安全对象实现23.1. AOP联盟 (MethodInvocation) 安全拦截器在Spring Security 2.0之前,安全MethodInvocation需要进行很多厚重的配置。 现在为方法安全推荐的方式,是使用命名空间配置. 使用这个方式,会自动为你配置好方法安全基础bean,,你不需要了解那些实现类。 我们只需要对这些类提供一个在这里提到的快速概述。方法安全强制...2008-08-12 09:50:27 · 119 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档”信道安全“
信道安全7.1. 总述为了在你的程序中协调认证与验证的要求,Spring Security也可以让未认证的web请求携带一些属性。 这些属性可能包括特定的传输类型,拥有特定的 HttpSession 属性设置,或其他。 最常见的需求是,让你的web请求使用特定的传输协议发送,比如HTTPS。威胁传输安全的一个重要因素是会话劫持。你的web容器通过用户代理发送cookie或URL...2008-07-06 10:08:02 · 202 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“通用认证服务”
8.1. 机制,供应者和入口如果你使用Spring Security提供的认证方式,你通常需要配置一个web过滤器,AuthenticationProvider 和 AuthenticationEntryPoint。 在这章里,我们将要研究一个应用例子,它要支持基于表单的认证(比如,把一个非常好的HTML页面展现给用户,让他们进行登录)和基本认证(比如一个web服务或类似可访问的被保护资源...2008-07-07 12:13:40 · 114 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“DAO认证提供器”
DAO认证提供器9.1. 综述Spring Security包含了一个产品级别的AuthenticationProvider实现,叫做DaoAuthenticationProvider。 这个认证提供器兼容所有生成UsernamePasswordAuthenticationToken的验证机制,它可能是框架里最常用到的提供器。 与其他认证提供器一样,DaoAuthenticationP...2008-07-28 19:37:05 · 112 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“LDAP认证”
LDAP认证10.1. 综述LDAP通常被公司用作用户信息的中心资源库,同时也被当作一种认证服务。 它也可以为应用用户储存角色信息。这里有很多如何对LDAP服务器进行配置的场景,所以Spring Security的LDAP提供器也是完全可配置的。 它使用为验证和角色检测提供了单独的策略接口,并提供了默认的实现,这些都是可配置成处理绝大多数情况。你还是应该熟悉一下LDAP...2008-07-29 09:52:03 · 138 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“表单认证机制”
表单认证机制11.1. 概述HTTP表单认证,使用AuthenticationProcessingFilter来处理一个登录表单。 这是系统认证最终用户的最常见的一种方法。 基于表单认证与DAO和JAAS认证提供器是完全兼容的。11.2. 配置登录表单包含j_username 和 j_password 输入框,然后将数据发送到过滤器监听的一个URL(默认是/j_spring...2008-07-30 09:12:41 · 130 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“基本认证机制”
基本认证机制12.1. 概述Spring Security提供一个BasicProcessingFilter,它可以处理HTTP头部中的基本认证证书。 它可以用来像对待普通用户代理一样(比如IE和Navigator)认证由Spring远程协议的调用(比如Hessian和Burlap)。 HTTP基本认证的执行标准定义在RFC 1945,11章,BasicProcessingFilter...2008-07-31 12:52:00 · 87 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“摘要式认证”
摘要式认证13.1. 概述Spring Security提供了一个 DigestProcessingFilter,它可以处理HTTP头部中的摘要认证证书。 摘要认证在尝试着解决许多基本认证的缺陷,特别是保证不会通过纯文本发送证书。 许多用户支持摘要式认证,包括FireFox和IE。 HTTP摘要式认证的执行标准定义在RFC 2617,它是对RFC 2069这个早期摘要式认证标准的更新。...2008-08-01 18:14:49 · 115 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“Remember-Me认证”
Remember-Me认证14.1. 概述记住我(remember-me)或持久登录(persistent-login)认证,指的是网站可以在不同会话之间记忆验证的身份。 通常情况是发送一个cookie给浏览器,在以后的session里检测cookie,进行自动登录。 Spring Security为remember-me实现提供了必要的调用钩子,并提供了两个remember-me的具...2008-08-02 10:20:15 · 106 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“Java认证和授权服务(JAAS)供应”
