Spring Security 为您的身份验证和授权要求提供了一个非常灵活的框架，但构建安全应用程序还有许多其他注意事项超出了其范围。 Web 应用程序容易受到各种攻击的攻击，您应该熟悉这些攻击，最好在开始开发之前，这样您就可以从一开始就考虑到它们进行设计和编码。 查看 OWASP 网站，了解 Web 应用程序开发人员面临的主要问题以及可用于对付这些问题的对策。Spring中文文档

假设您正在开发一个基于 Spring 的企业应用程序。 通常需要解决四个安全问题：身份验证、Web 请求安全性、服务层安全性（即实现业务逻辑的方法）和域对象实例安全性（即不同的域对象具有不同的权限）。牢记以下典型要求：Spring中文文档

对于简单的应用程序，servlet 规范安全性可能就足够了。 尽管在 Web 容器可移植性、配置要求、有限的 Web 请求安全灵活性以及不存在的服务层和域对象实例安全性的上下文中考虑时，开发人员经常寻求替代解决方案的原因变得很清楚。Spring中文文档

Spring Security 3.0 和 3.1 至少需要 JDK 1.5，并且至少需要 Spring 3.0.3。 理想情况下，您应该使用最新版本以避免出现问题。Spring中文文档

Spring Security 2.0.x 要求最低 JDK 版本为 1.4，并且是针对 Spring 2.0.x 构建的。 它还应该与使用 Spring 2.5.x 的应用程序兼容。Spring中文文档

可能出了什么问题？Spring中文文档

或者用另一种复杂的场景来代替......Spring中文文档

实际上，您需要先了解打算使用的技术，然后才能使用它们成功构建应用程序。 安全性很复杂。 使用登录表单设置简单的配置，并使用 Spring Security 的命名空间设置一些硬编码用户是相当简单的。 改用受支持的 JDBC 数据库也很容易。 但是，如果您尝试直接跳到像这样的复杂部署方案，您几乎肯定会感到沮丧。 设置CAS等系统，配置LDAP服务器和正确安装SSL证书所需的学习曲线有很大的飞跃。 所以你需要一步一个脚印。Spring中文文档

从 Spring Security 的角度来看，您应该做的第一件事是按照网站上的“入门”指南进行操作。 这将引导您完成一系列步骤来启动和运行，并了解框架的运行方式。 如果你正在使用你不熟悉的其他技术，那么你应该做一些研究，并尝试确保在将它们组合到一个复杂的系统中之前，你可以单独使用它们。Spring中文文档

无限循环和重定向到登录页面的常见用户问题是由于意外将登录页面配置为“安全”资源引起的。 请确保您的配置允许匿名访问登录页面，方法是将其从安全筛选器链中排除或将其标记为需要ROLE_ANONYMOUS。Spring中文文档

如果 AccessDecisionManager 包含 AuthenticatedVoter，则可以使用属性“IS_AUTHENTICATED_ANONYMOUSLY”。如果您使用的是标准命名空间配置设置，则此功能将自动可用。Spring中文文档

从 Spring Security 2.0.1 开始，当您使用基于命名空间的配置时，将在加载应用程序上下文时进行检查，并在登录页面显示受保护时记录警告消息。Spring中文文档

这是匿名用户首次尝试访问受保护资源时发生的调试级别消息。Spring中文文档

这是正常的，不应该有什么可担心的。Spring中文文档

最常见的原因是您的浏览器已经缓存了该页面，并且您看到正在从浏览器缓存中检索的副本。 通过检查浏览器是否实际发送请求来验证这一点（检查您的服务器访问日志、调试日志或使用合适的浏览器调试插件，例如 Firefox 的“篡改数据”）。这与 Spring Security 无关，您应该配置应用程序或服务器以设置适当的响应标头。 请注意，从不缓存 SSL 请求。Cache-ControlSpring中文文档

这是另一个调试级别消息，在匿名用户首次尝试访问受保护资源时发生，但在筛选器链配置中没有。AnonymousAuthenticationFilterSpring中文文档

这是正常的，不应该有什么可担心的。Spring中文文档

我的配置有什么问题？Spring中文文档

请注意，LDAP 目录的权限通常不允许您读取用户的密码。 因此，通常无法使用 什么是UserDetailsService，我需要一个吗？，其中 Spring Security 将存储的密码与用户提交的密码进行比较。 最常见的方法是使用 LDAP“绑定”，这是 LDAP 协议支持的操作之一。使用这种方法，Spring Security 通过尝试以用户身份向目录进行身份验证来验证密码。Spring中文文档

