spring中文API文档.docx

1、spring中文API文档这次发布的Spring Security-3.0.1 是一个bug fix 版，主要是对3.0 中存在的一些问题进行修正。文档中没有添加新功能的介绍，但是将之前拼写错误的一些类名进行了修正，建议开发者以这一版本的文档为参考。另：Spring Security 从2010-01-01 以后，版本控制从SVN 换成了GIT，我们在翻译文档的时候，主要是根据SVN 的变化来进行文档内容的比对，这次换成GIT 后，感觉缺少了之前那种文本比对工具，如果有对GIT 熟悉的朋友，还请推荐一下文本比对的工具，谢谢。序言I. 入门1. 介绍1.1. Spring Security 是什

2、么？1.2. 历史1.3. 发行版本号1.4. 获得Spring Security1.4.1. 项目模块1.4.1.1. Core - spring-security-core.jar1.4.1.2. Web - spring-security-web.jar1.4.1.3. Config - spring-security-config.jar1.4.1.4. LDAP - spring-security-ldap.jar1.4.1.5. ACL - spring-security-acl.jar1.4.1.6. CAS - spring-security-cas-client.jar1.4

3、.1.7. OpenID - spring-security-openid.jar1.4.2. 获得源代码2. Security 命名空间配置2.1. 介绍2.1.1. 命名空间的设计2.2. 开始使用安全命名空间配置2.2.1. 配置web.xml2.2.2. 最小 配置2.2.2.1. auto-config 包含了什么？2.2.2.2. 表单和基本登录选项2.2.3. 使用其他认证提供器2.2.3.1. 添加一个密码编码器2.3. 高级web 特性2.3.1. Remember-Me 认证2.3.2. 添加HTTP/HTTPS 信道安全2.3.3. 会话管理2.3.3.1. 检测超时2.

4、3.3.2. 同步会话控制2.3.3.3. 防止Session 固定攻击2.3.4. 对OpenID 的支持2.3.4.1. 属性交换2.3.5. 添加你自己的filter2.3.5.1. 设置自定义AuthenticationEntryPoint2.4. 保护方法2.4.1. 元素2.4.1.1. 使用protect-pointcut 添加安全切点2.5. 默认的AccessDecisionManager2.5.1. 自定义AccessDecisionManager2.6. 验证管理器和命名空间3. 示例程序3.1. Tutorial 示例3.2. Contacts3.3. LDAP 例子3

5、.4. CAS 例子3.5. Pre-Authentication 例子4. Spring Security 社区4.1. 任务跟踪4.2. 成为参与者4.3. 更多信息II. 结构和实现5. 技术概述5.1. 运行环境5.2. 核心组件5.2.1. SecurityContextHolder, SecurityContext 和Authentication 对象5.2.1.1. 获得当前用户的信息5.2.2. UserDetailsService5.2.3. GrantedAuthority5.2.4. 小结5.3. 验证5.3.1. 什么是Spring Security 的验证呢？5.3.

6、2. 直接设置SecurityContextHolder 的内容5.4. 在web 应用中验证5.4.1. ExceptionTranslationFilter5.4.2. AuthenticationEntryPoint5.4.3. 验证机制5.4.4. 在请求之间保存SecurityContext 。5.5. Spring Security 中的访问控制（验证）5.5.1. 安全和AOP 建议5.5.2. 安全对象和AbstractSecurityInterceptor5.5.2.1. 配置属性是什么？5.5.2.2. RunAsManager5.5.2.3. AfterInvocatio

7、nManager5.5.2.4. 扩展安全对象模型5.6. 国际化6. 核心服务6.1. The AuthenticationManager , ProviderManager 和AuthenticationProvider s6.1.1. DaoAuthenticationProvider6.2. UserDetailsService 实现6.2.1. 内存认证6.2.2. JdbcDaoImpl6.2.2.1. 权限分组6.3. 密码加密6.3.1. 什么是散列加密？6.3.2. 为散列加点儿盐6.3.3. 散列和认证III. web 应用安全7. 安全过滤器链7.1. Delegatin

