SpringSecurity3应用的11个步骤.docxVIP

1. pringSecurity11个步骤为应用程序添加安全防护2. 历史与现状自2003年出现的Spring扩展插件AcegiSecurity发展而来。目前最新版本为3.x，已成为Spring的一部分。为J2EE企业应用程序提供可靠的安全性服务。3. Authenticationvs.Authorization区分概念验证与授权验证这个用户是谁？用户身份可靠吗？授权某用户A是否可以访问资源R某用户A是否可以执行M操作某用户A是否可以对资源R执行M操作4. SS中的验证特点支持多种验证方式支持多种加密格式支持组件的扩展和替换可以本地化输出信息5. SS中的授权特点支持多种仲裁方式支持组件的扩展和替换支持对页面访问、方法访问、对象访问的授权。6. SS核心安全实现Web安全通过配置ServletFilter激活SS中的过滤器链实现Session一致性验证实现免登陆验证（Remember-Me验证）提供一系列标签库进行页面元素的安全控制方法安全通过AOP模式实现安全代理Web安全与方法安全均可以使用表达式语言定义访问规则7. 配置SS配置Web.xml，应用安全过滤器配置Spring，验证与授权部分在web页面中获取用户身份在web页面中应用安全标签库实现方法级安全8. 1：配置web.xmlJava代码1. filter  2. filter-namespringSecurityFilterChain/filter-name  3. filter-classorg.springframework.web.filter.DelegatingFilterProxy/filter-class  4. /filter  5. filter-mapping  6. filter-namespringSecurityFilterChain/filter-name  7. url-pattern/*/url-pattern  8. /filter-mapping  9. context-param  10. param-namecontextConfigLocation/param-name  11. param-valueclasspath:spring.xml/param-value  12. /context-param  13. listener  14. listener-class  15. org.springframework.web.context.ContextLoaderListener  16. /listener-class  17. /listener  9. 2：Spring配置文件中设置命名空间Java代码1. ?xml version=1.0 encoding=UTF-8?  2. beans:beansxmlns=/schema/security  3. xmlns:beans=/schema/beans xmlns:xsi=/2001/XMLSchema-instance  4. xsi:schemaLocation=/schema/beans  5. /schema/beans/spring-beans-3.0.xsd  6. /schema/security  7. /schema/security/spring-security-3.0.xsd  8. /beans:beans   10. 3：配置最基本的验证与授权Java代码1. http auto-config=true  2. intercept-url pattern=/** access=ROLE_USER /  3. /http  4. authentication-manager  5. authentication-provider  6. user-service  7. user name=tom password=123 authorities=ROLE_USER, ROLE_A /  8. user name=jerry password=123 authorities=ROLE_USER, ROLE_B /  9. /user-service  10. /authentication-provider  11. /authentication-manager  11. 4：通过数据库验证用户身份Java代码1. authentication-manager  2. authentication-provider  3. password-encoder hash=“md5”/  4. jdbc-user-service data-source-ref=data