为了在软件产品中启用Java EE 容器安全性,我们往往要付出很大代价,因为Java EE 容器内置的安全性支持存在诸多重大缺点,尤其是它的可移植性、企业级能力差、难于展开各类集成测试工作等缺陷,很多企业应用因为这些问题而转向了Spring Security。
过去的多年中,基于Spring 的Spring Security 博得了企业用户的欢心。无论是在其内部架构,还是功能方面,它都照顾到多方面的利益,几乎可以用“艺术美”形容它。
从内部架构看,采纳Spring 及基于它的架构能够很大程度解决企业应用的可移植性问题。事实上,Spring Security 确实是基于Spring 架构的,同一Spring Security 使能应用可以部署到任意Java EE 容器中。这一点在如今苛刻的企业部署环境显得格外重要。值得注意的是,基于Spring Security 研发的企业应用能够顺利进行各种集成测试工作,包括CI 工作的开展。
从功能上看,Spring Security 尽可能不重复发明轮子。在很多场合,它尽量集成现有的、业界领先的安全性解决方案,比如JA-SIG CAS、OpenID、Kerberos。如果某些企业级特性非常重要,而又没有现成的做法,则它会基于开放标准(或事实上的标准)提供它们,比如领域对象授权。
在一定场合,某些企业应用可能需要扩展Spring Security。它也是欢迎的,毕竟开放架构、开源协同工作等是开源项目最基本的行为。因此,我们没有理由不选择Spring Security 去实施、加强企业应用的安全性。
自从 Spring Security(Acegi)诞生的那天起,我们便开始采纳它,各种软件产品、企业应用中都有它的身影。我们希望过去积累的Spring Security 经验、教训能够积累下来,并跟进持续发展的最新版Spring Security,便萌发了此书的写作计划。虽然本书的主题是围绕Spring Security 展开的,但我们更希望它是一本指导企业用户(包括开发者)如何实施企业级安全不可或缺的重要图书。