Security命名空间配备

Security命名空间配置
2.1 介绍
    从Spring-2.0开始可以使用命名空间的配置方式。 使用它呢，可以通过附加xml架构，为传统的spring beans应用环境语法做补充。 你可以在spring参考文档得到更多信息。 命名空间元素可以简单的配置单个bean，或使用更强大的，定义一个备用配置语法，这可以更加紧密的匹配问题域，隐藏用户背后的复杂性。 简单元素可能隐藏事实，多种bean和处理步骤添加到应用环境中。 比如，把下面的security命名元素添加到应用环境中，将会为测试用途，在应用内部启动一个内嵌LDAP服务器：

    这表示，我们要保护应用程序中的所有URL，只有拥有 ROLE_USER角色的用户才能访问。
Note

    你可以使用多个<intercept-url>元素为不同URL的集合定义不同的访问需求，它们会被归入一个有序队列中，每次取出最先匹配的一个元素使用。 所以你必须把期望使用的匹配条件放到最上边。

    要是想添加一些用户，你可以直接使用下面的命名空间直接定义一些测试数据：


 
    如果你熟悉以前的版本，你很可能已经猜到了这里是怎么回事。 <http>元素会创建一个FilterChainProxy和filter使用的bean。 以前常常出现的，因为filter顺序不正确产生的问题，不会再出现了，现在这些过滤器的位置都是预定义好的。

    <authentication-provider>元素创建了一个DaoAuthenticationProvider bean，<user-service>元素创建了一个InMemoryDaoImpl。 一个ProviderManager bean通常是由命名空间过程系统创建的， DaoAuthenticationProvider自动注册到它上面。

    上面的配置定义了两个用户，他们在应用程序中的密码和角色（用在权限控制上）。 也可以从一个标准properties文件中读取这些信息，使用user-service的properties属性。 参考in-memory authentication获得更多信息。 使用<authentication-provider>元素意味着用户信息将被认证管理用作处理认证请求。

    现在，你可以启动程序，然后就会进入登录流程了。 试试这个，或者试试工程里的"tutorial"例子。 上述配置实际上把很多服务添加到了程序里，因为我们使用了auto-config属性。 比如，表单登录和"remember-me"服务自动启动了。
2.2.2.1 auto-config包含了什么？
    我们在上面用到的auto-config属性，其实是下面这些配置的缩写：



    这些元素分别与form-login，匿名认证，基本认证，注销处理和remember-me对应。 他们拥有各自的属性，来改变他们的具体行为。
auto-config需要一个UserDetailsService

    使用auto-config的时候如果没配置UserDetailsService就会出现错误（比如，如果你使用了LDAP认证）。 这是因为remember-me服务在auto-config="true"的时候启动了，它的认证机制需要UserDetailsService来实现（参考Remember-me章获得更多信息）。 如果你遇到了一个因为没定义UserDetailsService造成的问题，那就试着去掉auto-config配置（或者是其他你配置上的 remember-me）。
2.2.2.2 表单和基本登录选项
    你也许想知道，在需要登录的时候，去哪里找这个登录页面，到现在为止我们都没有提到任何的HTML或JSP文件。 实际上，如果我们没有确切的指定一个页面用来登录，Spring Security会自动生成一个，基于可用的功能，为这个URL使用标准的数据，处理提交的登录，然后发送到默认的目标URL。 然而，命名空间提供了许多支持，让你可以自定义这些选项。 比如，如果你想实现自己的登录页面，你可以使用：


 
    注意，你依旧可以使用auto-config。 这个form-login元素会覆盖默认的设置。 也要注意我们需要添加额外的intercept-url元素，指定用来做登录的页面的URL，这些URL不应该被安全filter处理。 否则，这些请求会被/**部分拦截，它没法访问到登录页面。 如果你想使用基本认证而不是表单登录，可以把配置修改成如下所示：



    基本身份认证会被优先用到，在用户尝试访问一个受保护的资源时，用来提示用户登录。 在这种配置中，表单登录依然是可用的，如果你还想用的话，比如，把一个登录表单内嵌到其他页面里。
2.2.3 使用其他认证提供器
    现实中，你会需要更大型的用户信息源，而不是写在application context里的几个名字。 多数情况下，你会想把用户信息保存到数据库或者是LDAP服务器里。 LDAP命名控件会在LDAP章里详细讨论，所以我们这里不会讲它。 如果你自定义了一个Spring Security的UserDetailsService实现，在你的application context中名叫"myUserDetailsService"，然后你可以使用下面的验证。



    在使用散列密码时，用盐值防止字典攻击是个好主意，Spring Security也支持这个功能。 理想情况下，你可能想为每个用户随机生成一个盐值，不过，你可以使用从UserDetailsService读取出来的UserDetails对象中的属性。 比如，使用username属性，你可以这样用：



    使用了这个配置以后，如果用户通过HTTP尝试访问"/secure/**"匹配的网址，他们会先被重定向到HTTPS网址下。 可用的选项有"http", "https" 或 "any"。 使用"any"意味着使用HTTP或HTTPS都可以。

