Hi 大家好 今天我将和大家分享一下我在做安全框架遇到的难题以及如果正确使用spring security以及Spring Security OAuth2 Client 。
本文将讲述一下几点:
1 为什么需要Spring Security?
2 如何将 Spring Security与Spring Boot结合?
3 如何使用Spring Security进行认证,授权流程的登录验证?
1 因为Spirng Security 可以解决Session 固化问题,如果没有安全框架,会有cookie攻击的问题,黑客很容易就可以拿到一个用户的sessionId(默认是一个名为JSSIONID的cookie的值即为sessionId),然后伪装登录。仅仅通过配置就可以打开唯一登录功能(shiro没有唯一登录的机制,我以前是自己开发,结合拦截器 以及 redis实现了唯一登录功能),还有csrf机制(后续和大家分享csrf)。
2 Spring Boot的众多好处中的一个好处就是用java config代替 xml的配置,这样无疑性能会更高一些。然而大家第一次接触java config,会很陌生。其实java config很简单的,从表面上看就是将xml的标签用@Bean注解代替。Spring Boot 有更多的注解解决程序问题,例如@EnableAsync和@Async注解,能实现方法的异步。等等(如果大家有兴趣,后续会和大家分享Spring Boot)。
官网有相关的demo项目,可以看到Spring Security与Spring Boot的结合。
https://spring.io/guides/tutorials/spring-security-and-angular-js/
然而官网的demo项目,仅仅是演示了Spring Security框架可以解决什么企业问题:如 安全登录,权限控制,然而并不能拿到企业当中来用。接下来,我将和大家分享最关键也是最核心的内容就是Spring Security如何在企业当中解决安全认证(我使用了md5加密来作为密码加密器),权限控制。
3 首先是jar包依赖,我使用的是maven项目,需要添加maven依赖:
org.springframework.bootspring-boot-starter-security
下面仔细说明一下Spring Security工作的核心类信息:
HttpSecurity类:进行权限的配置,具体哪里路径可以直接放行.antMatchers(...).permitAll()哪些路径需要权限认证 .antMatchers(...).hasAutority(...) 仅测试需要.anyRequest().authenticated()配置登录页面,登录错误页面 以及安全退出,安全退出页面,记住我等等。
FilterInvocationSecurityMetadataSource:该类为过滤器类,容器启动就会加载该类进行资源 角色的加载。需要自定义该类的实现类,自定义init方法,从数据库加载该程序需要的全部的权限信息。然后每次请求都回走getAttributes,加载该url需要的角色列表。AccessDecisionManager:该接口 的decide方法即为权限审核接口,判断当前用户有没有访问该url的权限
UserDetailsService: 用户登录真正工作类,需要自定义实现类实现该接口,实现loadUserByUserNameUserDetails:用户信息实体类接口,自定义的javaBean需要实现该类。下面是我的部分的java config代码,供大家参考。
```@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true)@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception
{http.antMatcher("/**").authorizeRequests().antMatchers( "/se-home","/se-public/**","/login**", "/webjars/**","/js/**","/myexcel","/upload*").permitAll().antMatchers("/se/**").hasAuthority("ROLE_USER").anyRequest().fullyAuthenticated().and().formLogin().loginPage("/se-goLogin").failureUrl("/se-goLogin?error").loginProcessingUrl("/se-login").defaultSuccessUrl("/se/se-hello").permitAll().and().logout().logoutSuccessUrl("/se-home").permitAll().invalidateHttpSession(true).and().rememberMe();}@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(getCustomUserDetailsServiceImpl())//自定义开发的UserDeatilsService.passwordEncoder(getMD5Encoder());//自定义开发的密码加密器}``
`自定义的类都需要通过@Bean注解的形式交给Spring Boot来管理,如下获取Spring Security的过滤器代理的类配置:``
`@Beanpublic DelegatingFilterProxy getDelegatingFilterProxy(){FilterRegistrationBean registrationBean=new FilterRegistrationBean();DelegatingFilterProxy delegatingFilterProxy=new DelegatingFilterProxy();delegatingFilterProxy.setTargetBeanName(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME);registrationBean.setFilter(delegatingFilterProxy);registrationBean.setName(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME);registrationBean.addUrlPatterns("/*");registrationBean.setOrder(1);return delegatingFilterProxy;}``
`上面的那个bean是有一定难度的配置,我自己琢磨了好久,参考了大量的资料,才琢磨出来。其他的配置相对比较简单大家可以自己动手,来做,其实在做的过程中,大家的能力就在不知不觉中有了很大的提升。具体的我就不贴了哟,相信大家可以的。
做好了SpirngBoot与Spring Security的整合,接下来就是接着上一篇博客继续说明Spring Security 与Spring Boot结合后的使用框架原理流程:
1 容器启动,spring security 从库里头加载权限信息 并以map的形式存取(HashMap resourceMap key:资源url,value:角色名称 ROLE_为前缀的值)
2 用户进行登录操作:加载用户的角色列表(Collection)loadUserByUsername
3 决策当前用户有没有访问该url的权限decide从两个集合中找到相互匹配equals的角色名称,就放行然后就是对相应的需要自定义的开发,只要流程搞明白了 并且知道哪些是需要自定义的开发,接下来的开发的工作就比较简单了。
我是用google java style (http://www.hawstein.com/posts/google-java-style.html ) 来规范了自己的代码,大家也可以这样,养成一个良好的开发习惯,很重要 会避免很多弯路。