Spring security:
我用过的安全机制: oauth2, filter, secured方法保护
9.2 保护web请求:
9.2.1 代理Servlet过滤器:
DelegatingFilterProxy: 作用: 用户认证授权/统计web访问量/日志功能 / 数据压缩 / 对数据进行加密 / XML文件的XSLT转换。
9.2.2 配置最小的web安全行:
配置拦截URL请求<intercept-url> 的pattern 属性可以根据用户权限限制对URL的访问。
通过用户名/密码进行认证: 2种方式: A:表单(基于浏览器的) B: Rest ful (移动端的应用)
9.2.3 拦截请求: <intercept-url>
可以使用安全性表达式: hasIpAddress() / isAnonymous() / denyAll / autheritcation()
强制使用HTTPS:(加密发送) <intercept-url> 的requires-channel属性指定 https
9. 3 保护视图级别的元素: ???????
9.3.1 访问认证信息的细节
9.3.2 根据权限渲染
9.4 认证用户:
9.4.1 配置内存用户存储库: 在Spring配置中声明用户的详细信息。 用Spring Security XML 命名空间的<user-service> 来实现。装配给<authentication-provider> 的 user-service-ref
9.4.2 基于数据库进行认证: 用户信息存储在数据库中, 用 <jdbc-user-service>
9.4.3 基于LDAP进行认证: LDAP 擅长存储层级结构的数据。
9.4.4 启用remember-me功能: 只要登陆一次 就能记住你。(在cookie中存储用户的信息)
9.5 保护方法调用:
9.5.1 使用 @Secured注解保护方法调用: controller的方法前面加上 @Secured(“ROLE_SPITTER”),表示只有这个权限的用户才可以访问方法。
9.5.2 使用 @RolesAllowed 注解: 和@Secured 类似。
9.5.3 使用SpEL 实现调用前后的安全行:
9.5.4 声明方法级别的安全行切点:
<