8、gFilterProxy7.2. FilterChainProxy7.2.1. 绕过过滤器链7.3. 过滤器顺序7.4. 使用其他过滤器 基于框架8. 核心安全过滤器8.1. FilterSecurityInterceptor8.2. ExceptionTranslationFilter8.2.1. AuthenticationEntryPoint8.2.2. AccessDeniedHandler8.3. SecurityContextPersistenceFilter8.3.1. SecurityContextRepository8.4. UsernamePasswordAuthentic

9、ationFilter8.4.1. 认证成功和失败的应用流程9. Basic（基本）和Digest（摘要）验证9.1. BasicAuthenticationFilter9.1.1. 配置9.2. DigestAuthenticationFilter9.2.1. Configuration10. Remember-Me 认证10.1. 概述10.2. 简单基于散列标记的方法10.3. 持久化标记方法10.4. Remember-Me 接口和实现10.4.1. TokenBasedRememberMeServices10.4.2. PersistentTokenBasedRememberMeSe

10、rvices11. 会话管理11.1. SessionManagementFilter11.2. SessionAuthenticationStrategy11.3. 同步会话12. 匿名认证12.1. 概述12.2. 配置12.3. AuthenticationTrustResolverIV. 授权13. 验证架构13.1. 验证13.2. 处理预调用13.2.1. AccessDecisionManager13.2.2. 基于投票的AccessDecisionManager 实现13.2.2.1. RoleVoter13.2.2.2. AuthenticatedVoter13.2.2.3.

11、 Custom Voters13.3. 处理后决定14. 安全对象实现14.1. AOP 联盟(MethodInvocation) 安全拦截器14.1.1. 精确的MethodSecurityIterceptor 配置14.2. AspectJ (JoinPoint) 安全拦截器15. 基于表达式的权限控制15.1. 概述15.1.1. 常用内建表达式15.2. Web 安全表达式15.3. 方法安全表达式15.3.1. Pre 和Post 注解15.3.1.1. 访问控制使用PreAuthorize 和PostAuthorize15.3.1.2. 过滤使用PreFilter 和PostFil

12、ter16. acegi 到spring security 的转换方式16.1. Spring Security 是什么16.2. 目标16.3. 步骤16.4. 总结V. 高级话题17. 领域对象安全(ACLs)17.1. 概述17.2. 关键概念17.3. 开始18. 预认证场景18.1. 预认证框架类18.1.1. AbstractPreAuthenticatedProcessingFilter18.1.2. AbstractPreAuthenticatedAuthenticationDetailsSource18.1.2.1. J2eeBasedPreAuthenticatedWebA

13、uthenticationDetailsSource18.1.3. PreAuthenticatedAuthenticationProvider18.1.4. Http403ForbiddenEntryPoint18.2. 具体实现18.2.1. 请求头认证（Siteminder）18.2.1.1. Siteminder 示例配置18.2.2. J2EE 容器认证19. LDAP 认证19.1. 综述19.2. 在Spring Security 里使用LDAP19.3. 配置LDAP 服务器19.3.1. 使用嵌入测试服务器19.3.2. 使用绑定认证19.3.3. 读取授权19.4. 实现类

14、19.4.1. LdapAuthenticator 实现19.4.1.1. 常用功能19.4.1.2. BindAuthenticator19.4.1.3. PasswordComparisonAuthenticator19.4.1.4. 活动目录认证19.4.2. 链接到LDAP 服务器19.4.3. LDAP 搜索对象19.4.3.1. FilterBasedLdapUserSearch19.4.4. LdapAuthoritiesPopulator19.4.5. Spring Bean 配置19.4.6. LDAP 属性和自定义UserDetails20. JSP 标签库20.1. 声明

15、Taglib20.2. authorize 标签20.3. authentication 标签20.4. accesscontrollist 标签21. Java 认证和授权服务（JAAS）供应器21.1. 概述21.2. 配置21.2.1. JAAS CallbackHandler21.2.2. JAAS AuthorityGranter22. CAS 认证22.1. 概述22.2. CAS 是如何工作的22.3. 配置CAS 客户端23. X.509 认证23.1. 概述23.2. 把X.509 认证添加到你的web 系统中23.3. 为tomcat 配置SSL24. 替换验证身份24.1

