Spring Security
Spring Security简介
SpringSecurity是基于Spring应用提供的声明式的安全保护性的框架,它可以在web请求级别的和方法调用级别处理身份和授权。他是基于AspectJ的切面经行配置的
Spring Security的模块
Spring
Security有11个模块:ASL、切面(Aspect)、CAS、Config、Core、加密(Cryptographiy)、LDAP、OpenID、Remoting、TagLib、Web,对应Maven上的几个模块
过滤WEB请求
Spring
Security使用很多Filter来提供安全性能。我们使用DelegatingFilterProxy——一个特殊的Servlet
FIlter。它会将工作为委托给Filter的实现类。只需要把这个Bean注入再Spring的上下文里就行了
使用xml配置的话,在web.xml里配置filter就行了。我们展示在使用注解的配置。在config包下建立一个SercurtyWebInitializer类
/**
* @author surface
* 安全操作的初始化类,里面啥都不用写
*/
public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {
}
如果只是初始化DelegatingFilterProxy的话,我们什么都不用干。这样注册之后,它都会拦截应用中的请求,并且把他委托给Id为springSecurityFilterChain的bean。springSecurityFilterChain也是一个特殊的filter,他可以连接其他filter。但是,我们并不需要知道这些Filter的细节,因为我们并不需要显式的声明springSecurityFilterChain以及和它连接的filter。
最简单的安全性配置
使用类来配置最简单的安全性配置,然后添加到RootConfig里去
(EnableWebMcvSecurity已经被弃用)
/**
* @author surface
* 安全性设置
*/
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}
当我们需要指定Web的安全细节,则需要重写WebSecurityConfigurationAdapter的一些方法,比如configure方法
configure(WebSecurity) 配置Security的filter链
configure(HttpSecurity) 配置如何通过连接器的保护
configure(AuthenticationManagerBuilder) 配置user-detail服务
为了让我们的配置符合我们的要求,我们还需要配置一些东西
用户储存
指定哪些请求需要验证,那些请求不需要验证,以及需要的权限
提供一个自定义的登录页
处理以上的内容外,我们可能还需要有选择性的在view上显示内容
选择查询用户详细信息的服务
内存用户储存:重写configure(AuthenticationManagerBuilder)方法
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication() //使用内存用户储存
//配置了一个user用户和一个admin用户
.withUser("user").password("password").roles("USER").and()
.withUser("admin").password("password").roles("USER", "ADMIN");
}
基于数据库的认证
这里由于配置了MyBatis的DataSource,所以可以直接住居进来
我们的Spring Security内部已经配置好了一些内定了SQL语句,默认的表结构如下
user表:username password enable
authority表:username authority
grop表:id grip_name
我们也可以自定义查询,用来鉴权。只需要使用Security提供的底层bean类来实现。把我们自己的实体类转换成Secu底层的user
创建一个UserDetailsServiceImpl的Service,给出@Service标签,在继承UserDetailsService并且重写loadUserByUserName方法。在重写的这个方法里面把自己的User实体转换成Security的User实体
@Service("UserDetailService")
public class UserDetailServiceImpl implements UserDetailsService {
@Autowired
SysUserMapper sysUserMapper;
@Override
public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
SysUser sysUser = null;
if (userName.matches(PHONE_REGEX)) {
sysUser = sysUserMapper.selectByPhone(userName);
} else {
sysUser = sysUserMapper.selectByUsername(userName);
}
User userDetails = new User(sysUser.getUserName(), sysUser.getPassword(), handleAuthority(sysUser.getAuthority()));
return userDetails;
}
}
其中,GrantedAuthority是为了做权限控制而搞的,用一个字符串即可区分。后面就可以用它来做权限控制
然后把这个UserDetailsServiceImpl丢给SecurityConfig做判断
@Override
/**
* 配置整个用户信息从哪里获得
*/
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService);
}
还有一个问题就是明文的密码储存。为了安全,我们需要给用户输入的密码进行转码
@Override
/**
* 配置整个用户信息从哪里获得
*/
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService)
//密码加密
.passwordEncoder(passwordEncoder());
}
LDAP认证(略过 )
配置自定义用户的服务(略过)
拦截请求
对每个请求进行详细的安全性控制在于重载configure(HttpSecurity)方法,它为不同的url路径都有选择地应用安全性
@Override
/**
* 安全配置的详细信息
*/
protected void configure(final HttpSecurity http) throws Exception {
http.authorizeRequests() //下面是详细的安全性调整
.antMatch("/splitters/me").authenticated()
.anyResult().permiAll();
}
首先调用的authorizeRequest方法,然后使用它返回的对象来配置各种细节。
第一次调用的antMatchers()指定了对“/spitters/me”路径的请求进行验证;第二次则更为具体,指定了对“/spittles”的post请求进行验证,后面的anyRequest则说明了对其他的访问则是允许的。
我们也可以使用通配符进行比对
.antMatch("/splitters/**").authenticated()
antMatcher使用的是ant风格的路径匹配模式。
Apache
Ant样式的路径有三种通配符匹配方法(在下面的表格中列出)这些可以组合出很多种灵活的路径模式:
下面列举了所有的可以进行验证的方式
还需要注意的是,在排列这些方法的时候,需要把最具体的规则放在前面,最不具体的规则放在后面。这样不具体的规则就不会覆盖到前面的
当一个权限不够的用户试图访问的时候,会抛出403错误
使用Spring表达式进行安全保护
强制通道的安全性
防止跨站请求
为了防止跨站请求,一些敏感的url会需要一个token来进行防伪。它会拦截一些变化状态的请求,并且检查里面是否有这个“_csrf”域的参数并且检查是否正确
当然我们可以禁用csrf功能,但是这样非常不推荐
protected void configure(final HttpSecurity http) throws Exception {
http
...
