转：Spring Security 2.0.x中文参考文档

序言
Spring Security 为基于J2EE 的企业应用软件提供了一套全面的安全解决方案。正如你在本手册中看到的
那样，我们尝试为您提供一套好用，高可配置的安全系统。
安全问题是一个不断变化的目标，更重要的是寻求一种全面的，系统化的解决方案。 在安全领域我们建议
你采取“分层安全”，这样让每一层确保本身尽可能的安全，并为其他层提供额外的安全保障。 每层自身越是“紧
密”，你的程序就会越鲁棒越安全。 在底层，你需要处理传输安全和系统认证，减少“中间人攻击”
（man-in-the-middle attacks）。 接下来，我们通常会使用防火墙，结合VPN 或IP 安全来确保只有获得授
权的系统才能尝试连接。 在企业环境中，你可能会部署一个DMZ（demilitarized zone，隔离区），将面向公
众的服务器与后端数据库，应用服务器隔离开。 在以非授权用户运行进程和文件系统安全最大化上，你的操作
系统也将扮演一个关键的角色。 操作系统通常配置了自己的防火墙。 然后你要防止针对系统的拒绝服务和暴力
攻击。 入侵检测系统在检测和应对攻击的时候尤其有用。这些系统可以实时屏蔽恶意TCP/IP 地址。 在更高层
上，你需要配置Java 虚拟机，将授予不同java 类型权限最小化，然后，你的应用程序要添加针对自身特定问题
域的安全配。Spring Security 使后者 - 应用程序安全变得更容易。
当然，你需要妥善处理上面提到的每个安全层，以及包含于每个层的管理因素。 这些管理因素具体包括：
安全公告检测，补丁，人工诊断，审计，变更管理，工程管理系统，数据备份，灾难回复，性能评测，负载检测，
集中日志，应急反应程序等等。
Spring Security 关注的重点是在企业应用安全层为您提供服务，你将发现业务问题领域存在着各式各样的
需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工具又有很大不同。这些客户
化需求让应用安全显得有趣，富有挑战性而且物有所值。
请阅读Part I, “入门”部分，以它作为开始。它向你介绍了整个框架和以命名空间为基础系统配置方式，让
你可以很快启动并运行系统。要是想更多的了解Spring Security 是如何工作和一些你可能需要用到的类，你应
该阅读Part II, “总体结构”部分。本指南的其余部分使用了较传统的参考文档方式，请按照自己的需要选择阅读
的部分。 我们也推荐你阅读尽可能多的在应用安全中可能出现的一般问题。 Spring Security 也不是万能的，
它不可能解决所有问题。 重要的一点，应用程序应该从一开始就为安全做好设计。 企图改造它也不是一个好主
意。 特别的，如果你在制作一个web 应用，你应该知道许多潜在的脆弱性，比如跨域脚本，伪造请求和会话劫
持，这些都是你在一开始就应该考虑到的。 OWASP 网站（http://www.owasp.org/）维护了一个web 应用
脆弱性前十名的名单，还有很多有用的参考信息。