JAVA安全内没有添加 java怎么添加安全站点

第一步是创建我们的Java配置。这个配置在你的应用程序中创建一个springSecurityFilterChain 的Servlet的过滤器，负责所有安全(例如 保护应用程序的URL,验证提交的用户名和密码，重定向到登陆的表单等等)。你可以在下面找到大部分Java配置项的例子：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.configuration.*;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user").password("password").roles("USER");
}
}

configureGlobal 方法的名字不重要，然而，重要的是只在一个被@EnableWebSecurity, @EnableGlobalMethodSecurity或者@EnableGlobalAuthentication注解的类中配置AuthenticationManagerBuilder，否则会有不可预知的后果。

真的是没有太多的配置，但它确实很多功能。你可以在下面的找到功能摘要：

在你的应用程序中对每个URL进行验证

为你生成一个登陆表单

允许用户使用用户名user和密码password使用验证表单进行验证。

允许用户登出

CSRF 攻击防范

Session保护

安全 Header 集成

对安全要求严格的HTTP传输安全

X-Content-Type-Options 集成

缓存控制(稍后可以允许你缓存静态资源)

X-XSS-Protection集成

X-Frame-Options集成防止点击劫持

和以下 Servlet API 方法集成

HttpServletRequest#getRemoteUser()
HttpServletRequest.html#getUserPrincipal()
HttpServletRequest.html#isUserInRole(java.lang.String)
HttpServletRequest.html#login(java.lang.String, java.lang.String)
HttpServletRequest.html#logout()
AbstractSecurityWebApplicationInitializer

下一步是在war里注册 springSecurityFilterChain. 这可以通过Spring在Servlet 3.0+环境中对WebApplicationInitializer的支持进行Java配置，Spring Security提供了基本的抽象类AbstractSecurityWebApplicationInitializer,这可以确保springSecurityFilterChain被注册。我们使用AbstractSecurityWebApplicationInitializer的不同方式取决于你是已经在使用Spring框架还是只使用了Spring Security。

Section 3.1.2, “AbstractSecurityWebApplicationInitializer 不与Spring一起使用” – 使用这个说明如果你没有使用Spring框架

Section 3.1.3, “AbstractSecurityWebApplicationInitializer 与Spring一起使用” – 如果你正在使用Spring框架使用这个说明

AbstractSecurityWebApplicationInitializer 不与Spring一起使用

如果你没有使用Spring MVC 或Spring , 你需要传递SecurityConfig到超类来确保配置被使用，你可以参考下面的例子：

import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
public SecurityWebApplicationInitializer() {
super(SecurityConfig.class);
}
}

SecurityWebApplicationInitializer将会做下面的事情:

自动为你的应用程序的每个URL注册springSecurityFilterChain 过滤器

添加一个 ContextLoaderListener用来载入SecurityConfig.

AbstractSecurityWebApplicationInitializer 与Spring一起使用

如果我们在应用程序的其他地方已经使用了Spring,那么我们已经有了一个WebApplicationInitializer用来载入Spring的配置。如果我们使用上面的配置将会得到一个错误。所以我们应该使用已经存在的ApplicationContext来注册Spring Security.举个例子，如果我们使用Spring MVC我们的SecurityWebApplicationInitializer应该看起来和下面的差不多：

import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
}

这会简单的只为你的应用程序的所有URL注册springSecurityFilterChain过滤器。然后我们需要确保这个Security配置被载入到我们已经存在的ApplicationInitializer. 例如, 如果你使用Spring MVC他应该被加入到 getRootConfigClasses()

public class MvcWebApplicationInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class>[] getRootConfigClasses() {
return new Class[] { SecurityConfig.class };
}
// ... other overrides ...
}