本文来自于公众号链接： 彻底理解浏览器同源策略SOP

1. 多种认证方式的优先级问题，如何杜绝冲突的问题
2. 两个示例的描述不清晰的问题

这是一篇理论和实战相结合的干货文章，建议手机阅读者收藏本文，然后使用电脑下载源码进行实战

大纲：

1. 一.概述
2. 二.源码
3. 三.示例1：接口分多组，每组认证方式不同
4. 四.示例2：同组接口同时支持多种认证
5. 五.总结
6. 六.参考

一.概述

很多朋友虽然使用Spring Security做过很多项目，但是总是感觉没有理解和掌握Spring Security的核心思想。Spring Security比Shiro更强大更灵活的同时，确实带来了一定的复杂性。然而这种复杂性并不是因为Spring Security设计得不好造成的，而是因为安全需求本身就像一团乱麻一样错综复杂，Spring Security成功地将这团乱麻梳理柔顺后呈现给代价。在解决复杂安全问题场景下，Spring Security已经足够简洁了，我们更应该关注Spring Security的灵活性。

认证、鉴权和漏洞防御是安全框架的核心功能。Spring Security的认证功能强大并且非常灵活，支持的认证方式也在不断地水平扩展，已经预置了非常多的认证方式，如：

1. Form认证
   最常用的（用户名/密码）认证方式及其变体，如（手机号/验证码）
   插图：用户名密码
2. HTTP BASIC认证
   插图：浏览器弹出框
3. LDAP认证
   大型环境如企业用户经常采用LDAP
4. CAS认证
   单点登录场景下常用解决方案
5. HTTP Digest 认证头 ( IETF RFC-based 标准)
6. HTTP X.509 客户端证书交换 ( IETF RFC-based 标准)
7. OpenID 认证
8. ......

如果预置的认证仍然不满足需求，Spring Security支持用户自定义认证方式。

除了认证方式的丰富性，Spring Security对认证的配置也非常灵活。Spring Security支持多种认证方式自由组合。

本文主要通过两个代码示例来展示Spring Security认证的灵活性：

• 第一个配置示例: 接口分多组，每组认证方式不同
• 第二个配置示例: 同组接口同时支持多种认证

二.源码

本文源码维护在Github，非常具有参考价值，建议下载源码：

• https://github.com/andyzhaozhao/spring-security-url-separate

有两个模块：

插图： twomodule

• spring-security-url-separate-sample: 本文展示Spring Security认证的灵活性的配置示例。
• authorizationserver:自建的OAuth2认证服务器。

三.示例1：接口分多组，每组认证方式不同

假设一个web应用的一部分接口是暴露在互联网上提供服务API接口，而另一部分接口是只需内部访问的内部接口。我们常常把这个web应用配置为OAuth2资源服务器，其中API接口采用OAuth2资源服务欧认证，内部接口则采用传统的认证方式如Form认证。
Spring Security支持这种“接口分多组，每组认证方式不同”类型的需求。

1.新建Spring Boot工程

新建Spring Boot工程，命名为“spring-security-url-separate-sample”，依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

spring-boot-starter-oauth2-resource-server是OAuth2资源服务器功能包。

2.增加两个Controller

FooController:

@RestController
public class FooController {

    @GetMapping("/foo")
    public String getSample() {
        return "get foo";
    }
}

和BarController:

@RestController
public class BarController {

    @GetMapping("/bar")
    public String getSample() {
        return "get bar";
    }
}

两个Controller用来模拟两组API接口。

3.两个Spring Security配置类

GroupOneSecurityConfig配置所有以“/foo”开头的接口使用OAuth2资源服务进行认证和鉴权：

@Configuration
//此处配置Order=1，因而比 GroupTwoSecurityConfig 配置类先执行，配置优先级高，因为Spring Security的配置规则是"先执行的优先级高"。
@Order(1)
public class GroupOneSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.requestMatchers()
                .antMatchers("/foo/**")
                .and().authorizeRequests().anyRequest().fullyAuthenticated()
                .and().oauth2ResourceServer().jwt();
    }
}

GroupTwoSecurityConfig配置除了以“/foo”开头的接口外剩余的其他接口使用From认证：

@EnableWebSecurity(debug = true)
public class GroupTwoSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/error", "/login**").permitAll()
                .anyRequest().fullyAuthenticated()
                .and().formLogin();
    }


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(passwordEncoder().encode("123456"))
                .roles("ADMIN", "USER");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

GroupTwoSecurityConfig类配置的接口选择范围为“所有接口”，包含了GroupOneSecurityConfig选择的以“/foo”开头的接口，但是不用担心两个配置类的范围冲突问题，因为我们在 GroupOneSecurityConfig上增加了@Order(1)注解。@Order表示执行优先级，WebSecurityConfigurerAdapter默认的优先级是100：
插图：order

Spring Security的@Order规则是：“数字越小，越先执行，并且先执行的配置优先级高”。
@Order(1)小于默认的@Order(100)，所以GroupOneSecurityConfig的接口选择“/foo”的优先级高、先生效，而GroupTwoSecurityConfig只能选择到除“/foo”以外剩余的接口。

工程的接口分为了两组：

1. 以“/foo”开头的接口，使用OAuth2资源服务认证
2. 除“/foo”开头接口外剩余的接口，使用From认证。

注意GroupTwoSecurityConfig要配置“/error”和“/login**”为permitAll()

