1、Spring Security是什么?
Spring Security 是一个安全框架,前身是 Acegi Security , 能够为 Spring企业应用系统提供声明式的安全访问控制。
Spring Security 基于 Servlet 过滤器、 IoC和AOP , 为 Web 请求和方法调用提供身份确认和授权处理,避免了代码耦合,减少了大量重复代码工作。
Spring Security 提供了若干个可扩展的、可声明式使用的过滤器处理拦截的web请求。
在web请求处理时, Spring Security框架根据请求url和声明式配置,筛选出合适的一组过滤器集合拦截处理当前的web请求。
这些请求会被转给Spring Security的安全访问控制框架处理通过之后,请求再转发应用程序处理,从而增强了应用的安全性。
Spring Security 提供了可扩展的认证、鉴权机制对Web请求进行相应对处理。
- 认证:识别并构建用户对象,如:根据请求中的username,获取登录用户的详细信息,判断用户状态,缓存用户对象到请求上下文等。
- 决策:判断用户能否访问当前请求,如:识别请求url,根据用户、权限和资源(url)的对应关系,判断用户能否访问当前请求url。
2、Spring Security的快速入门捷径
2.1、部署“Tutorial”样例程序,输出调试日志,跟踪处理过程
这个样例包含在spring发布的zip压缩包文件,名为:spring-security-samples-tutorial-<version>.war。
把这个文件重命名为tutorial.war(以便于部署到tomcat时简化访问的URL链接),放到tomcat下的webapp目录下,然后启动tomcat服务。
之后就可以用链接访问这个应用程序了。
这个样例程序没有做太多的事,不过的确提供了一个很好的模板能很好的把spring安全集成到项目中。
绝大多数初学者在这个过程中常遇到的问题出现在简单的配置错误或者路径错误(或者WEB-inf/lib目录下缺失jar包)。
必须在一个可以运行的配置环境的基础上开始构建项目。
当运行程序的时候, 确保自己熟悉Spring Security调试日志输出(日志输出默认为打开状态)。
虽然框架输出详细的日志,但是很多人却使用得很失败。
作为一个未授权的用户点击了一个安全的链接,当登录,退出等等情况下的时候到底发生了什么?
当进入到安全过滤器链开始处理的时候,将会看到每一个http请求及如何处理的日志,
所以许多在论坛中报道的问题可以按网页浏览器请求的相应日志记录来匹配查找得以解决 。
2.2、部署通讯录(Contacts)样例尝试更多spring安全框架高级属性
这个样例将尝试更多spring安全框架高级属性,尤其是ACL模块。
文件spring-security-samples-contacts-<version>.war是标准的web MVC应用程序,
它可以让以特殊的用户(列举在登录页面的用户)登录并且查看数据库中的”通讯录”,每个登录用户都有若干权限列表,
如何登录用户有必需的权限的就可以查看若干的通讯录列表。
有某个通讯录管理权限的用户就可以删除这个通讯录,创建或者删除其中实例的权限,因此可以分配(重分配)其它用户读,写,管理通讯录中实例的权限。
Spring安全应用在方法级通过在接口ContactManager使用注释(annotations)配置来引入的。
2.3、使用指南样例(Tutorial Sample)来完成实际的集成工作
到这个步骤应该对spring Security有了很好的领会,剩下的工作应该是如果设计应用程序来实现安全了。
推荐使用指南样例(Tutorial Sample)来完成实际的集成工作,即使有复杂的需求。
大多数在论坛中报告问题的都是出自配置的问题,因为他们在一开始在并不知道将要如果进行的时候做了太多的改变.