anonymous() 允许匿名用户访问,不允许已登入用户访问
permitAll() 不管登入,不登入 都能访问
permitAll(): Always evaluates to true
isAnonymous(): Returns true if the current principal is an anonymous user
从 Spring文档:
采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,尤其是对于 Web 应用程序。许多站点要求用户必须通过除少数 URL 之外的任何其他内容(例如主页和登录页面)的身份验证。在这种情况下,最容易为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。换句话说,有时可以说默认情况下需要 ROLE_SOMETHING 并且只允许此规则的某些例外情况,例如登录、注销和应用程序的主页。您也可以完全从过滤器链中省略这些页面,从而绕过访问控制检查,
这就是我们所说的匿名身份验证。
请注意,“经过匿名身份验证”的用户和未经身份验证的用户之间没有真正的概念差异。Spring Security 的匿名身份验证只是为您提供了一种更方便的方式来配置您的访问控制属性。
使用.permitAll()will 配置授权,以便在该特定路径上允许所有请求(来自匿名用户和登录用户)。
的.anonymous()表达主要是指用户(登录与否)的状态。基本上,在用户通过“身份验证”之前,它是“匿名用户”。这就像每个人都有一个“默认角色”。
anonymous() 允许匿名用户访问,不允许已登入用户访问permitAll() 不管登入,不登入 都能访问permitAll(): Always evaluates to trueisAnonymous(): Returns true if the current principal is an anonymous user从 Spring文档:采用“默认拒绝”通常被认为是良好的安全实践,您可以明确指定允许的内容并禁止其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,尤其是对于
本文主要聊一下
spring
security
的
pe
rmi
tAll
以及webIgnore的
区别
pe
rmi
tAll
配置实例
@EnableWeb
Security
public class
Security
Config extends Web
Security
ConfigurerAdapter {
@Override
pub...
在Kali Linux 2.0 Sana
中
使用Backbox-
Anonymous
git clone https://github.com/Josexv1/Kali-
Anonymous
.git
sudo cp ~/Downloads/Kali-
Anonymous
/etc/default/backbox-
anonymous
/etc/default/
sudo cp ~/Downloads/Kali-
Anonymous
/usr/bin/backbox-
anonymous
/usr/bin/
sudo service tor start
sudo backbox-
anonymous
start/stop
编辑文件,以便您的主机名正确! 默认情况下,Kali linux
中
的主机名是:kali要在终端
中
更改主机名,请输入hostname NuevoHostnam
java-
anonymous
-ty
pe
s
如何使用交集强制转换在Java
中
创建匿名类型的示例
with(( Anon & Quacks & Waddles ) i - > i, ducklike - > {
ducklike . quack();
ducklike . waddle();
您还可以使用诸如map这样的新方法来增强List的现有类型。
interface Mappable <T> extends DelegatesTo< List> > {
default < R> List< R> map ( Function< T> map
pe
r ) {
return delegate() . stream() . map(map
pe
r) . collect( Collectors . toList());
Spring
Security
-3.0.1
中
文官方文档(翻译版)
这次发布的
Spring
Security
-3.0.1 是一个bug fix 版,主要是对3.0
中
存在的一些问题进
正。文档
中
没有添加新功能的介绍,但是将之前拼写错误的一些类名进行了修正,建议开发
者以这一版本的文档为参考。
另:
Spring
Security
从2010-01-01 以后,版本控制从SVN 换成了GIT,我们在翻译文档的
时候,主要是根据SVN 的变化来进行文档内容的比对,这次换成GIT 后,感觉缺少了之前
那种文本比对工具,如果有对GIT 熟悉的朋友,还请推荐一下文本比对的工具,谢谢。
I. 入门
1. 介绍
1.1.
Spring
Security
是什么?
1.2. 历史
1.3. 发行版本号
1.4. 获得
Spring
Security
1.4.1. 项目模块
1.4.1.1. Core -
spring
-
security
-core.jar
1.4.1.2. Web -
spring
-
security
-web.jar
1.4.1.3. Config -
spring
-
security
-config.jar
1.4.1.4. LDAP -
spring
-
security
-ldap.jar
1.4.1.5. ACL -
spring
-
security
-acl.jar
1.4.1.6. CAS -
spring
-
security
-cas-client.jar
1.4.1.7. O
pe
nID -
spring
-
security
-o
pe
nid.jar
1.4.2. 获得源代码
2.
Security
命名空间配置
2.1. 介绍
2.1.1. 命名空间的设计
2.2. 开始使用安全命名空间配置
2.2.1. 配置web.xml
2.2.2. 最小 配置
2.2.2.1. auto-config 包含了什么?