LDAP 身份验证最常见的问题是缺乏对目录服务器树结构和配置的了解。 这在不同的公司会有所不同，所以你必须自己找出来。 在将Spring Security LDAP配置添加到应用程序之前，最好使用标准Java LDAP代码（不涉及Spring Security）编写一个简单的测试，并确保您可以首先使其正常工作。 例如，若要对用户进行身份验证，可以使用以下代码：Spring中文文档

会话管理问题是论坛问题的常见来源。 如果要开发 Java Web 应用程序，则应了解如何在 servlet 容器和用户浏览器之间维护会话。 您还应该了解安全 Cookie 和非安全 Cookie 之间的区别，以及使用 HTTP/HTTPS 并在两者之间切换的含义。 Spring Security 与维护会话或提供会话标识符无关。 这完全由 servlet 容器处理。Spring中文文档

当我在登录后打开另一个浏览器窗口时，它不会阻止我再次登录。 为什么我可以多次登录？Spring中文文档

浏览器通常为每个浏览器实例维护一个会话。 您不能同时进行两个单独的会话。 因此，如果您在另一个窗口或选项卡中再次登录，则只是在同一会话中重新进行身份验证。 服务器对选项卡、窗口或浏览器实例一无所知。 它看到的只是 HTTP 请求，并根据它们包含的 JSESSIONID cookie 的值将这些请求绑定到特定会话。 当用户在会话期间进行身份验证时，Spring Security 的并发会话控制会检查他们拥有的其他经过身份验证的会话的数量。 如果它们已使用同一会话进行身份验证，则重新身份验证将不起作用。Spring中文文档

使用默认配置，Spring Security 会在用户进行身份验证时更改会话 ID。 如果您使用的是 Servlet 3.1 或更高版本的容器，则会话 ID 将仅更改。 如果您使用的是较旧的容器，Spring Security 会使现有会话失效，创建新会话，并将会话数据传输到新会话。 以这种方式更改会话标识符可防止“会话固定”攻击。 您可以在线和参考手册中找到有关此内容的更多信息。Spring中文文档

它不起作用 - 我只是在身份验证后返回登录页面。Spring中文文档

发生这种情况是因为在HTTPS下创建的会话（其会话cookie被标记为“安全”）随后无法在HTTP下使用。浏览器不会将 cookie 发送回服务器，并且任何会话状态都将丢失（包括安全上下文信息）。首先在 HTTP 中启动会话应该可以工作，因为会话 cookie 不会被标记为安全。 但是，Spring Security 的会话固定保护可能会干扰这一点，因为它会导致新的会话 ID cookie 被发送回用户的浏览器，通常带有安全标志。 要解决此问题，您可以禁用会话固定保护，但在较新的 Servlet 容器中，您还可以将会话 cookie 配置为从不使用安全标志。 请注意，在HTTP和HTTPS之间切换通常不是一个好主意，因为任何使用HTTP的应用程序都容易受到中间人攻击。 为了真正安全，用户应该开始以 HTTPS 访问您的网站并继续使用它，直到他们注销。 即使从通过 HTTP 访问的页面单击 HTTPS 链接也存在潜在风险。 如果您需要更有说服力，请查看像 sslstrip 这样的工具。Spring中文文档

通过交换会话 cookie 或向 URL 添加参数来维护会话（如果您使用 JSTL 输出 URL，或者如果您调用 URL（例如，在重定向之前），这会自动发生）。如果客户端禁用了 Cookie，并且您没有重写 URL 以包含 ，则会话将丢失。 请注意，出于安全原因，最好使用 cookie，因为它不会在 URL 中公开会话信息。jsessionidHttpServletResponse.encodeUrljsessionidSpring中文文档

确保您已将侦听器添加到web.xml文件中。 必须确保在会话被销毁时通知 Spring Security 会话注册表。 如果没有它，会话信息将不会从注册表中删除。Spring中文文档

这通常意味着用户的应用程序正在某处创建会话，但他们不知道它。 最常见的罪魁祸首是 JSP。许多人不知道 JSP 默认创建会话。 要阻止 JSP 创建会话，请将该指令添加到页面顶部。<%@ page session="false" %>Spring中文文档

