Spring Security 3.0 中文 帮助手册.docVIP

序言 Spring Security为基于J2EE的企业应用软件提供了一套全面的安全解决方案。正如你在本手册中看到的那样，我们尝试为您提供一套好用，高可配置的安全系统。 安全问题是一个不断变化的目标，更重要的是寻求一种全面的，系统化的解决方案。在安全领域我们建议你采取“分层安全”，这样让每一层确保本身尽可能的安全，并为其他层提供额外的安全保障。每层自身越是“紧密”，你的程序就会越安全。在底层，你需要处理传输安全和系统认证，减少“中间人攻击”（man-in-the-middle attacks）。接下来，我们通常会使用防火墙，结合VPN或IP安全来确保只有获得授权的系统才能尝试连接。在企业环境中，你可能会部署一个DMZ（demilitarized zone，隔离区），将面向公众的服务器与后端数据库，应用服务器隔离开。在以非授权用户运行进程和文件系统安全最大化上，你的操作系统也将扮演一个关键的角色。操作系统通常配置了自己的防火墙。 然后你要防止针对系统的拒绝服务和暴力攻击。入侵检测系统在检测和应对攻击的时候尤其有用。这些系统可以实时屏蔽恶意TCP/IP地址。在更高层上你需要配置Java虚拟机，将授予不同java类型权限最小化，然后，你的应用程序要添加针对自身特定问题域的安全。Spring Security使后者 - 应用程序安全变得更容易。 当然，你需要妥善处理上面提到的每个安全层，以及包含于每个层的管理因素。 这些管理因素具体包括：安全公告检测，补丁，人工诊断，审计，变更管理，工程管理系统，数据备份，灾难回复，性能评测，负载检测，集中日志，应急反应程序等等。 Spring Security关注的重点是在企业应用安全层为您提供服务，你将发现业务问题领域存在着各式各样的需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工具又有很大不同。这些客户化需求让应用安全显得有趣，富有挑战性而且物有所值。 请阅读Part?I, “入门”部分，以它作为开始。它向你介绍了整个框架和以命名空间为基础系统配置方式，让你可以很快启动并运行系统。要是想更多的了解Spring Security是如何工作和一些你可能需要用到的类，你应该阅读Part?II, “结构和实现”部分。本指南的其余部分使用了较传统的参考文档方式，请按照自己的需要选择阅读的部分。我们也推荐你阅读尽可能多的在应用安全中可能出现的一般问题。Spring Security也不是万能的，它不可能解决所有问题。重要的一点，应用程序应该从一开始就为安全做好设计。企图改造它也不是一个好主意。特别的，如果你在制作一个web应用，你应该知道许多潜在的脆弱性，比如跨域脚本，伪造请求和会话劫持，这些都是你在一开始就应该考虑到的。OWASP网站（/）维护了一个web应用脆弱性前十名的名单，还有很多有用的参考信息。 我们希望你觉得这是一篇很有用的参考指南，并欢迎您提供反馈意见和建议。 最后，欢迎加入Spring Security 社区。Part?I.?入门 本指南的后面部分提供对框架结构和实现类的深入讨论，了解它们，对你进行复杂的定制是十分重要的。在这部分，我们将介绍Spring Security 3.0，简要介绍该项目的历史，然后看看如何开始在程序中使用框架。特别是，我们将看看命名配置提供了一个更加简单的方式，在使用传统的spring bean配置时，你不得不实现所有类。 我们也会看看可用的范例程序。它们值得试着运行，实验，在你阅读后面的章节之前你可以在对框架有了更多连接之后再回来看这些例子。也请参考 项目网站 获得构建项目有用的信息，另外链接到网站，视频和教程。Chapter?1.?介绍 1.1.?Spring Security是什么？ Spring Security为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案spring框架开发的企业软件项目。如果你没有使用Spring开发企业软件，我们热情的推荐你仔细研究一下。熟悉Spring尤其是依赖注入原理将帮助你更快的掌握Spring Security。 人们使用Spring Security有很多种原因，不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。提到这些规范，特别要指出的是它们不能在WAR或EAR级别进行移植。这样，如果你更换服务器环境，就要在新的目标环境进行大量的工作，对你的应用系统进行重新配置安全。 使用Spring Security解决了这些问题，也为你提供了很多有用的，可定制的其他安全特性。 你可能知道，安全包括两个主要操作，“认证”和“验证”（或权限控制）。这就是Spring Security面向的两个主要方向。“认证” 是为用户建立一个他所声