深入浅出Spring Security

一、Spring Security简介     

  在 Web 应用开发中，安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求，但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题，就可能陷入一个两难的境地：一方面，应用存在严重的安全漏洞，无法满足用户的要求，并可能造成用户的隐私数据被攻击者窃取；另一方面，应用的基本架构已经确定，要修复安全漏洞，可能需要对系统的架构做出比较重大的调整，因而需要更多的开发时间，影响应用的发布进程。因此，从应用开发的第一天就应该把安全相关的因素考虑进来，并在整个应用的开发过程中。

        那么我们为什么需要安全权限管理呢?

        1.安全性：误操作、人为破坏、数据泄漏等
        2.数据隔离：不同的权限能看到及操作不同的数据
        3.明确职责：运营、客服等不同角色

        在安全权限管理方面，有两个十分优秀的安全权限框架，他们是Apache公司的Shiro框架，和Spring公司的Spring Security框架，今天我们主要讲解Spring Security框架的入门，不比较两者的优缺点

   Spring Security 设计是基于框架内大范围的依赖的，可以被划分为以下几块。

• Web/Http 安全：这是最复杂的部分。通过建立 filter 和相关的 service bean 来实现框架的认证机制。当访问受保护的 URL 时会将用户引入登录界面或者是错误提示界面。

• 业务对象或者方法的安全：控制方法访问权限的。

• AuthenticationManager：处理来自于框架其他部分的认证请求。

• AccessDecisionManager：为 Web 或方法的安全提供访问决策。会注册一个默认的，但是我们也可以通过普通 bean 注册的方式使用自定义的 AccessDecisionManager。

• AuthenticationProvider：AuthenticationManager 是通过它来认证用户的。

• UserDetailsService：跟 AuthenticationProvider 关系密切，用来获取用户信息的。

• 

二、Spring Security + Spring MVC入门应用

2.1创建一个maven工程，选择war

2.2配置pom.xml

		
			org.springframework
			spring-core
			${spring.version}
		
		
			org.springframework
			spring-web
			${spring.version}
		

		
			org.springframework
			spring-webmvc
			${spring.version}
		

		
			org.springframework
			spring-context-support
			${spring.version}
		

		
			org.springframework
			spring-test
			${spring.version}
		

		
			org.springframework
			spring-jdbc
			${spring.version}
		

		
			org.springframework.security
			spring-security-web
			4.1.0.RELEASE
		

		
			org.springframework.security
			spring-security-config
			4.1.0.RELEASE
		

		
			javax.servlet
			servlet-api
			2.5
			provided
		


	
	
	  		
	      
		  
				org.apache.maven.plugins
				maven-compiler-plugin
				3.2
				
					1.7
					1.7
					UTF-8
				
		        
	      
				org.apache.tomcat.maven
				tomcat7-maven-plugin
				
					
					9090
					
					/
				
	  	  
	     
    

2.3创建web.xml

	

  	 
		contextConfigLocation
		classpath:spring-security.xml
	 
	 
		
			org.springframework.web.context.ContextLoaderListener
		
	 
	
    
	   
		springSecurityFilterChain  
		org.springframework.web.filter.DelegatingFilterProxy  
	   
	   
		springSecurityFilterChain  
		/*  
	 
	

2.4创建spring-security.xml文件

2.5创建一个index.html，在里面随便输入一句话，我这里是  欢迎进入神奇的spring security世界~~

2.6运行maven,这里我们没有写登录页，spring security会自动为我们创建一个登陆页面

我们随便输入账号密码

输入正确的admin和123456

这里有可能会报这么一个错误，那是因为spring security自带的图标没有加载到，重新登陆即可

这样，我们的入门小demo就完成了，仔细想想，我们好像没有做什么事情，甚至连登陆页面也没有画，那么spring security框架究竟为我们做了哪些事情呢？这里我们详细讲解一下spring-security.xml文件

intercept-url 表示拦截页面  

/*  表示的是该目录下的资源，只包括本级目录不包括下级目录

/** 表示的是该目录以及该目录下所有级别子目录的资源

form-login  为开启表单登陆

use-expressions 为是否使用使用 Spring 表达式语言（ SpEL ），默认为true ,如果开启，则拦截的配置应该写成以下形式

 

这里我们来自己定义一个登陆页面，spring-security配置文件如下

自定义一个login.html页面

  	--欢迎登陆我的系统--
  	

  		用户名:

  		密   码:

  		登陆
  	
  

在自定义一个login_error.html页面

 
  
		用户名或密码错误
  

登陆

输入错误的账号密码

输入正确的账号密码

注意：

spring-security.xml中 这个配置我们不写的话，我们将出现如下错误

我们输入正确的账号密码

原因：CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。如果不配置，这里会造成一直重定向