spring中文API文档.docx
《spring中文API文档.docx》由会员分享,可在线阅读,更多相关《spring中文API文档.docx(212页珍藏版)》请在冰点文库上搜索。
spring中文API文档
这次发布的SpringSecurity-3.0.1是一个bugfix版,主要是对3.0中存在的一些问题进行修
正。
文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行了修正,建议开发
者以这一版本的文档为参考。
另:
SpringSecurity从2010-01-01以后,版本控制从SVN换成了GIT,我们在翻译文档的
时候,主要是根据SVN的变化来进行文档内容的比对,这次换成GIT后,感觉缺少了之前
那种文本比对工具,如果有对GIT熟悉的朋友,还请推荐一下文本比对的工具,谢谢。
序言
I.入门
1.介绍
1.1.SpringSecurity是什么?
1.2.历史
1.3.发行版本号
1.4.获得SpringSecurity
1.4.1.项目模块
1.4.1.1.Core-spring-security-core.jar
1.4.1.2.Web-spring-security-web.jar
1.4.1.3.Config-spring-security-config.jar
1.4.1.4.LDAP-spring-security-ldap.jar
1.4.1.5.ACL-spring-security-acl.jar
1.4.1.6.CAS-spring-security-cas-client.jar
1.4.1.7.OpenID-spring-security-openid.jar
1.4.2.获得源代码
2.Security命名空间配置
2.1.介绍
2.1.1.命名空间的设计
2.2.开始使用安全命名空间配置
2.2.1.配置web.xml
2.2.2.最小配置
2.2.2.1.auto-config包含了什么?
2.2.2.2.表单和基本登录选项
2.2.3.使用其他认证提供器
2.2.3.1.添加一个密码编码器
2.3.高级web特性
2.3.1.Remember-Me认证
2.3.2.添加HTTP/HTTPS信道安全
2.3.3.会话管理
2.3.3.1.检测超时
2.3.3.2.同步会话控制
2.3.3.3.防止Session固定攻击
2.3.4.对OpenID的支持
2.3.4.1.属性交换
2.3.5.添加你自己的filter
2.3.5.1.设置自定义AuthenticationEntryPoint
2.4.保护方法
2.4.1.元素
2.4.1.1.使用protect-pointcut添加安全切点
2.5.默认的AccessDecisionManager
2.5.1.自定义AccessDecisionManager
2.6.验证管理器和命名空间
3.示例程序
3.1.Tutorial示例
3.2.Contacts
3.3.LDAP例子
3.4.CAS例子
3.5.Pre-Authentication例子
4.SpringSecurity社区
4.1.任务跟踪
4.2.成为参与者
4.3.更多信息
II.结构和实现
5.技术概述
5.1.运行环境
5.2.核心组件
5.2.1.SecurityContextHolder,SecurityContext和Authentication对象
5.2.1.1.获得当前用户的信息
5.2.2.UserDetailsService
5.2.3.GrantedAuthority
5.2.4.小结
5.3.验证
5.3.1.什么是SpringSecurity的验证呢?
5.3.2.直接设置SecurityContextHolder的内容
5.4.在web应用中验证
5.4.1.ExceptionTranslationFilter
5.4.2.AuthenticationEntryPoint
5.4.3.验证机制
5.4.4.在请求之间保存SecurityContext。
5.5.SpringSecurity中的访问控制(验证)
5.5.1.安全和AOP建议
5.5.2.安全对象和AbstractSecurityInterceptor
5.5.2.1.配置属性是什么?
5.5.2.2.RunAsManager
5.5.2.3.AfterInvocationManager
5.5.2.4.扩展安全对象模型
5.6.国际化
6.核心服务
6.1.TheAuthenticationManager,ProviderManager和AuthenticationProviders
6.1.1.DaoAuthenticationProvider
6.2.UserDetailsService实现
6.2.1.内存认证
6.2.2.JdbcDaoImpl
6.2.2.1.权限分组
6.3.密码加密
6.3.1.什么是散列加密?
