Spring 安全示例

Question

我正在学习 Spring 并尝试实现 Springs Security。我无法理解它是如何工作的。我阅读了一些教程，从中我理解了以下内容：

1. 我们必须配置 web.xml 以委托代理和模式
2. 我们需要在 dispatcher-servlet.xml 中添加拦截

发出请求时会触发拦截，但之后我无法理解它是如何工作的。如果有人可以提供要遵循的步骤列表，那将很有帮助。我正在使用 Hibernate 和 Spring（都带有注释），我想使用 Hibernate 对用户进行身份验证。

Answer 1

有一些很好的关于如何集成 Spring Security 的分步教程。例如：

对于 Java 配置：http://jtuts.com/2016/03/03/spring-security-login-form-integration-example-with-java-configuration/

对于 XML 配置：http://jtuts.com/2016/03/02/spring-security-login-form-integration-example-with-xml-configuration/

Answer 2

我认为您不必再​​为 xml 烦恼了。现在您可以使用基于 Spring Boot + 注释的配置。我发现的最好的教程之一是这个：A good spring security tutorial

Answer 3

详细的文章可以在这里找到：Code Project
或者 MVC 和 Spring Security 的教程here。

我试着稍微说明一下这个过程：

1. 用户向服务器发送 HTTP 请求
2. 服务器根据web.xml处理请求
3. web.xml 包含一个过滤器（AKA 拦截器）并通过此过滤器传递请求。
4. 由于用户未知/未通过身份验证，Spring Security 会尽力获取更多详细信息。
   根据配置，它
   • 发送一个 HTTP 标头，以便在浏览器（客户端）中弹出登录弹出窗口。
   • 重定向到您可以输入用户名和密码的表单。
   • 在服务器和浏览器之间进行大量隐藏交互以保证“单点登录”(SSO)
5. 除了 SSO，用户输入她/他/它的凭据并创建一个附加请求。
6. Spring Security 实现登录尝试并对用户进行身份验证
   • 包含用户名和密码的文件
   • spring 配置文件中的内置 XML 结构
   • 一个数据库
   • 一个 LDAP
7. 授予访问权限后，它会分配必要的角色...
8. ...并重定向到硬编码的“主页”。 （Spring Security 让您调整这种行为。）
9. 在您的应用程序中，您可以检查某些操作的授权
10. .....
11. 用户单击“注销”或会话到期。随着下一个请求，该过程再次开始。

注释

我在这里找到了一个教程 (Link)。

我理解/假设以下事实：

• 过滤器仍然必须在 web.xml 中定义。
• 您可以注释您的类/方法
  • @Controller (API)
  • @Secured (API)
  • @RequestMapping (API)

我承认我只是给你一个粗略的概述，因为你的问题并不具体。

请告诉我您想详细了解的内容（重新识别用户、针对不同资源进行身份验证、执行 SSO、在您的网页上创建安全区域……）

Answer 4

Spring 使用调度程序 servlet 来委派请求。 Spring security 过滤请求并检查是否建立了有效的安全上下文。如果是这样，则将请求传递给调度程序，并将请求转发给相应的控制器。如果没有建立安全上下文，Spring security 会拦截请求，这意味着他可以在 diespatcher servlet 处理它之前操纵请求。在此拦截期间，将分配请求调度程序（Servlet 规范）以将请求转发到登录页面。