Powered by GitBook

Spring Security 参考手册

基础的网站安全 Java配置

第一步是创建我们的Java配置。这个配置在你的应用程序中创建一个springSecurityFilterChain 的Servlet的过滤器,负责所有安全(例如 保护应用程序的URL,验证提交的用户名和密码,重定向到登陆的表单等等)。你可以在下面找到大部分Java配置项的例子:

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.configuration.*;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("password").roles("USER");
    }
}

configureGlobal 方法的名字不重要,然而,重要的是只在一个被@EnableWebSecurity, @EnableGlobalMethodSecurity或者@EnableGlobalAuthentication注解的类中配置AuthenticationManagerBuilder,否则会有不可预知的后果。

真的是没有太多的配置,但它确实很多功能。你可以在下面的找到功能摘要:

  • 在你的应用程序中对每个URL进行验证
  • 为你生成一个登陆表单
  • 允许用户使用用户名user和密码password使用验证表单进行验证。
  • 允许用户登出
  • CSRF 攻击防范
  • Session保护
  • 安全 Header 集成
    • 对安全要求严格的HTTP传输安全
    • X-Content-Type-Options 集成
    • 缓存控制(稍后可以允许你缓存静态资源)
    • X-XSS-Protection集成
    • X-Frame-Options集成防止点击劫持
  • 和以下 Servlet API 方法集成
    • HttpServletRequest#getRemoteUser()
    • HttpServletRequest.html#getUserPrincipal()
    • HttpServletRequest.html#isUserInRole(java.lang.String)
    • HttpServletRequest.html#login(java.lang.String, java.lang.String)
    • HttpServletRequest.html#logout()

AbstractSecurityWebApplicationInitializer

下一步是在war里注册 springSecurityFilterChain. 这可以通过Spring在Servlet 3.0+环境中对WebApplicationInitializer的支持进行Java配置,Spring Security提供了基本的抽象类AbstractSecurityWebApplicationInitializer,这可以确保springSecurityFilterChain被注册。我们使用AbstractSecurityWebApplicationInitializer的不同方式取决于你是已经在使用Spring框架还是只使用了Spring Security。

  • Section 3.1.2, “AbstractSecurityWebApplicationInitializer 不与Spring一起使用” - 使用这个说明如果你没有使用Spring框架
  • Section 3.1.3, “AbstractSecurityWebApplicationInitializer 与Spring一起使用” - 如果你正在使用Spring框架使用这个说明

AbstractSecurityWebApplicationInitializer 不与Spring一起使用

如果你没有使用Spring MVC 或Spring , 你需要传递SecurityConfig到超类来确保配置被使用,你可以参考下面的例子:

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer
    extends AbstractSecurityWebApplicationInitializer {

    public SecurityWebApplicationInitializer() {
        super(SecurityConfig.class);
    }
}

SecurityWebApplicationInitializer将会做下面的事情:

  • 自动为你的应用程序的每个URL注册springSecurityFilterChain 过滤器
  • 添加一个 ContextLoaderListener用来载入SecurityConfig.

AbstractSecurityWebApplicationInitializer 与Spring一起使用

如果我们在应用程序的其他地方已经使用了Spring,那么我们已经有了一个WebApplicationInitializer用来载入Spring的配置。如果我们使用上面的配置将会得到一个错误。所以我们应该使用已经存在的ApplicationContext来注册Spring Security.举个例子,如果我们使用Spring MVC我们的SecurityWebApplicationInitializer应该看起来和下面的差不多:

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer
    extends AbstractSecurityWebApplicationInitializer {

}

这会简单的只为你的应用程序的所有URL注册springSecurityFilterChain过滤器。然后我们需要确保这个Security配置被载入到我们已经存在的ApplicationInitializer. 例如, 如果你使用Spring MVC他应该被加入到 getRootConfigClasses()

public class MvcWebApplicationInitializer extends
        AbstractAnnotationConfigDispatcherServletInitializer {

    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { SecurityConfig.class };
    }

    // ... other overrides ...
}