6.3.2.为散列加点儿盐
6.3.3.散列和认证
III.web应用安全
7.安全过滤器链
7.1.DelegatingFilterProxy
7.2.FilterChainProxy
7.2.1.绕过过滤器链
7.3.过滤器顺序
7.4.使用其他过滤器——基于框架
8.核心安全过滤器
8.1.FilterSecurityInterceptor
8.2.ExceptionTranslationFilter
8.2.1.AuthenticationEntryPoint
8.2.2.AccessDeniedHandler
8.3.SecurityContextPersistenceFilter
8.3.1.SecurityContextRepository
8.4.UsernamePasswordAuthenticationFilter
8.4.1.认证成功和失败的应用流程
9.Basic(基本)和Digest(摘要)验证
9.1.BasicAuthenticationFilter
9.1.1.配置
9.2.DigestAuthenticationFilter
9.2.1.Configuration
10.Remember-Me认证
10.1.概述
10.2.简单基于散列标记的方法
10.3.持久化标记方法
10.4.Remember-Me接口和实现
10.4.1.TokenBasedRememberMeServices
10.4.2.PersistentTokenBasedRememberMeServices
11.会话管理
11.1.SessionManagementFilter
11.2.SessionAuthenticationStrategy
11.3.同步会话
12.匿名认证
12.1.概述
12.2.配置
12.3.AuthenticationTrustResolver
IV.授权
13.验证架构
13.1.验证
13.2.处理预调用
13.2.1.AccessDecisionManager
13.2.2.基于投票的AccessDecisionManager实现
13.2.2.1.RoleVoter
13.2.2.2.AuthenticatedVoter
13.2.2.3.CustomVoters
13.3.处理后决定
14.安全对象实现
14.1.AOP联盟(MethodInvocation)安全拦截器
14.1.1.精确的MethodSecurityIterceptor配置
14.2.AspectJ(JoinPoint)安全拦截器
15.基于表达式的权限控制
15.1.概述
15.1.1.常用内建表达式
15.2.Web安全表达式
15.3.方法安全表达式
15.3.1.@Pre和@Post注解
15.3.1.1.访问控制使用@PreAuthorize和@PostAuthorize
15.3.1.2.过滤使用@PreFilter和@PostFilter
16.acegi到springsecurity的转换方式
16.1.SpringSecurity是什么
16.2.目标
16.3.步骤
16.4.总结
V.高级话题
17.领域对象安全(ACLs)
17.1.概述
17.2.关键概念
17.3.开始
18.预认证场景
18.1.预认证框架类
18.1.1.AbstractPreAuthenticatedProcessingFilter
18.1.2.AbstractPreAuthenticatedAuthenticationDetailsSource
18.1.2.1.J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource
18.1.3.PreAuthenticatedAuthenticationProvider
18.1.4.Http403ForbiddenEntryPoint
18.2.具体实现
18.2.1.请求头认证(Siteminder)
18.2.1.1.Siteminder示例配置
18.2.2.J2EE容器认证
19.LDAP认证
19.1.综述
19.2.在SpringSecurity里使用LDAP
19.3.配置LDAP服务器
19.3.1.使用嵌入测试服务器
19.3.2.使用绑定认证
19.3.3.读取授权
19.4.实现类
19.4.1.LdapAuthenticator实现
19.4.1.1.常用功能
19.4.1.2.BindAuthenticator
19.4.1.3.PasswordComparisonAuthenticator
19.4.1.4.活动目录认证
19.4.2.链接到LDAP服务器
19.4.3.LDAP搜索对象
19.4.3.1.FilterBasedLdapUserSearch
19.4.4.LdapAuthoritiesPopulator
19.4.5.SpringBean配置
19.4.6.LDAP属性和自定义UserDetails
20.JSP标签库
20.1.声明Taglib
20.2.authorize标签
20.3.authentication标签
20.4.accesscontrollist标签
21.Java认证和授权服务(JAAS)供应器
21.1.概述
21.2.配置
21.2.1.JAASCallbackHandler
21.2.2.JAASAuthorityGranter
22.CAS认证
22.1.概述
22.2.CAS是如何工作的
22.3.配置CAS客户端
23.X.509认证
23.1.概述
23.2.把X.509认证添加到你的web系统中
23.3.为tomcat配置SSL
24.替换验证身份
24.1.概述
24.2.配置
A.安全数据库表结构
A.1.User表
A.1.1.组权限
A.2.持久登陆(Remember-Me)表
A.3.ACL表
A.3.1.HypersonicSQL
A.3.1.1.PostgreSQL
B.安全命名空间
B.1.Web应用安全-元素
B.1.1.属性
B.1.1.1.servlet-api-provision
B.1.1.2.path-type
B.1.1.3.lowercase-comparisons
B.1.1.4.realm
B.1.1.5.entry-point-ref
B.1.1.6.access-decision-manager-ref
B.1.1.7.access-denied-page
B.1.1.8.once-per-request
B.1.1.9.create-session
B.1.2.
