SPRING SECURITY實戰（簡體書）

Laurenliu Spilca是Endava一位極為敬業的開發主管和培訓師，他具有十余年的Java經驗。

本書是一本關於 Spring Security 的應用指南，主要講解了 Spring Security 的基礎知

識點、核心概念，以及圍繞身份驗證和授權過程的關鍵處理流程。書中采取了循序漸

進、示例輔助的編寫方式，以期讓讀者能夠輕鬆入門並且隨著對本書的深入閱讀而能

穩步得到技能提升，同時也逐漸加深對於 Spring Security 和身份驗證以及授權過程的

理解。相信在通讀並深刻理解本書的內容之後，讀者就能夠熟練運用 Spring Security

對應用程序的各層進行安全配置。本書提供了許多應用示例，並且根據內容結構的編

排還提供了 3 個動手實踐的練習章節，這樣，讀者就能通過每一章的知識內容並且結

合實踐練習來鞏固所學知識。

本書面向使用 Spring 框架構建企業級應用程序的開發人員。每個開發人員都應該

從設計階段就開始考慮應用程序的安全性問題。本書將講解如何使用 Spring Security

配置應用程序級別的安全保障。使用 Spring 開發應用程序，開發人員必須了解如何正

確地使用 Spring Security，以及如何在應用程序中應用安全配置。這是非常重要的，如

果沒有經過體系化的學習和實踐就盲目地借助網絡資源應用 Spring Security，那麼所實

現的安全配置勢必有所缺失，從而造成應用程序存在漏洞或造成數據泄露的嚴重問題。

有鑒於此，建議從事 Spring 應用程序開發的人員閱讀本書並充分理解其中的內容。

自2008年以來，我一直擔任軟件開發工程師和軟件開發培訓師。可以這麼說，雖然我同時喜歡這兩個角色，但我還是傾向於成為一個培訓師/老師。對我而言，分享知識和幫助他人提高技能一直是我放在首要位置的事情。但我堅信，在這個領域，不能非此即彼。在某種程度上，任何軟件開發人員都必須扮演培訓師或指導者的角色，如果不首先對如何在真實場景中應用所講授的內容有一個透徹的理解，就不能勝任軟件開發領域的培訓師。
隨著經驗的積累，我逐漸理解了非功能性軟件需求的重要性，比如安全性、可維護性、性能等。甚至可以說，我花費在學習非功能性方面的時間比我學習新技術和框架上的時間還多。實際上，發現和解決功能性問題通常比解決非功能性問題要容易得多。這可能就是我遇到的許多開發人員害怕處理混亂的代碼、內存相關問題、多線程設計問題，當然還有安全漏洞的原因所在。
當然，安全性是最關鍵的非功能性軟件特性之一。而Spring Security是當今應用程序中最廣泛使用的安全框架之一。這是因為Spring Framework——Spring生態系統——被認為是Java和JVM領域中用於開發企業應用程序的技術的領導者。
但我特別關注的是，人們在學習正確使用Spring Security保護應用程序免受常見漏洞侵害時所面臨的困難。人們總是可以在網上找到關於Spring Security的所有詳細信息。但是，要將它們按照正確的順序組合在一起以便只需花費最少的精力就可以使用該框架，還需要花費大量的時間和積累大量的經驗。此外，不完整的知識可能會導致人們創建出難以維護和開發的解決方案，甚至可能暴露安全漏洞。很多時候，從事應用程序開發的團隊都會向我咨詢，發現Spring Security使用不當。而且，在許多情況下，其主要原因是對如何使用Spring Security缺乏透徹的理解。
正因為如此，我決定寫一本書來幫助Spring開發人員理解如何正確使用Spring Security。本書應該成為一項資源，幫助那些不了解Spring Security的人逐漸理解它。歸根結蒂，我希望本書能給讀者帶來巨大的價值，讓他們節省學習Spring Security的時間，以及避免在應用程序中引入所有可能的安全漏洞。

第Ⅰ部分 初識
第1章 安全性現狀
1．1 SpringSecurity的定義與用途
1．2 什麼是軟件安全性
1．3 安全性為什麼重要
1．4 Web應用程序中的常見安全漏洞
1．4．1 身份驗證和授權中的漏洞
1．4．2 什麼是會話固定
1．4．3 什麼是跨站腳本（XSS）
1．4．4 什麼是跨站請求偽造（CSRF）
1．4．5 理解Web應用程序中的注入漏洞
1．4．6 應對敏感數據暴露
1．4．7 缺乏方法訪問控制指的是什麼
1．4．8 使用具有己知漏洞的依賴項
1．5 各種架構中所應用的安全性
1．5．1 設計一個單體式Web應用程序
1．5．2 為前後端分離設計安全性
1．5．3 理解OAuth2流程
1．5．4 使用API鍵、加密簽名和IP驗證保護請求
1．6 本書知識內容
1．7 本章小結
第2章 Spring Security初探
2．1 開始構建首個項目
2．2 默認配置有哪些
2．3 重寫默認配置
2．3．1 重寫UserDetailsService組件
2．3．2 重寫端點授權配置
2．3．3 以不同方式設置配置
2．3．4 重寫AuthenticationProvider實現
2．3．5 在項目中使用多個配置類
2．4 本章小結

第Ⅱ部分 實現
第3章 管理用戶
3．1 在Spring Security中實現身份驗證
3．2 描述用戶
3．2．1 闡明UserDetails契約的定義
3．2．2 GrantedAuthority契約詳述
3．2．3 編寫UserDetails的最小化實現
3．2．4 使用構造器創建UserDetails類型的實例
3．2．5 合並與用戶相關的多個職能
3．3 指示Spring Security如何管理用戶
3．3．1 理解UserDetailsService契約
3．3．2 實現UserDetailsService契約
3．3．3 實現UserDetailsManager契約
3．4 本章小結
第4章 密碼處理
4．1 理解PasswordEncoder契約
4．1．1 PasswordEncoder契約的定義
4．1．2 實現PasswordEncoder契約
4．1．3 從PasswordEncoder提供的實現中選擇
4．1．4 使用DelegatingPassword Encoder實現多種編碼策略
4．2 Spring Security Crypto模塊的更多知識
4．2．1 使用密鑰生成器
4．2．2 將加密器用於加密和解密操作
4．3 本章小結
第5章 實現身份驗證
5．1 理解AuthenticationProvider
5．1．1 在身份驗證期間表示請求
5．1．2 實現自定義身份驗證邏輯
5．1．3 應用自定義身份驗證邏輯
5．2 使用SecurityContext
5．2．1 將一種保持策略用於安全上下文
5．2．2 將保持策略用於異步調用
5．2．3 將保持策略用於獨立應用程序
5．2．4 使用DelegatingSecurity-ContextRunnable轉發安全上下文
5．2．5 使用DelegatingSecurity-ContextExecutorService轉發安全上下文
5．3 理解HTIP Basic和基於表單的登錄身份驗證
5．3．1 使用和配置HTTP Basic
5．3．2 使用基於表單的登錄實現身份驗證
5．4 本章小結
第6章 動手實踐：一個小型且安全的Web應用程序
6．1 項目需求和設置
6．2 實現用戶管理
6．3 實現自定義身份驗證邏輯
6．4 實現主頁面
6．5 運行和測試應用程序
6．6 本章小結
第7章 配置權限：限制訪問
7．1 基於權限和角色限制訪問
7．1．1 基於用戶權限限制所有端點的訪問
……
附錄A 創建一個Spring Boot項目