spring Security
是基于spring 的应用程序提供声明式安全保护的安全性框架。它能够在web请求级别和放
调用级别处理身份验证和授权。spring Security充分利用了依赖注入和面向切面的技术。
起步
分为8个模块
ACL 支持通过访问控制列表为域对象提供安全性
cas客户端 提供与ja-Sig的中心认证服务进行集成功能
配置 xml命名空间
核心 提供了权限的基本库
LDAP 支持基于轻量目录访问协议
Openid 支持分散式OPenid标准
Tag Library 包含了一组jsp标签来实现视图级别的安全性
web 基于过滤器的web安全支持
使用spring security 配置命名空间
使用命名空间极大简化了spring 中的安全性配置
保护web请求
javaweb做任何事情都是从HttpServletRequest开始的,那这也是安全性的起始位置
代理servlet过滤器
借助一系列的Servlet过滤器来提供各种安全性功能。
<filter>
<filter-name>springSecurityFilterChain>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy
DelegatingFilterProxy 是一个特殊的过滤器,委托以注入spring的过滤器
配置最小化的web安全性
<http auto-config=“true”
<intercept-url pattern=... access="ROLE_SPITTER">
</http>
拦截请求
<intercept-url pattern="*/**">
使用spring表达式进行安全保护
<http auto-config="true" use-expressions="true">
..
<http>
强制使用https
<http auto-config="true" requires-channel=“https”>
保护视图级别的元素
Srping security 提供了一个jsp标签库
访问认证信息的细节
根据权限渲染
<security:authorize>
认证用户
基于用户储存
基于jdbc
基于LDAP
OPENID分散式的用户身份识别系统
中心认证服务
x.509证书
基于JAAS的提供者
用<user-service元素来创建一个用户来实现
基于数据库的进行认证
可以根据属性进行相关的sql查询
启用remember-me功能
保护方法的调用
使用@secured注解方法保护调用
@RolesAllowed
是基于spring 的应用程序提供声明式安全保护的安全性框架。它能够在web请求级别和放
调用级别处理身份验证和授权。spring Security充分利用了依赖注入和面向切面的技术。
起步
分为8个模块
ACL 支持通过访问控制列表为域对象提供安全性
cas客户端 提供与ja-Sig的中心认证服务进行集成功能
配置 xml命名空间
核心 提供了权限的基本库
LDAP 支持基于轻量目录访问协议
Openid 支持分散式OPenid标准
Tag Library 包含了一组jsp标签来实现视图级别的安全性
web 基于过滤器的web安全支持
使用spring security 配置命名空间
使用命名空间极大简化了spring 中的安全性配置
保护web请求
javaweb做任何事情都是从HttpServletRequest开始的,那这也是安全性的起始位置
代理servlet过滤器
借助一系列的Servlet过滤器来提供各种安全性功能。
<filter>
<filter-name>springSecurityFilterChain>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy
DelegatingFilterProxy 是一个特殊的过滤器,委托以注入spring的过滤器
配置最小化的web安全性
<http auto-config=“true”
<intercept-url pattern=... access="ROLE_SPITTER">
</http>
拦截请求
<intercept-url pattern="*/**">
使用spring表达式进行安全保护
<http auto-config="true" use-expressions="true">
..
<http>
强制使用https
<http auto-config="true" requires-channel=“https”>
保护视图级别的元素
Srping security 提供了一个jsp标签库
访问认证信息的细节
根据权限渲染
<security:authorize>
认证用户
基于用户储存
基于jdbc
基于LDAP
OPENID分散式的用户身份识别系统
中心认证服务
x.509证书
基于JAAS的提供者
用<user-service元素来创建一个用户来实现
基于数据库的进行认证
可以根据属性进行相关的sql查询
启用remember-me功能
保护方法的调用
使用@secured注解方法保护调用
@RolesAllowed