Java认证和授权服务(JAAS)供应器15.1. 概述Spring Security提供一个包,可以代理Java认证和授权服务(JAAS)的认证请求。 这个包的细节在下面讨论。JAAS的核心是登录配置文件。 想要了解更多JAAS登录配置文件的信息,可以查询Sun公司的JAAS参考文档。 我们希望你对JAAS有一个基本了解,也了解它的登录配置语法,这才能更好的理解这章的内容。...2008-08-03 09:53:39 · 323 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“预认证场景”
预认证场景有的情况下,你需要使用Spring Security进行认证,但是用户已经在访问系统之前,在一些外部系统中认证过了。 我们把这种情况叫做“预认证”场景。 例子包括X.509,Siteminder和应用所在的J2EE容器进行认证。 在使用预认证的使用,Spring Security必须 1. 定义使用请求的用户 2. 从用户里...2008-08-04 09:51:24 · 211 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“匿名认证”
匿名认证17.1. 概述有时,特别是在web请求URI安全的情况里,为每个安全对象的调用都分配一个配置属性更方便。 不同的是,有时默认需要一个ROLE_SOMETHING更好一些,这个规则只允许一些特定例外,比如登录,注销,系统的首页。 也有需要匿名认证的其他情况,比如审核拦截器查询SecurityContextHolder来确定哪个主体可以使用对应的操作。 如果它们能确定Securi...2008-08-05 08:10:54 · 245 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“X.509认证”
X.509认证18.1. 概述X.509证书认证最常见的使用方法是使用SSL验证服务器的身份,通常情况是在浏览器使用SSL。 浏览器使用一个它维护的可信任的证书权限列表,自动检测服务器发出的证书(比如数字签名)。你也可以使用SSL进行“mutual authentication”相互认证;服务器会从客户端请求一个合法的证书,作为SSL握手协议的一部分。 服务器将验证客户端,通过...2008-08-06 10:51:27 · 228 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“CAS认证”
Chapter 19. CAS认证19.1. 概述JA-SIG开发了一个企业级的单点登录系统,叫做CAS。 与其他项目不同,JA-SIG的中心认证服务是开源的,广泛使用的,简单理解的,不依赖平台的,而且支持代理能力。 Spring Security完全支持CAS,提供一个简单的整合方式,把使用Spring Security的单应用发布,转换成使用企业级CAS服务器的多应用发布安全...2008-08-07 09:17:27 · 156 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“替换验证身份”
替换验证身份20.1. 概述AbstractSecurityInterceptor可以在安全对象回调期间,暂时替换SecurityContext和SecurityContextHolder里的Authentication对象。 只有在原始Authentication对象被AuthenticationManager和AccessDecisionManager成功处理之后,才有可能发生这种...2008-08-08 09:24:16 · 202 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“容器适配器认证”
容器适配器认证21.1. 概述非常早期版本的Spring Security使用容器适配器进行最终用户的认证。 虽然它运行良好,但是需要很多时间来支持不同的容器版本,对于开发者来说配置时间也太长了。 因为这个原因,HTTP表单认证和HTTP基础认证方法才被开发出来,直到今天,被推荐用在几乎所有的程序中。容器适配器让Spring Security可以将主机的最终用户程序与容器直接集...2008-08-09 10:08:14 · 166 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“安全数据库表结构”
安全数据库表结构可以为框架采用不同的数据库结构,这个附录为所有功能提供了一种参考形式。 你只要为需要的功能部分提供对应的表结构。这些DDL语句都是对应于HSQLDB数据库的。 你可以把它们当作一个指南,参照它,在你使用的数据库中定义表结构。A.1. User表UserDetailsService的标准JDBC实现,需要从这些表里读取用户的密码,帐号信息(可用或禁用)和权...2008-08-10 09:52:25 · 151 阅读 · 0 评论 -
(翻译)Spring Security-2.0.x参考文档“通用授权概念”
通用授权概念22.1. 授权在认证部分简略提过了,所有的Authentication实现需要保存在一个GrantedAuthority对象数组中。 这就是赋予给主体的权限。 GrantedAuthority对象通过AuthenticationManager保存到 Authentication对象里,然后从AccessDecisionManager读出来,进行授权判断。Grant...2008-08-11 18:22:12 · 126 阅读 · 0 评论 -
spring security权限管理手册升级至spring security-3.1.3
费了半天劲,终于把原来基于spring security 2.0.5的权限管理手册升级到3.1.3。除了官方已经不再支持ntlm和portal两个例子之外,其他的实例都已经通过了测试。下一步计划是对整体内容进行整理,再加上3.1.3提供的新功能。 目录索引链接如下: 序言I. 基础篇1. 一个简单的HelloWorld1.1. ...2012-12-08 01:01:03 · 202 阅读 · 0 评论