Spring Security使用指南
原作者: Ben Alex, Luke Taylor
译者: Kingoal Lee (http://kingoal.iteye.com)
前言
Spring Security为基于J2EE的企业级软件应用程序提供全面的安全解决方案。通过本使用指南,我们将为你提供一个有用并且高度可配置的安全系统。
安全是一个不断变化的目标,因此追求一个全面的系统地安全系统解决方案显得非常重要。在安全界,我们鼓励采用“分层安全”的做法,每一层都尽量安全,然后后续层在其基础上提供额外的安全功能。每一层越安全,整个应用程序就越健壮和安全。在底层我们要考虑传输安全和系统识别,这样减少中间人攻击。然后我们需要使用防火墙,可能的话和VPN或者IP安全来保证只能访问已经被授权的系统。在企业环境下,你有可能需要部署DMZ(注: Demilitarized Zone,隔离区)来将外面能够被公开访问的服务器和后台的数据库以及应用服务器分离开来。在安全方面,你的操作系统也扮演了很非常重要角色,可以通过运行没有特殊权限的用户和最大化使用文件系统安全等来提供操作系统级别的安全。一个操作系统通常会配置起防火墙。希望这样能够抵制DOS和系统暴力破解。IDS系统对于监控和应对攻击等非常有用,其可以采用实时地封杀IP地址来阻止安全攻击。再往上层说,JVM被配置最小化不同的Java类型的权限,同时你的应用程序添加自己问题域专用的安全配置。Spring Security就是使得最后的一个领域-应用程序安全-更加容易。
当然,你要面对上面提到的所有层的安全,使用管理等方面的因素一起来增强各个层次的安全。管理因素方面的不完全的列表包括如下:安全公告监视,打补丁,个人审查,审计,更改控制,工程管理系统,数据备份,灾难恢复,性能基准,负载监控,集中式日志,事故响应程序等。
Spring Security帮助你专注于企业应用程序安全层,你会发现在商业逻辑问题域中有很多不同的安全方面的需求。从一个商业应用程序的角度来看,一个银行应用程序有不同的需要;从公司销售自动化攻击的角度一个商业应用成有不同的需要。这些自定义的需求使得应用程序安全性显得有趣,富有挑战和有益。
首先请阅读地一部分,“现在开始”。在第一部分里面将介绍整个框架和给予名词空间的配置系统,这样你将例子很快使用并且运行起来。如果想更深层次地理解Spring Security是如何工作的,已经你需要那些具体的类,那么你就应该阅读第二部分,整体体系结构。该指南剩余的部分是按照传统的指南的样式来组织的,设计是为了在有具体的需求的情况下才被阅读,我们推荐你能够尽可能多地阅读。当然Spring Security不是万用灵药,不能够解决你所有的安全方面的问题。并且从应用程序刚刚开始设计的时候考虑安全方面的问题,改进安全方面的问题不是一个很好的想法。特殊情况下,如果你正在搭建一个web应用程序,你应该从头开始考虑许多潜在的攻击点,像站点间的脚本,伪造请求,以及会话劫持等。可以从网站OWASP[注: Open Web Application Security Project] (http://www.owasp.org)上查看web应用程序TOP10的攻击点以及其他的有用的参考信息。
我们希望你觉得该指南有用,并且我们欢迎来自你的反馈和建议。
最后,欢迎你进入到Spring Security社区。
分享到:
相关推荐
这是spring security 中文指南,对spring securityde 用法和功能进行了详细的描述。是一个很不错的spring security指南。希望对大家有用。
Spring Security3.1高级详细开发指南
spring security reference 3.1.6 使用指南,pdf格式。
Spring_Security3中文指南.pdf
结合项目详细的介绍springsecurity的框架,配置,用法,各个元素的作用,是学习springsecurity不可多得的文档
spring security3.1高级详细开发指南 包含一个简单例子和一个复杂例子
Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。 Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的,...
Spring Security是什么? 历史 发布版本号 Getting Spring Security Spring Security 4.1新特性 Java 配置提升 Web应用程序安全性提升 授权改进 密码模块的改进 测试的改进 一般的改进 样品和指南 (Start Here) Java ...
18.4使用Spring Security CSRF保护 143 18.4.1使用适当的HTTP动词 144 18.4.2配置CSRF保护 144 18.4.3包含CSRF令牌 145 表单提交 145 Ajax和JSON请求 145 CookieCsrfTokenRepository 146 18.5 CSRF警告 147 18.5.1...
随着Spring框架的流行,Spring Security也被人们更加关注,这个文档就是介绍Spring Security的简易配置流程。
Spring_Security3中文指南 Spring Security 为基于 J2EE 企业应用软件提供了全面安全服务。 特别是使用领先 的 J2EE 解决方案-spring 框架开发的企业软件项目。 如果你没有使用 Spring 开发企 业软件,我们热情的...
spring-security最新参考指南
里面有两个PDF文档,分别是Spring3_权威开发指南.pdf和Spring3Security-3.0.1中文官方文档.pdf。
spring security官方用户指南,基于5.3.0版,英文版。 官方写的用户手册,对于spring security的方方面面都写的很详细,与其在网上看各种学习资料,不如官方文档来的实在。
Spring3_Security中文指南.pdf
springsecurity 中文指南chm版
Spring_Security安全框架应用指南
Spring Security OAuth 2.0指南本示例显示了如何使用Spring Security和OAuth 2.0创建授权服务器。 请阅读获取指导教程,向您展示如何在此存储库中构建应用程序。 先决条件: 。 具有身份验证和用户管理API,可通过...
spring_security3.1高级详细开发指南.docx