对于最新的稳定版本，请使用 Spring Security 6.5.3！spring-doc.cadn.net.cn

安全命名空间配置

命名空间配置从 Spring Framework 2.0 版开始就可用。它允许您使用来自其他 XML 模式的元素来补充传统的 Spring Bean 应用程序上下文语法。您可以在 Spring 参考文档中找到更多信息。您可以使用命名空间元素来更简洁地配置单个 Bean，或者更强大地定义替代配置语法，该语法更接近问题域，并向用户隐藏底层复杂性。一个简单的元素可以隐藏多个 bean 和处理步骤正在添加到应用程序上下文的事实。例如，从security命名空间添加到应用程序上下文中启动嵌入式 LDAP 服务器以测试在应用程序中的使用：spring-doc.cadn.net.cn

<security:ldap-server />

这比连接等效的 Apache Directory Server bean 要简单得多。最常见的替代配置要求由ldap-server元素，并且用户无需担心他们需要创建哪些 bean 以及 bean 属性名称是什么。您可以了解有关ldap-serverLDAP 身份验证一章中的元素。在编辑应用程序上下文文件时，一个好的 XML 编辑器应该提供有关可用属性和元素的信息。我们建议您尝试 Spring Tool Suite，因为它具有使用标准 Spring 命名空间的特殊功能。spring-doc.cadn.net.cn

要开始使用security命名空间，添加spring-security-configjar 添加到您的类路径中。然后，您需要做的就是将模式声明添加到应用程序上下文文件中：spring-doc.cadn.net.cn

<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
		https://www.springframework.org/schema/beans/spring-beans-3.0.xsd
		http://www.springframework.org/schema/security
		https://www.springframework.org/schema/security/spring-security.xsd">
	...
</beans>

在您可以看到的许多示例中（以及在示例应用程序中），我们经常使用security（而不是beans）作为默认命名空间，这意味着我们可以省略所有安全命名空间元素上的前缀，使内容更易于阅读。如果将应用程序上下文划分为单独的文件，并且大部分安全配置都在其中一个文件中，则可能还需要执行此作。然后，您的安全应用程序上下文文件将如下所示：spring-doc.cadn.net.cn

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
		https://www.springframework.org/schema/beans/spring-beans-3.0.xsd
		http://www.springframework.org/schema/security
		https://www.springframework.org/schema/security/spring-security.xsd">
	...
</beans:beans>

我们假设从现在开始在本章中使用这种语法。spring-doc.cadn.net.cn

命名空间的设计

命名空间旨在捕获框架的最常见用途，并提供简化的语法，以便在应用程序中启用它们。该设计基于框架内的大规模依赖关系，可以分为以下几个方面：spring-doc.cadn.net.cn

Web/HTTP 安全是最复杂的部分。它设置了过滤器和相关的服务 Bean，用于应用框架身份验证机制、保护 URL、呈现登录和错误页面等等。spring-doc.cadn.net.cn
业务对象（方法）安全性定义了用于保护服务层的选项。spring-doc.cadn.net.cn
AuthenticationManager 处理来自框架其他部分的身份验证请求。spring-doc.cadn.net.cn
AccessDecisionManager 提供 Web 和方法安全性的访问决策。注册了一个默认的，但你可以选择使用一个自定义的，用普通的 Spring bean 语法声明。spring-doc.cadn.net.cn
AuthenticationProvider 实例提供了认证管理器对用户进行认证的机制。命名空间提供了对多个标准选项的支持，以及添加使用传统语法声明的自定义 Bean 的方法。spring-doc.cadn.net.cn
UserDetailsService 与身份验证提供程序密切相关，但通常也需要其他 bean。spring-doc.cadn.net.cn