16、. 概述24.2. 配置A. 安全数据库表结构A.1. User 表A.1.1. 组权限A.2. 持久登陆（Remember-Me）表A.3. ACL 表A.3.1. Hypersonic SQLA.3.1.1. PostgreSQLB. 安全命名空间B.1. Web 应用安全- 元素B.1.1. 属性B.1.1.1. servlet-api-provisionB.1.1.2. path-typeB.1.1.3. lowercase-comparisonsB.1.1.4. realmB.1.1.5. entry-point-refB.1.1.6. access-decision-manager

17、-refB.1.1.7. access-denied-pageB.1.1.8. once-per-requestB.1.1.9. create-sessionB.1.2. B.1.3. 元素B.1.3.1. patternB.1.3.2. methodB.1.3.3. accessB.1.3.4. requires-channelB.1.3.5. filtersB.1.4. 元素B.1.5. 元素B.1.5.1. login-pageB.1.5.2. login-processing-urlB.1.5.3. default-target-urlB.1.5.4. always-use-defau

18、lt-targetB.1.5.5. authentication-failure-urlB.1.5.6. authentication-success-handler-refB.1.5.7. authentication-failure-handler-refB.1.6. 元素B.1.7. 元素B.1.7.1. data-source-refB.1.7.2. token-repository-refB.1.7.3. services-refB.1.7.4. token-repository-refB.1.7.5. key 属性B.1.7.6. token-validity-secondsB.1

19、.7.7. user-service-refB.1.8. 元素B.1.8.1. session-fixation-protectionB.1.9. 元素B.1.9.1. max-sessions 属性B.1.9.2. expired-url 属性B.1.9.3. error-if-maximum-exceeded 属性B.1.9.4. session-registry-alias 和session-registry-ref 属性B.1.10. 元素B.1.11. 元素B.1.11.1. subject-principal-regex 属性B.1.11.2. user-service-ref 属

20、性B.1.12. 元素B.1.13. 元素B.1.13.1. logout-url 属性B.1.13.2. logout-success-url 属性B.1.13.3. invalidate-session 属性B.1.14. 元素B.2. 认证服务B.2.1. 元素B.2.1.1. 元素B.2.1.2. 使用 来引用一个AuthenticationProvider BeanB.3. 方法安全B.3.1. 元素B.3.1.1. secured-annotations 和jsr250-annotations 属性B.3.1.2. 安全方法使用B.3.1.3. 元素B.3.2. LDAP 命名空间

21、选项B.3.2.1. 使用 元素定义LDAP 服务器B.3.2.2. 元素B.3.2.3. 元素Part I. 入门本指南的后面部分提供对框架结构和实现类的深入讨论，了解它们，对你进行复杂的定制是十分重要的。在这部分，我们将介绍Spring Security 3.0，简要介绍该项目的历史，然后看看如何开始在程序中使用框架。特别是，我们将看看命名控件配置提供了一个更加简单的方式，在使用传统的spring bean 配置时，你不得不实现所有类。我们也会看看可用的范例程序。它们值得试着运行，实验，在你阅读后面的章节之前- 你可以在对框架有了更多连接之后再回来看这些例子。也请参考项目网站获得构建项目有

22、用的信息，另外链接到网站，视频和教程。Chapter 1. 介绍1.1. Spring Security是什么？Spring Security 为基于J2EE 企业应用软件提供了全面安全服务。特别是使用领先的J2EE 解决方案-spring 框架开发的企业软件项目。如果你没有使用Spring 开发企业软件，我们热情的推荐你仔细研究一下。熟悉Spring-尤其是依赖注入原理-将帮助你更快的掌握Spring Security。人们使用Spring Security 有很多种原因， 不过通常吸引他们的是在J2EE Servlet 规范或EJB 规范中找不到典型企业应用场景的解决方案。提到这些规范，特

