SpringSecurity的HTTP权限控制

最新推荐文章于 2023-04-13 17:14:22 发布
最新推荐文章于 2023-04-13 17:14:22 发布
阅读量541 收藏
点赞数
分类专栏: Java
原文链接:https://blog.csdn.net/qq_37338761/article/details/102728951
版权

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37338761/article/details/102728951
Spring Security的HTTP权限控制

简介
一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 spring security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。

过滤器与核心组件
springSecurity在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。

主要过滤器
过滤器 功能原理
WebAsyncManagerIntegrationFilter 提供了对securityContext和WebAsyncManager的集成
SessionManagementFilter 该过滤器会检测从当前请求处理开始到目前为止的过程中是否发生了用户登录认证行为(比如这是一个用户名/密码表单提交的请求处理过程),如果检测到这一情况,执行相应的session认证策略(一个SessionAuthenticationStrategy),然后继续继续请求的处理。
AnonymousAuthenticationFilter 匿名登录人过滤器,过滤器运行到AnonymousAuthenticationFilter时,如果SecurityContextHolder中持有的Authentication还是空的,则AnonymousAuthenticationFilter将创建一个AnonymousAuthenticationToken并存放在SecurityContextHolder中。在AuthenticationTrustResolverImpl判断一个SecurityContextHolder持有的Authentication是否AnonymousAuthenticationToken或RememberMeAuthenticationToken。如当ExceptionTranslationFilter捕获到一个AccessDecisionManager后就会使用它来判断当前Authentication对象是否为一个AnonymousAuthenticationToken,如果是则交由AuthenticationEntryPoint处理,否则将返回403错误码
UsernamePasswordAuthenticationFilter 登陆用户密码验证过滤器,对用户密码的正确性进行验证,认证失败就抛出异常,成功就返回Authentication对象。
RequestCacheAwareFilter Spring Security Web对请求提供了缓存机制,如果某个请求被缓存,它的提取和使用是交给RequestCacheAwareFilter完成的
框架的核心组件
组件 作用
SecurityContextHolder 提供对SecurityContext的访问
SecurityContext 其中可以包含多个AuthenticationProvider
ProviderManager 为AuthenticationManager接口的实现类
AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
Authentication Spring Security方式的认证主体
GrantedAuthority 对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
UserDetails 构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
UserDetailsService 通过username构建UserDetails对象,通过loadUserByUsername根据 userName获取UserDetail对象 (可以在这里基于自身业务进行自定义的实现 如通过数据 库,xml,缓存获取等)
实战
在springboot中整合springSecurity

添加pom.xml依赖

org.springframework.boot
spring-boot-starter-security

1
2
3
4
5
编写Java配置文件
自定义了一个springSecurity安全框架的配置类 继承WebSecurityConfigurerAdapter,重写其中的方法configure,在web容器启动的过程中该类实例对象会被WebSecurityConfiguration类处理。

import com.wqy.springbootes.security.AuthFilter;
import com.wqy.springbootes.security.AuthProvider;
import com.wqy.springbootes.security.LoginAuthFailHandler;
import com.wqy.springbootes.security.LoginUrlEntryPoint;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**

  • Created by wqy.

  • 密码:admin/admin
    */
    @EnableWebSecurity
    @EnableGlobalMethodSecurity
    public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**

    • HTTP权限控制

    • @param http

    • @throws Exception
      */
      @Override
      protected void configure(HttpSecurity http) throws Exception {
      http.addFilterBefore(authFilter(), UsernamePasswordAuthenticationFilter.class);

      // 资源访问权限
      http.authorizeRequests()
      .antMatchers("/admin/login").permitAll() // 管理员登录入口
      .antMatchers("/static/").permitAll() // 静态资源
      .antMatchers("/user/login").permitAll() // 用户登录入口
      .antMatchers("/admin/      ").hasRole(“ADMIN”)
      .antMatchers("/user/").hasAnyRole(“ADMIN”, “USER”)
      .antMatchers("/api/user/      ").hasAnyRole(“ADMIN”,
      “USER”)
      .and()
      .formLogin()
      .loginProcessingUrl("/login") // 配置角色登录处理入口
      .failureHandler(authFailHandler())
      .and()
      .logout()
      .logoutUrl("/logout")
      .logoutSuccessUrl("/logout/page")
      .deleteCookies(“JSESSIONID”)
      .invalidateHttpSession(true)
      .and()
      .exceptionHandling()
      .authenticationEntryPoint(urlEntryPoint())// AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常
      .accessDeniedPage("/403");

      http.csrf().disable(); // 关闭默认打开的crsf protection
      http.headers().frameOptions().sameOrigin();// 支持SAMEORIGIN的设置方式
      }