如果在确定创建会话的位置时遇到问题，可以添加一些调试代码来跟踪位置。执行此操作的一种方法是将 a 添加到应用程序中，该应用程序调用该方法。javax.servlet.http.HttpSessionListenerThread.dumpStack()sessionCreatedSpring中文文档

如果为 HTTP POST 返回 HTTP 403 Forbidden，但适用于 HTTP GET，则问题很可能与 CSRF 有关。提供 CSRF 令牌或禁用 CSRF 保护（不推荐）。Spring中文文档

默认情况下，筛选器不应用于转发或包含。 如果确实希望将安全过滤器应用于转发和/或包含，则必须在web.xml中使用 <dispatcher> 元素（<filter-mapping> 的子元素）显式配置这些过滤器。Spring中文文档

在 Spring Web 应用程序中，保存调度程序 Servlet 的 Spring MVC Bean 的应用程序上下文通常与主应用程序上下文分开。 它通常在一个名为 的文件中定义，其中 “myapp” 是分配给 Spring 的名称。一个应用程序可以有多个 s，每个 s 都有自己独立的应用程序上下文。 这些“子”上下文中的 Bean 对应用程序的其余部分不可见。 “父”应用程序上下文由您在 T 中定义的 加载，并且对所有子上下文都可见。 此父上下文通常是定义安全配置（包括元素）的位置。因此，不会强制执行应用于这些 Web Bean 中的方法的任何安全约束，因为无法从上下文中看到这些 Bean。 您需要将声明移动到 Web 上下文，或者将要保护的 Bean 移动到主应用程序上下文中。myapp-servlet.xmlDispatcherServletweb.xmlDispatcherServletContextLoaderListenerweb.xml<global-method-security>DispatcherServlet<global-method-security>Spring中文文档

通常，我们建议在服务层应用方法安全性，而不是在单个 Web 控制器上应用方法安全性。Spring中文文档

为什么我看不到用户信息？Spring中文文档

如果已使用与 URL 模式匹配的元素中的属性从安全筛选器链中排除了请求，则不会为该请求填充 。 检查调试日志，查看请求是否通过筛选器链。 （您正在阅读调试日志，对吗？filters='none'<intercept-url>SecurityContextHolderSpring中文文档

当使用属性时，方法安全性不会隐藏链接，因为我们不能轻易地对映射到哪个控制器端点的 URL 进行逆向工程，因为控制器可以依赖标头、当前用户等来确定要调用的方法。url<sec:authorize>Spring中文文档

查找类的最佳方法是在 IDE 中安装 Spring Security 源代码。该发行版包括项目划分到的每个模块的源代码 jar。 将这些添加到您的项目源路径中，您可以直接导航到 Spring Security 类（在 Eclipse 中）。这也使调试更容易，并允许你通过直接查看发生异常的代码来了解异常发生的情况，从而对异常进行故障排除。Ctrl-Shift-TSpring中文文档

参考指南的命名空间附录中提供了有关命名空间创建哪些 Bean 的一般概述。 blog.springsource.com 上还有一篇详细的博客文章，名为“Behind the Spring Security Namespace”。如果想知道完整的细节，那么代码在Spring Security 3.0发行版中的模块中。 您可能应该先阅读标准 Spring Framework 参考文档中有关命名空间解析的章节。spring-security-configSpring中文文档

Spring Security 具有基于投票者的架构，这意味着访问决策是由一系列 s 做出的。 投票者对为安全资源指定的“配置属性”（例如方法调用）执行操作。使用这种方法时，并非所有属性都可能与所有选民相关，选民需要知道何时应忽略某个属性（弃权），以及何时应根据属性值投票授予或拒绝访问权限。 最常见的投票者是默认情况下，每当它找到带有“ROLE_”前缀的属性时，它就会投票。 它将属性（例如“ROLE_USER”）与当前用户已分配的机构名称进行简单比较。 如果它找到匹配项（他们有一个名为“ROLE_USER”的权限），它会投票授予访问权限，否则它会投票拒绝访问。AccessDecisionVoterRoleVoterSpring中文文档

可以通过设置 的属性来更改前缀。如果只需要在应用程序中使用角色，而不需要其他自定义投票者，则可以将前缀设置为空字符串，在这种情况下，会将所有属性视为角色。rolePrefixRoleVoterRoleVoterSpring中文文档

