Spring Security3实战开发基础（一）

一、什么是Spring Security：是一个基于Spring的，为JEE企业级应用软件提供全面安全服务的框架。

   1：安全含义：认证和授权（验证）

   2：SpringSecurity前身是有名的Acegi，Acegi1.1版本后改名为Spring   Security，现在最新版本为3.X。

二、为什么使用Spring Security

   1：传统JEE企业级安全模型缺陷

         1.1：可移植能力差—往往有容器相关

         1.2：企业能力差—不同容器几乎无法完美移植，如：从Web容器—JEE容器

         没有提供实用的匿名认证、Remember-Me认证服务、控制并发HTTPSession

          1.3：不便于实施集成测试或CI工作

          搭建功能和性能测试环境要修改JEE容器中很多配置文件，以满足安全性编程模型要求。

   2：理想的JEE体系:直接部署企业应用到其中，安全性体系即可生效

   3：Spring Security的优势

         3.1：可移植性好—安全性相关内容都在应用本身

         3.2：企业能力强—集成第三方安全性解决方案，提供新的企业级安全性特性。

         3.3：构建在Spring基础上，使得各类集成测试及CI工作顺利进行。

三、 Spring Security中有什么

   1：过滤器链（核心）

   2：SpringSecurity内置的企业级特性集合

       2.1：内置了各种HTTP认证支持，包括HTTP BASIC、HTTPDigest、HTTP表单认证、X.509认证

       2.2：针对web资源，业务方法、领域对象提供了一整套认证和授权解决方案

       2.3：Spring Security能融入任何类型的应用中。

    2.4：提供了多种第三方SSO解决方案，如JA-SIG CAS、OpenID等

    2.5：支持RDBMS、LDAP、XML、.properties等认证源。

    2.6：兼容JEE的安全性编程模型

    2.7：提供大量实用企业级特性，比如匿名认证、Remember-Me认证服务、控制并发HttpSession、自定义退出、

Run-As认证服务等

    2.8：支持用户在HTTP和HTTPS传输渠道间动态切换

    2.9：Spring Security任意组成部分都可以被替换、扩展。

三、Spring Security能干什么

    为企业应用提供安全服务。

四、如何使用Spring Security

    包下载：http://www.springsource.com/download/community