Spring Security 之不要太相信這個中文手冊

I. 前言
- 1. 準備開始
- 1. 介紹
  - 2.1. 什麼是 Spring Security
  - 2.2. 歷史
  - 2.3. 版本編號規則
  - 2.4. 取得 Spring Security
- 3. Spring Security 5.0 新增功能
- 4. 範例及指引 (由此開始)
- 5. Java 設定
  - 5.1. 初到貴寶地來用個 Java 設定
  - 5.2. HttpSecurity
  - 5.3. Java 設定及表單登入
  - 5.4. 設定授權請求
  - 5.5. 登出處理
  - 5.6. WebFlux 模組安全控制
  - 5.7. OAuth 2.0 登入
  - 5.8. 權限驗證
  - 5.9. 多重 HttpSecurity
  - 5.10. 方法層級安全
  - 5.11. 已設定物件的後處理
  - 5.12. 自訂 DSL 領域特定語言
- 1. Security 命名空間設定
  - 6.1. 介紹
  - 6.2. 開始使用安全命名空間設定
  - 6.3. 進階網路功能
  - 6.4. 方法安全
  - 6.5. 預設 AccessDecisionManager
  - 6.6. 驗證管理器與命名空間
- 1. 範例應用程式
  - 7.1. Tutorial 範例
  - 7.2. Contacts
  - 7.3. LDAP 範例
  - 7.4. OpenID 範例
  - 7.5. CAS 範例
  - 7.6. JAAS 範例
  - 7.7. 預先驗證範例
- 1. Spring Security 社群
  - 8.1. 問題追蹤
  - 8.2. 參與
  - 8.3. 未來資訊
II. 架構及實作
- 1. 技術概觀
  - 9.1. 運行環境
  - 9.2. 核心組件
  - 9.3. 權限驗證
  - 9.4. 網路應用程式的權限驗證
  - 9.5. 存取控制 (授權管理)
  - 9.6. 在地化
- 10. 核心服務
  - 10.1. AuthenticationManager、ProviderManager 及 AuthenticationProvider
  - 10.2. 實作 UserDetailsService
  - 10.3. 密碼編碼
  - 10.4. Jackson 支援
III. 測試
- 1. 測試方法安全
  - 11.1. 設定安全測試
  - 11.2. @WithMockUser
  - 11.3. @WithAnonymousUser
  - 11.4. @WithUserDetails
  - 11.5. @WithSecurityContext
  - 11.6. 測試元註解
- 1. Spring MVC 測試整合
  - 12.1. 設定 MockMvc 及 Spring Security
  - 12.2. SecurityMockMvcRequestPostProcessors
  - 12.3. SecurityMockMvcRequestBuilders
  - 12.4. SecurityMockMvcResultMatchers
IV. 網路應用程式安全
- 14. Security Filter Chain
  - 14.1. DelegatingFilterProxy
  - 14.2. FilterChainProxy
  - 14.3. Filter 排序
  - 14.4. 請求匹配與 HttpFirewall
  - 14.5. 與其他 filter 基礎的框架一起使用
  - 14.6. 進階命名空間設定
- 15. 核心 Security Filter
- 16. Servlet 介面整合
- 17. 基本及摘要驗證
  - 17.1. BasicAuthenticationFilter
  - 17.2. DigestAuthenticationFilter
- 1. 記得我驗證
- 1. CSRF
  - 19.1. CSRF 攻擊
  - 19.2. 同步 Token 樣式
  - 19.3. 何時使用 CSRF 保護機制
  - 19.4. 使用 CSRF 保護機制
  - 19.5. CSRF 注意事項
  - 19.6. Override 預設
- 1. CORS
- 1. 安全 HTTP 回應表頭
- 1. Session 管理
- 1. 匿名驗證
- 1. WebSocket 安全控制
V. 授權管理
- 1. 授權管理架構
  - 25.1. 權限
  - 25.2. 觸發前處理
  - 25.3. 觸發後處理
  - 25.4. 階層式腳色
- 1. 實作 Secure Object
  - 26.1. AOP Alliance (MethodInvocation) 安全攔截器
  - 26.2. AspectJ (JoinPoint) 安全攔截器
- 1. 表達式存取控制
  - 27.1. 總覽
  - 27.2. 網路安全表達式
  - 27.3. 方法安全表達式
VI. 其他主題
- 1. 整合 Spring MVC
  - 39.1. @EnableWebMvcSecurity
  - 39.2. MvcRequestMatcher
  - 39.3. @AuthenticationPricipal
  - 39.4. Spring MVC 非同步整合
  - 39.5. Spring MVC 與 CSRF 整合
VII. 整合 Spring Data
VIII. 附錄
- 1. FAQ
  - 46.1. 概括性問題
  - 46.2. 常見問題
  - 46.3. 架構問題
  - 46.4. 常見「如何」問題