2.2.2.2. 表单和基本登录选项
2.2.3. 使用其他认证提供器
2.2.3.1. 添加一个密码编码器
2.3. 高级web 特性
2.3.1. Remember-Me 认证
2.3.2. 添加HTTP/HTTPS 信道安全
2.3.3. 会话管理
2.3.3.1. 检测超时
2.3.3.2. 同步会话控制
2.3.3.3. 防止Session 固定攻击
2.3.4. 对O
pe
nID 的支持
2.3.4.1. 属性交换
2.3.5. 添加你自己的filter
2.3.5.1. 设置自定义AuthenticationEntryPoint
2.4. 保护方法
2.4.1. 元素
2.4.1.1. 使用protect-pointcut 添加安全切点
2.5. 默认的AccessDecisionManager
2.5.1. 自定义AccessDecisionManager
2.6. 验证管理器和命名空间
3. 示例程序
3.1. Tutorial 示例
3.2. Contacts
3.3. LDAP 例子
3.4. CAS 例子
3.5. Pre-Authentication 例子
4.
Spring
Security
社区
4.1. 任务跟踪
4.2. 成为参与者
4.3. 更多信息
II. 结构和实现
5. 技术概述
5.1. 运行环境
5.2. 核心组件
5.2.1.
Security
ContextHolder,
Security
Context 和Authentication 对象
5.2.1.1. 获得当前用户的信息
5.2.2. UserDetailsService
5.2.3. GrantedAuthority
5.2.4. 小结
5.3. 验证
5.3.1. 什么是
Spring
Security
的验证呢?
5.3.2. 直接设置
Security
ContextHolder 的内容
5.4. 在web 应用
中
验证
5.4.1. ExceptionTranslationFilter
5.4.2. AuthenticationEntryPoint
5.4.3. 验证机制
5.4.4. 在请求之间保存
Security
Context 。
5.5.
Spring
Security
中
的访问控制(验证)
5.5.1. 安全和AOP 建议
5.5.2. 安全对象和Abstract
Security
Interceptor
5.5.2.1. 配置属性是什么?
5.5.2.2. RunAsManager
5.5.2.3. AfterInvocationManager
5.5.2.4. 扩展安全对象模型
5.6. 国际化
6. 核心服务
6.1. The AuthenticationManager , ProviderManager 和AuthenticationProvider s
6.1.1. DaoAuthenticationProvider
6.2. UserDetailsService 实现
6.2.1. 内存认证
6.2.2. JdbcDaoImpl
6.2.2.1. 权限分组
6.3. 密码加密
6.3.1. 什么是散列加密?
6.3.2. 为散列加点儿盐
6.3.3. 散列和认证
III. web 应用安全
7. 安全过滤器链
7.1. DelegatingFilterProxy
7.2. FilterChainProxy
7.2.1. 绕过过滤器链
7.3. 过滤器顺序
7.4. 使用其他过滤器—— 基于框架
8. 核心安全过滤器
8.1. Filter
Security
Interceptor
8.2. ExceptionTranslationFilter
8.2.1. AuthenticationEntryPoint
8.2.2. AccessDeniedHandler
8.3.
Security
Context
Pe
rsistenceFilter
8.3.1.
Security
ContextRepository
8.4. UsernamePasswordAuthenticationFilter
8.4.1. 认证成功和失败的应用流程
9. Basic(基本)和Digest(摘要)验证
9.1. BasicAuthenticationFilter
9.1.1. 配置
9.2. DigestAuthenticationFilter
9.2.1. Configuration
10. Remember-Me 认证
10.1. 概述
10.2. 简单基于散列标记的方法
10.3. 持久化标记方法
10.4. Remember-Me 接口和实现
10.4.1. TokenBasedRememberMeServices
10.4.2.
Pe
rsistentTokenBasedRememberMeServices
11. 会话管理
11.1. SessionManagementFilter
11.2. SessionAuthenticationStrategy
11.3. 同步会话
12. 匿名认证
12.1. 概述
12.2. 配置
12.3. AuthenticationTrustResolver
IV. 授权
13. 验证架构
13.1. 验证
13.2. 处理预调用
13.2.1. AccessDecisionManager
13.2.2. 基于投票的AccessDecisionManager 实现
13.2.2.1. RoleVoter
13.2.2.2. AuthenticatedVoter
13.2.2.3. Custom Voters
13.3. 处理后决定
14. 安全对象实现
14.1. AOP 联盟(MethodInvocation) 安全拦截器
14.1.1. 精确的Method
Security
Iterceptor 配置
14.2. As
pe
ctJ (JoinPoint) 安全拦截器
15. 基于表达式的权限控制
15.1. 概述
15.1.1. 常用内建表达式
15.2. Web 安全表达式
15.3. 方法安全表达式
15.3.1. @Pre 和@Post 注解
15.3.1.1. 访问控制使用@PreAuthorize 和@PostAuthorize
15.3.1.2. 过滤使用@PreFilter 和@PostFilter
16. acegi 到
spring
security
的转换方式
16.1.
