Spring Security是通过声明方式在Java Web应用程序中实现安全性的流行开源框架之一。它提供了基本的安全功能，如LDAP身份验证，授权，基于角色的访问控制，记住密码，URL保护，并发活动Session管理等。为了在Java Web应用程序中启用Spring Security，需要配置如下三项内容：

在web.xml中声明委托代理过滤器（delegating proxy filter ）
在web.xml中添加ContextLoaderListener
在applicationContext-Security.xml文件上提供实际的安全性约束。

由于Spring Security使用一系列过滤器来实现各种安全约束，也称为Spring的“安全链过滤器”，它依赖于通过Java Web容器来初始化过滤器的代理。

如果你还记得，过滤器是由像Tomcat或Jetty这样的Servlet容器创建、维护和销毁。通过在web.xml中声明过滤器，并且Web容器通过调用过滤器的init（FilterConfig config）方法来进行初始化。然后，此过滤器将预处理和后处理任务委托给Spring Security框架的过滤器实现。

每当请求或响应通过匹配过滤器的URL模式，Servlet容器就会调用DelegatingFilterProxy的doFilter（）方法来进行处理。

此方法可以访问ServletRequest，ServletResponse和FilterChain对象，这意味着它可以在将请求发送到Servlet或响应客户端之前修改请求标头，响应标头和响应正文。 FilterChain对象用于将请求路由中转到过滤链中的另一个过滤器进一步处理。

顺便说一下，在深入Spring Security之前了解Spring框架很重要，如果你觉得自己对Spring框架知之甚少，那么我建议你先学习一下像Spring Framework 5这样的综合课程：初学者到Guru 。

在Web应用程序中启用Spring Security的步骤。
以下是在Java Web应用程序中启用Spring Security功能的三个步骤：

1、首先在web.xml中声明DelegatingFilterProxy过滤器；
2、接着，将Spring应用程序上下文文件指定给ContextLoaderListener；
3、最后，在applicationContext-Security.xml文件中指定Spring Security模板匹配URL。

在web.xml中使用DelegatingFilterProxy过滤器声明如下：

<filter> 
<filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
</filter> 

<filter-mapping> 
<filter-name>springSecurityFilterChain</filter-name> 
<url-pattern>/*</url-pattern> 
</filter-mapping>

Servlet容器将获取此过滤器并进行初始化，并在发出请求时调用DelegatingSpringSecurity的doFilter（）方法。通过调用init（）方法初始化过滤器。 DelegatingFilterProxy扩展了GenricFilterBean，它实现了init（FilterConfig filterConfig）方法，并回调initFilterBean（）以允许子类执行初始化。

默认情况下，DelegatingFilterProxy类将在初始化期间查找Spring应用程序上下文，如下面Spring 安全JAR文件中DelegatingFilterProxy类的代码所示。

 protected void initFilterBean() throws ServletException { 
 
 synchronized (this.delegateMonitor) 
 { if (this.delegate == null) { // If no target bean name specified, use filter name. 
 
 if (this.targetBeanName == null) 
 { 
 this.targetBeanName = getFilterName(); } // Fetch Spring root application context and initialize the 
 // delegate early, if possible. 
 // If the root application context will be started 
 // after this filter proxy, we'll have to resort to lazy 
 // initialization. 
 
 WebApplicationContext wac = findWebApplicationContext(); 
 
 if (wac != null) 
 { this.delegate = initDelegate(wac); } } 
 
 } 

 }

如果要自定义此行为，可以通过FilterConfig对象使用targetBeanName提供bean类的名称。如果没有，那么这将使用filter-name，即“springSecurityFilterChain”。然后，它在applicationContext.xml和applicationContext-Security.xml文件中搜索此bean以进行初始化。

但是，当您在配置文件中搜索此内容时，很可能由于而无法找到它，因为使用默认值会隐藏了复杂性。您可以进一步加入学习Spring Security 4 基础实践，以了解有关如何在Spring安全性中委派过滤器代理以及如何自定义和配置其行为的更多信息。

以下是在Java Web应用程序中加载Spring安全性配置文件的方法：

<listener> 
<listener-class> org.springframework.web.context.ContextLoaderListener 
</listener-class> 
</listener> 

<context-param> 
<param-name>
contextConfigLocation
</param-name> 
<param-value> 
/WEB-INF/applicationContext.xml 
/WEB-INF/applicationContext-security.xml 
</param-value> 
</context-param>

应该把配置文件applicationContext-security.xml放在WEB-INF目录中。

以下是Spring安全配置文件的示例：

<?xml version="1.0" encoding="UTF-8"?> 
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd"> 

<security:http auto-config="true"> 

<security:intercept-url pattern="/admin" access="ROLE_ADMIN" /> </security:http> 
<security:authentication-manager> 
<security:authentication-provider> 

<security:user-service> 
<security:user authorities="ROLE_ADMIN" name="admin" password="admin" /> 
<security:user authorities="ROLE_ADMIN" name="root" password="root" /> </security:user-service> 
</security:authentication-provider> 
</security:authentication-manager> 
</beans>

通过这种简单的配置，现在可以保护所有以 /admin结尾的URL只能使用用户名和密码进行访问。有权访问此权限的两个用户admin和root。简而言之，您不需要对任何Spring安全过滤器或bean进行编码，所有这些都是通过使用现有的Spring安全过滤器和标记来完成的。

顺便说一句，如果你想深入理解这个配置，比如每个标签的含义以及它们与Java类的关系，我建议你看看Eugen的Spring Security Master课，它针对Spring Security 5进行了更新。

现在，如果您点击URL登录admin，将要求您输入用户名和密码，并且只有在正确的凭据之后才允许您访问受保护的部分。

在模式的顺序声明此非常重要，它们必须按最具体到最不具体的顺序声明，因为这些模式按照它们在spring安全应用程序上下文文件中声明的顺序进行计算找到匹配项，不执行其他模式。

这就是如何在Java Web应用程序中启用或激活Spring Security。虽然配置和使用非常简单，但功能非常强大，为您提供了许多实现复杂安全约束的可选项。我们没有编写任何代码，我们只是进行了一些XML配置，以便将不安全的Web应用程序设置为安全的，很神奇。

原文链接：

https://javarevisited.blogspot.com/2017/05/how-to-enable-spring-security-in-java-web-application.html

创作场景

如何在 Java Web 应用程序中启用 Spring Security？