翻译自GETTING STARTED

保护Web应用程序

本指南将引导您完成创建一个资源受Spring Security保护的简单Web应用程序的过程。

你将建立什么

您将构建一个Spring MVC应用程序，该应用程序使用由固定用户列表支持的登录表单来保护页面。

你需要什么

About 15 minutes
A favorite text editor or IDE
JDK 1.8 or later
Gradle 2.3+ or Maven 3.0+
You can also import the code straight into your IDE:
- Spring Tool Suite (STS)
- IntelliJ IDEA

如何完成本指南

与大多数“入门指南”指南一样，您可以从头开始，完成每一步，也可以绕过已经熟悉的基本设置步骤。无论哪种方式，你都会得到工作代码。

To start from scratch, move on to Build with Gradle.

To 跳过基础, do the following:

Download and unzip the source repository for this guide, or clone it using Git:

git clone https://github.com/spring-guides/gs-securing-web.git
cd into gs-securing-web/initial
Jump ahead to Set up Spring Security.

通过IDE构建

这里官方提供了通过Grandle、Maven、IDE构建，选择性的翻译IDE构建，有需要的看原文吧。

Read how to import this guide straight into Spring Tool Suite.
Read how to work with this guide in IntelliJ IDEA.

我使用的IDEA，先将源码down下来，用IDEA打开gs-securing-web/initial 目录下，选择pom.xml。

initial

准备工作结束了，开始学习吧O(∩_∩)O~~

创建一个不安全的Web应用程序

在将安全性应用于Web应用程序之前，您需要安装Web应用程序。本节中的步骤将引导您创建一个非常简单的Web应用程序。然后在下一节中使用Spring Security来保护它。

Web应用程序包含两个简单视图：主页和“Hello World”页面。主页定义在以下Thymeleaf模板中：

src/main/resources/templates/home.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example</title>
    </head>
    <body>
        <h1>Welcome!</h1>

        <p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p>
    </body>
</html>

你可以看到，这个简单的视图包括一个“/ hello”页面的链接。这在以下的Thymeleaf模板中定义：

src/main/resources/templates/hello.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1>Hello world!</h1>
    </body>
</html>

Web应用程序基于Spring MVC。因此，您需要配置Spring MVC并设置视图控制器来公开这些模板。这是一个用于在应用程序中配置Spring MVC的配置类。

src/main/java/hello/MvcConfig.java

package hello;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@Configuration
public class MvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/home").setViewName("home");
        registry.addViewController("/").setViewName("home");
        registry.addViewController("/hello").setViewName("hello");
        registry.addViewController("/login").setViewName("login");
    }

}

addViewControllers()方法（覆盖WebMvcConfigurerAdapter中相同名称的方法）会添加四个视图控制器。两个视图控制器引用名称为“home”的视图（在home.html中定义），另一个引用名为“hello”的视图（在hello.html中定义）。第四个视图控制器引用另一个名为“login”的视图。您将在下一部分中创建该视图。

此时，您可以跳到使应用程序可执行一节，并试试运行应用程序，无需登录任何内容。

创建基本的简单Web应用程序后，您可以添加安全性。

设置Spring Security

假设您希望防止未经授权的用户在“/hello”上查看问候页面。现在，如果用户点击主页上的链接，他们会看到问候语，没有阻碍他们的障碍。您需要添加一个屏障，强制用户在看到该页面之前登录。

您可以通过在应用程序中配置Spring Security来实现。如果Spring Security位于类路径上，则Spring Boot会自动使用“基本”身份验证来保护所有HTTP端点。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径中。

使用Gradle的话，这将是依赖中的一行：

build.gradle

dependencies {
    ...
    compile("org.springframework.boot:spring-boot-starter-security")
    ...
}

使用Maven，这将是添加到的额外条目：

pom.xml

<dependencies>
    ...
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    ...
</dependencies>

这是一种安全配置，可确保只有身份验证的用户才能看到秘密问候语：

src/main/java/hello/WebSecurityConfig.java

package hello;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

WebSecurityConfig类用@EnableWebSecurity注释，以启用Spring Security的Web安全支持，并提供Spring MVC集成。它还扩展了WebSecurityConfigurerAdapter并覆盖了一些方法来设置Web安全配置的一些细节。

configure(HttpSecurity)方法定义哪些URL路径应该被保护，哪些不应该。具体来说，“/”和“/home”路径被配置为不需要任何身份验证。所有其他路径必须经过身份验证。

当用户成功登录时，它们将被重定向到先前请求的需要身份验证的页面。 loginPage()指定了“/login”到一个自定义的页面，每个人都可以查看它。

对于configureGlobal(AuthenticationManagerBuilder)方法，它设置内存中的用户存储使用单个用户。该用户的用户名为“user”，密码为“password”，角色为“USER”。

