1. Spring Security 是什么？

    Spring Security是一个强大的和高度可定制的身份验证和访问控制框架，它的前身是 。

    Spring Security着重于为Java应用程序提供身份验证和授权。身份验证是为用户建立一个他所声明的主体的过程（主体一般式指用户，设备或可以在你系统中执行动作的其他系统）。授权指的是一个用户能否在你的应用中执行某个操作，在到达授权判断之前，身份的主体已经由身份验证过程建立了。这些概念是通用的，并不是Spring Security特有的。

    2. Spring Security特征是什么？

    Spring Security具有以下特征：

    全面的和可扩展的支持身份验证和授权

    防止会话固定***,比如点击劫持,跨站请求伪造等

    Servlet API 集成

    与Spring Web MVC集成

    3.  Spring Security支持哪些身份认证模式？    

    在身份验证层面，Spring Security广泛支持各种身份验证模式。 这些验证模型绝大多数都由第三方提供，或正在开发的有关标准机构提供的，例如Internet Engineering Task Force。 作为补充，Spring Security也提供了自己的一套验证功能。 Spring Security目前支持认证一体化和如下认证技术：

  HTTP BASIC authentication headers (一个基于IEFT RFC的标准)

  HTTP Digest authentication headers (一个基于IEFT RFC的标准)

  HTTP X.509 client certificate exchange (一个基于IEFT RFC的标准)

  LDAP (一个非常常见的跨平台认证需要做法，特别是在大环境)

  Form-based authentication (提供简单用户接口的需求)

  OpenID authentication

  Computer Associates Siteminder

  JA-SIG Central Authentication Service (也被称为CAS，这是一个流行的开源单点登录系统)

  Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (一个Spring远程调用协议)

  Automatic "remember-me" authentication (这样你可以设置一段时间，避免在一段时间内还需要重新验证)

  Anonymous authentication (允许任何调用，自动假设一个特定的安全主体)

  Run-as authentication (这在一个会话内使用不同安全身份的时候是非常有用的)

  Java Authentication and Authorization Service (JAAS)

  Container integration with JBoss, Jetty, Resin and Tomcat (这样，你可以继续使用容器管理认证，如果想的话)

  Java Open Source Single Sign On (JOSSO) *

  OpenNMS Network Management Platform *

  AppFuse *

  AndroMDA *

  Mule ESB *

  Direct Web Request (DWR) *

  Grails *

  Tapestry *

  JTrac *

  Jasypt *

  Roller *

  Elastic Plath *

  Atlassian Crowd * 

    4. 为什么使用Spring Security？

    许多独立软件供应商（ISVs, independent software vendors）采用Spring Security，是因为它拥有丰富灵活的验证模型。 这样，无论终端用户需要什么，他们都可以快速集成到系统中，不用花很多功夫，也不用让用户改变运行环境。 如果上述的验证机制都没有满足你的需要，Spring Security是一个开放的平台，编写自己的验证机制是十分简单的。 Spring Security的许多企业用户需要整合不遵循任何特定安全标准的“遗留”系统，Spring Security在这类系统上也表现的很好。

    有时基本的认证是不够的。 有时你需要根据在主体和应用交互的方式来应用不同的安全措施。 比如，你可能，为了保护密码，不被监听或受到中间人***，希望确保请求只通过HTTPS到达。 或者，你希望确保发起请求的是一个真正的人，而不是机器人或其他自动化程序。 这对保护找回密码不被暴力***特别有帮助，或者让别人更难复制你程序中的关键内容。 为了帮助你实现这些目标，Spring Security支持自动“通道安全”，整合jcaptcha一体化进行人类用户检测。

    Spring Security不仅提供认证功能，也提供了完备的授权功能。 在授权方面主要有三个领域，授权web请求，授权被调用方法，授权访问单个对象的实例。 为了帮你了解它们之间的区别，对照考虑授在Servlet规范web模式安全，EJB容器管理安全，和文件系统安全方面的授权方式。 Spring Security在所有这些重要领域都提供了完备的能力，我们将在这份参考指南的后面进行探讨。 

    5. 怎样获得Spring Security？

    Spring Security是一个开源项目，我们可以通过subversion获得源代码。但大部分情况下，其实我们只需要Spring Security的jar就可以了。我们可以从 下载打包好的包，也可以从Maven中央仓库下载获得。

    目前Spring Security最新的版本是4.0.0 RC1，但稳定版仍然是3.2.5。