Spring Security学习:05.初识Web应用安全的Java配置,3.x升级到4.x【云图智联】

新的安全问题不断出现,Spring Security也必须不断升级。作为一个主版本号修改的发行版本,Spring Security团队有机会来做一些主动的改变:

Spring Security支持更多的默认安全行为

最小化信息泄露

移除不建议使用的API

要更详细的查看如果从3.x升级到4.x,请参考:

Migrating from Spring Security 3.x to 4.x (XML Configuration)

Migrating from Spring Security 3.x to 4.x (Java Configuration)

笔者注:跟传统情况下,我们在做过滤器中做权限验证类似,Spring Secuirty也是在Filter中进行权限验证。因此使用Java代码配置Spring Security主要是这两个步骤:

1、创建过滤器

2、注册过滤器。

关于创建过滤器与注册过滤器过程中内部都做了什么,我们在后面会详细解释,目前我们只是要知道如何配置。

第一步:创建过滤器

第一步,是使用Java代码创建Spring Security的配置。这段配置创建一个Servlet Filter:springSecurityFilterChain,其负责应用中的所有安全,包括:保护应用的URLS,验证提交的username和password,重定向到登录页面等。

编写一个类,名字随意,这里为起名为SecurityConfig,源码如下所示:

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter{

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth

.inMemoryAuthentication()

.withUser("user").password("password").roles("USER");

}

}

方法名 configureGlobal是无关紧要的,重要的是在一个添加了@EnableWebSecurity,@EnableGlobalMethodSecurity或者@EnableGlobalAuthentication注解的类里面,注入 AuthenticationManagerBuilder。

这段代码内容很少,但事实上已经做了很多的默认安全验证,包括:

1、访问应用中的每个URL都需要进行验证

2、生成一个登陆表单

3、允许用户使用username和password来登陆

4、允许用户注销

5、CSRF攻击拦截

6、 Session Fixation攻击

7、 安全Header集成

* HTTP Strict Transport Security for secure requests

* X-Content-Type-Options integration

* 缓存控制 (can be overridden later by your application to allow caching of your static resources)

* X-XSS-Protection integration

* X-Frame-Options integration to help prevent Clickjacking

Integrate with the following Servlet API methods

* HttpServletRequest#getRemoteUser()

* HttpServletRequest.html#getUserPrincipal()

* HttpServletRequest.html#isUserInRole(java.lang.String)

* HttpServletRequest.html#login(java.lang.String, java.lang.String)

* HttpServletRequest.html#logout()

第二步:注册过滤器

下一步是注册springSecurityFilterChain。这个可以借助Spring3.1引入的WebApplicationInitializer完成。SpringSecurity提供了一个基类AbstractSecurityWebApplicationInitializer来确保 springSecurityFilterChain被注册。对于如何使用AbstractSecurityWebApplicationInitializer, 这要依据Spring Secuirty是否项目中的唯一的Spring组件而有所不同。

项目中没有使用Spring

如果你没有使用Spring或者SpringMvc,你需要传递我们的 SecurityConfig类到父类中,从而确保我们的配置会被加载。可以参照一下的代码:

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer

        extends AbstractSecurityWebApplicationInitializer {

        public SecurityWebApplicationInitializer() {

                super(SecurityConfig.class);

        }

}

SecurityWebApplicationInitializer将会做以下的事情:

自动注册 springSecurityFilterChain 过滤器,并作用于应用中的每个URL。

添加一个 ContextLoaderListener 来加载 SecurityConfig类。

项目中已经使用了SpringMvc

如果在我们的应用程序中已经使用了Spring,那么在我们的应用中可能已经有了一个WebApplicationInitializer来加载我们的配置,如果我们还使用之前的代码,将会出现一个错误。此时我们应该在已经存在的ApplicationContext中注册Spring Security。例如,如果我们已经使用SpringMvc,那么我们的代码应该是如下所示:

import org.springframework.security.web.context.*;

public class SecurityWebApplicationInitializer

        extends AbstractSecurityWebApplicationInitializer {

}

这段代码仅仅会将 springSecurityFilterChain 注册到应用中,并作用于每个url。此时我们的SecurityConfig类依然会被已经存在的 ApplicationInitializer 加载。例如,我们使用SpringMvc,它将会被添加到getRootConfigClasses()。

public class MvcWebApplicationInitializer extends

                AbstractAnnotationConfigDispatcherServletInitializer {

//Specify @Configuration and/or @Component classes to be provided to the root application context.

        @Override

        protected Class<?>[] getRootConfigClasses() {

                return new Class[] { SecurityConfig.class };

        }

        // ... other overrides ...

}

运行项目

将以上代码部署到Tomcat中运行,通过浏览器访问任何页面都会被重新定位到一个登陆页面,截图如下:

这个页面是Spring Security自动帮我们生成的。我们可以使用之前配置的用户名和密码进行登录。自动生成这个页面的代码位于类DefaultLoginPageGeneratingFilter的generateLoginPageHtml方法中。

免费学习视频欢迎关注云图智联:https://e.yuntuzhilian.com/

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349