共计 11779 个字符,预计需要花费 30 分钟才能阅读完成。
意识 Spring Security
Spring Security 是为基于 Spring 的应用程序提供申明式平安爱护的安全性框架。Spring Security 提供了残缺的安全性解决方案,它可能在 Web 申请级别和办法调用级别解决身份认证和受权。因为基于 Spring 框架,所以 Spring Security 充分利用了依赖注入(dependency injection,DI)和面向切面的技术。
外围性能
对于一个权限治理框架而言,无论是 Shiro 还是 Spring Security,最最外围的性能,无非就是两方面:
认证
受权
艰深点说,认证就是咱们常说的登录,受权就是权限甄别,看看申请是否具备相应的权限。
认证(Authentication)
Spring Security 反对多种不同的认证形式,这些认证形式有的是 Spring Security 本人提供的认证性能,有的是第三方规范组织制订的,次要有如下一些:
一些比拟常见的认证形式:
HTTP BASIC authentication headers:基于 IETF RFC 规范。
HTTP Digest authentication headers:基于 IETF RFC 规范。
HTTP X.509 client certificate exchange:基于 IETF RFC 规范。
LDAP:跨平台身份验证。
Form-based authentication:基于表单的身份验证。
Run-as authentication:用户用户长期以某一个身份登录。
OpenID authentication:去中心化认证。
除了这些常见的认证形式之外,一些比拟冷门的认证形式,Spring Security 也提供了反对。
Jasig Central Authentication Service:单点登录。
Automatic “remember-me” authentication:记住我登录(容许一些非敏感操作)。
Anonymous authentication:匿名登录。
……
作为一个凋谢的平台,Spring Security 提供的认证机制不仅仅是下面这些。如果下面这些认证机制仍然无奈满足你的需要,咱们也能够本人定制认证逻辑。当咱们须要和一些“老破旧”的零碎进行集成时,自定义认证逻辑就显得十分重要了。
受权(Authorization)
无论采纳了下面哪种认证形式,都不影响在 Spring Security 中应用受权性能。Spring Security 反对基于 URL 的申请受权、反对办法拜访受权、反对 SpEL 访问控制、反对域对象平安(ACL),同时也反对动静权限配置、反对 RBAC 权限模型等,总之,咱们常见的权限治理需要,Spring Security 基本上都是反对的。
我的项目实际
创立 maven 工程
我的项目依赖如下:
<dependencies>
<!– 以下是 >spring boot 依赖 –>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!– 以下是 >spring security 依赖 –>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
</dependencies>
复制代码
提供一个简略的测试接口,如下:
@RestController
public class HelloController {
@GetMapping(“/hello”)
public String hello() {
return "hello,hresh";
}
@GetMapping(“/hresh”)
public String sayHello() {
return "hello,world";
}
}
复制代码
再创立一个启动类,如下:
@SpringBootApplication
public class SecurityInMemoryApplication {
public static void main(String[] args) {
SpringApplication.run(SecurityInMemoryApplication.class, args);
}
}
复制代码
在 Spring Security 中,默认状况下,只有增加了依赖,咱们我的项目的所有接口就曾经被通通爱护起来了,当初启动我的项目,拜访 /hello 接口,就须要登录之后才能够拜访,登录的用户名是 user,明码则是随机生成的,在我的项目的启动日志中,如下所示:
Using generated security password: 21596f81-e185-4b6a-a8ff-1b21e2a60c6f
复制代码
咱们尝试拜访 /hello 接口,因为该接口被 Spring Security 爱护起来了,重定向到 /login 接口,如下图所示:
输出账号和明码后,即可拜访 /hello 接口。
那么如何自定义登录用户信息呢?以及 Spring Security 如何晓得咱们想要反对基于表单的身份验证?
