第 9 章　保护 Web 应用

本章内容：

• Spring Security 介绍

• 使用 Servlet 规范中的 Filter 保护 Web 应用

• 基于数据库和 LDAP 进行认证

有一点不知道你是否在意过，那就是在电视剧中大多数人从不锁门？这是司空见惯的现象。在《Seinfeld》中，Kramer 经常到 Jerry 的房间里并从他的冰箱里拿东西吃。在《Friends》中，很多剧中的角色经常不敲门就不假思索地进入别人的房间。有一次在伦敦，Ross 甚至闯入 Chandler 的旅馆房间，差一点就撞见 Chandler 和 Ross 妹妹的私情。

在《Leave it to Beaver》热播的时代，人们不锁门这事儿并不值得大惊小怪。但是在这个隐私和安全被看得极其重要的年代，看到电视剧中的角色允许别人大摇大摆地进入自己的寓所或家中，实在让人难以置信。

现在，信息可能是我们最有价值的东西，一些不怀好意的人想尽办法试图偷偷进入不安全的应用程序来窃取我们的数据和身份信息。作为软件开发人员，我们必须采取措施来保护应用程序中的信息。无论你是通过用户名/密码来保护电子邮件账号，还是基于交易 PIN 来保护经纪账户，安全性都是绝大多数应用系统中的一个重要切面 （aspect）。

我有意选择了“切面”这个词来描述应用系统的安全性。安全性是超越应用程序功能的一个关注点。应用系统的绝大部分内容都不应该参与到与自己相关的安全性处理中。尽管我们可以直接在应用程序中编写安全性功能相关的代码（这种情况并不少见），但更好的方式还是将安全性相关的关注点与应用程序本身的关注点进行分离。

如果你觉得安全性听上去好像是使用面向切面技术实现的，那你猜对了。在本章中，我们将使用切面技术来探索保护应用程序的方式。不过我们不必自己开发这些切面 —— 我们将介绍 Spring Security，这是一种基于 Spring AOP 和 Servlet 规范中的 Filter 实现的安全框架。