B.1.3.元素
B.1.3.1.pattern
B.1.3.2.method
B.1.3.3.access
B.1.3.4.requires-channel
B.1.3.5.filters
B.1.4.元素
B.1.5.元素
B.1.5.1.login-page
B.1.5.2.login-processing-url
B.1.5.3.default-target-url
B.1.5.4.always-use-default-target
B.1.5.5.authentication-failure-url
B.1.5.6.authentication-success-handler-ref
B.1.5.7.authentication-failure-handler-ref
B.1.6.元素
B.1.7.元素
B.1.7.1.data-source-ref
B.1.7.2.token-repository-ref
B.1.7.3.services-ref
B.1.7.4.token-repository-ref
B.1.7.5.key属性
B.1.7.6.token-validity-seconds
B.1.7.7.user-service-ref
B.1.8.元素
B.1.8.1.session-fixation-protection
B.1.9.元素
B.1.9.1.max-sessions属性
B.1.9.2.expired-url属性
B.1.9.3.error-if-maximum-exceeded属性
B.1.9.4.session-registry-alias和session-registry-ref属性
B.1.10.元素
B.1.11.元素
B.1.11.1.subject-principal-regex属性
B.1.11.2.user-service-ref属性
B.1.12.元素
B.1.13.元素
B.1.13.1.logout-url属性
B.1.13.2.logout-success-url属性
B.1.13.3.invalidate-session属性
B.1.14.元素
B.2.认证服务
B.2.1.元素
B.2.1.1.元素
B.2.1.2.使用来引用一个AuthenticationProviderBean
B.3.方法安全
B.3.1.元素
B.3.1.1.secured-annotations和jsr250-annotations属性
B.3.1.2.安全方法使用
B.3.1.3.元素
B.3.2.LDAP命名空间选项
B.3.2.1.使用元素定义LDAP服务器
B.3.2.2.元素
B.3.2.3.元素
PartI.入门
本指南的后面部分提供对框架结构和实现类的深入讨论,了解它们,对你进行复杂的定制是
十分重要的。
在这部分,我们将介绍SpringSecurity3.0,简要介绍该项目的历史,然后
看看如何开始在程序中使用框架。
特别是,我们将看看命名控件配置提供了一个更加简单的
方式,在使用传统的springbean配置时,你不得不实现所有类。
我们也会看看可用的范例程序。
它们值得试着运行,实验,在你阅读后面的章节之前-你
可以在对框架有了更多连接之后再回来看这些例子。
也请参考项目网站获得构建项目有用
的信息,另外链接到网站,视频和教程。
Chapter1.介绍
1.1.SpringSecurity是什么?
