Spring Security 教程

2024-08-07 08:56:07作者：秋泉律Samson

1. 项目目录结构及介绍

在Spring Security项目中，目录结构通常遵循Maven的标准布局：

src/main/java: 包含所有Java源代码，按包分类。
- org.springframework.security: 这是核心库的源码，包括认证、授权和其他安全相关的组件。
- org.springframework.security.config: 配置相关类，用于构建安全上下文。
src/main/resources: 存放资源文件，如配置文件、消息源等。
- META-INF: Maven元数据和依赖版本信息。
- static, public: 应用的静态资源，例如CSS、JavaScript等。
src/test/java: 测试代码，通常分为单元测试和集成测试。
- org.springframework.security.test: 提供测试支持类和断言。
pom.xml: Maven项目的配置文件，定义了项目的依赖、插件和构建过程。

2. 项目的启动文件介绍

在Spring Security中，启动文件通常是基于Spring Boot的应用，它可能名为Application.java或者以@SpringBootApplication注解标识的任何其他类。示例：

package com.example;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.ComponentScan;

@SpringBootApplication
@ComponentScan(basePackages = "com.example.security") // 搜索自定义安全配置的位置
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

}

这里的@SpringBootApplication结合了@SpringBootConfiguration, @EnableAutoConfiguration 和 @ComponentScan，使应用程序自动加载Spring Security的默认配置，并允许扫描自定义的安全配置组件。

3. 项目的配置文件介绍

Spring Security的配置主要通过application.yml或application.properties文件进行。以下是一个简单的例子：

application.yml

spring:
  security:
    user:
      name: myUser # 默认用户名
      password: myPassword # 默认密码
      roles: USER # 用户角色

    basic:
      enabled: true # 启用HTTP基本身份验证

http:
  auto-config: true # 自动配置Spring Security
  security:
    csrf: 
      disabled: false # 是否禁用CSRF保护（默认启用）

    authorization:
      access-decision-manager-ref: customAccessDecisionManager # 自定义访问决策管理器
      expression-handler-ref: customExpressionHandler # 自定义表达式处理程序

    headers:
      frame-options: SAMEORIGIN # 设置X-Frame-Options策略

    form-login:
      login-processing-url: /login
      username-parameter: username
      password-parameter: password

    logout:
      invalidate-session: true # 登出时失效会话