认证
启用 web 安全性性能
Spring Security 提供了用户名明码登录、退出、会话治理等认证性能,只须要配置即可应用。
在 Spring Security 5.7 版本之前,或者 SpringBoot2.7 之前,咱们都是继承 WebSecurityConfigurerAdapter 来配置。
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// 定义用户信息服务(查问用户信息)
@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
return manager;
}
// 明码编码器, 不加密,字符串间接比拟
@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/hello");
}
// 平安拦挡机制(最重要)
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
}
}
复制代码
Spring Security 提供了这种链式的办法调用。下面配置指定了认证形式为 HTTP Basic 登录,并且所有申请都须要进行认证。
这里有一点须要留神,我没并没有在 Spring Security 配置类上应用 @EnableWebSecurity 注解。这是因为在非 Spring Boot 的 Spring Web MVC 利用中,注解 @EnableWebSecurity 须要开发人员本人引入以启用 Web 平安。而在基于 Spring Boot 的 Spring Web MVC 利用中, 开发人员没有必要再次援用该注解,Spring Boot 的主动配置机制 WebSecurityEnablerConfiguration 曾经引入了该注解,如下所示:
package org.springframework.boot.autoconfigure.security.servlet;
// 省略 imports 行
@Configuration(
proxyBeanMethods = false
)
@ConditionalOnMissingBean(
name = {“springSecurityFilterChain”}
)
@ConditionalOnClass({EnableWebSecurity.class})
@ConditionalOnWebApplication(
type = Type.SERVLET
)
@EnableWebSecurity
class WebSecurityEnablerConfiguration {
WebSecurityEnablerConfiguration() {
}
}
复制代码
实际上,一个 Spring Web 利用中,WebSecurityConfigurerAdapter 可能有多个 , @EnableWebSecurity 能够不必在任何一个 WebSecurityConfigurerAdapter 上,能够用在每个 WebSecurityConfigurerAdapter 上,也能够只用在某一个 WebSecurityConfigurerAdapter 上。多处应用 @EnableWebSecurity 注解并不会导致问题,其最终运行时成果跟应用 @EnableWebSecurity 一次成果是一样的。
在 userDetailsService()办法中,咱们返回了一个 UserDetailsService 给 Spring 容器,Spring Security 会应用它来获取用户信息。咱们临时应用 InMemoryUserDetailsManager 实现类,并在其中别离创立了 zhangsan、lisi 两个用户,并设置明码和权限。
在 configure(HttpSecurity http)办法中进入如下配置:
确保对咱们的应用程序的任何申请都要求用户进行身份验证
容许用户应用基于表单的登录进行身份验证
容许用户应用 HTTP 根本身份验证进行身份验证
留神上述还有一个 passwordEncoder()办法,在 IDEA 中会提醒 NoOpPasswordEncoder 已过期。这是因为 Spring Security 5 对 PasswordEncoder 做了相干的重构,原先默认配置的 PlainTextPasswordEncoder(明文明码)被移除了,想要做到明文存储明码,只能应用一个过期的类来过渡。
// 退出
// 已过期
@Bean
PasswordEncoder passwordEncoder(){
return NoOpPasswordEncoder.getInstance();
}
复制代码
Spring Security 提供了多品种来进行明码编码,并作为了相干配置的默认配置,只不过没有裸露为全局的 Bean。在理论利用中应用明文校验明码必定是存在危险的,NoOpPasswordEncoder 只能存在于 demo 中。
// 理论利用
@Bean
PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
// 加密形式与对应的类
bcrypt – BCryptPasswordEncoder (Also used for encoding)
ldap – LdapShaPasswordEncoder
MD4 – Md4PasswordEncoder
MD5 – new MessageDigestPasswordEncoder(“MD5”)
noop – NoOpPasswordEncoder
pbkdf2 – Pbkdf2PasswordEncoder
scrypt – SCryptPasswordEncoder
SHA-1 – new MessageDigestPasswordEncoder(“SHA-1”)
SHA-256 – new MessageDigestPasswordEncoder(“SHA-256”)
sha256 – StandardPasswordEncoder
复制代码
然而在 Spring Security 5.7 版本之后(包含 5.7 版本),或者 SpringBoot2.7 之后,WebSecurityConfigurerAdapter 就过期了,尽管能够持续应用,但看着比拟顺当。
看 5.7 版本官网文档是如何解释的:
以前咱们自定义类继承自 WebSecurityConfigurerAdapter 来配置咱们的 Spring Security,咱们次要是配置两个货色:
configure(HttpSecurity)
configure(WebSecurity)
前者次要是配置 Spring Security 中的过滤器链,后者则次要是配置一些门路放行规定。
当初在 WebSecurityConfigurerAdapter 的正文中,人家曾经把意思说的很明确了:
当前如果想要配置过滤器链,能够通过自定义 SecurityFilterChain Bean 来实现。
当前如果想要配置 WebSecurity,能够通过 WebSecurityCustomizer Bean 来实现。
