敬献Spring Security-3.x官方文档中文版

博客分类：

springsecurity

Spring Security-3.x新近发布，整体的项目结构和包名都出现了天翻地覆的变化，与此同时，Spring Security-3.x中也提供了session-management和SpEL的多种强大功能，family168第一时间提供官方文档的翻译版本，希望同大家一起领略Spring Security-3.x的最新时髦风尚。

介于Spring Security官方文档本身倾向于技术实现，语句艰涩难懂，翻译过来也不是那么容易理解，加之我们人员有限，时间也没那么充足，如果内容中出现了问题，还请大家多多指正，在此先行谢过。：）

序言

I. 入门

1. 介绍

1.1. Spring Security是什么？

1.2. 历史

1.3. 发行版本号

1.4. 获得Spring Security

1.4.1. 项目模块

1.4.1.1. Core - spring-security-core.jar

1.4.1.2. Web - spring-security-web.jar

1.4.1.3. Config - spring-security-config.jar

1.4.1.4. LDAP - spring-security-ldap.jar

1.4.1.5. ACL - spring-security-acl.jar

1.4.1.6. CAS - spring-security-cas-client.jar

1.4.1.7. OpenID - spring-security-openid.jar

2.1. 介绍

2.2.2. 最小 <http> 配置

2.2.2.1. auto-config 包含了什么？

2.3.2. 添加HTTP/HTTPS信道安全

2.3.3. 会话管理

2.3.3.1. 检测超时

2.3.3.2. 同步会话控制

2.3.3.3. 防止Session固定攻击

2.3.4. 对OpenID的支持

2.3.4.1. 属性交换

2.3.5. 添加你自己的filter

2.3.5.1. 设置自定义 AuthenticationEntryPoint

2.4. 保护方法

2.4.1. <global-method-security> 元素

2.4.1.1. 使用protect-pointcut 添加安全切点

2.5. 默认的AccessDecisionManager

2.5.1. 自定义AccessDecisionManager

3.5. Pre-Authentication例子

5.2.1. SecurityContextHolder, SecurityContext 和 Authentication对象

5.2.1.1. 获得当前用户的信息

5.2.2. UserDetailsService

5.2.3. GrantedAuthority

5.2.4. 小结

5.3. 验证

5.3.1. 什么是Spring Security的验证呢？

5.3.2. 直接设置SecurityContextHolder的内容

5.4. 在web应用中验证

5.4.1. ExceptionTranslationFilter

5.4.2. AuthenticationEntryPoint

5.4.3. 验证机制

5.4.4. 在请求之间保存SecurityContext 。

5.5. Spring Security中的访问控制（验证）

5.5.1. 安全和AOP建议

5.5.2. 安全对象和AbstractSecurityInterceptor

5.5.2.1. 配置属性是什么？

5.5.2.2. RunAsManager

5.5.2.3. AfterInvocationManager

5.5.2.4. 扩展安全对象模型

5.6. 国际化

6. 核心服务

6.1. The AuthenticationManager , ProviderManager 和 AuthenticationProvider s

6.1.1. DaoAuthenticationProvider

6.2. UserDetailsService 实现

6.2.2. JdbcDaoImpl

7.1. DelegatingFilterProxy

7.2. FilterChainProxy

8.1. FilterSecurityInterceptor

8.2. ExceptionTranslationFilter

8.2.1. AuthenticationEntryPoint

8.2.2. AccessDeniedHandler

8.3. SecurityContextPersistenceFilter

8.3.1. SecurityContextRepository

8.4. UsernamePasswordAuthenticationFilter

8.4.1. 认证成功和失败的应用流程

9. Basic（基本）和Digest（摘要）验证

9.1. BasicAuthenticationFilter

9.1.1. 配置

9.2. DigestAuthenticationFilter

10.4. Remember-Me接口和实现

10.4.1. TokenBasedRememberMeServices

10.4.2. PersistentTokenBasedRememberMeServices

11. 会话管理

11.1. SessionManagementFilter

11.2. SessionAuthenticationStrategy

12.3. AuthenticationTrustResolver

IV. 授权

13. 验证架构

13.1. 验证

13.2. 处理预调用

13.2.1. AccessDecisionManager

13.2.2. 基于投票的AccessDecisionManager实现

13.2.2.1. RoleVoter

