项目模块和依赖关系
即使您不使用 Maven,我们也建议您查阅 pom.xml 文件以了解第三方依赖项和版本。另一个好方法是检查示例应用程序中包含的库。
本节提供 Spring Security 中的模块及其在运行应用程序中发挥作用所需的附加依赖项的参考。我们不包括仅在构建或测试 Spring Security 本身时使用的依赖项。我们也不包括外部依赖项所需的传递依赖项。
所需的 Spring 版本列在项目网站上,因此在示例中省略了 Spring 依赖项的具体版本。请注意,示例中列为“可选”的某些依赖项可能仍是 Spring 应用程序中其他非安全功能所需的依赖项。此外,如果“可选”依赖项在大多数应用程序中都使用,则它们可能不会在项目的 Maven POM 文件中实际标记为“可选”。它们仅在您不使用指定功能时才需要。
如果一个模块依赖于另一个 Spring Security 模块,则它所依赖的模块的非可选依赖项也被假定为必需,并且不会单独列出。
核心 — spring-security-core.jar
此模块包含核心身份验证和访问控制类和接口、远程支持以及基本配置 API。任何使用 Spring Security 的应用程序都需要它。它支持独立应用程序、远程客户端、方法(服务层)安全性以及 JDBC 用户配置。它包含以下顶级包:
-
org.springframework.security.core -
org.springframework.security.access -
org.springframework.security.authentication -
org.springframework.security.provisioning
| 依赖项 | 版本 | 描述 |
|---|---|---|
ehcache |
1.6.2 |
如果使用基于 Ehcache 的用户缓存实现(可选),则必需。 |
spring-aop |
方法安全性基于 Spring AOP |
|
spring-beans |
Spring 配置所需 |
|
spring-expression |
基于表达式的方法安全性所需(可选) |
|
spring-jdbc |
如果使用数据库存储用户数据(可选),则必需。 |
|
spring-tx |
如果使用数据库存储用户数据(可选),则必需。 |
|
aspectjrt |
1.6.10 |
如果使用 AspectJ 支持(可选),则必需。 |
jsr250-api |
1.0 |
如果您使用 JSR-250 方法安全注解(可选),则必需。 |
远程 — spring-security-remoting.jar
此模块提供与 Spring Remoting 的集成。除非您正在编写使用 Spring Remoting 的远程客户端,否则您不需要此模块。主包是 org.springframework.security.remoting。
| 依赖项 | 版本 | 描述 |
|---|---|---|
spring-security-core |
||
spring-web |
使用 HTTP 远程支持的客户端所需。 |
Web — spring-security-web.jar
此模块包含过滤器和相关的 Web 安全基础设施代码。它包含任何具有 servlet API 依赖项的内容。如果您需要 Spring Security Web 身份验证服务和基于 URL 的访问控制,则需要它。主包是 org.springframework.security.web。
| 依赖项 | 版本 | 描述 |
|---|---|---|
spring-security-core |
||
spring-web |
使用 HTTP 远程支持的客户端所需。 |
|
spring-jdbc |
基于 JDBC 的持久“记住我”令牌存储库所需(可选)。 |
|
spring-tx |
“记住我”持久令牌存储库实现所需(可选)。 |
配置 — spring-security-config.jar
此模块包含安全命名空间解析代码和 Java 配置代码。如果您使用 Spring Security XML 命名空间进行配置或 Spring Security 的 Java 配置支持,则需要它。主包是 org.springframework.security.config。这些类均不打算直接在应用程序中使用。
| 依赖项 | 版本 | 描述 |
|---|---|---|
spring-security-core |
||
spring-security-web |
如果您使用任何与 Web 相关的命名空间配置(可选),则必需。 |
|
spring-security-ldap |
如果您使用 LDAP 命名空间选项(可选),则必需。 |
|
aspectjweaver |
1.6.10 |
如果使用 protect-pointcut 命名空间语法(可选),则必需。 |
LDAP — spring-security-ldap.jar
