项目模块和依赖项

即使您不使用 Maven，我们也建议您查看 pom.xml 文件以了解第三方依赖项和版本。另一个好主意是检查示例应用程序中包含的库。

本节提供了 Spring Security 中模块的参考以及它们在运行应用程序中正常工作所需的额外依赖项。我们不包括仅在构建或测试 Spring Security 本身时使用的依赖项。我们也不包括外部依赖项所需的传递依赖项。

所需的 Spring 版本列在项目网站上，因此示例中省略了 Spring 依赖项的具体版本。请注意，示例中列出的某些“可选”依赖项对于 Spring 应用程序中的其他非安全功能可能仍然是必需的。此外，如果在大多数应用程序中使用“可选”依赖项，它们可能实际上不会在项目的 Maven POM 文件中标记为“可选”。它们只有在您不使用指定的功能时才“可选”。

如果某个模块依赖于另一个 Spring Security 模块，则该模块依赖的模块的非可选依赖项也被认为是必需的，并且不会单独列出。

核心 — `spring-security-core.jar`

此模块包含核心身份验证和访问控制类和接口、远程支持和基本配置 API。任何使用 Spring Security 的应用程序都需要它。它支持独立应用程序、远程客户端、方法（服务层）安全性和 JDBC 用户配置。它包含以下顶级包

org.springframework.security.core
org.springframework.security.access
org.springframework.security.authentication
org.springframework.security.provisioning

表 1. 核心依赖项
依赖项	版本	描述
ehcache	1.6.2	如果使用基于 Ehcache 的用户缓存实现，则需要（可选）。
spring-aop		方法安全基于 Spring AOP
spring-beans		Spring 配置所需
spring-expression		基于表达式的安全方法所需（可选）
spring-jdbc		如果使用数据库存储用户数据，则需要（可选）。
spring-tx		如果使用数据库存储用户数据，则需要（可选）。
aspectjrt	1.6.10	如果使用 AspectJ 支持，则需要（可选）。
jsr250-api	1.0	如果您使用 JSR-250 方法安全注释，则需要（可选）。

远程 — `spring-security-remoting.jar`

此模块提供与 Spring Remoting 的集成。除非您正在编写使用 Spring Remoting 的远程客户端，否则您不需要它。主要包是 org.springframework.security.remoting。

表 2. 远程依赖项
依赖项	版本	描述
spring-security-core
spring-web		使用 HTTP 远程支持的客户端所需。

Web — `spring-security-web.jar`

此模块包含过滤器和相关的 Web 安全基础设施代码。它包含任何具有 servlet API 依赖项的内容。如果您需要 Spring Security Web 身份验证服务和基于 URL 的访问控制，则需要它。主包是 org.springframework.security.web。

表 3. Web 依赖项
依赖项	版本	描述
spring-security-core
spring-web		对于使用 HTTP 远程支持的客户端来说是必需的。
spring-jdbc		对于基于 JDBC 的持久化 remember-me 令牌存储库来说是必需的（可选）。
spring-tx		由 remember-me 持久化令牌存储库实现所需（可选）。

配置 — `spring-security-config.jar`

此模块包含安全命名空间解析代码和 Java 配置代码。如果您使用 Spring Security XML 命名空间进行配置或 Spring Security 的 Java 配置支持，则需要它。主包是 org.springframework.security.config。没有一个类打算在应用程序中直接使用。

表 4. 配置依赖项
依赖项	版本	描述
spring-security-core
spring-security-web		如果您使用任何与 Web 相关的命名空间配置，则需要它（可选）。
spring-security-ldap		如果您使用 LDAP 命名空间选项，则需要它（可选）。
aspectjweaver	1.6.10	如果使用 protect-pointcut 命名空间语法，则需要它（可选）。

LDAP — `spring-security-ldap.jar`

此模块提供 LDAP 身份验证和配置代码。如果您需要使用 LDAP 身份验证或管理 LDAP 用户条目，则需要它。顶级包是 org.springframework.security.ldap。

表 5. LDAP 依赖项
依赖项	版本	描述
spring-security-core
spring-ldap-core	1.3.0	LDAP 支持基于 Spring LDAP。
spring-tx		需要数据异常类。
apache-ds	1.5.5	如果您使用嵌入式 LDAP 服务器，则需要它（可选）。如果您使用 `apache-ds`，则需要 `apacheds-core`、`apacheds-core-entry`、`apacheds-protocol-shared`、`apacheds-protocol-ldap` 和 `apacheds-server-jndi` 模块。
shared-ldap	0.9.15	如果您使用嵌入式 LDAP 服务器，则需要它（可选）。
ldapsdk	4.1	Mozilla LdapSDK。用于解码 LDAP 密码策略控制，例如，如果您使用 OpenLDAP 的密码策略功能。

