引言
Spring Security 官方文档
https://spring.io/projects/spring-security
Spring Security 中文文档 :
https://springdoc.cn/spring-security/
Spring Cloud 中文文档
https://www.springcloud.cc/spring-security.html#overall-architecture
一、简介
1. 什么是安全框架
开发软甲系统时,Web安全非常重要,Java安全框架,使用最多的是Spring Security、Apache Shiro
一个功能完善的安全框架,一般都需要支持以下特性,安全框架的底层是一批过滤器,原理大似相同:
- 认证(Authentication):验证用户的身份信息用户名和密码
- 授权(Authorization):验证用户的访问和权限,对已认证用户进行访问控制
- 加密:对重要信息进行加密处理,比如密码加密
- 会话管理:对用户认证、会话信息进行存储管理
- 防御攻击:对常见的网络攻击进行防御
2. Spring Security 简介
Spring Security 是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。总之,Spring Security是一个强大且易于使用的框架,可以帮助开发人员提高应用程序的安全性和可靠性。
认证和授权作为 Spring Security 安全框架的核心功能:
-
认证(Authentication):验证当前访问系统用户是否是本系统用户,并且要确认具体是哪个用户。
-
授权(Authorization):经过认证后判断当前用户是否具有权限进行某个操作。
-
Spring Security 学习路线
3. Spring Security 底层过滤器
在Spring Security中,认证授权等功能都是基于过滤器,下列为Spring Security中常见的过滤器
二.SpringSecurity 集成
1. 引入 Maven 依赖
spring-boot-starter-security是SpringBoot官方提供的启动器,提供了自动配置和依赖包管理
主要包含以下几个模块:
- spring-security-core:核心包,包含核心认证和访问权限功能类和接口、远程支持和基本配置API
- spring-security-web:WEB框架集成包,包含过滤器和相关的web安全基础设置代码
- spring-security-config:包含security命名空间解析代码和Java配置代码
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
由于Spring Boot提供Maven BOM来管理依赖版本,因此无需指定版本。如果您希望覆盖Spring Security版本,可以通过提供Maven属性来实现:
pom.xml中。
<properties>
<!-- ... -->
<spring-security.version>5.1.2.RELEASE</spring-security.version>
</dependencies>
2. WebSecurityConfig 配置
(1)HttpSecurity接口中有很多方法,以下列举一些常用的方法:
- antMatchers(String… antPatterns): 配置Ant风格的URL匹配规则,可以指定哪些URL需要进行安全约束。
- requestMatchers(RequestMatcher… requestMatchers): 配置自定义的请求匹配规则,可以更加灵活地指定哪些URL需要进行安全约束。
- sessionManagement(): 配置会话管理相关的设置,例如会话创建策略、会话超时时间等。
- csrf(): 配置跨站请求伪造(CSRF)相关的设置,例如是否启用CSRF保护、是否禁用SameSite属性等。
- httpBasic(): 启用HTTP基本认证,可以配置基本认证的Realm名称、是否使用Preemptive认证等。
- formLogin(): 启用表单登录功能,可以配置表单登录时的登录页面、登录处理程序、登录失败处理器等。
- logout(): 配置登出功能,可以配置登出时的处理程序、是否注销用户会话等。
- hasAnyRole(String… roles): 配置多个角色的访问权限,例如要求用户角色或管理员角色才能访问某些URL。
- anonymous(): 配置匿名用户的表示方法。默认情况下匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示。
- rememberMe(): 启用“记住我”功能,可以配置自定义的RememberMeAuthenticationProvider来提供“记住我”功能。
- headers(): 添加安全标头到响应中,例如设置CSP(内容安全策略)。
- cors(): 配置跨域资源共享相关的设置,例如是否允许跨域请求、允许哪些域名进行跨域等。
- portMapper(): 允许配置一个PortMapper,用于将HTTP请求的端口映射到特定的处理器或安全约束上。
- jee(): 配置基于容器的预认证,例如使用Servlet容器提供的认证机制。
- openidLogin(): 用于基于OpenID的认证,可以配置OpenID的服务端点、客户端ID和秘钥等。
(2)Spring Security WebSecurityConfig 示例:
Spring Boot 2.7.0 版本之前,需要写个配置类继承 WebSecurityConfigurerAdapter,然后重写 Adapter 中方法进行配置;
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// 配置安全约束,限制对特定 URL 的访问权限
.antMatcher("/admin/**")
.hasRole("ADMIN")
.and()
// 配置跨站请求伪造(CSRF)保护
.csrf().disable()
// 配置基本认证
.httpBasic()
.realmName("MyApp")
.and()
// 配置表单登录
.formLogin()
.loginPage("/login")
.permitAll()
.and()
// 配置登出功能
.logout()
.logoutUrl("/logout")
.permitAll();
}
@Bean
@Override
public UserDetailsService userDetailsService() {
// 配置用户详情服务,用于验证用户凭据并返回对应的用户信息
return new JdbcUserDetailsService(dataSource);
}
@Bean
@Override
public RememberMeServices rememberMeServices() {
// 配置“记住我”功能,使用数据库保存用户的登录状态信息
return new JdbcRememberMeServices(dataSource);
}
}
Spring Boot 2.7.0 版本之后无需再继承 WebSecurityConfigurerAdapter,只需直接声明配置类,再配置一个生成 SecurityFilterChainBean 方法,把原来 HttpSecurity 配置移动到该方法中即可。
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
/**
* 授权
* @param http
* @return
* @throws Exception
*/
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
//链式编程
// 首页所有人都可以访问,功能也只有对应有权限的人才能访问到
// 请求授权的规则
return http
.authorizeRequests()
//首页所有人可以访问
.antMatchers("/").permitAll()
//特定权限访问页
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3")
.and()
//无权限默认跳转登录页
.formLogin()
.and()
//注销,开启注销功能,跳转到首页
.logout().logoutSuccessUrl("/")
.and()
.build();
}
/**
* 认证
* @return
*/
@Bean
public UserDetailsService userDetailsService() {
//密码加密
PasswordEncoder encoder= PasswordEncoderFactories.createDelegatingPasswordEncoder();
//设置用户
UserDetails user2=User.builder()
.username("root")
.password(encoder.encode("123456"))
.roles("vip1","vip2","vip3")
.build();
return new InMemoryUserDetailsManager(user2);
}
@Bean
public AuthenticationManager authenticationManager(AuthenticationConfiguration configuration) throws Exception {
return configuration.getAuthenticationManager();
}
}
(3)定义登录成功跳转首页
@RestController
public class HelloController {
/**
* 默认登录成功跳转
* @return
*/
@RequestMapping("/")
public String hello(){
return "hello,spring security";
}
}
(4)登录
访问 http://localhost:8080/login