Spring Security Reference

Spring Security 参考手册

preface 序

Spring Security 为基于javaEE的企业级软件应用提供了一个综合的的安全解决方案。当你探索这个参考指南的时候你会发现，我们尝试为你提供一个有用的高度可配置的安全系统。

安全是一个永远动态的目标，追求全面的，系统级的方法很重要。在安全领域我们鼓励你采用“安全层”，以便每个层在它自己的权限里尽可能的安全，连续的层提供多层的安全。在最低层你将会需要处理问题例如传输安全和系统识别，为了防范中间人攻击。接下来你通常会使用防火墙，也许VPNs或IP安全来确保只有授权的系统能尝试连接。在企业环境你可能部署了隔离区隔离公共服务器和后端数据和应用服务器。你的操作系统也会扮演一个重要的部分，解决例如运行非特权用户进程和最大化保证文件系统安全等问题。一个操作系统通常也会被自己的防火墙所保护。希望某些地方沿用这种方式，你将尝试保护服务拒绝和对系统暴力破解攻击。一个入侵检测系统对于监控和攻击响应特别有用，像这些系统可以实时的阻断攻击的ip地址。转到更高的一个层上来说，你的java虚拟机希望被配置成赋予不同类型的java尽可能小的授权，那么你的应用会增加自己的特定域问题的安全配置，Spring Security 将会使后者领域-应用安全-变的更简单。当然，你将会适当的解决上面提到的所有安全层，和每层包括的管理因素。关于管理因素的一个不全面的列表包括安全公告监控，打补丁，人员审查，审计，变更控制，工程管理系统，数据备份，灾备恢复，性能测试，负载监控，集中日志，事件响应程序等。随着spring securit被聚焦在帮助你的企业应用安全层，你将会发现有多少不同的需求就有多少不同的问题域。一个银行应用和一个电子商务应用有不同的需求。一个电子商务应用和一个企业的销售自动化工具有着不同的需求,这些定制的需求让应用安全变的有趣，有挑战，有益的。

请阅读章节1，入门指南，作为整体的开始。这章将会为你介绍框架和你能快速建立和运行的基于命名空间的配置系统。为了获得更多的关于Spring Security是怎么工作的和一些你需要用的类，你应该读第二部分“架构和实现”这个指南剩下的部分更多的是用传统的参考样式构成，被设计成按照要求阅读。我们也推荐尽可能的多读关于应用安全通用问题。Spring Security不是一个解决安全问题的万能药。最重要的是在应用开始设计时就要考虑安全。尝试后续再增加安全考虑不是一个好主意。尤其，如果你是创建一个web应用，你应该知道许多潜在的弱点像跨域脚本，伪造请求，会话劫持

你应该从开始就重视。OWASP网站维护了一个前10个最大应用缺陷同时又许多有用的参考信息。

我们希望你找到这个参考指南的有用之处，我们欢迎你反馈和建议。

最后，环境来Spring Security社区

1.Getting Started 入门指南

这个指南的后续部分提供了一个关于框架体系和实现类深入的讨论，如果你想做任何重要的客制化你需要理解这些。在这些部分，我们会介绍Spring Security4.0，给出一个短暂的这个项目历史的总览并且略带优雅的看一下是怎么用这个框架开始的。

尤其，我们会看命名空间配置提供一个那么非常简单的方式适使你的应用安全起来，比起那些传统的你不得不分别添加实现的Spring Bean的方式更简单。

我们也会看一下可用的应用样例。他是值得尝试运行这些例子并且甚至在你读下面章节前对它们进行一些实验-随着你对框架的理解，你可以在回顾。请签出这个项目网站，它有关于编译的有用的的信息，加链接的文章，视频和教程。

2.Introduction 介绍

2.1What is Spring Security ? 什么是Spring Security？