我们将在以下部分中了解如何配置这些。spring-doc.cadn.net.cn

安全命名空间配置入门

本节介绍如何构建命名空间配置以使用框架的一些主要功能。我们假设您最初希望尽快启动和运行，并通过一些测试登录向现有 Web 应用程序添加身份验证支持和访问控制。然后，我们研究如何切换到针对数据库或其他安全存储库进行身份验证。在后面的部分中，我们将介绍更高级的命名空间配置选项。spring-doc.cadn.net.cn

web.xml配置

您需要做的第一件事是将以下过滤器声明添加到您的web.xml文件：spring-doc.cadn.net.cn

<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

DelegatingFilterProxy是一个 Spring Framework 类，它委托给在应用程序上下文中定义为 Spring bean 的过滤器实现。在这种情况下，bean 被命名为springSecurityFilterChain，它是命名空间创建的用于处理 Web 安全性的内部基础设施 Bean。在这种情况下，Bean 被命名为“springSecurityFilterChain”，它是命名空间创建的用于处理 Web 安全性的内部基础设施 Bean。请注意，您不应该自己使用此 Bean 名称。将此 Bean 添加到web.xml，则已准备好开始编辑应用程序上下文文件。Web 安全服务由<http>元素。spring-doc.cadn.net.cn

最小的 <http> 配置

要启用 Web 安全性，您需要进行以下配置：spring-doc.cadn.net.cn

<http>
<intercept-url pattern="/**" access="hasRole('USER')" />
<form-login />
<logout />
</http>

该列表显示我们想要：spring-doc.cadn.net.cn

应用程序中的所有 URL 都必须受到保护，需要角色ROLE_USER访问它们spring-doc.cadn.net.cn
使用带有用户名和密码的表单登录应用程序spring-doc.cadn.net.cn
注册的注销 URL，允许我们注销应用程序spring-doc.cadn.net.cn

这<http>元素是所有与 Web 相关的命名空间功能的父级。这<intercept-url>元素定义了一个pattern，它使用 Ant 路径语法与传入请求的 URL 进行匹配。请参阅以下部分HttpFirewall有关实际如何执行匹配的更多详细信息。您还可以使用正则表达式匹配作为替代方法（有关更多详细信息，请参阅命名空间附录）。这access属性定义了与给定模式匹配的请求的访问要求。在默认配置中，这通常是一个以逗号分隔的角色列表，必须允许用户发出请求。这ROLE_prefix 是一个标记，指示应与用户的权限进行简单的比较。换句话说，应该使用正常的基于角色的检查。Spring Security 中的访问控制不仅限于使用简单角色（因此使用前缀来区分不同类型的安全属性）。我们稍后会看到解释如何变化。对access属性取决于AccessDecisionManager被使用。从 Spring Security 3.0 开始，您还可以使用 EL 表达式填充属性。spring-doc.cadn.net.cn

您可以使用多个<intercept-url>元素来定义不同 URL 集的不同访问要求，但它们按列出的顺序进行评估，并使用第一个匹配项。因此，您必须将最具体的匹配项放在顶部。您还可以添加一个method属性将匹配限制为特定的 HTTP 方法（GET,POST,PUT，依此类推）。spring-doc.cadn.net.cn

要添加用户，您可以直接在命名空间中定义一组测试数据：spring-doc.cadn.net.cn

<authentication-manager>
<authentication-provider>
	<user-service>
	<!-- Password is prefixed with {noop} to indicate to DelegatingPasswordEncoder that
	NoOpPasswordEncoder should be used. This is not safe for production, but makes reading
	in samples easier. Normally passwords should be hashed using BCrypt -->
	<user name="jimi" password="{noop}jimispassword" authorities="ROLE_USER, ROLE_ADMIN" />
	<user name="bob" password="{noop}bobspassword" authorities="ROLE_USER" />
	</user-service>
</authentication-provider>
</authentication-manager>

前面的列表显示了存储相同密码的安全方法的示例。密码前缀为{bcrypt}指导DelegatingPasswordEncoder，支持任何已配置的PasswordEncoder为了匹配，密码使用 BCrypt 进行哈希处理：spring-doc.cadn.net.cn

