基础的网站安全 Java配置

• 在你的应用程序中对每个URL进行验证
• 为你生成一个登陆表单
• 允许用户使用用户名user和密码password使用验证表单进行验证。
• 允许用户登出
• Session保护
• 安全 Header 集成
  • 对安全要求严格的HTTP传输安全
  • X-Content-Type-Options 集成
  • 缓存控制(稍后可以允许你缓存静态资源)
  • X-XSS-Protection集成
  • X-Frame-Options集成防止点击劫持

下一步是在war里注册 springSecurityFilterChain. 这可以通过Spring在Servlet 3.0+环境中对WebApplicationInitializer的支持进行Java配置，Spring Security提供了基本的抽象类,这可以确保springSecurityFilterChain被注册。我们使用AbstractSecurityWebApplicationInitializer的不同方式取决于你是已经在使用Spring框架还是只使用了Spring Security。

• Section 3.1.2, “AbstractSecurityWebApplicationInitializer 不与Spring一起使用” - 使用这个说明如果你没有使用Spring框架
• Section 3.1.3, “AbstractSecurityWebApplicationInitializer 与Spring一起使用” - 如果你正在使用Spring框架使用这个说明

AbstractSecurityWebApplicationInitializer 不与Spring一起使用

将会做下面的事情:

• 添加一个 ContextLoaderListener用来载入.

AbstractSecurityWebApplicationInitializer 与Spring一起使用

这会简单的只为你的应用程序的所有URL注册springSecurityFilterChain过滤器。然后我们需要确保这个Security配置被载入到我们已经存在的ApplicationInitializer. 例如, 如果你使用Spring MVC他应该被加入到 getRootConfigClasses()