資源描述:
《Spring Security 5.1 中文 參考手冊 中文文檔.pdf》由會員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1��、SpringSecurityReference譯:Spring安全參考本幫助文檔是覺得煩死整理--QQ:654638585聲明:中文文檔都是由軟件翻譯,翻譯內(nèi)容未檢查校對,文檔內(nèi)容僅供參考�。您可以任意轉(zhuǎn)發(fā)�����,但請至保留作者&出處(http://bolg.fondme.cn),請尊重作者勞動成果,謝謝�!Authors譯:作者BenAlex,LukeTaylor,RobWinch,GunnarHillert,JoeGrandja,JayBryant5.1.0.M1版權(quán)所有?2004-2017本文件副本可供
2、您自行使用并分發(fā)給其他人���,前提是您不收取任何此類副本的費(fèi)用,并進(jìn)一步規(guī)定每份副本均包含此版權(quán)聲明����,無論是以印刷版還是電子版分發(fā)。譯:SpringSecurity是一個強(qiáng)大且高度可定制的身份驗(yàn)證和訪問控制框架��。這是保護(hù)基于Spring的應(yīng)用程序的事實(shí)標(biāo)準(zhǔn)���。PartI.Preface譯:第一部分前言SpringSecurity為基于JavaEE的企業(yè)軟件應(yīng)用程序提供了全面的安全解決方案�。正如您在參考指南中發(fā)現(xiàn)的那樣�����,我們試圖為您提供一個有用且高度可配置的安全系統(tǒng)���。安全是一個不斷移動的目標(biāo)��,并且追求全面的
3�、系統(tǒng)范圍方法非常重要。在安全圈中���,我們鼓勵您采用“安全層”�,以便每層都盡可能保證安全���,連續(xù)層提供額外的安全性��。每層的安全性越“緊密”����,應(yīng)用程序就越健壯和安全���。在底層���,您需要處理諸如運(yùn)輸安全和系統(tǒng)識別等問題,以緩解中間人攻擊���。接下來��,您通常會使用防火墻��,可能使用VPN或IP安全性來確保只有經(jīng)過授權(quán)的系統(tǒng)才能嘗試連接���。在企業(yè)環(huán)境中����,您可以部署一個DMZ��,將面向公眾的服務(wù)器與后端數(shù)據(jù)庫和應(yīng)用程序服務(wù)器分開���。您的操作系統(tǒng)也將扮演重要角色,解決諸如以無特權(quán)用戶身份運(yùn)行進(jìn)程等問題并最大限度提高文件系統(tǒng)安全性�����。操
4�����、作系統(tǒng)通常也會配置自己的防火墻���。希望在這個過程中的某個地方你會試圖阻止對系統(tǒng)的拒絕服務(wù)和暴力攻擊����。入侵檢測系統(tǒng)對于監(jiān)視和響應(yīng)攻擊也特別有用,因?yàn)檫@些系統(tǒng)能夠采取保護(hù)措施�����,例如實(shí)時(shí)阻止侵入TCP/IP地址�����。轉(zhuǎn)移到更高層���,您的Java虛擬機(jī)將有望配置為最大限度地減少授予不同Java類型的權(quán)限�����,然后您的應(yīng)用程序?qū)⑻砑幼约旱膯栴}特定于域的安全配置�。SpringSecurity使后面的這個領(lǐng)域-應(yīng)用程序的安全性更容易�����。當(dāng)然�,您需要正確處理上面提到的所有安全層,以及包含每個層的管理因素�����。這些管理因素的非詳盡清單
5、將包括安全公告監(jiān)控���,修補(bǔ)����,人員審查�����,審計(jì)��,變更控制��,工程管理系統(tǒng)��,數(shù)據(jù)備份�,災(zāi)難恢復(fù)���,性能基準(zhǔn)測試�����,負(fù)載監(jiān)控�,集中式日志記錄,事件響應(yīng)程序等���。由于SpringSecurity專注于幫助企業(yè)應(yīng)用程序安全層�����,因此您會發(fā)現(xiàn)有多少不同的需求與業(yè)務(wù)問題域相同���。銀行應(yīng)用程序?qū)﹄娮由虅?wù)應(yīng)用程序有不同的需求。電子商務(wù)應(yīng)用程序?qū)ζ髽I(yè)銷售人員自動化工具有不同的需求��。這些自定義要求使應(yīng)用程序安全性變得有趣�,富有挑戰(zhàn)性和有益。請首先閱讀Chapter1,GettingStarted的全部內(nèi)容����。這將向您介紹框架和基于命名空間
6、的配置系統(tǒng)����,您可以使用該系統(tǒng)快速啟動和運(yùn)行。為了更好地理解SpringSecurity的工作原理以及您可能需要使用的一些類���,請閱讀PartII,“ArchitectureandImplementation”���。本指南的其余部分采用更傳統(tǒng)的參考樣式�����,旨在根據(jù)需要進(jìn)行閱讀����。我們還建議您盡可能多地閱讀應(yīng)用程序安全問題�����。SpringSecurity不是解決所有安全問題的萬能藥�����。從一開始���,應(yīng)用程序的設(shè)計(jì)就要考慮到安全性,這一點(diǎn)很重要�����。試圖改造它并不是一個好主意。特別是����,如果您正在構(gòu)建Web應(yīng)用程序,則應(yīng)該意識到
7�、許多潛在的漏洞,例如跨站腳本����,請求偽造和會話劫持,您應(yīng)該從一開始就考慮這些漏洞���。OWASP網(wǎng)站(http://www.owasp.org/)保留了Web應(yīng)用程序漏洞的十大列表以及大量有用的參考信息��。我們希望您發(fā)現(xiàn)本參考指南很有用��,我們歡迎您的反饋和suggestions����。最后�����,歡迎來到SpringSecuritycommunity��。1.GettingStarted譯:1.入門本指南的后面部分提供了關(guān)于框架體系結(jié)構(gòu)和實(shí)現(xiàn)類的深入討論,您需要了解是否需要進(jìn)行任何嚴(yán)格的自定義��。在這一部分�����,我們將介紹Spr
8���、ingSecurity4.0��,簡要介紹一下該項(xiàng)目的歷史��,并對如何開始使用該框架稍微考慮一下�。特別是����,我們將著眼于命名空間配置,與傳統(tǒng)的Springbean方法相比���,它提供了一種更簡單的保護(hù)應(yīng)用程序的方法��,您必須單獨(dú)連接所有實(shí)現(xiàn)類����。我們還會看看可用的示例應(yīng)用程序����。在你閱讀后面的章節(jié)之前,值得嘗試運(yùn)行它們并嘗試一些-你可以在對框架的理解增加的時(shí)候重新考慮它們����。請同時(shí)查閱http://spring。io/spring-security[項(xiàng)目網(wǎng)站]���,因?yàn)樗嘘P(guān)于構(gòu)建項(xiàng)目的有用
