第一步是创建我们的Java配置。这个配置在你的应用程序中创建一个springSecurityFilterChain 的Servlet的过滤器,负责所有安全(例如 保护应用程序的URL,验证提交的用户名和密码,重定向到登陆的表单等等)。你可以在下面找到大部分Java配置项的例子:

import org.springframework.beans.factory.annotation.Autowired; 

import org.springframework.context.annotation.*; 
import org.springframework.security.config.annotation.authentication.builders.*; 
import org.springframework.security.config.annotation.web.configuration.*; 

@EnableWebSecurity 
public class SecurityConfig extends WebSecurityConfigurerAdapter { 

    @Autowired 
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { 
        auth.inMemoryAuthentication() 
            .withUser("user").password("password").roles("USER"); 
    } 
} 

configureGlobal 方法的名字不重要,然而,重要的是只在一个被@EnableWebSecurity, @EnableGlobalMethodSecurity或者@EnableGlobalAuthentication注解的类中配置AuthenticationManagerBuilder,否则会有不可预知的后果。

真的是没有太多的配置,但它确实很多功能。你可以在下面的找到功能摘要:

  • 在你的应用程序中对每个URL进行验证

  • 为你生成一个登陆表单

  • 允许用户使用用户名user和密码password使用验证表单进行验证。

  • 允许用户登出

  • CSRF 攻击防范

  • Session保护

  • 安全 Header 集成

  • 对安全要求严格的HTTP传输安全

  • X-Content-Type-Options 集成

  • 缓存控制(稍后可以允许你缓存静态资源)

  • X-XSS-Protection集成

  • X-Frame-Options集成防止点击劫持

  • 和以下 Servlet API 方法集成

    • HttpServletRequest#getRemoteUser()
    • HttpServletRequest.html#getUserPrincipal()
    • HttpServletRequest.html#isUserInRole(java.lang.String)
    • HttpServletRequest.html#login(java.lang.String, java.lang.String)
    • HttpServletRequest.html#logout()

AbstractSecurityWebApplicationInitializer

下一步是在war里注册 springSecurityFilterChain. 这可以通过Spring在Servlet 3.0+环境中对WebApplicationInitializer的支持进行Java配置,Spring Security提供了基本的抽象类AbstractSecurityWebApplicationInitializer,这可以确保springSecurityFilterChain被注册。我们使用AbstractSecurityWebApplicationInitializer的不同方式取决于你是已经在使用Spring框架还是只使用了Spring Security。

  • Section 3.1.2, “AbstractSecurityWebApplicationInitializer 不与Spring一起使用” - 使用这个说明如果你没有使用Spring框架
  • Section 3.1.3, “AbstractSecurityWebApplicationInitializer 与Spring一起使用” - 如果你正在使用Spring框架使用这个说明

AbstractSecurityWebApplicationInitializer 不与Spring一起使用

如果你没有使用Spring MVC 或Spring , 你需要传递SecurityConfig到超类来确保配置被使用,你可以参考下面的例子:

import org.springframework.security.web.context.*; 

public class SecurityWebApplicationInitializer 
    extends AbstractSecurityWebApplicationInitializer { 

    public SecurityWebApplicationInitializer() { 
        super(SecurityConfig.class); 
    } 
} 

SecurityWebApplicationInitializer将会做下面的事情:

  • 自动为你的应用程序的每个URL注册springSecurityFilterChain 过滤器
  • 添加一个 ContextLoaderListener用来载入SecurityConfig.

AbstractSecurityWebApplicationInitializer 与Spring一起使用

如果我们在应用程序的其他地方已经使用了Spring,那么我们已经有了一个WebApplicationInitializer用来载入Spring的配置。如果我们使用上面的配置将会得到一个错误。所以我们应该使用已经存在的ApplicationContext来注册Spring Security.举个例子,如果我们使用Spring MVC我们的SecurityWebApplicationInitializer应该看起来和下面的差不多:

import org.springframework.security.web.context.*; 

public class SecurityWebApplicationInitializer 
    extends AbstractSecurityWebApplicationInitializer { 

} 

这会简单的只为你的应用程序的所有URL注册springSecurityFilterChain过滤器。然后我们需要确保这个Security配置被载入到我们已经存在的ApplicationInitializer. 例如, 如果你使用Spring MVC他应该被加入到 getRootConfigClasses()

public class MvcWebApplicationInitializer extends 
        AbstractAnnotationConfigDispatcherServletInitializer { 

    @Override 
    protected Class<?>[] getRootConfigClasses() { 
        return new Class[] { SecurityConfig.class }; 
    } 

    // ... other overrides ... 
}