Spring Security（安全框架，必须登录成功才能访问指定资源）

一、背景知识 

 1、Spring Security

• 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
• 它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（IOC: 控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能。
• 减少了为企业系统安全控制编写大量重复代码的工作。

2、Spring表达式语言（Spring Expression Language，简称SpEL）

•  是一种支持在Spring框架中进行表达式计算的语言。
• SpEL提供了一种在运行时计算表达式的能力，这些表达式可以用于在Spring配置文件中进行属性的赋值、条件的判断、方法的调用等操作。SpEL可以用于注解、XML配置文件和Java代码中。
• SpEL支持一系列功能，包括对对象属性的引用、方法调用、算术运算、逻辑运算、条件判断、正则表达式等。
• 在Spring框架中，SpEL通常用于在Bean定义或注解中进行复杂的配置、条件判断、动态计算属性值等操作。

下面是一个使用SpEL的示例：

@Value("#{systemProperties['java.home']}")
private String javaHome;

在这个示例中，SpEL被用来注入系统属性java.home的值到javaHome变量中。

SpEL为Spring框架提供了更加灵活和强大的表达式计算能力，使得开发人员可以更加方便地进行配置和业务逻辑的编写。

3、 CSRF（Cross-Site Request Forgery，跨站请求伪造）

• 是一种网络安全攻击，它利用了用户在当前已登录的Web应用程序中的权限，通过伪装成用户的请求来执行非授权的操作。攻击者可以通过各种方式诱使用户访问恶意网站或点击恶意链接，从而在后台执行未经授权的操作，例如修改用户资料、发送消息等。
• CSRF攻击通常利用了Web应用程序的安全漏洞，其中最常见的是应用程序在处理用户请求时未能验证请求来源的有效性。攻击者可以通过构造恶意的请求并引诱用户执行，来实施CSRF攻击。对于受害者来说，他们可能并不知晓这些操作的发生，因此对于Web应用程序来说，防御CSRF攻击非常重要。
• 为了防御CSRF攻击，通常采用的策略包括使用CSRF令牌（CSRF token）来验证请求的来源、使用同源策略（Same Origin Policy）来限制跨站点请求、使用双重提交 cookie 策略等。在Web应用程序的设计和实现中，针对CSRF攻击进行全面的防御是非常重要的一环。
• csrf验证的作用: 判断此请求是否是从本站发起,做静态的登录页面时,要把它关掉

4、使用HTML5来创建html文件还是用HTML4？

建议您使用HTML5来创建index.html文件。HTML5是当前主流的HTML版本，具有更多的新特性和功能，包括语义化标签、音视频支持、canvas绘图、表单验证等等。同时，HTML5也更符合现代Web开发的需求，并且被各大浏览器广泛支持。

虽然HTML4仍然可以在现代浏览器中正常工作，但HTML5提供了更多的优势和新特性，因此建议您选择HTML5来创建index.html文件。

二、代码实例

1、代码结构： 

2、具体代码

pom.xml

出现这个问题大概率是spring和spring security版本不兼容，需要升级或降级Spring框架或Spring Security版本以解决这个问题

    4.0.0

    cn.itcast.demo
    securityDemo
    1.0-SNAPSHOT
    war
    
        5.2.15.RELEASE
    
    
    
        
            org.springframework
            spring-core
            ${spring.version}
        
        
            org.springframework
            spring-web
            ${spring.version}
        
        
            org.springframework
            spring-webmvc
            ${spring.version}
        
        
            org.springframework
            spring-context-support
            ${spring.version}
        
        
            org.springframework
            spring-jdbc
            ${spring.version}
        
        
            org.springframework.security
            spring-security-web
            5.1.5.RELEASE
        
        
            org.springframework.security
            spring-security-config
            5.1.5.RELEASE
        
        
            javax.servlet
            servlet-api
            2.5
            provided
        
    
    
        
            
            
                org.apache.maven.plugins
                maven-compiler-plugin
                3.2
                
                    1.8
                    1.8
                    UTF-8
                
            
            
                org.apache.tomcat.maven
                tomcat7-maven-plugin
                2.2
                
                    9090
                    /
                
            
        
    

PasswordEncoderExample

需要使用BCryptPasswordEncoder对密码进行加密，然后将加密后的密码复制到配置文件中

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * 使用BCrypt加密后的密码
 */
public class PasswordEncoderExample {
    public static void main(String[] args) {
        //原密码
        String rawPassword="123456";
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        //加密后的密码
        String encodedPassword = encoder.encode(rawPassword);
        System.out.println(encodedPassword);
    }
}

控制台输出：

 spring-security.xml

在最新版本的Spring Security中，密码编码器的配置变得更加严格以确保安全性。因此，必须为密码配置正确的编码器，否则会出现 "There is no PasswordEncoder mapped for the id 'null'" 的异常。

 web.xml

    
        contextConfigLocation
        classpath:spring-security.xml
    
    
        org.springframework.web.context.ContextLoaderListener
    
    
        springSecurityFilterChain
        
        org.springframework.web.filter.DelegatingFilterProxy
    
    
        
        springSecurityFilterChain
        /*
    

index.html

    
    


欢迎!欢迎!欢迎!

退出

 login.html

    
    


    

        

            

                
用户名: 
                

            
            

                
密码: 
                

            
            

                
登录>
            
        
    

运行结果：

运行：

 默认登录页面： 

 自定义登录页面：

登录后访问的页面：

 退出后的页面：