<authentication-manager>
<authentication-provider>
	<user-service>
	<user name="jimi" password="{bcrypt}$2a$10$ddEWZUl8aU0GdZPPpy7wbu82dvEw/pBpbRvDQRqA41y6mK1CoH00m"
			authorities="ROLE_USER, ROLE_ADMIN" />
	<user name="bob" password="{bcrypt}$2a$10$/elFpMBnAYYig6KRR5bvOOYeZr1ie1hSogJryg9qDlhza4oCw1Qka"
			authorities="ROLE_USER" />
	<user name="jimi" password="{noop}jimispassword" authorities="ROLE_USER, ROLE_ADMIN" />
	<user name="bob" password="{noop}bobspassword" authorities="ROLE_USER" />
	</user-service>
</authentication-provider>
</authentication-manager>

这<http>元素负责创建一个FilterChainProxy以及它使用的过滤器 bean。以前的常见问题（例如过滤器排序不正确）不再是问题，因为过滤器位置是预定义的。spring-doc.cadn.net.cn

这<authentication-provider>元素会创建一个DaoAuthenticationProviderbean 和<user-service>元素会创建一个InMemoryDaoImpl. 都authentication-provider元素必须是<authentication-manager>元素，它会创建一个ProviderManager并向其注册身份验证提供者。您可以在命名空间附录中找到有关创建的 bean 的更多详细信息。如果您想开始了解框架中的重要类是什么以及它们是如何使用的，您应该交叉检查此附录，特别是如果您想稍后自定义内容。spring-doc.cadn.net.cn

前面的配置定义了两个用户、他们的密码和他们在应用程序中的角色（用于访问控制）。您还可以通过设置properties属性user-service元素。有关文件格式的更多详细信息，请参阅内存中身份验证部分。使用<authentication-provider>元素表示身份验证管理器使用用户信息来处理身份验证请求。您可以拥有多个<authentication-provider>元素来定义不同的身份验证源。依次咨询每个人。spring-doc.cadn.net.cn

此时，您应该能够启动您的应用程序，并且应该需要登录才能继续。试用一下，或尝试使用项目附带的“教程”示例应用程序。spring-doc.cadn.net.cn

设置默认登录后目标

如果尝试访问受保护资源时未提示表单登录，则default-target-url选项开始发挥作用。这是用户在成功登录后被带到的 URL。它默认为。您还可以通过设置/always-use-default-target属性设置为true. 如果您的应用程序始终要求用户从“主页”开始，则这很有用，例如：spring-doc.cadn.net.cn

<http pattern="/login.htm*" security="none"/>
<http use-expressions="false">
<intercept-url pattern='/**' access='ROLE_USER' />
<form-login login-page='/login.htm' default-target-url='/home.htm'
		always-use-default-target='true' />
</http>

要更好地控制目标，您可以使用authentication-success-handler-ref属性作为替代default-target-url. 引用的 bean 应该是AuthenticationSuccessHandler.spring-doc.cadn.net.cn

高级 Web 功能

本节介绍了超越基础知识的各种功能。spring-doc.cadn.net.cn

添加您自己的过滤器

如果您以前使用过 Spring Security，您就会知道该框架维护着用于应用其服务的过滤器链。您可能希望将自己的过滤器添加到特定位置的堆栈中，或者使用当前没有命名空间配置选项（例如 CAS）的 Spring Security 过滤器。或者，您可能希望使用标准命名空间过滤器的自定义版本，例如UsernamePasswordAuthenticationFilter（由<form-login>元素）来利用显式使用 bean 时可用的一些额外配置选项。如何通过命名空间配置来做到这一点，因为过滤器链没有直接公开？spring-doc.cadn.net.cn

使用命名空间时，过滤器的顺序始终严格执行。创建应用程序上下文时，过滤器 bean 按命名空间处理代码排序，并且每个标准 Spring Security 过滤器在命名空间中都有一个别名和一个众所周知的位置。spring-doc.cadn.net.cn

在以前的版本中，排序是在创建过滤器实例后，在应用程序上下文的后处理期间进行的。在版本 3.0+ 中，排序现在是在 bean 元数据级别完成的，在类实例化之前。这对如何将自己的过滤器添加到堆栈有影响，因为在解析<http>元素，因此语法在 3.0 中略有变化。spring-doc.cadn.net.cn

