2019年springsecurity培训.pptVIP

Spring Security 主讲：柴炎星 2011-03-28 流程介绍 Spring Security 简介 Spring Security 11种过滤器介绍 Spring Security 基本配置 Spring Security 总结 Spring Security 简介 这里提到的Spring Security也就是被大家广为熟悉的Acegi Security，2007年底Acegi Security正式成为Spring Portfolio项目，并更名为Spring Security。Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC（依赖注入，也称控制反转）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。 如今的Spring Security已经成为Spring Framework下最成熟的安全系统，它为我们提供了强大而灵活的企业级安全服务，如： ??? ????????? 认证授权机制 ??? ?????????? Web资源访问控制 ??? ????????? 业务方法调用访问控制 ??? ????????? 领域对象访问控制Access Control List（ACL） ??? ????????? 单点登录（Central Authentication Service） ??? ????????? X509认证 ??? ????????? 信道安全（Channel Security）管理等功能 ??? 当保护Web资源时，Spring Security使用Servlet 过滤器来拦截Http请求进行身份验证并强制安全性，以确保WEB资源被安全的访问。 无论是保护WEB资源还是保护业务方法或者领域对象，Spring Security都是通过上图中的组件来完成的。本文主要阐述如何使用Spring Security对WEB应用程序的资源进行安全访问控制，并通过一个简单的实例来对Spring Security提供的各种过滤器的功能和配置方法进行描述。 Spring Security 11种过滤器介绍 HttpSessionContextIntegrationFilter 位于过滤器顶端，第一个起作用的过滤器。 用途一，在执行其他过滤器之前，率先判断用户的session中是否已经存在一个SecurityContext了。如果存在，就把SecurityContext拿出来，放到SecurityContextHolder中，供Spring Security的其他部分使用。如果不存在，就创建一个SecurityContext出来，还是放到SecurityContextHolder中，供Spring Security的其他部分使用。 用途二，在所有过滤器执行完毕后，清空SecurityContextHolder，因为SecurityContextHolder是基于ThreadLocal的，如果在操作完成后清空ThreadLocal，会受到服务器的线程池机制的影响。 LogoutFilter 只处理注销请求，默认为/j_spring_security_logout。 用途是在用户发送注销请求时，销毁用户session，清空SecurityContextHolder，然后重定向到注销成功页面。可以与rememberMe之类的机制结合，在注销的同时清空用户cookie。 AuthenticationProcessingFilter 处理form登陆的过滤器，与form登陆有关的 所有操作都是在此进行的。 默认情况下只处理/j_spring_security_check 请求，这个请求应该是用户使用form登陆 后的提交地址。 此过滤器执行的基本操作时，通过用户名和 密码判断用户是否有效，如果登录成功就跳 转到成功页面（可能是登陆之前访问的受 保护页面，也可能是默认的成功页面）， 如果登录失败，就跳转到失败页面。 form action=${pageContext.request.contextPath}/j_spring_security_check style=width:260px;text-align:center;? fieldset??? legend登陆/legend??? 用户： input type=text name=j_username style=width:150px; value=${sessionScope[SPRING_SECURITY_LAST_USERNAME]