    /**

    • 自定义认证策略
      */
      @Autowired
      public void configGlobal(AuthenticationManagerBuilder auth) throws Exception {
      auth.authenticationProvider(authProvider()).eraseCredentials(true);
      }

    @Bean
    public AuthProvider authProvider() {
    return new AuthProvider();
    }

    @Bean
    public LoginUrlEntryPoint urlEntryPoint() {
    return new LoginUrlEntryPoint("/user/login");
    }

    @Bean
    public LoginAuthFailHandler authFailHandler() {
    return new LoginAuthFailHandler(urlEntryPoint());
    }

    @Bean
    public AuthenticationManager authenticationManager() {
    AuthenticationManager authenticationManager = null;
    try {
    authenticationManager = super.authenticationManager();
    } catch (Exception e) {
    e.printStackTrace();
    }
    return authenticationManager;
    }

    @Bean
    public AuthFilter authFilter() {
    AuthFilter authFilter = new AuthFilter();
    authFilter.setAuthenticationManager(authenticationManager());
    authFilter.setAuthenticationFailureHandler(authFailHandler());
    return authFilter;
    }
    }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
解析:可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。

方法解释:

http.authorizeRequests()方法有很多子方法,每个子匹配器将会按照声明的顺序起作用
指定用户可以访问的多个url模式。特别的,任何用户可以访问以"/static"开头的url资源
任何以"/admin"开头的请求限制用户具有 “ADMIN"角色。
任何以”/user"、“/api/user/”开头的请求限制用户具有 "ADMIN"或“USER”角色。*
源码解析:

默认的configure(HttpSecurity http)方法继续向httpSecurity类中追加SecurityConfigurer的具体实现类,如authorizeRequests()方法追加一个ExpressionUrlAuthorizationConfigurer,formLogin()方法追加一个FormLoginConfigurer。

其中ExpressionUrlAuthorizationConfigurer这个实现类比较重要,因为他会给我们创建一个非常重要的对象FilterSecurityInterceptor对象,FormLoginConfigurer对象比较简单,但是也会为我们提供一个在安全认证过程中经常用到会用的一个Filter:UsernamePasswordAuthenticationFilter。

添加授权过滤器
public class AuthFilter extends UsernamePasswordAuthenticationFilter {

@Autowired
private IUserService userService;


@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
    String name = obtainUsername(request);
    if(!Strings.isNullOrEmpty(name)){
        request.setAttribute("username",name);
        return super.attemptAuthentication(request, response);
    }

    User user = userService.findUserByUsername(name);

    if(Objects.equals(user.getUsername,name)){
        return new UsernamePasswordAuthenticationToken(user,null,user.getAuthorities());
    }else{
        throw new BadCredentialsException("userCodeError");
    }

}

}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
解释:从request中取出authentication, authentication是在org.springframework.security.web.context.SecurityContextPersistenceFilter过滤器中通过捕获用户提交的登录表单中的内容生成的一个org.springframework.security.core.Authentication接口实例.

基于角色的登录入口控制器
public class LoginUrlEntryPoint extends LoginUrlAuthenticationEntryPoint {

private static final String API_FREFIX = "/api";
private static final String API_CODE_403 = "{\"code\": 403}";
private static final String CONTENT_TYPE = "application/json;charset=UTF-8";

private PathMatcher pathMatcher = new AntPathMatcher();
private final Map<String, String> authEntryPointMap;

public LoginUrlEntryPoint(String loginFormUrl) {
    super(loginFormUrl);
    authEntryPointMap = new HashMap<>();

    // 普通用户登录入口映射
    authEntryPointMap.put("/user/**", "/user/login");
    // 管理员登录入口映射
    authEntryPointMap.put("/admin/**", "/admin/login");
}

/**
 * 根据请求跳转到指定的页面,父类是默认使用loginFormUrl
 * @param request
 * @param response
 * @param exception
 * @return
 */
@Override
protected String determineUrlToUseForThisRequest(HttpServletRequest request, HttpServletResponse response,
                                                 AuthenticationException exception) {
    String uri = request.getRequestURI().replace(request.getContextPath(), "");

    for (Map.Entry<String, String> authEntry : this.authEntryPointMap.entrySet()) {
        if (this.pathMatcher.match(authEntry.getKey(), uri)) {
            return authEntry.getValue();
        }
    }
    return super.determineUrlToUseForThisRequest(request, response, exception);
}

