Spring_Security_3应用的11个步骤.docxVIP

1. pring Security11个步骤为应用程序添加安全防护 2. 历史与现状自2003年出现的Spring扩展插件Acegi Security发展而来。目前最新 版本为3.x，已成为Spring的一部分。为J2EE企业应用程序提供可靠的安全性服务。 3. Authentication vs. Authorization区分概念验证与授权验证这 个用户是谁？用户身份可靠吗？授权某用户A是否可以访问资源R某用户A是否可以执行M操作某用户A是否可以对资 源R执行M操作 4. SS中的验证特点支持多种验证方式支持多种加密格式支持组件的扩展和替换可以本地化 输出信息 5. SS中的授权特点支持多种仲裁方式支持组件的扩展和替换支持对页面访问、方法访问、对象访问 的授权。 6. SS核心安全实现Web安全通过配置Servlet Filter激活SS中的过滤器链实现 Session一致性验证实现免登陆验证（Remember-Me验证）提供一系列标签库进行页面元素的安全控制方法安全通 过AOP模式实现安全代理Web安全与方法安全均可以使用表达式语言定义访问规则 7. 配置SS配置Web.xml，应用安全过滤器配置Spring，验证与授权部分在web页面 中获取用户身份在web页面中应用安全标签库实现方法级安全 8. 1：配置web.xml Java代码 1. filter?? 2. filter-namespringSecurityFilterChain/filter-name?? 3. filter-classorg.springframework.web.filter.DelegatingFilterProxy/filter-class?? 4. /filter?? 5. filter-mapping?? 6. filter-namespringSecurityFilterChain/filter-name?? 7. url-pattern/*/url-pattern?? 8. /filter-mapping?? 9. context-param?? 10. param-namecontextConfigLocation/param-name?? 11. param-valueclasspath:spring.xml/param-value?? 12. /context-param?? 13. listener?? 14. listener-class?? 15. org.springframework.web.context.ContextLoaderListener?? 16. /listener-class?? 17. /listener?? 9. 2：Spring配置文件中设置命名空间 Java代码 1. ?xml?version=1.0?encoding=UTF-8??? 2. beans:beansxmlns=/schema/security?? 3. xmlns:beans=/schema/beans?xmlns:xsi=/2001/XMLSchema-instance?? 4. xsi:schemaLocation=/schema/beans?? 5. /schema/beans/spring-beans-3.0.xsd?? 6. /schema/security?? 7. /schema/security/spring-security-3.0.xsd?? 8. /beans:beans?? ? 10. 3：配置最基本的验证与授权 Java代码 1. http?auto-config=true?? 2. intercept-url?pattern=/**?access=ROLE_USER?/?? 3. /http?? 4. authentication-manager?? 5. authentication-provider?? 6. user-service?? 7. user?name=tom?password=123?authorities=ROLE_USER,?ROLE_A?/?? 8. user?name=jerry?password=123?authorities=ROLE_USER,?ROLE_B?/?? 9. /user-service?? 10. /authentication-provider?? 11. /authentication-manager?? 11. 4：通过数据库验证用户身份 Java代码 1. authentication-ma