这将取决于您正在使用的功能以及您正在开发的应用程序类型。 在 Spring Security 3.0 中，项目 jar 被划分为明显不同的功能区域，因此从应用程序要求中确定需要哪些 Spring Security jar 是很简单的。 所有应用程序都需要 jar。 如果您正在开发 Web 应用程序，则需要 jar。 如果您使用的是安全命名空间配置，则需要 jar，对于 LDAP 支持，您需要 jar，依此类推。spring-security-corespring-security-webspring-security-configspring-security-ldapSpring中文文档

对于第三方罐子来说，情况并不总是那么明显。 一个好的起点是从预构建的示例应用程序 WEB-INF/lib 目录之一复制它们。 对于基本应用程序，可以从教程示例开始。 如果要将 LDAP 与嵌入式测试服务器一起使用，请使用 LDAP 示例作为起点。 参考手册还包括一个附录，列出了每个 Spring Security 模块的第一级依赖项，以及有关它们是否可选以及它们需要什么的一些信息。Spring中文文档

如果您使用 maven 构建项目，那么将相应的 Spring Security 模块作为依赖项添加到您的pom.xml将自动拉入框架所需的核心 jar。 如果需要，必须在 Spring Security POM 文件中标记为“可选”的任何内容都必须添加到您自己的pom.xml文件中。Spring中文文档

如果您使用的是 Maven，则需要将以下内容添加到您的 pom 依赖项中：Spring中文文档

其他必需的罐子应以传递方式拉入。Spring中文文档

UserDetailsService是一个 DAO 接口，用于加载特定于用户帐户的数据。 除了加载该数据以供框架中的其他组件使用之外，它没有其他功能。 它不负责对用户进行身份验证。 使用用户名/密码组合对用户进行身份验证通常由 执行，该 注入 a 以允许它加载用户的密码（和其他数据），以便将其与提交的值进行比较。 请注意，如果您使用的是 LDAP，则此方法可能不起作用。DaoAuthenticationProviderUserDetailsServiceSpring中文文档

如果要自定义身份验证过程，则应自行实现。 有关将 Spring Security 身份验证与 Google App Engine 集成的示例，请参阅此博客文章。AuthenticationProviderSpring中文文档

如何添加对额外登录字段的支持（例如 公司名称）？Spring中文文档

这个问题在 Spring Security 论坛中反复出现，因此您可以通过搜索存档（或通过谷歌）找到更多信息。Spring中文文档

提交的登录信息由 的实例处理。您将需要自定义此类以处理额外的数据字段。一种选择是使用您自己的自定义身份验证令牌类（而不是标准），另一种选择是简单地将额外的字段与用户名连接起来（例如，使用“：”作为分隔符），并将它们传递到 username 属性中。UsernamePasswordAuthenticationFilterUsernamePasswordAuthenticationTokenUsernamePasswordAuthenticationTokenSpring中文文档

您还需要自定义实际的身份验证过程。 例如，如果您使用的是自定义身份验证令牌类，则必须编写一个来处理它（或扩展标准）。如果已将字段串联起来，则可以实现自己的字段，从而将它们拆分并加载相应的用户数据以进行身份验证。AuthenticationProviderDaoAuthenticationProviderUserDetailsServiceSpring中文文档

您不能这样做，因为片段不会从浏览器传输到服务器。 从服务器的角度来看，上面的 URL 是相同的。 这是GWT用户的常见问题。Spring中文文档

显然，你不能（不求助于线程局部变量之类的东西），因为提供给接口的唯一信息是用户名。 而不是实现 ，您应该直接实现并从提供的令牌中提取信息。UserDetailsServiceAuthenticationProviderAuthenticationSpring中文文档

在标准 Web 设置中，对象上的方法将返回 的实例。如果需要其他信息，可以将自定义注入到正在使用的身份验证筛选器中。 如果使用命名空间（例如元素），则应删除此元素并将其替换为指向显式配置的声明。getDetails()AuthenticationWebAuthenticationDetailsAuthenticationDetailsSource<form-login><custom-filter>UsernamePasswordAuthenticationFilterSpring中文文档

