在Java开发中，Spring Security 是一个强大的安全框架，用于保护基于Spring的应用程序。本文将详细介绍如何使用基于XML的配置来配置Spring Security，提供一个简单的认证和授权示例来保护应用程序。

引入Spring Security

首先，需要在项目中添加Spring Security的依赖。对于Maven项目，可以在pom.xml文件中添加如下依赖：

<dependencies>
    <!-- Spring Security核心库 -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-core</artifactId>
        <version>5.7.0</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>5.7.0</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.7.0</version>
    </dependency>
</dependencies>

配置Web安全

在Spring Security中，所有的安全配置都是从WebSecurityConfigurerAdapter继承的类中进行的。但在基于XML的配置中，我们将使用XML文件来定义安全策略。

1. 创建Spring Security配置文件

   创建一个名为 spring-security.xml 的文件，并加入以下基本配置：

   <beans:beans xmlns="http://www.springframework.org/schema/security"
                xmlns:beans="http://www.springframework.org/schema/beans"
                xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xsi:schemaLocation="http://www.springframework.org/schema/beans
                                    http://www.springframework.org/schema/beans/spring-beans.xsd
                                    http://www.springframework.org/schema/security
                                    http://www.springframework.org/schema/security/spring-security.xsd">
   
       <!-- 启用Web安全配置 -->
       <http auto-config="true">
           <intercept-url pattern="/admin/**" access="hasRole('ADMIN')" />
           <intercept-url pattern="/login*" access="permitAll" />
           <logout logout-success-url="/login?logout" />
           <form-login login-page="/login" default-target-url="/admin"
                       authentication-failure-url="/login?error" username-parameter="username"
                       password-parameter="password" />
       </http>
   
       <!-- 配置用户详情服务 -->
       <authentication-manager>
           <authentication-provider>
               <user-service>
                   <user name="admin" password="{noop}password" authorities="ROLE_ADMIN" />
               </user-service>
           </authentication-provider>
       </authentication-manager>
   </beans:beans>
   

解释配置

• <http> 标签用于配置如何通过拦截URL来保护Web请求。auto-config="true"属性自动配置一些默认的行为，如配置一个登录表单。

• <intercept-url> 标签用来定义URL的安全约束。在这个示例中，任何以 /admin/ 开头的URL都需要用户拥有ADMIN角色。

• <logout> 配置了登出功能，logout-success-url定义了登出成功后跳转的URL。

• <form-login> 定义了登录页面和登录成功或失败后的跳转URL。

• <authentication-manager> 和 <authentication-provider> 定义了一个简单的内存用户存储，用于验证用户身份。

集成Spring Security

将Spring Security集成到你的Spring应用中，需要在web.xml中配置DelegatingFilterProxy：

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

这将确保每个请求都经过Spring Security过滤器。

结论

通过上述步骤，你可以设置一个基于XML配置的Spring Security环境，用以处理认证和授权。这种方式虽然不如Java配置直观，但在一些旧项目或者喜欢将配置与代码分离的场景中仍然非常有用。