下表显示了创建筛选器的筛选器、别名和命名空间元素和属性，按它们在筛选器链中出现的顺序所示：spring-doc.cadn.net.cn

表 1.标准筛选器别名和排序
别名	过滤器类	命名空间元素或属性
DISABLE_ENCODE_URL_FILTERspring-doc.cadn.net.cn	`DisableEncodeUrlFilter`spring-doc.cadn.net.cn	`http@disable-url-rewriting`spring-doc.cadn.net.cn
FORCE_EAGER_SESSION_FILTERspring-doc.cadn.net.cn	`ForceEagerSessionCreationFilter`spring-doc.cadn.net.cn	`http@create-session="ALWAYS"`spring-doc.cadn.net.cn
CHANNEL_FILTERspring-doc.cadn.net.cn	`ChannelProcessingFilter`spring-doc.cadn.net.cn	`http/intercept-url@requires-channel`spring-doc.cadn.net.cn
SECURITY_CONTEXT_FILTERspring-doc.cadn.net.cn	`SecurityContextPersistenceFilter`spring-doc.cadn.net.cn	`http`spring-doc.cadn.net.cn
CONCURRENT_SESSION_FILTERspring-doc.cadn.net.cn	`ConcurrentSessionFilter`spring-doc.cadn.net.cn	`session-management/concurrency-control`spring-doc.cadn.net.cn
HEADERS_FILTERspring-doc.cadn.net.cn	`HeaderWriterFilter`spring-doc.cadn.net.cn	`http/headers`spring-doc.cadn.net.cn
CSRF_FILTERspring-doc.cadn.net.cn	`CsrfFilter`spring-doc.cadn.net.cn	`http/csrf`spring-doc.cadn.net.cn
LOGOUT_FILTERspring-doc.cadn.net.cn	`LogoutFilter`spring-doc.cadn.net.cn	`http/logout`spring-doc.cadn.net.cn
X509_FILTERspring-doc.cadn.net.cn	`X509AuthenticationFilter`spring-doc.cadn.net.cn	`http/x509`spring-doc.cadn.net.cn
PRE_AUTH_FILTERspring-doc.cadn.net.cn	`AbstractPreAuthenticatedProcessingFilter`子spring-doc.cadn.net.cn	不适用spring-doc.cadn.net.cn
CAS_FILTERspring-doc.cadn.net.cn	`CasAuthenticationFilter`spring-doc.cadn.net.cn	不适用spring-doc.cadn.net.cn
FORM_LOGIN_FILTERspring-doc.cadn.net.cn	`UsernamePasswordAuthenticationFilter`spring-doc.cadn.net.cn	`http/form-login`spring-doc.cadn.net.cn
BASIC_AUTH_FILTERspring-doc.cadn.net.cn	`BasicAuthenticationFilter`spring-doc.cadn.net.cn	`http/http-basic`spring-doc.cadn.net.cn
SERVLET_API_SUPPORT_FILTERspring-doc.cadn.net.cn	`SecurityContextHolderAwareRequestFilter`spring-doc.cadn.net.cn	`http/@servlet-api-provision`spring-doc.cadn.net.cn
JAAS_API_SUPPORT_FILTERspring-doc.cadn.net.cn	`JaasApiIntegrationFilter`spring-doc.cadn.net.cn	`http/@jaas-api-provision`spring-doc.cadn.net.cn
REMEMBER_ME_FILTERspring-doc.cadn.net.cn	`RememberMeAuthenticationFilter`spring-doc.cadn.net.cn	`http/remember-me`spring-doc.cadn.net.cn
ANONYMOUS_FILTERspring-doc.cadn.net.cn	`AnonymousAuthenticationFilter`spring-doc.cadn.net.cn	`http/anonymous`spring-doc.cadn.net.cn
SESSION_MANAGEMENT_FILTERspring-doc.cadn.net.cn	`SessionManagementFilter`spring-doc.cadn.net.cn	`session-management`spring-doc.cadn.net.cn
EXCEPTION_TRANSLATION_FILTERspring-doc.cadn.net.cn	`ExceptionTranslationFilter`spring-doc.cadn.net.cn	`http`spring-doc.cadn.net.cn
FILTER_SECURITY_INTERCEPTORspring-doc.cadn.net.cn	`FilterSecurityInterceptor`spring-doc.cadn.net.cn	`http`spring-doc.cadn.net.cn
SWITCH_USER_FILTERspring-doc.cadn.net.cn	`SwitchUserFilter`spring-doc.cadn.net.cn	不适用spring-doc.cadn.net.cn

