目 录
序
前言
1 企业级安全概述
1.1 传统Java EE安全性编程模型的局限性
1.1.1 可移植性差
1.1.2 企业级能力差
1.1.3 不便于实施集成测试或CI工作
1.1.4 Spring Security成功挑战Java EE安全性编程模型
1.2 揭秘Spring Security
1.2.1 基于过滤器链的设计-同Web容器解耦的重要法宝
1.2.2 构建在Spring基础之上
1.2.3 Spring Security内置的企业级特性集合
1.3 小结
2 触动Spring Security 3.0
2.1 下载Spring Security发布包
2.2 运行及分析内置的Spring Security Tutorial Application示例
2.2.1 运行Spring Security Tutorial Application示例
2.2.2 分析Spring Security Tutorial Application示例
2.3 运行及分析内置的Contacts Sample Application示例
2.3.1 运行Contacts Sample Application示例
2.3.2 分析Contacts Sample Application示例
2.4 下载持续更新的Spring Security源码
2.5 小结
3 Spring Security内置的Java EE应用认证支持
3.1 安全性认证概述
3.1.1 安全也是矛盾的统一体
3.2 内置的HTTP BASIC认证支持
3.2.1 不够安全的HTTP BASIC认证
3.3 内置的HTTP Digest认证支持
3.3.1 安全的HTTP Digest认证
3.3.2 对库中用户密码进行MD5加密存储
3.3.3 有关DigestAuthenticationEntryPoint的更多细节
3.4 内置的HTTP表单认证支持
3.4.1 灵活控制登录时页面的跳转逻辑
3.4.2 定制HTTP登录表单的处理URL
3.5 内置的X.509认证支持
3.5.1 设置HTTP与HTTPS端口间的映射关系
3.5.2 如何从X.509证书中抽取用户名
3.5.3 启用单向X.509认证
3.6 小结
4 分享Spring Security认证支持背后的故事
4.1 过滤器链的形成
4.1.1 从springSecurityFilterChain过滤器谈起
4.1.2 若干重要策略接口
4.2 匿名认证
4.3 Remember-Me认证服务
4.4 控制并发HttpSession
4.5 切换用户
4.6 自定义退出逻辑
4.7 小结
5 集成及管理认证信息
5.1 认证提供者-核心策略接口
5.2 处在内存中的认证信息
5.3 处在关系数据库中的认证信息
5.4 借助LDAP服务器管理认证信息
5.5 基于JAAS管理认证信息
5.6 小结
6 Spring Security内置的Java EE应用授权支持
6.1 授权策略
6.2 针对Web资源的授权支持
6.3 针对业务方法的授权支持
6.4 小结
7 针对领域对象的授权支持
7.1 何谓领域对象
7.2 小结
8 集成单点登录及单点退出解决方案
8.1 何谓单点登录及单点退出
8.2 Spring Security对SSO的集成支持
8.2.1 JA-SIG CAS
8.2.2 OpenID
8.3 小结
9 探索及集成JA-SIG CAS
9.1 JA-SIG CAS概述
9.1.1 SAML
9.2 小结
10 探索及集成OpenID
10.1 OpenID概述
10.2 小结
11 探索及集成Kerberos/SPNEGO
11.1 Kerberos/SPNEGO概述
11.2 小结
12 Spring Security 3.x高级专题及最佳实践
12.1 重新审视安全性话题
12.2 同用户认证相关话题
12.3 同用户授权相关话题
12.4 小结
13 附录A:Java EE容器内置的Java EE安全性支持
13.1 Apache Tomcat 6.0内置的Java EE安全性支持
13.1.1 HTTP BASIC认证
13.1.2 HTTP Digest认证
13.1.3 HTTP表单认证
13.1.4 准备X.509证书
13.1.5 双向X.509认证
13.2 Eclipse Jetty 7.0内置的Java EE安全性支持
13.3 JBoss 6.0内置的Java EE安全性支持
13.4 Oracle WebLogic 11g内置的Java EE安全性支持
13.5 IBM WebSphere 7.0内置的Java EE安全性支持
14 附录B:Spring Security内置的命名空间
14.1 命名空间
14.3 命名空间
15 附录C:同Apache HTTP Server相关的话题
15.1 Apache HTTP Server概述
15.1.1 配置CA X.509证书
15.2 Apache HTTP Server与CAS的整合
15.2.1 mod_auth_cas模块
15.3 将Apache HTTP Server作为Java EE容器的前端
15.3.1 激活负载均衡
16 附录D:Spring LDAP
16.1 LDAP概述
16.1.1 LDAP服务器
16.2 第三方LDAP客户端工具
16.2.1 JXplorer
16.2.2 Apache Directory Studio
16.3 深入到Spring LDAP中
16.3.1 LdapTemplate核心类
16.3.2 内置的LDAP连接池支持
16.3.3 事务补偿特性
17 附录E:相关资料
17.1 图书
17.2 网站