13.2.2.2. AuthenticatedVoter

13.2.2.3. Custom Voters

13.3. 处理后决定

14. 安全对象实现

14.1. AOP联盟 (MethodInvocation) 安全拦截器

14.1.1. 精确的 MethodSecurityIterceptor 配置

14.2. AspectJ (JoinPoint) 安全拦截器

15.3.1. @Pre 和 @Post 注解

15.3.1.1. 访问控制使用 @PreAuthorize 和 @PostAuthorize

15.3.1.2. 过滤使用 @PreFilter 和 @PostFilter

16. acegi到spring security的转换方式

16.1. Spring Security是什么

18.1.1. AbstractPreAuthenticatedProcessingFilter

18.1.2. AbstractPreAuthenticatedAuthenticationDetailsSource

18.1.2.1. J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource

18.1.3. PreAuthenticatedAuthenticationProvider

18.1.4. Http403ForbiddenEntryPoint

18.2. 具体实现

18.2.1. 请求头认证（Siteminder）

18.2.1.1. Siteminder示例配置

18.2.2. J2EE容器认证

19. LDAP认证

19.1. 综述

19.2. 在Spring Security里使用LDAP

19.4.1. LdapAuthenticator实现

19.4.1.1. 常用功能

19.4.1.2. BindAuthenticator

19.4.1.3. PasswordComparisonAuthenticator

19.4.1.4. 活动目录认证

19.4.2. 链接到LDAP服务器

19.4.3. LDAP搜索对象

19.4.3.1. FilterBasedLdapUserSearch

19.4.4. LdapAuthoritiesPopulator

19.4.5. Spring Bean配置

19.4.6. LDAP属性和自定义UserDetails

20. JSP标签库

20.1. 声明Taglib

20.2. authorize 标签

20.3. authentication 标签

20.4. accesscontrollist 标签

21. Java认证和授权服务（JAAS）供应器

21.1. 概述

21.2. 配置

21.2.1. JAAS CallbackHandler

21.2.2. JAAS AuthorityGranter

23.2. 把X.509认证添加到你的web系统中

A.2. 持久登陆（Remember-Me）表

A.3. ACL表

A.3.1. Hypersonic SQL

A.3.1.1. PostgreSQL

B. 安全命名空间

B.1. Web应用安全 - <http> 元素

B.1.1. <http> 属性

B.1.1.1. servlet-api-provision

B.1.1.2. path-type

B.1.1.3. lowercase-comparisons

B.1.1.4. realm

B.1.1.5. entry-point-ref

B.1.1.6. access-decision-manager-ref

B.1.1.7. access-denied-page

B.1.1.8. once-per-request

B.1.1.9. create-session

B.1.2. <access-denied-handler>

B.1.3. <intercept-url> 元素

B.1.3.1. pattern

B.1.3.2. method

B.1.3.3. access

B.1.3.4. requires-channel

B.1.3.5. filters

B.1.4. <port-mappings> 元素

B.1.5. <form-login> 元素

B.1.5.1. login-page

B.1.5.2. login-processing-url

B.1.5.3. default-target-url

B.1.5.4. always-use-default-target

B.1.5.5. authentication-failure-url

B.1.5.6. authentication-success-handler-ref

B.1.5.7. authentication-failure-handler-ref

B.1.6. <http-basic> 元素

B.1.7. <remember-me> 元素

B.1.7.1. data-source-ref

B.1.7.2. token-repository-ref

B.1.7.3. services-ref

B.1.7.4. token-repository-ref

B.1.7.5. key 属性

B.1.7.6. token-validity-seconds

B.1.7.7. user-service-ref

B.1.8. <session-management> 元素

B.1.8.1. session-fixation-protection

B.1.9. <concurrent-control> 元素

B.1.9.1. max-sessions 属性

B.1.9.2. expired-url 属性

B.1.9.3. error-if-maximum-exceeded 属性

B.1.9.4. session-registry-alias 和session-registry-ref 属性

B.1.10. <anonymous> 元素

