Spring Security 安全配置与用户认证全解析
应用安全配置测试
在简单的安全需求场景下,我们可以直接使用<user-service>为每个用户指定用户名、密码和权限集合。完成配置后,重新部署应用程序来测试其安全配置。
当访问请求路径/messageList.htm时,由于该路径对匿名用户开放,所以可以像往常一样列出所有已发布的消息。但如果点击发布新消息的链接,会被重定向到 Spring Security 生成的默认登录页面。只有使用正确的用户名和密码登录应用程序后,才能发布消息。而要删除消息,则必须以管理员身份登录。
登录 Web 应用程序的解决方案
安全的应用程序通常要求用户在访问某些安全功能之前进行登录,这对于运行在开放互联网上的 Web 应用程序尤为重要,因为黑客很容易访问到这些应用。Spring Security 提供了多种用户登录 Web 应用程序的方式。
- HTTP 基本认证:通过
<http-basic>元素配置。当需要 HTTP 基本认证时,浏览器通常会显示一个登录对话框或特定的登录页面供用户登录。
<http> ... <http-basic /> </http>需要注意的是,当同时启用 HTTP 基本认证和基于表单的登录时,会优先使用基于表单的登录。所以