您可以使用custom-filter元素和以下名称之一，以指定过滤器应显示的位置：spring-doc.cadn.net.cn

<http>
<custom-filter position="FORM_LOGIN_FILTER" ref="myFilter" />
</http>

<beans:bean id="myFilter" class="com.mycompany.MySpecialAuthenticationFilter"/>

您还可以使用after或before属性，如果您希望在堆栈中的另一个过滤器之前或之后插入过滤器。您可以使用FIRST和LAST使用position属性，以指示您希望过滤器分别出现在整个堆栈之前或之后。spring-doc.cadn.net.cn

避免过滤器位置冲突

如果插入的自定义筛选器可能与命名空间创建的标准筛选器之一占据相同的位置，则不应错误地包含命名空间版本。删除创建要替换其功能的过滤器的任何元素。spring-doc.cadn.net.cn

请注意，您无法替换通过使用<http>元素本身：SecurityContextPersistenceFilter,ExceptionTranslationFilter或FilterSecurityInterceptor. 默认情况下，一个AnonymousAuthenticationFilter，除非您禁用了会话固定保护，否则SessionManagementFilter也添加到过滤器链中。spring-doc.cadn.net.cn

如果替换需要认证入口点的命名空间过滤器（即，认证过程是由未经认证的用户尝试访问受保护资源触发的），那么您还需要添加一个定制入口点 Bean。spring-doc.cadn.net.cn

方法安全性

从版本 2.0 开始，Spring Security 对向服务层方法添加安全性提供了大量支持。它提供了对 JSR-250 注释安全性以及框架原始@Secured注解。从 3.0 版开始，您还可以使用基于表达式的注释。您可以将安全性应用于单个 Bean（通过使用intercept-methods元素来装饰 bean 声明），或者您可以使用 AspectJ 样式切入点保护整个服务层中的多个 bean。spring-doc.cadn.net.cn

默认 AccessDecisionManager

本节假设您对 Spring Security 中访问控制的底层体系结构有一定的了解。如果不这样做，可以跳过它并稍后再回来，因为本部分仅适用于需要进行一些自定义以使用不仅仅是简单的基于角色的安全性的人员。spring-doc.cadn.net.cn

使用命名空间配置时，默认实例AccessDecisionManager会自动为您注册，并用于根据您在intercept-url和protect-pointcut声明（以及在注释中，如果您使用注释来保护方法）。spring-doc.cadn.net.cn

默认策略是使用AffirmativeBased AccessDecisionManager使用RoleVoter和AuthenticatedVoter. 您可以在授权一章中找到有关这些内容的更多信息。spring-doc.cadn.net.cn

自定义 AccessDecisionManager

如果您需要使用更复杂的访问控制策略，您可以为方法和 Web 安全设置替代方案。spring-doc.cadn.net.cn

为了方法安全性，您可以通过将access-decision-manager-ref属性global-method-security到id适当的AccessDecisionManagerbean 在应用程序上下文中：spring-doc.cadn.net.cn

<global-method-security access-decision-manager-ref="myAccessDecisionManagerBean">
...
</global-method-security>

Web 安全的语法相同，但属性位于http元素：spring-doc.cadn.net.cn

<http access-decision-manager-ref="myAccessDecisionManagerBean">
...
</http>