I. 前言

I. 前言

Spring Security 為 Java EE 企業級應用程式提供了一個全面的安全方案，在探索本手冊的過程中，你會發現我們試圖提供一個實用且容許高度客製化的安全系統。

安全是一個需要持續追求的目標，需要一個全面的系統性方法。我們鼓勵將安全分層，而每一層都試圖在其範圍內盡量達到安全，這樣連續性的安全層級會更有保障。而且每層的安全聯繫越緊密，你的應用程式就會更穩固與安全。

在底層，你需要處理如傳輸安全及系統識別等問題，以減輕 MITM 中間人攻擊；接著你通常會利用防火牆，可能搭配 VPN 或 IPsec 以確保只有通過授權的系統可以嘗試連接。在企業環境，你可能會佈署一個 DMZ 將公開的伺服器從後端資料庫和應用程式伺服器中分離出來。

作業系統也是個重要的腳色，處理像是以無特殊權限使用者身分執行程序，以及最大化檔案系統安全等問題。作業系統也常與其隨附的防火牆一起做設定。希望在這過程當中你還記得要阻擋 DOS 跟暴力破解的攻擊。在監看及回應攻擊方面，IDS 會特別有用，這種系統可以提供如即時阻絕入侵的 TCP/IP 位址等保護的手段。

進入到較高的層級，你會希望對 JVM 做設定以盡量減少可以通過許可的 Java 類型，然後在你的應用程式加上特定領域的安全設定，Spring Security 可以讓你對特定領域做安全設定時更容易。

當然，你必須適當的處理上面提到每個層級的安全，並把每層會碰到的管理層面因素考慮進去，例如 security bulletin monitoring、patching、personnel vetting、審計、change control、engineering management systems、資料備份、災難復原、performance benchmarking、負載監控、集中化日誌、事件回應程序等等。

而即使有 Spring Security 在企業級應用程式安全層級的幫助，你也會發現不同商業領域的問題就有不同的需求。例如銀行應用程式的需求就跟電商的需求不同，電商應用系統也跟企業銷售自動化工具的需求不同。這些不同的需求也讓應用程式的安全有趣(?)、有挑戰性也更有成就感。

一開始請完整閱讀 1. 準備開始這個章節，當中會介紹框架，並使用命名空間作設定，讓你可以快速地開始並運作；如果想要更了解 Spring Security 如何運作以及可能需要用到的某些類別，你可以接著參考 II. 架構及實作；其餘的部分是以比較傳統的方式撰寫，以供需要的時候依需求查看。

但我們還是建議盡量閱讀有關應用程式安全的議題，畢竟 Spring Security 不是所有安全問題的萬靈丹，重要的還是在開始設計應用程式的時候就留意安全性，改造重構並不是個好主意。在建構應用程式的時候，你就應該考慮到淺在的漏洞，例如 XSS、CSRF 及連線劫持等。

OWASP 網站列出目前前十大網路應用程式的漏洞，並提供許多有用的參考資訊。

希望這個手冊對你有幫助，也歡迎回饋跟建議。

最後，歡迎來到 Spring Security 社群。