/**
 * 如果是Api接口 返回json数据 否则按照一般流程处理
 * @param request
 * @param response
 * @param authException
 * @throws IOException
 * @throws ServletException
 */
@Override
public void commence(HttpServletRequest request, HttpServletResponse response,
                     AuthenticationException authException) throws IOException, ServletException {
    String uri = request.getRequestURI();
    if (uri.startsWith(API_FREFIX)) {
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        response.setContentType(CONTENT_TYPE);

        PrintWriter pw = response.getWriter();
        pw.write(API_CODE_403);
        pw.close();
    } else {
        super.commence(request, response, authException);
    }

}

}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
登录验证失败处理器
public class LoginAuthFailHandler extends SimpleUrlAuthenticationFailureHandler {
private final LoginUrlEntryPoint urlEntryPoint;

public LoginAuthFailHandler(LoginUrlEntryPoint urlEntryPoint) {
    this.urlEntryPoint = urlEntryPoint;
}

@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                    AuthenticationException exception) throws IOException, ServletException {
    String targetUrl =
            this.urlEntryPoint.determineUrlToUseForThisRequest(request, response, exception);

    targetUrl += "?" + exception.getMessage();
    super.setDefaultFailureUrl(targetUrl);
    super.onAuthenticationFailure(request, response, exception);
}

}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
添加授权
public class AuthProvider implements AuthenticationProvider {
@Autowired
private IUserService userService;

private final Md5PasswordEncoder passwordEncoder = new Md5PasswordEncoder();

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    String userName = authentication.getName();
    String inputPassword = (String) authentication.getCredentials();

    User user = userService.findUserByName(userName);
    if (user == null) {
        throw new AuthenticationCredentialsNotFoundException("authError");
    }

    if (this.passwordEncoder.isPasswordValid(user.getPassword(), inputPassword, user.getId())) {
        return new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());

    }

    throw new BadCredentialsException("authError");

}

@Override
public boolean supports(Class<?> authentication) {
    return true;
}

}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
解析:

拿到authentication对象后,过滤器会调用ProviderManager类的authenticate方法,并传入该对象.
ProviderManager类的authenticate方法再调用自身的doAuthentication方法,在doAuthentication方法中会调用类中的List providers集合中的各个AuthenticationProvider接口实现类中的authenticate(Authentication authentication)方法进行验证

由此可见,真正的验证逻辑是由各个各个AuthenticationProvider接口实现类来完成的,DaoAuthenticationProvider类是默认情况下注入的一个AuthenticationProvider接口实现类.

参考文章:
Spring Security(11)——匿名认证
spring security源码分析之web包分析
springSecurity安全框架的学习和原理解读
Spring Security Web 5.1.2 源码解析 – RequestCacheAwareFilter
Spring Security Web 5.1.2 源码解析 – SessionManagementFilter
Spring Security Web 5.1.2 源码解析 – WebAsyncManagerIntegrationFilter

文章最后发布于: 2019-10-24 18:34:08

————————————————
版权声明:本文为CSDN博主「对梦想的牵挂」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_37338761/article/details/102728951

