Spring Security 之不要太相信這個中文手冊

I. 前言
- 1. 準備開始
- 1. 介紹
  - 2.1. 什麼是 Spring Security
  - 2.2. 歷史
  - 2.3. 版本編號規則
  - 2.4. 取得 Spring Security
- 3. Spring Security 5.0 新增功能
- 4. 範例及指引 (由此開始)
- 5. Java 設定
  - 5.1. 初到貴寶地來用個 Java 設定
  - 5.2. HttpSecurity
  - 5.3. Java 設定及表單登入
  - 5.4. 設定授權請求
  - 5.5. 登出處理
  - 5.6. WebFlux 模組安全控制
  - 5.7. OAuth 2.0 登入
  - 5.8. 權限驗證
  - 5.9. 多重 HttpSecurity
  - 5.10. 方法層級安全
  - 5.11. 已設定物件的後處理
  - 5.12. 自訂 DSL 領域特定語言
- 1. Security 命名空間設定
  - 6.1. 介紹
  - 6.2. 開始使用安全命名空間設定
  - 6.3. 進階網路功能
  - 6.4. 方法安全
  - 6.5. 預設 AccessDecisionManager
  - 6.6. 驗證管理器與命名空間
- 1. 範例應用程式
  - 7.1. Tutorial 範例
  - 7.2. Contacts
  - 7.3. LDAP 範例
  - 7.4. OpenID 範例
  - 7.5. CAS 範例
  - 7.6. JAAS 範例
  - 7.7. 預先驗證範例
- 1. Spring Security 社群
  - 8.1. 問題追蹤
  - 8.2. 參與
  - 8.3. 未來資訊
II. 架構及實作
- 1. 技術概觀
  - 9.1. 運行環境
  - 9.2. 核心組件
  - 9.3. 權限驗證
  - 9.4. 網路應用程式的權限驗證
  - 9.5. 存取控制 (授權管理)
  - 9.6. 在地化
- 10. 核心服務
  - 10.1. AuthenticationManager、ProviderManager 及 AuthenticationProvider
  - 10.2. 實作 UserDetailsService
  - 10.3. 密碼編碼
  - 10.4. Jackson 支援
III. 測試
- 1. 測試方法安全
  - 11.1. 設定安全測試
  - 11.2. @WithMockUser
  - 11.3. @WithAnonymousUser
  - 11.4. @WithUserDetails
  - 11.5. @WithSecurityContext
  - 11.6. 測試元註解
- 1. Spring MVC 測試整合
  - 12.1. 設定 MockMvc 及 Spring Security
  - 12.2. SecurityMockMvcRequestPostProcessors
  - 12.3. SecurityMockMvcRequestBuilders
  - 12.4. SecurityMockMvcResultMatchers
IV. 網路應用程式安全
- 14. Security Filter Chain
  - 14.1. DelegatingFilterProxy
  - 14.2. FilterChainProxy
  - 14.3. Filter 排序
  - 14.4. 請求匹配與 HttpFirewall
  - 14.5. 與其他 filter 基礎的框架一起使用
  - 14.6. 進階命名空間設定
- 15. 核心 Security Filter
- 16. Servlet 介面整合
- 17. 基本及摘要驗證
  - 17.1. BasicAuthenticationFilter
  - 17.2. DigestAuthenticationFilter
- 1. 記得我驗證
- 1. CSRF
  - 19.1. CSRF 攻擊
  - 19.2. 同步 Token 樣式
  - 19.3. 何時使用 CSRF 保護機制
  - 19.4. 使用 CSRF 保護機制
  - 19.5. CSRF 注意事項
  - 19.6. Override 預設
- 1. CORS
- 1. 安全 HTTP 回應表頭
- 1. Session 管理
- 1. 匿名驗證
- 1. WebSocket 安全控制
V. 授權管理
- 1. 授權管理架構
  - 25.1. 權限
  - 25.2. 觸發前處理
  - 25.3. 觸發後處理
  - 25.4. 階層式腳色
- 1. 實作 Secure Object
  - 26.1. AOP Alliance (MethodInvocation) 安全攔截器
  - 26.2. AspectJ (JoinPoint) 安全攔截器
- 1. 表達式存取控制
  - 27.1. 總覽
  - 27.2. 網路安全表達式
  - 27.3. 方法安全表達式
VI. 其他主題
- 1. 整合 Spring MVC
  - 39.1. @EnableWebMvcSecurity
  - 39.2. MvcRequestMatcher
  - 39.3. @AuthenticationPricipal
  - 39.4. Spring MVC 非同步整合
  - 39.5. Spring MVC 與 CSRF 整合
VII. 整合 Spring Data
VIII. 附錄
- 1. FAQ
  - 46.1. 概括性問題
  - 46.2. 常見問題
  - 46.3. 架構問題
  - 46.4. 常見「如何」問題

14. Security Filter Chain

14. Security Filter Chain

Spring Security 的 web 部分基礎完全是建立在標準 servlet filter 上，並不使用 servlet 或在內部使用任何基於 servlet 的框架，例如 Spring MVC，所以並沒有跟特定 web 技術有強烈的關聯。

它處理 HttpServletRequest 跟 HttpServletResponse，並不管請求是從瀏覽器、web service 客戶端、HttpInvoker 或 AJAX 應用而來。

Spring Security 內部會維護一個 filter chain，其中的每個 filter 都有特定的責任，而且會依據需要哪一些服務而決定適用哪些 filter。

filter 的順序很重要，因為它們之間是有依賴關係的。

如果你曾經使用命名空間的方式做設定，那 Spring Security 就已經自動幫你設定好 filters，你不用特別定義任何 Spring bean。但當你要使用某些命名空間方式不支援的功能，或要使用自訂的類別時，你可能就想要完全掌控 security filter chain。