Spring Security 入门篇（一）-- 简介

引言

Spring Security 官方文档
https://spring.io/projects/spring-security
Spring Security 中文文档 ：
https://springdoc.cn/spring-security/
Spring Cloud 中文文档
https://www.springcloud.cc/spring-security.html#overall-architecture

一、简介

1. 什么是安全框架

开发软甲系统时,Web安全非常重要,Java安全框架,使用最多的是Spring Security、Apache Shiro
一个功能完善的安全框架,一般都需要支持以下特性,安全框架的底层是一批过滤器,原理大似相同:

• 认证(Authentication):验证用户的身份信息用户名和密码
• 授权(Authorization):验证用户的访问和权限,对已认证用户进行访问控制
• 加密:对重要信息进行加密处理,比如密码加密
• 会话管理:对用户认证、会话信息进行存储管理
• 防御攻击:对常见的网络攻击进行防御

2. Spring Security 简介

Spring Security 是一个Java框架，用于保护应用程序的安全性。它提供了一套全面的安全解决方案，包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念，可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略，开发人员可以根据需要选择适合的方式。此外，Spring Security还提供了一些附加功能，如集成第三方身份验证提供商和单点登录，以及会话管理和密码编码等。总之，Spring Security是一个强大且易于使用的框架，可以帮助开发人员提高应用程序的安全性和可靠性。
认证和授权作为 Spring Security 安全框架的核心功能：

• 认证（Authentication）：验证当前访问系统用户是否是本系统用户，并且要确认具体是哪个用户。
  

• 授权（Authorization）：经过认证后判断当前用户是否具有权限进行某个操作。

• Spring Security 学习路线
  

3. Spring Security 底层过滤器

在Spring Security中,认证授权等功能都是基于过滤器,下列为Spring Security中常见的过滤器

二.SpringSecurity 集成

1. 引入 Maven 依赖

spring-boot-starter-security是SpringBoot官方提供的启动器,提供了自动配置和依赖包管理
主要包含以下几个模块:

• spring-security-core:核心包,包含核心认证和访问权限功能类和接口、远程支持和基本配置API
• spring-security-web:WEB框架集成包,包含过滤器和相关的web安全基础设置代码
• spring-security-config:包含security命名空间解析代码和Java配置代码

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

由于Spring Boot提供Maven BOM来管理依赖版本，因此无需指定版本。如果您希望覆盖Spring Security版本，可以通过提供Maven属性来实现：
pom.xml中。

<properties>
    <!-- ... -->
    <spring-security.version>5.1.2.RELEASE</spring-security.version>
</dependencies>

2. WebSecurityConfig 配置

（1）HttpSecurity接口中有很多方法，以下列举一些常用的方法：

1. antMatchers(String… antPatterns): 配置Ant风格的URL匹配规则，可以指定哪些URL需要进行安全约束。
2. requestMatchers(RequestMatcher… requestMatchers): 配置自定义的请求匹配规则，可以更加灵活地指定哪些URL需要进行安全约束。
3. sessionManagement(): 配置会话管理相关的设置，例如会话创建策略、会话超时时间等。
4. csrf(): 配置跨站请求伪造(CSRF)相关的设置，例如是否启用CSRF保护、是否禁用SameSite属性等。
5. httpBasic(): 启用HTTP基本认证，可以配置基本认证的Realm名称、是否使用Preemptive认证等。
6. formLogin(): 启用表单登录功能，可以配置表单登录时的登录页面、登录处理程序、登录失败处理器等。
7. logout(): 配置登出功能，可以配置登出时的处理程序、是否注销用户会话等。
8. hasAnyRole(String… roles): 配置多个角色的访问权限，例如要求用户角色或管理员角色才能访问某些URL。
9. anonymous(): 配置匿名用户的表示方法。默认情况下匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示。
10. rememberMe(): 启用“记住我”功能，可以配置自定义的RememberMeAuthenticationProvider来提供“记住我”功能。
11. headers(): 添加安全标头到响应中，例如设置CSP（内容安全策略）。
12. cors(): 配置跨域资源共享相关的设置，例如是否允许跨域请求、允许哪些域名进行跨域等。
13. portMapper(): 允许配置一个PortMapper，用于将HTTP请求的端口映射到特定的处理器或安全约束上。
14. jee(): 配置基于容器的预认证，例如使用Servlet容器提供的认证机制。
15. openidLogin(): 用于基于OpenID的认证，可以配置OpenID的服务端点、客户端ID和秘钥等。