TiAmoSkr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【第四篇】SpringSecurityHttpSecurity详解
筱白爱学习!的博客
06-12 1402
HttpSecurity配置以及结构详解
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
(六)SpringCloud+Security+Oauth2--自定义注解实现接口权限放行
Instanceztt的博客
12-06 2583
在前面的配置中我们在查询用户相关的接口时,由于还没有获得token,就通过permitAll()对/user相关的接口全部放行,那么我们在日常开发中会设计到有些接口不需要token也能访问,比如我们在引入swagger后有些接口就不需要相应的token这时候我们可以在配置中增加相应配置放开权限,这种针对的是比较固定的一些,那么如何自定义在自己接口中随便去加接口权限放行呢实现思路 由此没有token接口也能正常访问了
Spring Security Web 5.1.2 源码解析 -- LoginUrlAuthenticationEntryPoint
Details Inside Spring
12-22 7100
LoginUrlAuthenticationEntryPoint被ExceptionTranslationFilter用来开始一个表单认证流程,这个表单认证的认证请求由UsernamePasswordAuthenticationFilter负责处理。 LoginUrlAuthenticationEntryPoint带有一个属性loginFormUrl指向表单登录页面的位置,基于此可以构建到表单登录...
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
Spring Security自定义资源权限规则
Leon_Jinhai_Sun的博客
05-04 671
/index 公共资源 /hello .... 受保护资源 权限管理 在项目中添加如下配置就可以实现对资源权限规则设定: @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.a..
Spring Security --- authorizeRequests配置
汤键的博客
04-13 2902
Spring Security --- authorizeRequests配置
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
这些示例展示了如何实现Vue动态路由以及Spring Security按钮级别的权限控制,并且给出了具体的代码实现。通过这种方式,我们可以构建出具有动态权限控制的复杂Web应用,同时保证了应用的安全性和灵活性。
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
总的来说,这个项目为学习者提供了一个实际的、完整的SpringBoot集成Spring Security的示例,通过它,你可以了解如何配置和使用Spring Security进行权限控制,同时掌握如何将数据库集成到Spring Boot应用中。...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
x-frame-options:x-frame-options旁路
05-07
x-frame-options x-frame-options旁路 安装 npm install 用法 npm run start 而不是将iframe源与网站的实际链接一起使用: < iframe src =" https://example.com/ " > </ iframe > 用 < iframe src =" http://localhost:3000?url=https://example.com/ " > </ iframe > 演示版
Spring Boot Activiti 由于“X-Frame-Options“指令设为“DENY“ 跨域问题
上班搞IT,下班搞ITF。
09-10 1635
@Override public void configure(HttpSecurity http) throws Exception { //放开所有资源请求URL http.authorizeRequests().antMatchers("/*").permitAll(); //取消csrf防护 http.csrf().disable(); // X-Frame-Options 响应头跨域,主要是这句 http.headers().frameOptions()...
Spring Security源码学习——建造者之HttpSecurity
clyu的博客
09-18 562
三、HttpSecurity 它的目标是构建一个 SecurityFilterChain 过滤器链实例,它 掌握着所有Filter的“生杀大权”,想要谁过滤就配置起来,不想要谁过滤就不配置或者禁用掉(因为有些会被默认配置)。 大致可以将其内方法分为两大类型,一类是框架默认给开发者提供的认证配置方法,可供开发者选择性调用,比如: 3.1 认证配置方法 formLogin 指定支持 基于表单 的身份验证 public final class HttpSecurity ...//忽略代码...{
【开发心得】解决iframe 请求security出现X-Frame-Options
清风唱诗人的博客
07-30 1567
在开发SpringSecurity配置的项目时,返回带有iframe的页面时,无法显示。 报错截图: 打开页面工具看到提示 Refused to display in a frame because it set 'X-Frame-Options' to 'DENY' >>>>> Springboot 2.x 要在继承了WebSecurityConfigurerAdapter 的配置类中配置。 结合SpringBoot只要在页面访问控制的配置中加上 http.
springsecurity中处理框架页
jackyrongvip的专栏
02-18 361
X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 &lt;frame&gt;, &lt;/iframe&gt; 或者 &lt;object&gt; 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。 使用 X-Frame-Option...
HttpSecurity和WebSecurity
mingzq123的博客
03-22 1001
它提供了一些方法,用于配置 Spring Security 的一些基本行为,如忽略某些请求、设置用户信息来源、启用 HTTPS 等。它提供了一些方法,用于配置请求的身份认证、授权、跨站请求伪造防护等。在该方法之后,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。方法用于开启请求授权配置,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。配置请求的授权策略,如哪些请求需要进行身份认证、哪些请求需要授权等。
12.SpringSecurity-web权限方案-用户授权(基于权限访问控制
自能生羽翼,何必仰云梯
04-11 338
hasAuthority方法   如果当前的主体具有指定的权限,则返回 true,否则返回 false;   1.在WebSecurityConfig.configure(HttpSecurity http)方法中,增加如下配置: //当前登录用户,只有具备admins权限才可以访问这个路径 .antMatchers("/test/index").hasAuthority("admins")   2.在UserDetailsService的实现类中赋予admins权限 //权限 List<Grant
SpringBoot - HttpSecurity是什么?
记录并分享
08-11 1132
HttpSecurity用于在实际的业务场景中针对不同的URL采用不同的权限处理策略。一般会在重载WebSecurityConfigurerAdapter基类的configure(HttpSecurity httpSecurity)方法中完成权限策略的处理。HttpSecuritySecurityBuilder接口的一个实现类,这是一个HTTP安全相关的构建器。当然我们在构建时可能需要一些配置,当我们调用HttpSecurity对象的方法时,实际上就是在进行配置。...
spring security按钮权限控制
最新发布
06-12
Spring Security提供了多种方式来进行按钮权限控制,其中一种常用的方式是使用thymeleaf和Spring Security标签库来进行控制。 具体步骤如下: 1. 在页面中引入Spring Security标签库 ``` <html xmlns:th="...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值