Spring Security是一种基于Spring AOP和Servlet规范中Filter实现的安全框架,它能够在Web请求级别和方法调用级别处理身份认证和授权。Spring Security充分利用了依赖注入和面向切面的技术。
过滤Web请求
Spring Security借助一系列Servlet Filter来提供各种安全性功能。
DelegatingFilterProxy是一个特殊的Servlet Filter,它本身所做的工作并不多。只是将工作委托给一个javax.servlet.Filter实现类,这个类作为一个注册在Spring应用的上下文中。
编写简单的安全性配置
@Configuration
@EnableWebSecurity
public class SecurityCOnfig extends WebSecurityConfigurerAdapter{}
@EnableWebSecurity注解将会启动Web安全功能。Spring Security必须配置在一个实现了WebSecurityConfigurerAdapter。
@EnableWebSecurity可以启用任意Web应用的安全性功能,不过,如果你的应用碰巧是使用Spring MVC开发的,那么久应该考虑使用@EnableWebMvcSecurity替代它。
@EnableWebMvcSecurity注解还配置了一个Spring MVC参数解析器,这样的话处理器方法通过带有@AuthenticationPrincipal注解的参数获得认证用户的principal,它同时还配置了一个bean,这个bean会自动添加一个隐藏的跨站请求伪造(CSRF)token输入域。
防止跨站请求伪造
简单来讲,如果一个站点欺骗用户提交请求到其他服务器的话,就会发生CSRF攻击,这可能会带来消极的后果。
Spring Security通过一个同步token的方式来实现CSRF防护的功能。它将会拦截状态变化的请求并检查CSRF token。如果请求中不包含CSRF token的话,或者token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。