Spring Security 之不要太相信這個中文手冊

I. 前言
- 1. 準備開始
- 1. 介紹
  - 2.1. 什麼是 Spring Security
  - 2.2. 歷史
  - 2.3. 版本編號規則
  - 2.4. 取得 Spring Security
- 3. Spring Security 5.0 新增功能
- 4. 範例及指引 (由此開始)
- 5. Java 設定
  - 5.1. 初到貴寶地來用個 Java 設定
  - 5.2. HttpSecurity
  - 5.3. Java 設定及表單登入
  - 5.4. 設定授權請求
  - 5.5. 登出處理
  - 5.6. WebFlux 模組安全控制
  - 5.7. OAuth 2.0 登入
  - 5.8. 權限驗證
  - 5.9. 多重 HttpSecurity
  - 5.10. 方法層級安全
  - 5.11. 已設定物件的後處理
  - 5.12. 自訂 DSL 領域特定語言
- 1. Security 命名空間設定
  - 6.1. 介紹
  - 6.2. 開始使用安全命名空間設定
  - 6.3. 進階網路功能
  - 6.4. 方法安全
  - 6.5. 預設 AccessDecisionManager
  - 6.6. 驗證管理器與命名空間
- 1. 範例應用程式
  - 7.1. Tutorial 範例
  - 7.2. Contacts
  - 7.3. LDAP 範例
  - 7.4. OpenID 範例
  - 7.5. CAS 範例
  - 7.6. JAAS 範例
  - 7.7. 預先驗證範例
- 1. Spring Security 社群
  - 8.1. 問題追蹤
  - 8.2. 參與
  - 8.3. 未來資訊
II. 架構及實作
- 1. 技術概觀
  - 9.1. 運行環境
  - 9.2. 核心組件
  - 9.3. 權限驗證
  - 9.4. 網路應用程式的權限驗證
  - 9.5. 存取控制 (授權管理)
  - 9.6. 在地化
- 10. 核心服務
  - 10.1. AuthenticationManager、ProviderManager 及 AuthenticationProvider
  - 10.2. 實作 UserDetailsService
  - 10.3. 密碼編碼
  - 10.4. Jackson 支援
III. 測試
- 1. 測試方法安全
  - 11.1. 設定安全測試
  - 11.2. @WithMockUser
  - 11.3. @WithAnonymousUser
  - 11.4. @WithUserDetails
  - 11.5. @WithSecurityContext
  - 11.6. 測試元註解
- 1. Spring MVC 測試整合
  - 12.1. 設定 MockMvc 及 Spring Security
  - 12.2. SecurityMockMvcRequestPostProcessors
  - 12.3. SecurityMockMvcRequestBuilders
  - 12.4. SecurityMockMvcResultMatchers
IV. 網路應用程式安全
- 14. Security Filter Chain
  - 14.1. DelegatingFilterProxy
  - 14.2. FilterChainProxy
  - 14.3. Filter 排序
  - 14.4. 請求匹配與 HttpFirewall
  - 14.5. 與其他 filter 基礎的框架一起使用
  - 14.6. 進階命名空間設定
- 15. 核心 Security Filter
- 16. Servlet 介面整合
- 17. 基本及摘要驗證
  - 17.1. BasicAuthenticationFilter
  - 17.2. DigestAuthenticationFilter
- 1. 記得我驗證
- 1. CSRF
  - 19.1. CSRF 攻擊
  - 19.2. 同步 Token 樣式
  - 19.3. 何時使用 CSRF 保護機制
  - 19.4. 使用 CSRF 保護機制
  - 19.5. CSRF 注意事項
  - 19.6. Override 預設
- 1. CORS
- 1. 安全 HTTP 回應表頭
- 1. Session 管理
- 1. 匿名驗證
- 1. WebSocket 安全控制
V. 授權管理
- 1. 授權管理架構
  - 25.1. 權限
  - 25.2. 觸發前處理
  - 25.3. 觸發後處理
  - 25.4. 階層式腳色
- 1. 實作 Secure Object
  - 26.1. AOP Alliance (MethodInvocation) 安全攔截器
  - 26.2. AspectJ (JoinPoint) 安全攔截器
- 1. 表達式存取控制
  - 27.1. 總覽
  - 27.2. 網路安全表達式
  - 27.3. 方法安全表達式
VI. 其他主題
- 1. 整合 Spring MVC
  - 39.1. @EnableWebMvcSecurity
  - 39.2. MvcRequestMatcher
  - 39.3. @AuthenticationPricipal
  - 39.4. Spring MVC 非同步整合
  - 39.5. Spring MVC 與 CSRF 整合
VII. 整合 Spring Data
VIII. 附錄
- 1. FAQ
  - 46.1. 概括性問題
  - 46.2. 常見問題
  - 46.3. 架構問題
  - 46.4. 常見「如何」問題

25.2. 觸發前處理

25.2. 觸發前處理

我們在 9.5.2. Secure Object 及 AbstractSecurityInterceptor 也看到，Spring Security 提供許多攔截器來控制 secure object 的存取，例如方法觸發或網路請求。

一個是否允許觸發的觸發前決策是由 AccessDecisionManager 來做。

25.2.1. `AccessDecisionManager`

AccessDecisionManager 是由 AbstractSecurityInterceptor 來呼叫，並且負責做最終存取控制決策。

AccessDecisionManager 介面包含三個方法：

void decide(Authentication authentication, Object secureObject, Collection<ConfigAttribute> attrs) throws AccessDeniedException;

boolean supports(ConfigAttribute attribute);

boolean supports(Class clazz);

AccessDecisionManager 所需用來做出授權決策的相關資訊都會被傳入 decide() 方法，特別是將 secure Object 傳入，以對真正傳入 secure object 觸發過程的參數進行檢驗。

舉例來說，假設 secure object 是一個 MethodInvocation，它就可以很簡單的查詢 MethodInvocation 是否有任何的 Customer 參數，並在 AccessDecisionManger 實作某種安全邏輯來確保使用端被允許對該 customer 進行操作，並且實作應該要在存取被拒的時候拋出 AccessDeniedException。

supports(ConfigAttribute) 方法會在 AbstractSecurityInterceptor 初始時被觸發，以決定該 AccessDecisionManager 是否可以處理傳入的 ConfigAttribute；而 supports(Class) 方法則會被某個安全攔截器的實作觸發，以確保該 AccessDecisionManager 支援該攔截器會攔截的 secure object 類型

25.2. 觸發前處理

25.2.1. AccessDecisionManager

25.2.2. 投票機制的 AccessDecisionManager 實作

25.2.1. `AccessDecisionManager`

25.2.2. 投票機制的 `AccessDecisionManager` 實作