B.1.11. <x509> 元素

B.1.11.1. subject-principal-regex 属性

B.1.11.2. user-service-ref 属性

B.1.12. <openid-login> 元素

B.1.13. <logout> 元素

B.1.13.1. logout-url 属性

B.1.13.2. logout-success-url 属性

B.1.13.3. invalidate-session 属性

B.1.14. <custom-filter> 元素

B.2. 认证服务

B.2.1. <authentication-manager> 元素

B.2.1.1. <authentication-provider>元素

B.2.1.2. 使用 <authentication-provider> 来引用一个 AuthenticationProvider Bean

B.3. 方法安全

B.3.1. <global-method-security> 元素

B.3.1.1. secured-annotations 和jsr250-annotations 属性

B.3.1.2. 安全方法使用<protect-pointcut>

B.3.1.3. <after-invocation-provider> 元素

B.3.2. LDAP命名空间选项

B.3.2.1. 使用<ldap-server> 元素定义LDAP服务器

B.3.2.2. <ldap-provider> 元素

B.3.2.3. <ldap-user-service> 元素

分享到：

轻量级工作流jBPM-4.3官方“用户手册”中文 ... | 让软件开发慢下来

2009-12-29 11:43
浏览 10874
评论(67)
论坛回复 / 浏览 (60 / 52680)
分类:企业架构
查看更多

67 楼 w6513017 2012-05-09

刚开始接触，感谢LZ在此的贡献。

66 楼 kewell543 2010-11-13

辛苦！无私的精神值得尊敬

65 楼 rustlingwind 2010-11-03

我十分想知道，springsecurity的性能如何？？比自己写的性能要差不少吧！？

64 楼 ln0922 2010-10-15

真是辛苦楼主了，谢谢！

63 楼 chenhongwei0924 2010-10-15

yyxh520 写道

看网页好累啊
我自己做了个chm
分享给大家，做得不好见谅

确实。谢谢了

62 楼和未来 2010-09-29

辛苦了楼主

61 楼 g岩岩 2010-09-24

天呀!!!!!!!!!!!!!!!

60 楼 angjunwen 2010-09-18

"Bad Request (Invalid Hostname)"
现在看不了。。。

59 楼 quxiaoyong 2010-09-15

如果能有PDF文档提供下载就好了。。

58 楼 nurenok 2010-09-15

acegi真的很好，唐山兄真的受累了

57 楼 xiaobird12 2010-09-13

很好很强大

56 楼 Tian.Wang 2010-09-10

可不可以下载啊·或者是有没有Pdf格式的分享下谢谢了

55 楼 xyz20003 2010-08-13

rustlingwind 写道

想问一下楼主，第V部分中提到了 rbac0/1/2/3 的实现，怎么只有标题，不见内容呢？鄙人业务中需要实现rbac3模型，急于一睹您提供的相关资料，谢谢！

文档中的rbac内容来源于网络，我们目前还没有提供实现。

BTW，rbac部分应该不只是标题，请将遇到问题的url发给我看一下，以便查证，谢谢。

54 楼 bingohu 2010-08-13

每出一个新版本总是会有大的变动

53 楼 rustlingwind 2010-08-12

想问一下楼主，第V部分中提到了 rbac0/1/2/3 的实现，怎么只有标题，不见内容呢？鄙人业务中需要实现rbac3模型，急于一睹您提供的相关资料，谢谢！

52 楼 rustlingwind 2010-08-12

ciki 写道

楼主辛苦了有没有离线版本啊？

想问一下楼主，第V部分中提到了 rbac0/1/2/3 的实现，怎么只有标题，不见内容呢？鄙人业务中需要实现rbac3模型，急于一睹您提供的相关资料，谢谢！

51 楼 rustlingwind 2010-08-12

ciki 写道

楼主辛苦了有没有离线版本啊？

baidu文库中有离线版，不过不知道是否是最新的。。。

50 楼 ciki 2010-07-27

楼主辛苦了有没有离线版本啊？

49 楼 former 2010-07-26

终于找到中文文档了，赞一个。
建议里面有个小改进：在"2.3.3.3. 防止Session固定攻击"中，
原文(3.0.2RELEASE官方文档)是"you can control the behaviour using the session-fixation-protection attribute on <sessionmanagement>"，
翻译的版本是"你可以通过使用<code class="literal"><http></code>中的<code class="literal">session-fixation-protection</code>属性来配置它的行为"。
如果能改成"你可以通过使用<code class="literal"><http></code>中的<sessionmanagement>的<code class="literal">session-fixation-protection</code>属性来配置它的行为"可能会更容易看懂，呵呵。

48 楼 xyz20003 2010-05-13

多谢提醒，我这就改。

修正了一些，后来感觉时间有点儿久远了，章节号有可能发生了变化，稍后还是重新放一个最新版的目录吧。

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论