使用过springSecurity的朋友都知道，首先需要在web.xml进行以下配置， <filter>   <filter-name>springSecurityFilterChain</filter-name>   <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  </filter> ...

前言     南朝《述异记》中记载，晋王质上山砍柴，见二童子下棋，未看完，斧柄已烂，下山回村，闻同代人都去世了，自已还未变老。     因此发出“山中方一日，世上几千年” 的慨叹。原文...

三步之内使我们的应用变得安全 尽管Spring Security的配置可能会很难，但是它的作者是相当为我们着想的，因为他们为我们提供了一种简单的机制来使用它很多的功能并可以此作为起点。以这个为起点，额外的配置能够实现应用的分层次详细的安全控制。  ...

提供电子书下载链接。 Spring_Security3_源码分析.pdf (758.2 KB) 下载次数: 623 分享 ...

Spring Security3对CAS的支持主要在这个spring-security-cas-client-3.0.2.RELEASE.jar包中  Spring Security和CAS集成的配置资料很多。这里讲解的比较详细  http://lengyun3566.iteye.com/blog/1358323 配置方面，主要为下面的部分： <security:http auto-config="true" entry-point-ref="casAuthEntryPoint" access-denied-pag...

Sping Security3对于SSL的支持仅仅表现在对需要拦截的url（标签intercept-url）设置requires-channel=https属性。 如果一个url设置了requires-channel为https，那么该url在http的访问会直接重定向到https的通道中去。后面再具体分析。 首先需要在应用中配置SSL的支持，具体配置方法可参考 http://lengyun3566.iteye.com/blog/1141347   Sping Security3支持SSL分别表现下面几...

前面分析了FilterChainProxy执行过程，也对常用的filter逐一深入介绍了，但似乎忽略了Spring Security的核心功能：认证和授权。  虽然在介绍过滤器时也把认证、授权的具体过程深入分析了，但一直没有从整体设计的角度来观察认证、授...

通过前面Spring Security提供的各种Filter的分析，大体上知道每个Filter具体的用途了。  Spring Security一共提供了20个Filter，我目前只分析了13个（如果http的auto-config="true"，那默认的filter列表都包含在这13个里面了），另外7个在后面的源码分析中碰到时会逐个讲解。  在分析http标签时，已经提到filter排序的问题了，但是没有深入。  现在再回头看filter是如何排序的。下面的代码片段截取自HttpSecurityBeanDefinitionParser类， ...

RequestCacheAwareFilter过滤器对应的类路径为  org.springframework.security.web.savedrequest.RequestCacheAwareFilter  这个filter的用途官方解释是  用于用户登录成功后，重新恢复因为登录被打断的请求  这个解释也有几点需要说明  被打算的请求：简单点说就是出现了AuthenticationException、AccessDeniedException两类异常  重新恢复：既然能够恢复，那肯定请求信息被保存到cache...

ExceptionTranslationFilter过滤器对应的类路径为  org.springframework.security.web.access.ExceptionTranslationFilter  从类名就看出这个过滤器用于异常翻译的。但是从这个过滤器在filterchain中的位置来看，它仅仅处于倒数第三的位置（这个filter后面分为是FilterSecurityInterceptor、SwitchUserFilter），所以ExceptionTranslationFilter只能捕获到后面两个过滤器所抛出的异常。  这里需要强调一下...