Spring Security使用指南

Spring Security使用指南
原作者: Ben Alex, Luke Taylor
译者: Kingoal Lee (http://kingoal.iteye.com)
前言
Spring Security为基于J2EE的企业级软件应用程序提供全面的安全解决方案。通过本使用指南，我们将为你提供一个有用并且高度可配置的安全系统。
安全是一个不断变化的目标，因此追求一个全面的系统地安全系统解决方案显得非常重要。在安全界，我们鼓励采用“分层安全”的做法，每一层都尽量安全，然后后续层在其基础上提供额外的安全功能。每一层越安全，整个应用程序就越健壮和安全。在底层我们要考虑传输安全和系统识别，这样减少中间人攻击。然后我们需要使用防火墙，可能的话和VPN或者IP安全来保证只能访问已经被授权的系统。在企业环境下，你有可能需要部署DMZ(注: Demilitarized Zone，隔离区)来将外面能够被公开访问的服务器和后台的数据库以及应用服务器分离开来。在安全方面，你的操作系统也扮演了很非常重要角色，可以通过运行没有特殊权限的用户和最大化使用文件系统安全等来提供操作系统级别的安全。一个操作系统通常会配置起防火墙。希望这样能够抵制DOS和系统暴力破解。IDS系统对于监控和应对攻击等非常有用，其可以采用实时地封杀IP地址来阻止安全攻击。再往上层说，JVM被配置最小化不同的Java类型的权限，同时你的应用程序添加自己问题域专用的安全配置。Spring Security就是使得最后的一个领域－应用程序安全－更加容易。
当然，你要面对上面提到的所有层的安全，使用管理等方面的因素一起来增强各个层次的安全。管理因素方面的不完全的列表包括如下：安全公告监视，打补丁，个人审查，审计，更改控制，工程管理系统，数据备份，灾难恢复，性能基准，负载监控，集中式日志，事故响应程序等。
Spring Security帮助你专注于企业应用程序安全层，你会发现在商业逻辑问题域中有很多不同的安全方面的需求。从一个商业应用程序的角度来看，一个银行应用程序有不同的需要；从公司销售自动化攻击的角度一个商业应用成有不同的需要。这些自定义的需求使得应用程序安全性显得有趣，富有挑战和有益。
首先请阅读地一部分，“现在开始”。在第一部分里面将介绍整个框架和给予名词空间的配置系统，这样你将例子很快使用并且运行起来。如果想更深层次地理解Spring Security是如何工作的，已经你需要那些具体的类，那么你就应该阅读第二部分，整体体系结构。该指南剩余的部分是按照传统的指南的样式来组织的，设计是为了在有具体的需求的情况下才被阅读，我们推荐你能够尽可能多地阅读。当然Spring Security不是万用灵药，不能够解决你所有的安全方面的问题。并且从应用程序刚刚开始设计的时候考虑安全方面的问题，改进安全方面的问题不是一个很好的想法。特殊情况下，如果你正在搭建一个web应用程序，你应该从头开始考虑许多潜在的攻击点，像站点间的脚本，伪造请求，以及会话劫持等。可以从网站OWASP[注: Open Web Application Security Project] (http://www.owasp.org)上查看web应用程序TOP10的攻击点以及其他的有用的参考信息。
我们希望你觉得该指南有用，并且我们欢迎来自你的反馈和建议。
最后，欢迎你进入到Spring Security社区。