spring权限基础概念介绍

spring Security
    是基于spring 的应用程序提供声明式安全保护的安全性框架。它能够在web请求级别和放
调用级别处理身份验证和授权。spring Security充分利用了依赖注入和面向切面的技术。
起步
    分为8个模块
ACL 支持通过访问控制列表为域对象提供安全性
cas客户端 提供与ja-Sig的中心认证服务进行集成功能
配置 xml命名空间
核心 提供了权限的基本库
LDAP 支持基于轻量目录访问协议
Openid 支持分散式OPenid标准
Tag Library 包含了一组jsp标签来实现视图级别的安全性
web 基于过滤器的web安全支持
使用spring security 配置命名空间
    使用命名空间极大简化了spring 中的安全性配置
保护web请求
    javaweb做任何事情都是从HttpServletRequest开始的，那这也是安全性的起始位置
代理servlet过滤器
    借助一系列的Servlet过滤器来提供各种安全性功能。
<filter>
<filter-name>springSecurityFilterChain>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy
    DelegatingFilterProxy 是一个特殊的过滤器，委托以注入spring的过滤器

配置最小化的web安全性
    <http auto-config=“true”
   <intercept-url pattern=... access="ROLE_SPITTER">
</http>
拦截请求
    <intercept-url pattern="*/**">
使用spring表达式进行安全保护
    <http auto-config="true" use-expressions="true">
..
<http>
强制使用https
      <http auto-config="true" requires-channel=“https”>
    
保护视图级别的元素
    Srping security 提供了一个jsp标签库
访问认证信息的细节
根据权限渲染
    <security:authorize>
认证用户
    基于用户储存
    基于jdbc
    基于LDAP
    OPENID分散式的用户身份识别系统
    中心认证服务
    x.509证书
    基于JAAS的提供者
    用<user-service元素来创建一个用户来实现
    基于数据库的进行认证
       可以根据属性进行相关的sql查询
启用remember-me功能
保护方法的调用
    使用@secured注解方法保护调用
    @RolesAllowed