咱们对上文中的 SecurityConfig 文件做一下改变,试试新版中该如何配置。
@Configuration
public class SecurityConfig {
@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
return manager;
}
@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}
@Bean
WebSecurityCustomizer webSecurityCustomizer() {
return web -> web.ignoring().antMatchers("/hello");
}
@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.permitAll()
.and()
.csrf().disable();
return http.build();
}
}
复制代码
此时重启我的项目,你会发现 /hello 也是能够间接拜访的,就是因为这个门路不通过任何过滤器。
集体感觉新写法更加直观,能够分明的看到 SecurityFilterChain 是对于过滤器链配置的,与咱们理论知识提到的过滤器常识是统一的。
测试
拜访 http://localhost:8086/hello,能够间接看到页面内容,不须要输出账号密码。
拜访 http://localhost:8086/hresh,则须要账号密码,即咱们配置的 zhangsan 和 lisi 用户。
在测试过程中,你可能会发现这样几个问题:
1、间接拜访 http://localhost:8086,默认会跳转到 /login 页面,该配置位于 UsernamePasswordAuthenticationFilter 类文件中,如果你想自定义登录页面,能够这样批改:
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
// .loginPage(“/login.html”)
.loginProcessingUrl("/login")
复制代码
2、表单登录时,账号密码默认字段为 username 和 password。
3、按理来说,登录胜利之后是跳到 / 页面,失败跳转到登录页,但因为咱们这是 SpringBoot 我的项目,咱们能够让它登录胜利时返回 json 数据,而不是重定向到某个页面。默认状况下,账号密码输出谬误会主动返回登录页面,所以此处咱们就不解决失败的状况。
@Component
public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
private static ObjectMapper objectMapper = new ObjectMapper();
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
Authentication authentication) throws IOException {response.setContentType("application/json;charset=utf-8");
response.getWriter().write(objectMapper.writeValueAsString("登录胜利"));
}
}
复制代码
接着批改 securityFilterChain()办法
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.successHandler(myAuthenticationSuccessHandler)
.and()
.csrf().disable();
复制代码
再次重启我的项目,在登录页面输出账号密码后,返回后果如下所示:
4、自定义登录页面,在 resource 目录下新建 static 目录,外面增加 login.html 文件,临时未增加款式
<!DOCTYPE html>
<html>
<head>
<meta charset=”UTF-8″>
<title> 登录 </title>
</head>
<body>
<form action=”/doLogin” method=”post”>
<div class=”input”>
<label for="name"> 用户名 </label>
<input type="text" name="name" id="name">
<span class="spin"></span>
</div>
<div class=”input”>
<label for="pass"> 明码 </label>
<input type="password" name="passwd" id="pass">
<span class="spin"></span>
</div>
<div class=”button login”>
<button type="submit">
<span> 登录 </span>
<i class="fa fa-check"></i>
</button>
</div>
</form>
</body>
</html>
复制代码
批改 securityFilterChain()办法
http.authorizeRequests() // 示意开启权限配置
.antMatchers(“/login.html”).permitAll()
.anyRequest().authenticated() // 示意所有的申请都要通过认证之后能力拜访
.and() // 链式编程写法
.formLogin() // 开启表单登录配置
.loginPage(“/login.html”) // 配置登录页面地址
.loginProcessingUrl(“/doLogin”)
.permitAll()
.and()
.csrf().disable();
复制代码
重启我的项目后,再次拜访 http://localhost:8086/,会重定向到 http://localhost:8086/login.html。
最初,总结一下 HttpSecurity 的配置,示例如下:
http.authorizeRequests() // 示意开启权限配置
.anyRequest().authenticated() // 示意所有的申请都要通过认证之后能力拜访
.and() // 链式编程写法
.formLogin() // 开启表单登录配置
.loginPage("/login.html") // 配置自定义登录页面地址
.loginProcessingUrl("/login") // 配置登录接口地址
// .defaultSuccessUrl() // 登录胜利后的跳转页面
// .failureUrl() // 登录失败后的跳转页面
// .usernameParameter(“username”) // 登录用户名的参数名称
// .passwordParameter(“password”) // 登录明码的参数名称
// .successHandler(