23、别要指出的是它们不能在WAR 或EAR 级别进行移植。这样，如果你更换服务器环境， 就要，在新的目标环境进行大量的工作，对你的应用系统进行重新配置安全。使用Spring Security 解决了这些问题，也为你提供了很多有用的，可定制的其他安全特性。你可能知道，安全包括两个主要操作， “认证”和“验证”（或权限控制）。这就是SpringSecurity 面向的两个主要方向。“认证” 是为用户建立一个他所声明的主体的过程， （“主体”一般是指用户，设备或可以在你系统中执行行动的其他系统）。“验证”指的一个用户能否在你的应用中执行某个操作。在到达授权判断之前，身份的主体已经由身份验证过程建立了。这

24、些概念是通用的，不是Spring Security 特有的。在身份验证层面，Spring Security 广泛支持各种身份验证模式。这些验证模型绝大多数都由第三方提供，或正在开发的有关标准机构提供的，例如Internet Engineering TaskForce。作为补充，Spring Security 也提供了自己的一套验证功能。Spring Security目前支持认证一体化和如下认证技术：HTTP BASIC authentication headers (一个基于IEFT RFC 的标准)HTTP Digest authentication headers (一个基于IEFT RF

25、C 的标准)HTTP X.509 client certificate exchange (一个基于IEFT RFC 的标准)LDAP (一个非常常见的跨平台认证需要做法，特别是在大环境)Form-based authentication (提供简单用户接口的需求)OpenID authentication基于预先建立的请求头进行认证（比如Computer Associates Siteminder）JA-SIG Central Authentication Service (也被称为CAS，这是一个流行的开源单点登录系统)Transparent authentication context

26、propagation for Remote Method Invocation(RMI) and HttpInvoker (一个Spring 远程调用协议)Automatic remember-me authentication (这样你可以设置一段时间，避免在一段时间内还需要重新验证)Anonymous authentication (允许任何调用，自动假设一个特定的安全主体)Run-as authentication (这在一个会话内使用不同安全身份的时候是非常有用的)Java Authentication and Authorization Service (JAAS)JEE Cont

27、ainer autentication (这样，你可以继续使用容器管理认证，如果想的话)KerberosJava Open Source Single Sign On (JOSSO) *OpenNMS Network Management Platform *AppFuse *AndroMDA *Mule ESB *Direct Web Request (DWR) *Grails *Tapestry *JTrac *Jasypt *Roller *Elastic Plath *Atlassian Crowd *你自己的认证系统(向下看)(* 是指由第三方提供，查看我们的整合网页，获得最新详情的

28、链接。)许多独立软件供应商（ISVs, independent software vendors）采用Spring Security，是因为它拥有丰富灵活的验证模型。这样，无论终端用户需要什么，他们都可以快速集成到系统中，不用花很多功夫，也不用让用户改变运行环境。如果上述的验证机制都没有满足你的需要，Spring Security 是一个开放的平台，编写自己的验证机制是十分简单的。Spring Security 的许多企业用户需要整合不遵循任何特定安全标准的“遗留”系统，SpringSecurity 在这类系统上也表现的很好。有时基本的认证是不够的。有时你需要根据在主体和应用交互的方式来应用不

29、同的安全措施。比如，你可能，为了保护密码，不被窃听或受到中间人攻击，希望确保请求只通过HTTPS到达。这在防止暴力攻击保护密码恢复过程特别有帮助， 或者简单的，让人难以复制你的系统的关键字内容。为了帮助你实现这些目标，Spring Security 完全支持自动“信道安全”， 整合jcaptcha 一体化进行人类用户检测。Spring Security 不仅提供认证功能，也提供了完备的授权功能。在授权方面主要有三个领域，授权web 请求，授权被调用方法，授权访问单个对象的实例。为了帮你了解它们之间的区别，对照考虑授在Servlet 规范web 模式安全，EJB 容器管理安全，和文件系统安全方面的授权方式。Spring Security 在所有这些重要领域都提供了完备的能力，我们将在这份参考指南的后面进行探讨。1.2. 历史Spring Security 开始于2003年年底，“spring 的acegi 安全系统”。起因是Sp