Spring
Security
是什么
16.2. 目标
16.3. 步骤
16.4. 总结
V. 高级话题
17. 领域对象安全(ACLs)
17.1. 概述
17.2. 关键概念
17.3. 开始
18. 预认证场景
18.1. 预认证框架类
18.1.1. AbstractPreAuthenticatedProcessingFilter
18.1.2. AbstractPreAuthenticatedAuthenticationDetailsSource
18.1.2.1. J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource
18.1.3. PreAuthenticatedAuthenticationProvider
18.1.4. Http403ForbiddenEntryPoint
18.2. 具体实现
18.2.1. 请求头认证(Siteminder)
18.2.1.1. Siteminder 示例配置
18.2.2. J2EE 容器认证
19. LDAP 认证
19.1. 综述
19.2. 在
Spring
Security
里使用LDAP
19.3. 配置LDAP 服务器
19.3.1. 使用嵌入测试服务器
19.3.2. 使用绑定认证
19.3.3. 读取授权
19.4. 实现类
19.4.1. LdapAuthenticator 实现
19.4.1.1. 常用功能
19.4.1.2. BindAuthenticator
19.4.1.3. PasswordComparisonAuthenticator
19.4.1.4. 活动目录认证
19.4.2. 链接到LDAP 服务器
19.4.3. LDAP 搜索对象
19.4.3.1. FilterBasedLdapUserSearch
19.4.4. LdapAuthoritiesPopulator
19.4.5.
Spring
Bean 配置
19.4.6. LDAP 属性和自定义UserDetails
20. JSP 标签库
20.1. 声明Taglib
20.2. authorize 标签
20.3. authentication 标签
20.4. accesscontrollist 标签
21. Java 认证和授权服务(JAAS)供应器
21.1. 概述
21.2. 配置
21.2.1. JAAS CallbackHandler
21.2.2. JAAS AuthorityGranter
22. CAS 认证
22.1. 概述
22.2. CAS 是如何工作的
22.3. 配置CAS 客户端
23. X.509 认证
23.1. 概述
23.2. 把X.509 认证添加到你的web 系统
中
23.3. 为tomcat 配置SSL
24. 替换验证身份
24.1. 概述
24.2. 配置
A. 安全数据库表结构
A.1. User 表
A.1.1. 组权限
A.2. 持久登陆(Remember-Me)表
A.3. ACL 表
A.3.1. Hy
pe
rsonic SQL
A.3.1.1. PostgreSQL
B. 安全命名空间
B.1. Web 应用安全- 元素
B.1.1. 属性
B.1.1.1. servlet-api-provision
B.1.1.2. path-ty
pe
B.1.1.3. lowercase-comparisons
B.1.1.4. realm
B.1.1.5. entry-point-ref
B.1.1.6. access-decision-manager-ref
B.1.1.7. access-denied-page
B.1.1.8. once-
pe
r-request
B.1.1.9. create-session
B.1.2.
B.1.3. 元素
B.1.3.1. pattern
B.1.3.2. method
B.1.3.3. access
B.1.3.4. requires-channel
B.1.3.5. filters
B.1.4. 元素
B.1.5. 元素
B.1.5.1. login-page
B.1.5.2. login-processing-url
B.1.5.3. default-target-url
B.1.5.4. always-use-default-target
B.1.5.5. authentication-failure-url
B.1.5.6. authentication-success-handler-ref
B.1.5.7. authentication-failure-handler-ref
B.1.6. 元素
B.1.7. 元素
B.1.7.1. data-source-ref
B.1.7.2. token-repository-ref
B.1.7.3. services-ref
B.1.7.4. token-repository-ref
B.1.7.5. key 属性
B.1.7.6. token-validity-seconds
B.1.7.7. user-service-ref
B.1.8. 元素
B.1.8.1. session-fixation-protection
B.1.9. 元素
B.1.9.1. max-sessions 属性
B.1.9.2. expired-url 属性
B.1.9.3. error-if-maximum-exceeded 属性
B.1.9.4. session-registry-alias 和session-registry-ref 属性
B.1.10. 元素
B.1.11. 元素
B.1.11.1. subject-principal-regex 属性
B.1.11.2. user-service-ref 属性
B.1.12. 元素
B.1.13. 元素
B.1.13.1. logout-url 属性
B.1.13.2. logout-success-url 属性
B.1.13.3. invalidate-session 属性
B.1.14. 元素
B.2. 认证服务
B.2.1. 元素
B.2.1.1. 元素
B.2.1.2. 使用 来引用一个AuthenticationProvider Bean
B.3. 方法安全
B.3.1. 元素
B.3.1.1. secured-annotations 和jsr250-annotations 属性
B.3.1.2. 安全方法使用
B.3.1.3. 元素
B.3.2. LDAP 命名空间选项
B.3.2.1. 使用 元素定义LDAP 服务器
B.3.2.2. 元素
B.3.2.3. 元素
1、
Security
MetadataSource
权限资源拦截器。
有一个接口继承与它FilterInvocation
Security
MetadataSource,但FilterInvocation
Security
MetadataSource只是一个标识接口,
对应于FilterInvocation,本身并无任何内容:
主要...