SpringSecurity为基于J2EE企业应用软件提供了全面安全服务。
特别是使用领先的
J2EE解决方案-spring框架开发的企业软件项目。
如果你没有使用Spring开发企业软件,
我们热情的推荐你仔细研究一下。
熟悉Spring-尤其是依赖注入原理-将帮助你更快的掌握
SpringSecurity。
人们使用SpringSecurity有很多种原因,不过通常吸引他们的是在J2EEServlet规范
或EJB规范中找不到典型企业应用场景的解决方案。
提到这些规范,特别要指出的是它们
不能在WAR或EAR级别进行移植。
这样,如果你更换服务器环境,就要,在新的目标环
境进行大量的工作,对你的应用系统进行重新配置安全。
使用SpringSecurity解决了这
些问题,也为你提供了很多有用的,可定制的其他安全特性。
你可能知道,安全包括两个主要操作,“认证”和“验证”(或权限控制)。
这就是Spring
Security面向的两个主要方向。
“认证”是为用户建立一个他所声明的主体的过程,(“主
体”一般是指用户,设备或可以在你系统中执行行动的其他系统)。
“验证”指的一个用户能
否在你的应用中执行某个操作。
在到达授权判断之前,身份的主体已经由身份验证过程建
立了。
这些概念是通用的,不是SpringSecurity特有的。
在身份验证层面,SpringSecurity广泛支持各种身份验证模式。
这些验证模型绝大多数
都由第三方提供,或正在开发的有关标准机构提供的,例如InternetEngineeringTask
Force。
作为补充,SpringSecurity也提供了自己的一套验证功能。
SpringSecurity
目前支持认证一体化和如下认证技术:
HTTPBASICauthenticationheaders(一个基于IEFTRFC的标准)
HTTPDigestauthenticationheaders(一个基于IEFTRFC的标准)
HTTPX.509clientcertificateexchange(一个基于IEFTRFC的标准)
LDAP(一个非常常见的跨平台认证需要做法,特别是在大环境)
Form-basedauthentication(提供简单用户接口的需求)
OpenIDauthentication
基于预先建立的请求头进行认证(比如ComputerAssociatesSiteminder)
JA-SIGCentralAuthenticationService(也被称为CAS,这是一个流行的开源单点登
录系统)
TransparentauthenticationcontextpropagationforRemoteMethodInvocation
(RMI)andHttpInvoker(一个Spring远程调用协议)
Automatic"remember-me"authentication(这样你可以设置一段时间,避免在一段时
间内还需要重新验证)
Anonymousauthentication(允许任何调用,自动假设一个特定的安全主体)
Run-asauthentication(这在一个会话内使用不同安全身份的时候是非常有用的)
JavaAuthenticationandAuthorizationService(JAAS)
JEEContainerautentication(这样,你可以继续使用容器管理认证,如果想的话)
Kerberos
JavaOpenSourceSingleSignOn(JOSSO)*
OpenNMSNetworkManagementPlatform*
AppFuse*
AndroMDA*
MuleESB*
DirectWebRequest(DWR)*
Grails*
Tapestry*
JTrac*
Jasypt*
Roller*
ElasticPlath*
AtlassianCrowd*
你自己的认证系统(向下看)
(*是指由第三方提供,查看我们的整合网页,获得最新详情的链接。
)
许多独立软件供应商(ISVs,independentsoftwarevendors)采用SpringSecurity,
是因为它拥有丰富灵活的验证模型。
这样,无论终端用户需要什么,他们都可以快速集成
到系统中,不用花很多功夫,也不用让用户改变运行环境。
如果上述的验证机制都没有满
足你的需要,SpringSecurity是一个开放的平台,编写自己的验证机制是十分简单的。
SpringSecurity的许多企业用户需要整合不遵循任何特定安全标准的“遗留”系统,Spring
Security在这类系统上也表现的很好。
有时基本的认证是不够的。
有时你需要根据在主体和应用交互的方式来应用不同的安全措
施。
比如,你可能,为了保护密码,不被窃听或受到中间人攻击,希望确保请求只通过HTTPS
到达。
这在防止暴力攻击保护密码恢复过程特别有帮助,或者简单的,让人难以复制你的
系统的关键字内容。
为了帮助你实现这些目标,SpringSecurity完全支持自动“信道安
全”,整合jcaptcha一体化进行人类用户检测。
SpringSecurity不仅提供认证功能,也提供了完备的授权功能。
在授权方面主要有三个
领域,授权web请求,授权被调用方法,授权访问单个对象的实例。
为了帮你了解它们之
间的区别,对照考虑授在Servlet规范web模式安全,EJB容器管理安全,和文件系统安
全方面的授权方式。
SpringSecurity在所有这些重要领域都提供了完备的能力,我们将
在这份参考指南的后面进行探讨。
1.2.历史
SpringSecurity开始于2003年年底,““spring的acegi安全系统”。
起因是Sp
升级会员 