此模块提供 LDAP 身份验证和配置代码。如果您需要使用 LDAP 身份验证或管理 LDAP 用户条目,则需要它。顶级包是 org.springframework.security.ldap。
| 依赖项 | 版本 | 描述 |
|---|---|---|
spring-security-core |
||
spring-ldap-core |
1.3.0 |
LDAP 支持基于 Spring LDAP。 |
spring-tx |
需要数据异常类。 |
|
com.unboundid:unboundid-ldapsdk |
如果使用嵌入式 LDAP 服务器,则必需 |
|
ldapsdk |
4.1 |
Mozilla LdapSDK。例如,如果您使用 OpenLDAP 的密码策略功能,则用于解码 LDAP 密码策略控制。 |
OAuth 2.0 核心 — spring-security-oauth2-core.jar
spring-security-oauth2-core.jar 包含提供 OAuth 2.0 授权框架和 OpenID Connect Core 1.0 支持的核心类和接口。需要使用 OAuth 2.0 或 OpenID Connect Core 1.0 的应用程序(例如客户端、资源服务器和授权服务器)都需要它。顶级包是 org.springframework.security.oauth2.core。
OAuth 2.0 客户端 — spring-security-oauth2-client.jar
spring-security-oauth2-client.jar 包含 Spring Security 对 OAuth 2.0 授权框架和 OpenID Connect Core 1.0 的客户端支持。需要使用 OAuth 2.0 或 OpenID Connect Core 1.0 的应用程序(例如客户端、资源服务器和授权服务器)都需要它。顶级包是 org.springframework.security.oauth2.core。
OAuth 2.0 JOSE — spring-security-oauth2-jose.jar
spring-security-oauth2-jose.jar 包含 Spring Security 对 JOSE (Javascript Object Signing and Encryption) 框架的支持。JOSE 框架旨在提供一种在各方之间安全传输声明的方法。它由以下规范集合构建:
-
JSON Web 令牌 (JWT)
-
JSON Web 签名 (JWS)
-
JSON Web 加密 (JWE)
-
JSON Web 密钥 (JWK)
它包含以下顶级包:
-
org.springframework.security.oauth2.jwt -
org.springframework.security.oauth2.jose
OAuth 2.0 资源服务器 — spring-security-oauth2-resource-server.jar
spring-security-oauth2-resource-server.jar 包含 Spring Security 对 OAuth 2.0 资源服务器的支持。它用于通过使用 OAuth 2.0 持有者令牌来保护 API。顶级包是 org.springframework.security.oauth2.server.resource。
ACL — spring-security-acl.jar
此模块包含专门的领域对象 ACL 实现。它用于对应用程序中的特定领域对象实例应用安全性。顶级包是 org.springframework.security.acls。
| 依赖项 | 版本 | 描述 |
|---|---|---|
spring-security-core |
||
ehcache |
1.6.2 |
如果使用基于 Ehcache 的 ACL 缓存实现(如果您使用自己的实现,则可选),则必需。 |
spring-jdbc |
如果您使用默认的基于 JDBC 的 AclService(如果您实现自己的,则可选),则必需。 |
|
spring-tx |
如果您使用默认的基于 JDBC 的 AclService(如果您实现自己的,则可选),则必需。 |
CAS — spring-security-cas.jar
此模块包含 Spring Security 的 CAS 客户端集成。如果您想将 Spring Security Web 身份验证与 CAS 单点登录服务器一起使用,则应使用它。顶级包是 org.springframework.security.cas。
| 依赖项 | 版本 | 描述 |
|---|---|---|
spring-security-core |
||
spring-security-web |
||
cas-client-core |
3.1.12 |
JA-SIG CAS 客户端。这是 Spring Security 集成的基础。 |
ehcache |
1.6.2 |
如果您使用基于 Ehcache 的票证缓存(可选),则必需。 |
