DOMANDA: Che cosa significano i tag che scrivo negli xml quando configuro Spring Security 3.1? Quali sono le impostazioni minime? RISPOSTA: Configurare Spring Security 3.1 non è difficile, ma ci si può facilmente perdere per strada se non si ha il giusto approccio al problema e se non si conoscono almeno le funzionalità di base offerte. Se cercate un'esecuzione al volo di codice funzionante, c'è un'altra mia risposta  sempre su questo blog. In questo post spiego in maniera più curata i dettagli. Visione di insieme di Spring Security 3.1: Spring Security è un framework per Java EE che si occupa di mettere in sicurezza un progetto enterprise utilizzando come concetti di base l' autenticazione , le autorizzazioni ed eventuale crittografia  della password. Per poterlo utilizzare c'è però bisogno di configurarlo in maniera opportuna e seguire delle linee guida. Questa discussione dà per scontato e ragiona su un prog

DOMANDA: Perché non basta fare i controlli di sicurezza in una pagina JSP che rimanda ad una Servlet? RISPOSTA: La servlet è esposta (tramite configurazione del file web.xml ) allo stesso modo di una JSP, quindi è pubblica. Chiunque la può richiamare via GET , POST o per qualunque metodo previsto dalla servlet stessa e quindi si potrebbe avere una risposta bypassando la JSP e quindi i controlli in essa contenuti. Quindi è corretto (e fondamentale) mettere in sicurezza anche l’accesso alla servlet. La regola che vige per il web è che qualunque input o output che  proviene o può provenire da un utente (quindi da una fonte non sicura) deve essere controllata/filtrata.