（2）Spring Security WebSecurityConfig 示例：

Spring Boot 2.7.0 版本之前，需要写个配置类继承 WebSecurityConfigurerAdapter，然后重写 Adapter 中方法进行配置；

@EnableWebSecurity  
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {  
  
    @Override  
    protected void configure(HttpSecurity http) throws Exception {  
        http  
            // 配置安全约束，限制对特定 URL 的访问权限  
            .antMatcher("/admin/**")  
                .hasRole("ADMIN")  
                .and()  
            // 配置跨站请求伪造（CSRF）保护  
            .csrf().disable()  
            // 配置基本认证  
            .httpBasic()  
                .realmName("MyApp")  
                .and()  
            // 配置表单登录  
            .formLogin()  
                .loginPage("/login")  
                .permitAll()  
                .and()  
            // 配置登出功能  
            .logout()  
                .logoutUrl("/logout")  
                .permitAll();  
    }  
  
    @Bean  
    @Override  
    public UserDetailsService userDetailsService() {  
        // 配置用户详情服务，用于验证用户凭据并返回对应的用户信息  
        return new JdbcUserDetailsService(dataSource);  
    }  
  
    @Bean  
    @Override  
    public RememberMeServices rememberMeServices() {  
        // 配置“记住我”功能，使用数据库保存用户的登录状态信息  
        return new JdbcRememberMeServices(dataSource);  
    }  
}

Spring Boot 2.7.0 版本之后无需再继承 WebSecurityConfigurerAdapter，只需直接声明配置类，再配置一个生成 SecurityFilterChainBean 方法，把原来 HttpSecurity 配置移动到该方法中即可。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
   /**
    * 授权
    * @param http
    * @return
    * @throws Exception
    */
   @Bean
   public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      //链式编程
      // 首页所有人都可以访问，功能也只有对应有权限的人才能访问到
      // 请求授权的规则
      return http
            .authorizeRequests()
            //首页所有人可以访问
            .antMatchers("/").permitAll()
            //特定权限访问页
            .antMatchers("/level1/**").hasRole("vip1")
            .antMatchers("/level2/**").hasRole("vip2")
            .antMatchers("/level3/**").hasRole("vip3")
            .and()
            //无权限默认跳转登录页
            .formLogin()
            .and()
            //注销，开启注销功能，跳转到首页
            .logout().logoutSuccessUrl("/")
            .and()
            .build();
   }

   /**
    * 认证
    * @return
    */
   @Bean
   public UserDetailsService userDetailsService() {
      //密码加密
      PasswordEncoder encoder= PasswordEncoderFactories.createDelegatingPasswordEncoder();
      //设置用户
      UserDetails user2=User.builder()
            .username("root")
            .password(encoder.encode("123456"))
            .roles("vip1","vip2","vip3")
            .build();

      return new InMemoryUserDetailsManager(user2);
   }

   @Bean
   public AuthenticationManager authenticationManager(AuthenticationConfiguration configuration) throws Exception {
      return configuration.getAuthenticationManager();
   }
}

（3）定义登录成功跳转首页

@RestController
public class HelloController {
    /**
     * 默认登录成功跳转
     * @return
     */
    @RequestMapping("/")
    public String hello(){
        return "hello,spring security";
    }
}

（4）登录

访问 http://localhost:8080/login