    如果你的程序使用的不是HTTP或HTTPS的标准端口，你可以用下面的方式指定端口对应关系：



    你可以在Chapter 7, Channel Security找到更详细的讨论。
2.3.3 同步Session控制
    如果你希望限制单个用户只能登录到你的程序一次，Spring Security通过添加下面简单的部分支持这个功能。 首先，你需要把下面的监听器添加到你的web.xml文件里，让Spring Security获得session生存周期事件：


    这将防止一个用户重复登录好几次-第二次登录会让第一次登录失效。 通常我们更想防止第二次登录，这时候我们可以使用


第二次登录将被阻止。
2.3.4 OpenID登录
    命名空间支持OpenID登录，替代普通的表单登录，或作为一种附加功能，只需要进行简单的修改：


 
    你应该注册一个OpenID供应器（比如myopenid.com），然后把用户信息添加到你的内存<user-service>中：



    你应该可以使用myopenid.com网站登录来进行验证了。
2.3.5 添加你自己的filter
    如果你以前使用过Spring Security，你应该知道这个框架里维护了一个过滤器链，来提供它的服务。 你也许想把你自己的过滤器添加到链条的特定位置，或者让已存在的过滤器，使用特定的版本。 你如何在命名空间配置里实现这些功能呢？过滤器链现在已经不能之间看到了。

    过滤器顺序在使用命名空间的时候是被严格执行的。 每个Spring Security过滤器都实现了Spring的Ordered接口，这些过滤器在初始化的时候先被排好序了。 标准的过滤器在命名空间里都有自己的假名：

Table 2.1 标准过滤器假名和顺序



    你可以把你自己的过滤器添加到队列中，使用custom-filter元素，使用这些名字中的一个，来指定你的过滤器应该出现的位置：

2.3.6 防止Session固定攻击
    Session固定攻击是一个潜在危险，当一个恶意攻击者可以创建一个session访问一个网站的时候，然后说服另一个用户登录到同一个会话上（比如，发送给他们一个包含了session标识参数的链接）。 Spring Security通过在用户登录时，创建一个新session来防止这个问题。 如果你不需要保护，或者它与其他一些需求冲突，你可以通过使用<http>中的session-fixation-protection属性来配置它的行为，它有三个选项

*
migrateSession - 创建一个新session，把原来session中所有属性复制到新session中。这是默认值。
*
none - 什么也不做，继续使用原来的session。
*
newSession - 创建一个新的“干净的”session，不会复制session中的数据。
2.3.7 设置自定义AuthenticationEntryPoint
    如果你不使用命名空间里的表单登录，OpenID或基本身份验证，你也许想定义个验证过滤器和入口点，使用传统的bean语法，把他们链接到命名空间里。 你可以像Section 2.3.5, “添加你自己的filter”里解释的那样，添加过滤器。 对应的AuthenticationEntryPoint可以使用<http>中的entry-point-ref进行设置。

    CAS例子，是一个在命名空间里使用自定义bean的好例子，包括这个语法。如果你不熟悉验证入口点，可以看看技术纵览章节中的讨论。
2.4 保护方法
    Spring Security 2.0大幅改善了对你的服务层方法添加安全。 如果你使用Java 5或更高版本，还支持JSR-250的安全注解，同框架提供的@secured注解相似。 你可以为单个bean提供安全控制，通过使用intercept-methods元素装饰bean声明，或者你可以使用AspectJ方式的切点来控制实体服务层里的多个bean。
2.4.1 <global-method-security>元素
    这个元素用来在你的应用程序中启用基于安全的注解（通过在这个元素中设置响应的属性），也可以用来声明将要应用在你的实体application context中的安全切点组。 你应该只定义一个<global-method-security>元素。 下面的声明同时启用两种类型的注解：


2.4.1.1 使用protect-pointcut添加安全切点
    protect-pointcut是非常强大的，它让你可以用简单的声明对多个bean的进行安全声明。 参考下面的例子：


    这样会保护application context中的符合条件的bean的所有方法，这些bean要在com.mycompany包下，类名以"Service"结尾。 ROLE_USER的角色才能调用这些方法。 就像URL匹配一样，指定的匹配要放在切点队列的最前面，第一个匹配的表达式才会被用到。
2.5. 默认的AccessDecisionManager
    这章假设你有一些Spring Security权限控制有关的架构知识。 如果没有，你可以跳过这段，以后再来看，因为这章只是为了自定义的用户设置的，需要在简单基于角色安全的基础上加一些客户化的东西。

    当你使用命名空间配置时，默认的AccessDecisionManager实例会自动注册，然后用来为方法调用和web URL访问做验证，这些都是基于你设置的intercept-url和protect-pointcut权限属性内容（和注解中的内容，如果你使用注解控制方法的权限）。

    默认的策略是使用一个AffirmativeBased AccessDecisionManager ，以及RoleVoter 和AuthenticatedVoter。
2.5.1 自定义AccessDecisionManager
    如果你需要使用一个更复杂的访问控制策略，把它设置给方法和web安全是很简单的。

    对于方法安全，你可以设置global-security里的access-decision-manager-ref属性，用对应 AccessDecisionManager bean在application context里的id：

 

 
[1] 你可以在LDAP的章节里，找到更多有关使用的ldap-server的元素。
转自:http://www.iteye.com/topic/196922
相关链接:http://www.iteye.com/forums/39/search?query=Spring+Security-2.0.x%E5%8F%82%E8%80%83%E6%96%87%E6%A1%A3%E7%9A%84