Spring Security的XML配置怎么写

Spring Security XML配置适用于旧版（如4.2.x），需在applicationContext-security.xml中定义命名空间、http安全规则、authentication-manager等，并通过web.xml加载；但自Spring 5/Boot 2.0起官方主推Java Config，XML不再维护且Boot默认不支持。

Spring Security 的 XML 配置在较老版本（如 Spring 3.x / 4.x）中常用，但自 Spring 5 和 Spring Boot 2.0 起，官方已强烈推荐使用 Java Config（@Configuration + WebSecurityConfigurerAdapter 或新式 SecurityFilterChain），XML 方式不再被积极维护，且 Spring Boot 默认不支持 XML 安全配置。

不过如果你维护遗留项目、必须用 XML，或学习传统配置逻辑，以下是典型、可运行的 Spring Security XML 配置要点和示例（基于 Spring Security 4.2.x + Spring 4.x）：

基础 XML 配置结构

需在 Spring 的主配置文件（如 applicationContext-security.xml）中定义，确保引入正确命名空间：

注意：

• `{noop}` 表示明文密码（仅用于测试），生产环境必须用 `{bcrypt}` 等加密前缀 + 编码后密码
• `auto-config="true"` 自动启用 form-login、csrf、logout 等常见功能；设为 `false` 则需手动配置每项
• 该 XML 文件需被 Spring 容器加载，例如在 web.xml 中通过 `ContextLoaderListener` 引入：

    contextConfigLocation
    
        classpath:applicationContext.xml
        classpath:applicationContext-security.xml
    

关键配置项说明

常见需求对应 XML 写法：

Lessie AI

一款定位为「People Search AI Agent」的AI搜索智能体

下载

• 关闭 CSRF（仅调试用）： `` 放在 `` 内
• 自定义登录成功/失败跳转： `ailure-handler-ref="myFailureHandler"/>`（需提前定义 Bean）
• JDBC 认证： 替换 `` 为 ``，并确保 `dataSource` Bean 已定义
• 角色层级（如 ROLE_ADMIN 可访问 ROLE_USER 资源）： 在 `` 外加 `access-control>` 或用 `` 配合自定义 `RoleHierarchy` Bean

与 Web 集成要点

XML 配置生效的前提：

• 确保 `spring-security-web` 和 `spring-security-config` JAR 在 classpath（Maven 依赖需齐全）
• 在 `web.xml` 中注册 Spring Security 过滤器链：

    springSecurityFilterChain
    org.springframework.web.filter.DelegatingFilterProxy


    springSecurityFilterChain
    /*

这是核心——没有它，XML 配置完全不会执行。

为什么不推荐继续用 XML？

不是“不能用”，而是现实约束明显：

• XML 无法利用 Java 编译期检查，配错属性名或值类型只能运行时报错
• 复杂逻辑（如动态权限、OAuth2、JWT 解析）在 XML 中难以表达，最终还得写 Java 类+注入
• Spring Boot 项目默认忽略 XML 安全配置，强行启用需额外排除自动配置、手动注册 `FilterChainProxy`，得不偿失
• 社区支持、文档、Stack Overflow 示例几乎全部转向 Java Config

基本上就这些。真要维护 XML 项目，建议逐步将安全逻辑抽成 `AuthenticationProvider`、`AccessDecisionVoter` 等 Java 组件，再由 XML 引用，为后续迁移铺路。