// myAuthenticationSuccessHandler) // 前后端拆散的状况,并不想通过 defaultSuccessUrl 进行页面跳转,只须要返回一个 json 数据来告知前端
// .failureHandler(myAuthenticationFailureHandler) // 同理,代替 failureUrl
// .permitAll()
.and()
.csrf().disable();// 禁用 CSRF 进攻性能,测试能够先敞开
复制代码
表单验证时,loginPage 与 loginProcessingUrl 区别:
loginPage 配置自定义登录页面地址,loginProcessingUrl 默认与表单 action 地址统一;
如果只配置 loginPage 而不配置 loginProcessingUrl,那么 loginProcessingUrl 默认就是 loginPage;
如果只配置 loginProcessUrl,就会用不了自定义登陆页面,Security 会应用自带的默认登陆页面;
如果 loginProcessingUrl 默认与表单 action 地址不统一,那么它须要指向一个无效的地址,比如说 /doLogin.html,这要求咱们在 static 目录下创立一个 doLogin.html 页面,此外,还须要在 controller 文件中减少如下办法:
@PostMapping(“/doLogin”)
public String doLogin() {
return "我登录胜利了";
}
复制代码
然而登录胜利后并不会显示 doLogin.html 页面的内容,而是显示 /doLogin 的返回后果。同理,不配置 loginProcessingUrl,那么 loginProcessingUrl 默认就是 loginPage,即 loginProcessingUrl=login.html,与 doLogin.html 成果一样。
另外再介绍一下 Spring Security 中 defaultSuccessUrl 和 successForwardUrl 的区别:
假设在 defaultSuccessUrl 中指定登录胜利的跳转页面为 /index,那么存在两种状况:
① 浏览器中输出的是登录地址,登录胜利后,则间接跳转到 /index;
② 如果浏览器中输出了其余地址,例如 http://localhost:8080/elseUrl,若登录胜利,就不会跳转到 /index,而是来到 /elseUrl 页面。
defaultSuccessUrl 就是说,它会默认跳转到 Referer 起源页面,如果 Referer 为空,没有起源页,则跳转到默认设置的页面。
successForwardUrl 示意不论 Referer 从何而来,登录胜利后一律跳转到指定的地址。
认证形式抉择
在 WebSecurityConfigurerAdapter 类中有很多 configure()办法,除了上文提到的 HttpSecurity 和 WebSecurity 参数,还有一个 AuthenticationManagerBuilder 参数,源码如下:
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
this.disableLocalConfigureAuthenticationBldr = true;
}
protected AuthenticationManager authenticationManager() throws Exception {
if (!this.authenticationManagerInitialized) {
this.configure(this.localConfigureAuthenticationBldr);
if (this.disableLocalConfigureAuthenticationBldr) {this.authenticationManager = this.authenticationConfiguration.getAuthenticationManager();
} else {this.authenticationManager = (AuthenticationManager)this.localConfigureAuthenticationBldr.build();}
this.authenticationManagerInitialized = true;
}
return this.authenticationManager;
}
复制代码
该类用于设置各种用户想用的认证形式,设置用户认证数据库查问服务 UserDetailsService 类以及增加自定义 AuthenticationProvider 类实例等
Spring Security 为配置用户存储提供了多个可选解决方案,包含:
基于内存的用户存储
基于 JDBC 的用户存储
以 LDAP 作为后端的用户存储
自定义用户详情服务
对于这四种形式就不具体介绍了,能够重点关注计划二和计划四,而在本我的项目中,咱们间接在 SecurityConfig 中重写 userDetailsService 办法,并将 UserDetailsService 对象注入到 Spring 容器中。
受权
1、首先在 HelloController 中减少 r1 和 r2 资源。
@GetMapping(value = “/r/r1”)
public String r1() {
return ” 拜访资源 1 ″;
}
@GetMapping(value = “/r/r2”)
public String r2() {
return ” 拜访资源 2 ″;
}
复制代码
2、批改 SecurityConfig 文件中的 securityFilterChain() 办法
@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/r/r1").hasAuthority("p1")
.antMatchers("/r/r2").hasAuthority("p2")
.anyRequest().authenticated()
.and()
.formLogin()
.successHandler(myAuthenticationSuccessHandler)
.permitAll()
.and()
.csrf().disable();
return http.build();
}
复制代码
拜访 r1、r2 资源,须要对应的权限,而且其余接口则只须要认证,并不需要受权。
3、测试
拜访 http://localhost:8086,进入登录页面,输出正确的账号密码,提交后页面返回“登录胜利”,如果是 zhangsan,则能够拜访 r1 资源,拜访 r2 则会报错,咱们临时未处理错误如下:
总结
对于 Spring Security 的学习先到这里,根本理解如何应用即可,咱们持续前面的学习。
如果想要深刻学习 Spring Security,举荐浏览《深入浅出 Spring Security》,还包含配套的代码示例。