OAuth 2.0 核心 — `spring-security-oauth2-core.jar`

spring-security-oauth2-core.jar 包含核心类和接口，它们为 OAuth 2.0 授权框架和 OpenID Connect Core 1.0 提供支持。它由使用 OAuth 2.0 或 OpenID Connect Core 1.0 的应用程序（例如，客户端、资源服务器和授权服务器）需要。顶级包是 org.springframework.security.oauth2.core。

OAuth 2.0 客户端 — `spring-security-oauth2-client.jar`

spring-security-oauth2-client.jar 包含 Spring Security 对 OAuth 2.0 授权框架和 OpenID Connect Core 1.0 的客户端支持。它由使用 OAuth 2.0 或 OpenID Connect Core 1.0 的应用程序（例如，客户端、资源服务器和授权服务器）需要。顶级包是 org.springframework.security.oauth2.core。

OAuth 2.0 JOSE — `spring-security-oauth2-jose.jar`

spring-security-oauth2-jose.jar 包含 Spring Security 对 JOSE（Javascript 对象签名和加密）框架的支持。JOSE 框架旨在提供一种在各方之间安全传输声明的方法。它由一系列规范构建而成

JSON Web 令牌 (JWT)
JSON Web 签名 (JWS)
JSON Web 加密 (JWE)
JSON Web 密钥 (JWK)

它包含以下顶级包

org.springframework.security.oauth2.jwt
org.springframework.security.oauth2.jose

OAuth 2.0 资源服务器 — `spring-security-oauth2-resource-server.jar`

spring-security-oauth2-resource-server.jar 包含 Spring Security 对 OAuth 2.0 资源服务器的支持。它用于通过使用 OAuth 2.0 承载令牌来保护 API。顶级包是 org.springframework.security.oauth2.server.resource。

ACL — `spring-security-acl.jar`

此模块包含一个专门的域对象 ACL 实现。它用于将安全性应用于应用程序中的特定域对象实例。顶级包是 org.springframework.security.acls。

表 6. ACL 依赖项
依赖项	版本	描述
spring-security-core
ehcache	1.6.2	如果使用基于 Ehcache 的 ACL 缓存实现，则需要（如果您使用自己的实现，则可选）。
spring-jdbc		如果您使用默认的基于 JDBC 的 AclService，则需要（如果您实现自己的，则可选）。
spring-tx		如果您使用默认的基于 JDBC 的 AclService，则需要（如果您实现自己的，则可选）。

CAS — `spring-security-cas.jar`

此模块包含 Spring Security 的 CAS 客户端集成。如果您想将 Spring Security Web 身份验证与 CAS 单点登录服务器一起使用，则应使用它。顶级包是 org.springframework.security.cas。

表 7. CAS 依赖项
依赖项	版本	描述
spring-security-core
spring-security-web
cas-client-core	3.1.12	JA-SIG CAS 客户端。这是 Spring Security 集成的基础。
ehcache	1.6.2	如果您使用基于 Ehcache 的票证缓存，则需要（可选）。

测试 — `spring-security-test.jar`

此模块包含对使用 Spring Security 进行测试的支持。

标签库 — `spring-security-taglibs.jar`

提供 Spring Security 的 JSP 标签实现。

表 8. 标签库依赖项
依赖项	版本	描述
spring-security-core
spring-security-web
spring-security-acl		如果您使用 `accesscontrollist` 标签或 `hasPermission()` 表达式与 ACL 一起使用，则需要（可选）。
spring-expression		如果您在标签访问约束中使用 SPEL 表达式，则需要。

项目模块和依赖项

核心 — spring-security-core.jar

远程 — spring-security-remoting.jar

Web — spring-security-web.jar

配置 — spring-security-config.jar

LDAP — spring-security-ldap.jar

OAuth 2.0 核心 — spring-security-oauth2-core.jar

OAuth 2.0 客户端 — spring-security-oauth2-client.jar

OAuth 2.0 JOSE — spring-security-oauth2-jose.jar

OAuth 2.0 资源服务器 — spring-security-oauth2-resource-server.jar

ACL — spring-security-acl.jar

CAS — spring-security-cas.jar

测试 — spring-security-test.jar

标签库 — spring-security-taglibs.jar