本文介绍了Spring Security的基本概念,包括其过滤Web请求的机制、简单的安全性配置以及用户信息查询服务的选择,如内存存储、数据库认证和LDAP认证。在配置过程中强调了密码编码的重要性,建议避免明文存储密码,推荐使用加密算法。
9.1 Spring Security简介
Spring Security 是基于Spring AOP和Servlet规范中的Filter实现的安全框架,能够在Web请求级别和方法调用级别处理身份认证和授权。
Spring Security 从两个角度来解决安全性问题。它使用Servlet 规范中的Filter的保护Web请求并限制URL级别的访问。Spring Security 通过使用Spring AOP 保护方法调用——借助于对象代理和使用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法。
9.1.1 Speing Security的模块
9.1.2 过滤Web请求
通过web.xml或者AbstractSecurityWebApplicationInitializer的子类配置 DelegatingFilterProxy,都会拦截发往应用中的请求,并将请求委托给ID为 springSecurityFilterChain 的bean。
9.1.3 简单的安全性配置
@Configuration
@EnableWebSecurity // ->启用web应用的安全性功能
public class SecurityConfig extends WebSecurityConfigurerAdapter{
}
使用SpringMVC开发,则用 @EnableWebMvcSecurity替代@EnableWebSecurity,通过重载 WebSecurityConfigurerAdapter的是哪个configure()方法来配置Web安全性。
| 方法 | 描述 |
|---|---|
| configure(WebSecurity) | 通过重载,配置Spring Security的Filter链 |
| configure(HttpSecurity) | 通过重载,配置如何通过拦截器保护请求 |
| configure(AuthenticationManagerBuilder) | 通过重载,配置user-detail服务 |
默认的configure(HttpSecurity) 代码
prorected void configure(HttpSecurity http) throws Exception{
http
.authrizeRequests()
.anyRequest().authenicated() // 所有进入应用的HTTP请求都要验证
.and()
.formLogin().add() // 支持基于表单的登录以及HTTP Basic方式的认证
.httpBasic();
}
//单没有用户存储支撑认证过程,没有用户存储,实际上就等于没有用户,没人能登录成功
- 配置用户存储
- 指定哪些请求需要认证,哪些请求不需要认证,以及所需要的权限;
- 提供一个自定义的登录界面,替代原来简单的默认登录页。
9.2 选择查询用户信息的服务
9.2.1 基于内存的用户存储
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception{
auth
最低0.47元/天 解锁文章
4070
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
