返回
spring security 3.0 中文 帮助手册

spring security 3.0 中文 帮助手册

ID:16514339

大小:818.50 KB

页数:109页

时间:2018-08-13

spring security 3.0 中文 帮助手册_第1页
spring security 3.0 中文 帮助手册_第2页
spring security 3.0 中文 帮助手册_第3页
spring security 3.0 中文 帮助手册_第4页
spring security 3.0 中文 帮助手册_第5页
资源描述:

《spring security 3.0 中文 帮助手册》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、序言SpringSecurity为基于J2EE的企业应用软件提供了一套全面的安全解决方案。正如你在本手册中看到的那样,我们尝试为您提供一套好用,高可配置的安全系统。安全问题是一个不断变化的目标,更重要的是寻求一种全面的,系统化的解决方案。在安全领域我们建议你采取“分层安全”,这样让每一层确保本身尽可能的安全,并为其他层提供额外的安全保障。每层自身越是“紧密”,你的程序就会越安全。在底层,你需要处理传输安全和系统认证,减少“中间人攻击”(man-in-the-middleattacks)。接下来,我们通常会使用防

2、火墙,结合VPN或IP安全来确保只有获得授权的系统才能尝试连接。在企业环境中,你可能会部署一个DMZ(demilitarizedzone,隔离区),将面向公众的服务器与后端数据库,应用服务器隔离开。在以非授权用户运行进程和文件系统安全最大化上,你的操作系统也将扮演一个关键的角色。操作系统通常配置了自己的防火墙。然后你要防止针对系统的拒绝服务和暴力攻击。入侵检测系统在检测和应对攻击的时候尤其有用。这些系统可以实时屏蔽恶意TCP/IP地址。在更高层上,你需要配置Java虚拟机,将授予不同java类型权限最小化,然后

3、,你的应用程序要添加针对自身特定问题域的安全配置。SpringSecurity使后者-应用程序安全变得更容易。当然,你需要妥善处理上面提到的每个安全层,以及包含于每个层的管理因素。这些管理因素具体包括:安全公告检测,补丁,人工诊断,审计,变更管理,工程管理系统,数据备份,灾难回复,性能评测,负载检测,集中日志,应急反应程序等等。SpringSecurity关注的重点是在企业应用安全层为您提供服务,你将发现业务问题领域存在着各式各样的需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工具又有

4、很大不同。这些客户化需求让应用安全显得有趣,富有挑战性而且物有所值。请阅读Part I,“入门”部分,以它作为开始。它向你介绍了整个框架和以命名空间为基础系统配置方式,让你可以很快启动并运行系统。要是想更多的了解SpringSecurity是如何工作和一些你可能需要用到的类,你应该阅读Part II,“结构和实现”部分。本指南的其余部分使用了较传统的参考文档方式,请按照自己的需要选择阅读的部分。我们也推荐你阅读尽可能多的在应用安全中可能出现的一般问题。SpringSecurity也不是万能的,它不可能解决所有问

5、题。重要的一点,应用程序应该从一开始就为安全做好设计。企图改造它也不是一个好主意。特别的,如果你在制作一个web应用,你应该知道许多潜在的脆弱性,比如跨域脚本,伪造请求和会话劫持,这些都是你在一开始就应该考虑到的。OWASP网站(http://www.owasp.org/)维护了一个web应用脆弱性前十名的名单,还有很多有用的参考信息。我们希望你觉得这是一篇很有用的参考指南,并欢迎您提供反馈意见和建议。最后,欢迎加入SpringSecurity社区。Part I. 入门本指南的后面部分提供对框架结构和实现类的深

6、入讨论,了解它们,对你进行复杂的定制是十分重要的。在这部分,我们将介绍SpringSecurity3.0,简要介绍该项目的历史,然后看看如何开始在程序中使用框架。特别是,我们将看看命名空间配置提供了一个更加简单的方式,在使用传统的springbean配置时,你不得不实现所有类。我们也会看看可用的范例程序。它们值得试着运行,实验,在你阅读后面的章节之前,你可以在对框架有了更多连接之后再回来看这些例子。也请参考项目网站获得构建项目有用的信息,另外链接到网站,视频和教程。Chapter 1. 介绍1.1. Sprin

7、gSecurity是什么?SpringSecurity为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案spring框架开发的企业软件项目。如果你没有使用Spring开发企业软件,我们热情的推荐你仔细研究一下。熟悉Spring尤其是依赖注入原理将帮助你更快的掌握SpringSecurity。人们使用SpringSecurity有很多种原因,不过通常吸引他们的是在J2EEServlet规范或EJB规范中找不到典型企业应用场景的解决方案。提到这些规范,特别要指出的是它们不能在WAR或EA

8、R级别进行移植。这样,如果你更换服务器环境,就要在新的目标环境进行大量的工作,对你的应用系统进行重新配置安全。使用SpringSecurity解决了这些问题,也为你提供了很多有用的,可定制的其他安全特性。你可能知道,安全包括两个主要操作,“认证”和“验证”(或权限控制)。这就是SpringSecurity面向的两个主要方向。“认证”是为用户建立一个他所声明的主体的过程,(“主体”一般是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。