4.配置文件

server:
  servlet:
    session:
      cookie:
        name: UISESSIONCOUPON

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          jwk-set-uri: http://localhost:9999/.well-known/jwks.json

自建OAuth2认证服务器和本工程都以localhost启动，配置不同的cookie名称，防止冲突报错，并且使用JWK接口验证 JWT Token 的有效性。

5.运行与演示

假设spring-security-url-separate-sample是一个在互联网提供API接口的服务器，其中“/foo”接口暴露在互联网提供服务的API接口，而 “/bar”接口为内部接口，则有如下访问场景：

1. 内部接口可以直接使用Form认证：
   1. 启动“spring-security-url-separate-sample”
   2. 隐身模式打开浏览器，输入：http://localhost:8080/bar
      插图：formlogin
   3. 输入用户名/密码：admin/123456，可以登录成功
   4. 浏览器再输入：http://localhost:8080/foo ，也可以成功返回字符串“get foo”。
      用户使用Form登录后既可以访问API接口也可以访问内部接口。
2. 暴露在互联网的API接口只能使用OAuth2资源服务认证：随便来自于互联网的用户不能获得内部的用户名和密码

   1. 启动“spring-security-url-separate-sample”

   2. 启动“sauthorizationserver”

   3. 隐身模式打开浏览器，输入：http://localhost:8080/foo
      插图：foo401
      未认证时，OAuth2资源服务认证不会自动重定向到认证中心，而是显示要401错误。调用
      “/foo”接口是需要携带OAuth2的access token的。

   4. 使用curl命令行工具模拟OAuth2请求，使用密码模式获取一个access token：

      curl -i -X POST -d "username=admin&password=admin&grant_type=password&client_id=client-for-server&client_secret=client-for-server" http://localhost:9999/oauth/token
      

      插图：gettoken

   5. 携带access_token请求“/foo”接口：

      curl -i -H "Authorization:Bearer {此处粘贴上一步骤返回的access_token}"  http://localhost:8080/foo
      

      插图：foosuccess
      外部用户成功调用“/foo”接口，但是仍然无法调用到内部“/bar”接口。内部接口”被成功地保护起来了。

此示例将应用接口分为两组，分别使用不同的认证方式。理论上Spring Security可以将接口分为任意多组，使用任意多种认证方式，非常灵活。

四.示例2：同组接口同时支持多种认证

除了多组接口使用不同的认证方式外。对于同一组接口，可以同时支持多种认证方式。

我们继续对“spring-security-url-separate-sample”进行扩展。

1.增加OAuth2 Client依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

2.在GroupTwoSecurityConfig中增加配置

@Override
public void configure(HttpSecurity http) throws Exception {
   ...
   .and().formLogin()
   .and().oauth2Login();
}

对于除“/foo"以外的其他接口同时支持Form认证和OAuth2客户端认证。

3.配置文件增加配置

spring:
  security:
    oauth2:
      client:
        registration:
          github:
            client-id: b7fb29a538bb19b09365
            client-secret: 2fbfd22e69e61d873bad55143538770748a76d3a
          custom:
            client-id: client-for-server
            client-secret: client-for-server
            provider: custom
            client-name: 自建OAuth2认证服务
            authorization-grant-type: authorization_code
            redirect-uri: "http://localhost:8080/login/oauth2/code/custom"
        provider:
          custom:
            authorization-uri: http://localhost:9999/oauth/authorize
            token-uri: http://localhost:9999/oauth/token
            user-info-uri: http://localhost:9999/me
            user-name-attribute: "name"
            jwk-set-uri: http://localhost:9999/.well-known/jwks.json

配置两个OAuth2客户端，一个是Github的OAuth2的客户端，另一是自建OAuth2认证服务器的客户端。

4.运行与演示

对于“/bar”接口，同时支持Form认证和OAuth2客户端认证。

1. 启动“spring-security-url-separate-sample”
2. 启动“sauthorizationserver”
3. 隐身模式打开浏览器，输入：http://localhost:8080/bar
   插图：oauth2login
   此时我们有三种选择：
   1. 输入用户名/密码：admin/123456登录成功。
   2. 点击“Github”蓝色按钮，使用Github账号登录成功。
   3. 点击“自建OAuth2认证服务”蓝色按钮，使用自建OAuth2认证服务，输入用户名/密码；admin/admin，登录成功。
      插图： customas

此示例演示了Spring Security支持同组接口同时支持多种认证。

五.总结

spring-security-url-separate-sample整体来看同时支持了Form、GitHub认证、自建OAuth2认证服务客户端认证和自建OAuth2认证服务资源服务认证四种认证方式，并且不互相冲突。每种认证方式都有各自的应用场景。

Spring Security实现之所以可以实现如此灵活的认证配置，正是因为“按需装配”这一核心思想。

首先无论Spring Security应用在Servlet还是响应式(Reactive)场景，都是一种AOP切面原理。
插图：authenticaiton

其次一个web应用根据需求，需要使用哪种认证方式就装配哪种。
插图；asneed

总之，Spring Security除了支持漏洞防御，针对认证和鉴权的需求做了的非常强大且灵活的设计。

本文的相关源码上传到了Github，地址：https://github.com/andyzhaozhao/spring-security-url-separate

如果有任何问题和建议，可以右下角点赞后评论，我们会第一时间回复。

六.参考

更多干货都在《spring security实战》

本为官方出处微信公众号： 码闻