Spring Security 初探

要理解Spring Security,我们先来看类图：

security类图.png

spring security 3.2 引入了java配置方案。要求只要是实现了WebSecurityConfigurer的bean都可以用来配置Spring Security。
WebSecurityConfigurerAdapter 实现了WebSecurityConfigurer，因此，扩展这个类，是最简单的配置SpringSecurity的方法。

package com.mingpin.web.userpermissions.security;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

}

此时，系统是被完全锁定的，并且log提供的user也会失效。

我们需要重载configure()方法，来配置系统。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        super.configure(auth);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
    }
}

解释：
AuthenticationManagerBuilder ：通过重载，配置user-detail服务。（用户存储权限验证）
WebSecurity ：通过重载，配置Spring Security的Filter链。
HttpSecurity ：通过重载，配置如何通过拦截器保护请求。

系统此时需要：

• 配置用户（用户名、密码）。并且可以提供用户权限。
• 指定哪些请求需要认证，哪些不需要，以及需要的权限。
• 提供自定义的登录页面，替代原先的登录页面。