.and().csrf().disable();
认证用户
在一开始使用什么都没有的配置的时候,SpringSecurity就会帮你配置默认的登陆界面。在配置之后,你也可以使用如下的配置来启用这个配置。它会配置在你的“/longin”路径下。使用内存登入就会把用户名密码存在内存里,可以用于测试。
这里有一份比较详细的配置,包括配置自己的登陆登出界面和回调函数,全大写的变量是常量,请自行对比(我才不会说原来的示例代码源码掉了。。。)
protected void configure(final HttpSecurity http) throws Exception {
http
...
//设置登陆请求的URL
.and().formLogin()
.loginProcessingUrl(LOGIN_URL)
.successForwardUrl(LOGIN_SUCCESS_URL)
.failureForwardUrl(LOGIN_FAIL_URL)
.usernameParameter(USER_NAME_PARAMETER)
.passwordParameter(PASSWORD_PARAMETER)
//设置登出
.and().logout().logoutUrl(LOGOUT_URL)
.logoutSuccessUrl(LOGOUT_SUCCESS_URL)
.deleteCookies("JSESSIONID")
//设置拒绝时候的url
.and().exceptionHandling().accessDeniedPage("/error/403")
//设置未登录的操作
.and().exceptionHandling().authenticationEntryPoint(new AuthenticationEntryPoint() {
@Override
public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
if (httpServletRequest.getCookies()!=null && httpServletRequest.getCookies().length > 0) {
logger.info("未登录的cookie:" + httpServletRequest.getCookies()[0].getName()+":"+httpServletRequest.getCookies()[0].getValue());
}
logger.info("未登录访问的URI:"+httpServletRequest.getRequestURI()+" 方法:"+httpServletRequest.getMethod());
httpServletResponse.setContentType("application/json;charset=utf-8");
PrintWriter out = httpServletResponse.getWriter();
String sb = "{\"code\":10002,\"message\":\"未登录\",\"data\":null}";
out.write(sb);
out.flush();
out.close();
}
})
在jsp中,需要注意,如果还开启csrf_token验证的话,需要在表单里面添加_csrf参数
启用Remember-me功能
http
...
.and().remeberMe().tokenValiditySeconds(3600).key("key")
这样就会储存一个cooike并且设置一小时后过期。这个cooike储存了用户名和密码,现在这个cooike的名字叫“key”
在登陆的时候需要用用一个复选框,启用记住我功能。似乎只需要在启用的时候设置一个name是remember-me的复选框并且勾选时,就可以启用
<input name="remeber-me" yupe="checkbox">记住我</input>
退出
按照我们的配置,现在已经可以退出了,我们只需要做一个使用该功能的连接,直接在配置文件里添加如下的代码
http
...
//设置登出
.and().logout().logoutUrl(LOGOUT_URL)
.logoutSuccessUrl(LOGOUT_SUCCESS_URL)
.deleteCookies("JSESSIONID")
所以我只能只能手动实现这个等出功能,创建一个等处的控制器,里面代码如下
后来发现使用配置经行logout的配置时,在csrf功能开启的时候,只能post提交/logout并且要带有token。也就是说请求的时候不能手动输入/logout,需要使用连接,点击连接的时候传入csrf的token参数,才能登出成功.
保护视图
Jsp的SpringSecurity标签库,跳过
附加 Spring Boot集成Spring Security
导入Maven依赖
- 在Maven中导入符合Spring Boot的启动依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
-
这配置好启动后,访问就会让你登陆,
082fac24e95b894dac574e7fb0746cb9.png - 用户名是user,密码会在log中显示
