Spring Security系例—漏洞防御

目录

一、在Maven中使用

1、Spring Boot 和 Maven

2、没有使用 Spring Boot 的 Maven

3、Maven 仓库（Repository）

二、文章系列 

​​​​​​​​​​​​​​1、Spring Security漏洞防护—HTTP 安全响应头-CSDN博客

2、Spring Security —漏洞防护—跨站请求伪造（CSRF）-CSDN博客

3、Spring Security漏洞防护—HttpFirewall和 HTTPS-CSDN博客 

---

一、在Maven中使用

与大多数开源项目一样，Spring Security以Maven工件的形式部署其依赖项。本节中的主题描述了在使用Maven时如何使用Spring Security。

1、Spring Boot 和 Maven

Spring Boot提供了一个 spring-boot-starter-security starter，聚合了Spring Security相关的依赖。使用starter的最简单和首选方式是通过使用IDE集成（ Eclipse 或 IntelliJ、 NetBeans）或通过 start.spring.io 使用 Spring Initializr。另外，你也可以手动添加starter，如下面的例子所示。

官方的 Spring Initializr 服务在国外，在国内经常不能访问。推荐使用 SpringBoot中文社区 提供的 start.springboot.io 镜像服务。

pom.xml

	
	
		org.springframework.boot
		spring-boot-starter-security
	

由于Spring Boot提供了一个Maven BOM来管理依赖版本，所以你不需要指定一个版本。如果你想覆盖Spring Security的版本，你可以通过提供一个Maven属性来实现。

pom.xml

	
	6.2.0-SNAPSHOT

由于Spring Security只在主要（MAJOR）的版本中进行突破性的修改，所以你可以安全地在Spring Boot中使用较新版本的Spring Security。不过，有时你可能也需要更新Spring Framework的版本。您可以通过添加一个Maven属性来做到这一点。

pom.xml

	
	6.1.0-M2

如果你使用额外的功能（如LDAP、OAuth 2 和其他），你还需要包括 适当的项目模块和依赖。

2、没有使用 Spring Boot 的 Maven

当你在没有Spring Boot的情况下使用Spring Security时，首选方式是使用Spring Security的BOM，以确保在整个项目中使用一致的Spring Security版本。下面的例子展示了如何做到这一点。

pom.xml

	
		
		
			org.springframework.security
			spring-security-bom
			{spring-security-version}
			pom
			import
		
	

一个最小的Spring Security Maven依赖集通常看起来像下面的例子。

pom.xml

	
	
		org.springframework.security
		spring-security-web
	
	
		org.springframework.security
		spring-security-config
	

如果你使用额外的功能（如LDAP、OAuth 2 和其他），你还需要包括 适当的项目模块和依赖。

Spring Security 是针对 Spring Framework 6.1.0-M2 构建的，但一般来说应该可以与Spring Framework 5.x 的任何较新版本一起使用。许多用户可能会遇到 Spring Security 的横向依赖会“定义” Spring Framework 6.1.0-M2 的问题，这会导致奇怪的classpath问题。解决这个问题的最简单方法是在 pom.xml 的 部分使用 spring-framework-bom。

pom.xml

	
		
		
			org.springframework
			spring-framework-bom
			6.1.0-M2
			pom
			import
		
	

前面的例子确保 Spring Security 的所有横向依赖都使用 Spring 6.1.0-M2 模块。

这种方法使用Maven的 “bill of materials” （BOM）概念，仅在Maven 2.0.9以上版本中可用。关于如何解决依赖关系的其他细节，请参阅 Maven的依赖机制介绍文档。

3、Maven 仓库（Repository）

所有GA版本（即以.RELEASE结尾的版本）都会被部署到Maven Central，所以你不需要在pom中声明额外的Maven repository。

如果你使用SNAPSHOT版本，你需要确保你已经定义了 Spring Snapshot repository。

pom.xml

	
	
		spring-snapshot
		Spring Snapshot Repository
		https://repo.spring.io/snapshot
	

如果你使用里程碑（milestone）或候选版本（release candidate），你需要确保你已经定义了 Spring Milestone Repository，如下例所示。

pom.xml

	
	
		spring-milestone
		Spring Milestone Repository
		https://repo.spring.io/milestone
	

二、文章系列 

​​​​​​​​​​​​​​1、Spring Security漏洞防护—HTTP 安全响应头-CSDN博客

2、Spring Security —漏洞防护—跨站请求伪造（CSRF）-CSDN博客

3、Spring Security漏洞防护—HttpFirewall和 HTTPS-CSDN博客