现在我们需要创建登录页面。已经有“登录”视图的视图控制器，因此您只需要创建登录视图本身：

src/main/resources/templates/login.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example </title>
    </head>
    <body>
        <div th:if="${param.error}">
            Invalid username and password.
        </div>
        <div th:if="${param.logout}">
            You have been logged out.
        </div>
        <form th:action="@{/login}" method="post">
            <div><label> User Name : <input type="text" name="username"/> </label></div>
            <div><label> Password: <input type="password" name="password"/> </label></div>
            <div><input type="submit" value="Sign In"/></div>
        </form>
    </body>
</html>

您可以看到，这个Thymeleaf模板只是提供了一个表单，用于捕获用户名和密码，并将其发布到“/login”。根据配置，Spring Security提供了拦截该请求并验证用户的过滤器。如果用户无法验证，则页面将重定向到“/login?error”，我们的页面显示相应的错误消息。成功注销后，我们的应用程序将发送到“/login?logout”，我们的页面显示相应的成功消息。

最后，我们需要为用户提供一种显示当前用户名和登出的方法。更新hello.html以向当前用户打个招呼，并包含一个“注销”表单，如下所示

src/main/resources/templates/hello.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="Sign Out"/>
        </form>
    </body>
</html>

我们使用Spring Security与HttpServletRequest#getRemoteUser()的集成来显示用户名。 “登出”表单提交POST请求到“/logout”。成功注销后，会将用户重定向到“/login?logout”。

使应用程序可执行

虽然可以将此服务打包成传统的Web应用程序存档或WAR文件以部署到外部应用程序服务器，但下面演示的更简单的方法创建了一个独立的应用程序。您可以在一个可执行的JAR文件中打包所有内容，由一个好的Java main（）方法驱动。一路上，您可以使用Spring的支持将Tomcat servlet容器嵌入HTTP运行时，而不是部署到外部实例。

src/main/java/hello/Application.java

package hello;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Application {

    public static void main(String[] args) throws Throwable {
        SpringApplication.run(Application.class, args);
    }

}

@SpringBootApplication是一个方便的注释，它添加以下所有内容：

@Configuration将该类标记为应用程序上下文的bean定义的源。
@EnableAutoConfiguration指示Spring Boot根据类路径设置，其他bean和各种属性设置开始添加bean。
通常，您将为Spring MVC应用程序添加@EnableWebMvc，但是当Spring类在类路径中看到spring-webmvc时，Spring Boot会自动添加它。这将应用程序标记为Web应用程序，并激活诸如设置DispatcherServlet等关键行为。
@ComponentScan告诉Spring在hello包中查找其他组件，配置和服务，让它找到控制器。

main()方法使用Spring Boot的SpringApplication.run()方法启动应用程序。你注意到没有一行XML吗？没有web.xml文件。这个Web应用程序是100％纯Java，您无需处理配置任何管道或基础架构。

构建可执行的JAR

您可以使用Gradle或Maven从命令行运行应用程序。或者，您可以构建一个包含所有必需依赖项，类和资源的单个可执行JAR文件，并运行该文件。这使得在整个开发生命周期，跨不同环境等方面，可以轻松地将服务作为应用程序进行发布，版本和部署。

如果您使用Gradle，您可以使用./gradlew bootRun运行应用程序。或者您可以使用./gradlew build构建来构建JAR文件。然后可以运行JAR文件：

java -jar build/libs/gs-securing-web-0.1.0.jar

如果您使用Maven，则可以使用./mvnw spring-boot:run运行应用程序。或者您可以使用./mvnw clean package来构建JAR文件。然后可以运行JAR文件：

java -jar target/gs-securing-web-0.1.0.jar

上面的过程将创建一个可运行的JAR。您也可以选择构建一个经典的WAR文件。

应用程序启动后，将浏览器指向 http://localhost:8080，你应该看到主页：

当您点击链接时，它会尝试将您带到/hello 的问候页面。但是因为该页面是安全的，而且您尚未登录，那么您将进入登录页面：

如果您使用不安全的版本跳到这里，那么您将看不到此登录页面。请记得备份和编写其余的基于安全的代码。

在登录页面，分别输入用户名和密码字段的“用户”和“密码”作为测试用户登录。提交登录表单后，您将进行身份验证，然后转到问候页面：

如果您点击“注销”按钮，您的身份验证将被撤销，并返回到登录页面，并显示一条消息，指示您已注销。

所有指南都将发布ASLv2许可证Attribution, NoDerivatives creative commons license 创作共用许可证的写作。

Spring Security学习（一） Getting Started