本文目录
- 如何理解spring security 4
- springsecurity 怎么跨越请求
- spring security 能够处理哪些事情
- 怎么用spring security
- spring和spring security的区别
- spring security需要哪些jar包
- spring的security框架
- 如何使用spring security
如何理解spring security 4
Spring Security3的使用中,有4种方法:
一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证;
二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。
三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义过滤器,代替原有的FilterSecurityInterceptor过滤器,
并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,并在配置文件中进行相应配置。
目前这种方式已经实现,并经过验证。
四是修改spring security的源代码,主要是修改InvocationSecurityMetadataSourceService和UserDetailsService两个类。
前者是将配置文件或数据库中存储的资源(url)提取出来加工成为url和权限列表的Map供Security使用,后者提取用户名和权限组成一个完整的(UserDetails)User对象,该对象可以提供用户的详细信息供AuthentationManager进行认证与授权使用。
springsecurity 怎么跨越请求
是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过,并经过验证;
二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现,并经过验证。
三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义过滤器,代替原有的FilterSecurityInterceptor过滤器,
并分别实现AccessDecisionManager、InvocationSecurityMetadataSourceService和UserDetailsService,并在配置文件中进行相应配置。
目前这种方式已经实现,并经过验证。
四是修改spring security的源代码,主要是修改InvocationSecurityMetadataSourceService和UserDetailsService两个类。
前者是将配置文件或数据库中
spring security 能够处理哪些事情
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servlet请求,并将这些请求转给认证和访问决策管理器处理,从而增强安全性。
怎么用spring security
Spring Security如何控制权限概要 Spring使用由Filter组成的Chain,来判断权限。如下图所示:《!--[if !vml]--》《!--[endif]--》Spring预定义了很多out-of-boxed filter供开发者直接使用。每个Filter一般情况下(有些Filter是abstract的),都和配置文件的一个元素(有的情况下可能是属性)对应。比如:AUTHENTICATION_PROCESSING_FILTER,对应配置文件里面的:
spring和spring security的区别
spring是一整套应用程序框架,也是一种设计思想,他实现了很多实用工具,开发者直接使用这些工具可以提高开发速度,减少代码编写量,sping最大的用途是进行对象间的解耦操作,可实现设计松散耦合的应用程序系统,以便达到更高的可维护性和可扩展性能。
spring security是基于sping core的一个具体工具实现,主要用来管理应用程序的安全性,并提供了一组用户权限的解决方案。
简单点说,以一个web应用程序举例,sping框架负责整个应用程序的构架,spring seurity负责用户登录和用户权限管理。
另:spring框架包含很多工具,这些工具的使用涵盖非常多的基础知识,例如: web servlet编程,aop动态代理, 面向方面编程(不是面向对象编程),mvc框架,orm对象映射 等等等等,如果你是初学者,建议从 java基础 和 servlet基础学起,不要一上来就学 spring框架了。
如果你是中级水平,建议先学独立的 mvc框架、orm对象映射等技术,再学sping与这些框架的集成工作方式
如果你是高级水平,建议直接看sping的源代码,很容易就能掌握spring框架的工作原理与编程思想的。
spring在其官方网站提供了很全面的当前版本参考手册,英文版的,如果你英文一般,可以在spring中文论坛中找spring的中文参考手册,不过最新版的sping框架参考手册好像还没出中文版的,祝你好运。
spring security需要哪些jar包
所需Jar包:
aopalliance-1.0.jar
aspectjrt-1.5.4.jar
aspectjweaver.jar
commons-codec-1.3.jar
commons-collections-3.2.jar
commons-logging-1.1.1.jar
jstl-1.1.2.jar
log4j-1.2.14.jar
spring-aop-2.0.8.jar
spring-beans-2.0.8.jar
spring-context-2.0.8.jar
spring-core-2.0.8.jar
spring-dao-2.0.8.jar
spring-jdbc-2.0.8.jar
spring-security-acl-2.0.4.jar
spring-security-core-2.0.4.jar
spring-security-core-tiger-2.0.4.jar
spring-security-taglibs-2.0.4.jar
spring-support-2.0.8.jar
spring-web-2.0.8.jar
spring-webmvc-2.0.8.jar
standard-1.1.2.jar
spring的security框架
在SpringSide 3的官方文档中,说安全框架使用的是Spring Security
2.0。乍一看,吓了我一跳,以为Acegi这么快就被淘汰了呢。上搜索引擎一搜,发现原来Spring Security 2.0就是Acegi
2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉,但是读了Acegi
2.0的官方文档后,一切都释然了。
先来谈一谈Acegi的基础知识,Acegi的架构比较复杂,但是我希望我下面的只言片语能够把它说清楚。大家都知道,如果要对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。Acegi对Web资源的保护,就是靠Filter实现的。
如何使用spring security
Spring Security如何控制权限概要 Spring使用由Filter组成的Chain,来判断权限。如下图所示:《!--[if !vml]--》《!--[endif]--》Spring预定义了很多out-of-boxed filter供开发者直接使用。每个Filter一般情况下(有些Filter是abstract的),都和配置文件的一个元素(有的情况下可能是属性)对应。比如:AUTHENTICATION_PROCESSING_FILTER,对应配置文件里面的:
