Spring Security

参考文档

Ben Alex, Luke Taylor

2.0.x

1.1. Spring Security是什么？
1.2. 历史
1.3. 发行版本号
1.4. 获得源代码

2. Security命名空间配置

2.1. 介绍

2.1.1. 命名空间的设计

2.2. 开始使用安全命名空间配置

2.2.1. 配置web.xml

2.2.2. 最小 <http>配置

2.2.2.1. auto-config包含了什么？
2.2.2.2. 表单和基本登录选项

2.2.3. 使用其他认证提供器

2.2.3.1. 添加一个密码编码器

2.3. 高级web特性

2.3.1. Remember-Me认证

2.3.2. 添加HTTP/HTTPS信道安全

2.3.3. 同步Session控制

2.3.4. OpenID登录

2.3.5. 添加你自己的filter

2.3.5.1. 设置自定义 AuthenticationEntryPoint

2.3.6. 防止Session固定攻击

2.4. 保护方法

2.4.1. <global-method-security>元素

2.4.1.1. 使用protect-pointcut添加安全切点

2.4.2. intercept-methods Bean 渲染器

2.5. 默认的AccessDecisionManager

2.5.1. 自定义AccessDecisionManager

2.6. 默认验证管理器

3. 示例程序

3.1. Tutorial示例
3.2. Contacts
3.3. LDAP例子
3.4. CAS例子
3.5. Pre-Authentication例子

4. Spring Security社区

4.1. 任务跟踪
4.2. 成为参与者
4.3. 更多信息

II. 总体结构

5. 技术概述

5.1. 运行环境

5.2. 共享组件

5.2.1. SecurityContextHolder, SecurityContext 和 Authentication对象
5.2.2. UserDetailsService
5.2.3. GrantedAuthority
5.2.4. 小结

5.3. 验证

5.3.1. ExceptionTranslationFilter
5.3.2. AuthenticationEntryPoint
5.3.3. AuthenticationProvider
5.3.4. 直接设置SecurityContextHolder的内容

5.4. 安全对象

5.4.1. 安全和AOP建议

5.4.2. AbstractSecurityInterceptor

5.4.2.1. 配置属性是什么？
5.4.2.2. RunAsManager
5.4.2.3. AfterInvocationManager
5.4.2.4. 扩展安全对象模型

6. 支持的基础设施

6.1. 国际化

6.2. 过滤器

6.3. 标签库

6.3.1. 配置
6.3.2. 使用

7. 信道安全

7.1. 总述
7.2. 配置
7.3. 总结

III. 认证

8. 通用认证服务

8.1. 机制，供应者和入口

8.2. UserDetails 和相关类型

8.2.1. 内存里认证

8.2.2. JDBC认证

8.2.2.1. 默认用户数据库表结构

8.3. 并行会话处理

8.4. 认证标签库

9. DAO认证提供器

9.1. 综述
9.2. 配置

10. LDAP认证

10.1. 综述

10.2. 在Spring Security里使用LDAP

10.3. 配置LDAP服务器

10.3.1. 使用嵌入测试服务器
10.3.2. 使用绑定认证
10.3.3. 读取授权

10.4. 实现类

10.4.1. LdapAuthenticator实现

10.4.1.1. 常用功能
10.4.1.2. BindAuthenticator
10.4.1.3. PasswordComparisonAuthenticator
10.4.1.4. 活动目录认证

10.4.2. 链接到LDAP服务器

10.4.3. LDAP搜索对象

10.4.3.1. FilterBasedLdapUserSearch

10.4.4. LdapAuthoritiesPopulator

10.4.5. Spring Bean配置

10.4.6. LDAP属性和自定义UserDetails

11. 表单认证机制

11.1. 概述
11.2. 配置

12. 基本认证机制

12.1. 概述
12.2. 配置

13. 摘要式认证

13.1. 概述
13.2. 配置

14. Remember-Me认证

14.1. 概述

14.2. 简单基于散列标记的方法

14.3. 持久化标记方法

14.4. Remember-Me接口和实现

14.4.1. TokenBasedRememberMeServices
14.4.2. PersistentTokenBasedRememberMeServices

15. Java认证和授权服务（JAAS）供应器

15.1. 概述

15.2. 配置

15.2.1. JAAS CallbackHandler
15.2.2. JAAS AuthorityGranter

16. 预认证场景

16.1. 预认证框架类

16.1.1. AbstractPreAuthenticatedProcessingFilter

16.1.2. AbstractPreAuthenticatedAuthenticationDetailsSource

16.1.2.1. J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource

16.1.3. PreAuthenticatedAuthenticationProvider

16.1.4. PreAuthenticatedProcessingFilterEntryPoint

16.2. 具体实现

16.2.1. 请求头认证（Siteminder）

16.2.1.1. Siteminder示例配置

16.2.2. J2EE容器认证

17. 匿名认证

17.1. 概述
17.2. 配置

18. X.509认证

18.1. 概述
18.2. 把X.509认证添加到你的web系统中
18.3. 为tomcat配置SSL

19. CAS认证

19.1. 概述
19.2. CAS是如何工作的
19.3. 配置CAS客户端

20. 替换验证身份

20.1. 概述
20.2. 配置

21. 通用授权概念

21.1. 授权

21.2. 处理预调用

21.2.1. AccessDecisionManager

21.2.1.1. 基于投票的AccessDecisionManager实现

21.3. 处理后决定

21.3.1. ACL提醒后决议提供器
21.3.2. ACL-Aware AfterInvocationProviders (老 ACL 模块)

21.4. 授权标签库

22. 安全对象实现

22.1. AOP联盟 (MethodInvocation) 安全拦截器

22.1.1. 精确的 MethodSecurityIterceptor 配置

22.2. AspectJ (JoinPoint) 安全拦截器

22.3. FilterInvocation 安全拦截器

23. 领域对象安全(ACLs)

23.1. 概述
23.2. 关键概念
23.3. 开始

24. acegi到spring security的转换方式

24.1. Spring Security是什么
24.2. 目标
24.3. 步骤
24.4. 总结

A. 安全数据库表结构

A.1. User表

A.1.1. 组权限

A.2. 持久登陆（Remember-Me）表

A.3. ACL表

A.3.1. Hypersonic SQL

A.3.1.1. PostgreSQL

B. 安全命名空间

B.1. Web应用安全 - <http>元素

B.1.1. <http>属性

B.1.1.1. servlet-api-provision
B.1.1.2. path-type
B.1.1.3. lowercase-comparisons
B.1.1.4. session-fixation-protection
B.1.1.5. realm
B.1.1.6. entry-point-ref
B.1.1.7. access-decision-manager-ref
B.1.1.8. access-denied-page
B.1.1.9. once-per-request
B.1.1.10. create-session

B.1.2. <intercept-url>元素

B.1.2.1. pattern
B.1.2.2. method
B.1.2.3. access
B.1.2.4. requires-channel

B.1.3. <port-mappings>元素

B.1.4. <form-login>元素

B.1.4.1. login-page
B.1.4.2. login-processing-url
B.1.4.3. default-target-url
B.1.4.4. always-use-default-target
B.1.4.5. authentication-failure-url

B.1.5. <http-basic>元素

B.1.6. <remember-me>元素

B.1.6.1. data-source-ref
B.1.6.2. token-repository-ref
B.1.6.3. services-ref
B.1.6.4. token-repository-ref
B.1.6.5. key属性
B.1.6.6. token-validity-seconds
B.1.6.7. user-service-ref

B.1.7. <concurrent-session-control>元素

B.1.7.1. max-sessions属性
B.1.7.2. expired-url属性
B.1.7.3. exception-if-maximum-exceeded属性
B.1.7.4. session-registry-alias和session-registry-ref属性

B.1.8. <anonymous>元素

B.1.9. <x509>元素

B.1.9.1. subject-principal-regex属性
B.1.9.2. user-service-ref属性

B.1.10. <openid-login>元素

B.1.11. <logout>元素

B.1.11.1. logout-url属性
B.1.11.2. logout-success-url属性
B.1.11.3. invalidate-session属性

B.2. 认证服务

B.2.1. <authentication-provider>元素
B.2.2. 使用<custom-authentication-provider>注册一个AuthenticationProvider
B.2.3. <authentication-manager>元素

B.3. 方法安全

B.3.1. <global-method-security>元素

B.3.1.1. <secured-annotations>和<jsr250-annotations>属性
B.3.1.2. 安全方法使用<protect-pointcut>
B.3.1.3. <custom-after-invocation-provider>元素

B.3.2. LDAP命名空间选项

B.3.2.1. 使用<ldap-server>元素定义LDAP服务器
B.3.2.2. <ldap-provider>元素
B.3.2.3. <ldap-user-service>元素

		Next
	Sponsored by SpringSource	序言