java - 如何在我的项目中正确配置 Spring Security？

Question

我正在学习 Spring Core 认证，对于如何正确配置 Spring Security 有一些疑问。

在学习 Material 中，我发现这些信息在我看来不太清楚。

它说:

应用程序上下文中的配置:

• Spring 配置
• 使用 Spring Security 的“Security”命名空间

它显示了以下示例:

<beans>
    <security:http>
        <security:intercept-url pattern="/accounts/**" access="IS_AUTHENTICATED_FULLY" />
        <security:form-login login-page="/login.htm"/>
        <security:logout logout-success-url="/index.html"/>
   </security:http>
</beans>

然后在下面的幻灯片中说:

web.xml 中的配置:

定义单个代理过滤器:

• springSecurityFilterChain 是强制名称
• 引用同名的现有 Spring bean

并展示这个例子:

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

我不明白，要在 Spring 项目中配置 Spring Security，我是否必须使用这两个配置:第一个配置到 Spring 配置文件(我在其中定义我的 bean)，第二个配置到 web.xml 文件(它定义了服务器需要知道的关于应用程序的所有内容:servlet、过滤器、初始化参数等等...)或者如果这些示例是在 中执行相同操作的 2 个不同替代方案两种不同的方式？

如果是第二种情况，什么时候该用第一种，什么时候该用第二种？

Answer 1

你应该做两件事:

• 配置 http 请求的安全性(在 applicationContext 中)
• 使用 web.xml 配置您的应用程序容器以了解您的安全配置

所以幻灯片是两个步骤，而不是两种选择。

编辑:第一步将允许您配置哪些网址将受到保护，哪些网址将不 protected (以及更多选项)

第二步是允许您的配置应用于您的应用

希望对你有帮助