Spring Security 之不要太相信這個中文手冊

I. 前言
- 1. 準備開始
- 1. 介紹
  - 2.1. 什麼是 Spring Security
  - 2.2. 歷史
  - 2.3. 版本編號規則
  - 2.4. 取得 Spring Security
- 3. Spring Security 5.0 新增功能
- 4. 範例及指引 (由此開始)
- 5. Java 設定
  - 5.1. 初到貴寶地來用個 Java 設定
  - 5.2. HttpSecurity
  - 5.3. Java 設定及表單登入
  - 5.4. 設定授權請求
  - 5.5. 登出處理
  - 5.6. WebFlux 模組安全控制
  - 5.7. OAuth 2.0 登入
  - 5.8. 權限驗證
  - 5.9. 多重 HttpSecurity
  - 5.10. 方法層級安全
  - 5.11. 已設定物件的後處理
  - 5.12. 自訂 DSL 領域特定語言
- 1. Security 命名空間設定
  - 6.1. 介紹
  - 6.2. 開始使用安全命名空間設定
  - 6.3. 進階網路功能
  - 6.4. 方法安全
  - 6.5. 預設 AccessDecisionManager
  - 6.6. 驗證管理器與命名空間
- 1. 範例應用程式
  - 7.1. Tutorial 範例
  - 7.2. Contacts
  - 7.3. LDAP 範例
  - 7.4. OpenID 範例
  - 7.5. CAS 範例
  - 7.6. JAAS 範例
  - 7.7. 預先驗證範例
- 1. Spring Security 社群
  - 8.1. 問題追蹤
  - 8.2. 參與
  - 8.3. 未來資訊
II. 架構及實作
- 1. 技術概觀
  - 9.1. 運行環境
  - 9.2. 核心組件
  - 9.3. 權限驗證
  - 9.4. 網路應用程式的權限驗證
  - 9.5. 存取控制 (授權管理)
  - 9.6. 在地化
- 10. 核心服務
  - 10.1. AuthenticationManager、ProviderManager 及 AuthenticationProvider
  - 10.2. 實作 UserDetailsService
  - 10.3. 密碼編碼
  - 10.4. Jackson 支援
III. 測試
- 1. 測試方法安全
  - 11.1. 設定安全測試
  - 11.2. @WithMockUser
  - 11.3. @WithAnonymousUser
  - 11.4. @WithUserDetails
  - 11.5. @WithSecurityContext
  - 11.6. 測試元註解
- 1. Spring MVC 測試整合
  - 12.1. 設定 MockMvc 及 Spring Security
  - 12.2. SecurityMockMvcRequestPostProcessors
  - 12.3. SecurityMockMvcRequestBuilders
  - 12.4. SecurityMockMvcResultMatchers
IV. 網路應用程式安全
- 14. Security Filter Chain
  - 14.1. DelegatingFilterProxy
  - 14.2. FilterChainProxy
  - 14.3. Filter 排序
  - 14.4. 請求匹配與 HttpFirewall
  - 14.5. 與其他 filter 基礎的框架一起使用
  - 14.6. 進階命名空間設定
- 15. 核心 Security Filter
- 16. Servlet 介面整合
- 17. 基本及摘要驗證
  - 17.1. BasicAuthenticationFilter
  - 17.2. DigestAuthenticationFilter
- 1. 記得我驗證
- 1. CSRF
  - 19.1. CSRF 攻擊
  - 19.2. 同步 Token 樣式
  - 19.3. 何時使用 CSRF 保護機制
  - 19.4. 使用 CSRF 保護機制
  - 19.5. CSRF 注意事項
  - 19.6. Override 預設
- 1. CORS
- 1. 安全 HTTP 回應表頭
- 1. Session 管理
- 1. 匿名驗證
- 1. WebSocket 安全控制
V. 授權管理
- 1. 授權管理架構
  - 25.1. 權限
  - 25.2. 觸發前處理
  - 25.3. 觸發後處理
  - 25.4. 階層式腳色
- 1. 實作 Secure Object
  - 26.1. AOP Alliance (MethodInvocation) 安全攔截器
  - 26.2. AspectJ (JoinPoint) 安全攔截器
- 1. 表達式存取控制
  - 27.1. 總覽
  - 27.2. 網路安全表達式
  - 27.3. 方法安全表達式
VI. 其他主題
- 1. 整合 Spring MVC
  - 39.1. @EnableWebMvcSecurity
  - 39.2. MvcRequestMatcher
  - 39.3. @AuthenticationPricipal
  - 39.4. Spring MVC 非同步整合
  - 39.5. Spring MVC 與 CSRF 整合
VII. 整合 Spring Data
VIII. 附錄
- 1. FAQ
  - 46.1. 概括性問題
  - 46.2. 常見問題
  - 46.3. 架構問題
  - 46.4. 常見「如何」問題

5.2. `HttpSecurity`

5.2. `HttpSecurity`

到目前為止，我們的 WebSecurityConfig 只包含了如何驗證使用者的資訊，但 Spring Security 要怎麼知道我們要求所有者用者都需要進行驗證？Spring Security 如何知道我們要使用表單驗證？

這是因為 WebSecurityConfigurerAdapter 在 configure(HttpSecurity http) 方法中有提供一些預設的設定如下：

protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()
			.anyRequest().authenticated()
			.and()
		.formLogin()
			.and()
		.httpBasic();
}

以上的預設設定包括：

確保所有對應用程式的請求都需要使用者通過驗證
允許使用者使用表單驗證
允許使用者使用 HTTP Basic 驗證

這跟 XML 命名空間方式的設定很像：

<http>
	<intercept-url pattern="/**" access="authenticated"/>
	<form-login />
	<http-basic />
</http>

Java 設定方式的 and() 等於 XML 的結束標籤，這樣我們就可以繼續對物件作設定。

但是 Java 設定方式有不同的預設 URL 跟參數，在自訂登入頁面的時候要注意這一點，這使得 URL 更貼近 RESTful 風格；另外，這樣讓我們在使用 Spring Security 上不會那麼明顯，以避免資訊洩漏 Information Leak 的問題。

5.2. HttpSecurity

5.2. `HttpSecurity`