Web 安全 (Web Security)

Spring Security 项目为保护 Web 应用程序免受恶意攻击提供了全面的支持。

核心集成

Spring MVC 与 Spring Security 有着深度的集成，涵盖了以下几个重要方面：

1. 认证与授权 (Authentication & Authorization)

确保只有经过验证的用户才能访问特定的路径或方法。

2. CSRF 防护

自动为表单注入 CSRF 令牌，并验证所有的状态改变请求（POST, PUT, DELETE）。

3. 安全响应头 (Security Headers)

自动添加以下标头以增强安全性：

• X-Content-Type-Options: nosniff
• X-Frame-Options: DENY
• Strict-Transport-Security (HSTS)

测试支持

Spring Security 为 MockMvc 提供了专门的支持，允许在测试中模拟登录用户：

mockMvc.perform(get("/admin").with(user("admin").roles("ADMIN")))
    .andExpect(status().isOk());

---

补充教学

1. 永远不要试图自己写安全框架

Web 安全是一个极其复杂且不断进化的领域。Spring Security 处理了数以百计的边缘情况和已知漏洞攻击。除非有非常特殊的硬件需求，否则应始终信任并应用成熟的安全框架。

2. 纵深防御 (Defense in Depth)

即便你在应用层使用了 Spring Security，也应该在网络层（如 Nginx/WAF）和数据库层（如最小权限原则）实施安全控制。安全是一个整体，而不是一个开关。

3. Hdiv

如果你有极高的安全合规要求（如防止表单参数篡改），除了 Spring Security，还可以考虑集成 HDIV。