你不能，因为对 servlet API 没有感知。如果要存储自定义用户数据，则应自定义返回的对象。 然后，可以在任何时候通过thread-local .对的调用将返回此自定义对象。UserDetailsServiceUserDetailsSecurityContextHolderSecurityContextHolder.getContext().getAuthentication().getPrincipal()Spring中文文档

如果确实需要访问会话，则必须通过自定义 Web 层来完成。Spring中文文档

你不能（也不应该）。您可能误解了它的目的。 请参阅上面的“什么是 UserDetailsService？”。Spring中文文档

人们经常询问如何将安全 URL 和安全元数据属性之间的映射存储在数据库中，而不是存储在应用程序上下文中。Spring中文文档

你应该问自己的第一件事是你是否真的需要这样做。 如果应用程序需要保护，则它还要求根据定义的策略对安全性进行彻底测试。 在将其推出到生产环境之前，可能需要进行审核和验收测试。 一个具有安全意识的组织应该意识到，如果允许在运行时通过更改配置数据库中的一两行来修改安全设置，那么他们勤奋的测试过程的好处可能会立即消失。 如果您已经考虑到了这一点（可能在您的应用程序中使用了多层安全性），那么 Spring Security 允许您完全自定义安全元数据的来源。 如果您愿意，您可以将其设置为完全动态。Spring中文文档

方法和 Web 安全性都受其子类的保护，其子类配置有从中获取特定方法或过滤器调用的元数据。 对于 Web 安全，拦截器类是 并且它使用 标记 接口 。它操作的“安全对象”类型是 .使用的默认实现（无论是在命名空间中还是在显式配置拦截器时）将 URL 模式列表及其相应的“配置属性”（实例）列表存储在内存映射中。AbstractSecurityInterceptorSecurityMetadataSourceFilterSecurityInterceptorFilterInvocationSecurityMetadataSourceFilterInvocation<http>ConfigAttributeSpring中文文档

要从替代源加载数据，您必须使用显式声明的安全过滤器链（通常是 Spring Security 的 ）来定制 bean。 不能使用命名空间。 然后，您将实现为特定数据加载所需的数据FilterChainProxyFilterSecurityInterceptorFilterInvocationSecurityMetadataSourceFilterInvocation ^[1].一个非常基本的大纲如下所示：Spring中文文档

有关详细信息，请查看 的代码。DefaultFilterInvocationSecurityMetadataSourceSpring中文文档

bean（在Spring Security中处理正常的LDAP身份验证）配置了两个单独的策略接口，一个执行身份验证，另一个分别加载用户权限，称为和。 从 LDAP 目录加载用户权限，并具有各种配置参数，以允许您指定如何检索这些参数。LdapAuthenticationProviderLdapAuthenticatorLdapAuthoritiesPopulatorDefaultLdapAuthoritiesPopulatorSpring中文文档

要改用 JDBC，您可以自己实现接口，使用适合您的模式的任何 SQL：Spring中文文档

然后，将此类型的 Bean 添加到应用程序上下文中，并将其注入 .这在参考手册的 LDAP 章节中关于使用显式 Spring Bean 配置 LDAP 的部分中进行了介绍。 请注意，在这种情况下，不能使用命名空间进行配置。 您还应该查阅 Javadoc 以获取相关的类和接口。LdapAuthenticationProviderSpring中文文档

除了放弃命名空间的使用之外，我还能做些什么？Spring中文文档

命名空间功能是有意限制的，因此它不涵盖您可以使用普通 Bean 执行的所有操作。 如果你想做一些简单的事情，比如修改一个 bean，或者注入一个不同的依赖项，你可以通过在你的配置中添加一个来做到这一点。 更多信息可以在 Spring 参考手册中找到。为了做到这一点，你需要知道一些关于创建了哪些 bean，所以你还应该阅读上面问题中的博客文章，了解命名空间如何映射到 Spring bean。BeanPostProcessorSpring中文文档

通常，您会将所需的功能添加到 的方法中。假设您要自定义 使用的 ， （由元素创建）。您希望提取从请求中调用的特定标头，并在对用户进行身份验证时使用它。 处理器类如下所示：postProcessBeforeInitializationBeanPostProcessorAuthenticationDetailsSourceUsernamePasswordAuthenticationFilterform-loginCUSTOM_HEADERSpring中文文档

然后，您将在应用程序上下文中注册此 Bean。 Spring 将在应用程序上下文中定义的 bean 上自动调用它。Spring中文文档