Spring Security 实现动态刷新 URL 白名单

最新推荐文章于 2024-03-14 11:44:53 发布
最新推荐文章于 2024-03-14 11:44:53 发布
阅读量822 收藏 7
点赞数 8
分类专栏: Java Spring 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hdfg159/article/details/135314228
版权

Spring Security 实现动态刷新 URL 白名单

前言

  • 根据 Spring Security 的默认安全配置指定路径不需要认证的话,是无法动态更新匹配 URL 白名单的规则;
  • 现在我们的需求是通过 Nacos 随时更新发布新的配置 或者 通过从 Redis / 数据库 等方式获取到匹配 URL 白名单的规则;
  • 目标是能够自定义函数实现动态加载 URL 白名单的加载,在匹配时时候根据自定义函数获取对应匹配数据;

版本说明

基于 Spring Security 5.7 进行改造的案例,其他版本可以作为参考,改造方法类似。

实现

  1. 不能实现动态刷新的案例
/**
 * 资源服务器配置
 */
@Configuration
@AllArgsConstructor
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    private TokenStore tokenStore;
    // 放在 Nacos 上的配置文件
    private SecurityCommonProperties securityProperties;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(SpringContextUtils.applicationName());
        resources.tokenStore(tokenStore);
        resources.authenticationEntryPoint(new SecurityAuthenticationEntryPoint());
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 根据 securityProperties 的 UrlWhiteArray 白名单放行部分 URL 
                .antMatchers(securityProperties.getUrlWhiteArray()).permitAll()
                .anyRequest().authenticated();
    }
}
  • 案例是我们项目上的代码,不能通过发布 Nacos 配置动态更新 URL 白名单

通过 Nacos 修改白名单配置虽然是可以动态刷新 SecurityCommonProperties 对应字段的数据,但是 Spring Security 的白名单是不会刷新的。因为内容已经在启动应用时候加载进去了,后续并没有变化

  • 需要通过重启应用才能生效,如果在生产环境或者开发环境,这个操作是十分不方便的
  1. 动态刷新实现

自定义 org.springframework.security.web.util.matcher.RequestMatcher

  • LazyMvcRequestMatcher 代码
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;
import org.springframework.web.util.UrlPathHelper;

import javax.servlet.http.HttpServletRequest;
import java.util.*;
import java.util.function.Supplier;

import static java.util.stream.Collectors.toSet;

/**
 * @author hdfg159
 */
@Slf4j
public class LazyMvcRequestMatcher implements RequestMatcher {
    private final UrlPathHelper pathHelper = new UrlPathHelper();
    private final PathMatcher pathMatcher = new AntPathMatcher();

    // 获取白名单的 Java8 Supplier 函数
    private final Supplier<Set<String>> patternsSupplier;

    public LazyMvcRequestMatcher(Supplier<Set<String>> patternsSupplier) {
        this.patternsSupplier = patternsSupplier;
    }

    /**
     * 获取白名单列表
     * @return {@code Set<String>}
     */
    public Set<String> getPatterns() {
        try {
            return Optional.ofNullable(patternsSupplier)
                    .map(Supplier::get)
                    .map(patterns -> patterns.stream().filter(Objects::nonNull).filter(s -> !s.isBlank()).collect(toSet()))
                    .orElse(new HashSet<>());
        } catch (Exception e) {
            log.error("Get URL Pattern Error,Return Empty Set", e);
            return new HashSet<>();
        }
    }

    private boolean matches(String pattern, String lookupPath) {
        boolean match = pathMatcher.match(pattern, lookupPath);
        log.debug("Match Result:{},Pattern:{},Path:{}", match, pattern, lookupPath);
        return match;
    }

    @Override
    public MatchResult matcher(HttpServletRequest request) {
        var patterns = getPatterns();
        var lookupPath = pathHelper.getLookupPathForRequest(request);
        for (String pattern : patterns) {
            if (matches(pattern, lookupPath)) {
                Map<String, String> variables = pathMatcher.extractUriTemplateVariables(pattern, lookupPath);
                return MatchResult.match(variables);
            }
        }
        return MatchResult.notMatch();
    }

    @Override
    public boolean matches(HttpServletRequest request) {
        var lookupPath = pathHelper.getLookupPathForRequest(request);
        return getPatterns().stream().anyMatch(pattern -> matches(pattern, lookupPath));
    }
}
  • Spring Security 安全配置写法案例
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.TokenStore;

public abstract class DefaultResourceServerConfig extends ResourceServerConfigurerAdapter {
    private final TokenStore store;
    private final SecurityCommonProperties properties;

    public DefaultResourceServerConfig(TokenStore store, SecurityCommonProperties properties) {
        this.store = store;
        this.properties = properties;
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(SpringContextUtils.applicationName());
        resources.tokenStore(store);
        resources.authenticationEntryPoint(new SecurityAuthenticationEntryPoint());
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 关键点配置在这里,通过使用自己实现的 RequestMatcher
                .requestMatchers(new LazyMvcRequestMatcher(() -> 
                        // 函数内实现获取白名单规则代码,可以通过 Nacos 动态刷新配置 、 读取 Redis 、 读取数据库等操作
                        properties.applicationDefaultWhitelistUrlPattern(SpringContextUtils.applicationName())
                )).permitAll()
                .anyRequest().authenticated();
    }
}

上面代码的实现,是可以在匹配时候动态获取对应名单,从而达到动态刷新白名单的效果

注意:获取白名单函数内的代码逻辑尽量简单,不要编写执行时间长的代码,这样很容易影响应用的性能,每次路径匹配都会对函数进行调用,很容易成造成性能问题。

总结

  1. Spring Security 配置中自定义 org.springframework.security.web.util.matcher.RequestMatcher (Spring Security 请求匹配器)
  2. 通过 函数式编程 的方式,就是 Lambda 的延迟执行,对实时规则进行读取匹配
hdfg159
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security动态配置url权限的2种实现方法
08-27
本文将探讨两种在Spring Security实现动态配置URL权限的方法。 ### 方法一:自定义Filter 虽然自定义Filter可以实现动态权限判断,但这并不符合Spring Security的设计原则,因为这会使你绕过框架提供的安全机制...
SpringSecurity Jwt Token 自动刷新实现
08-19
SpringSecurity Jwt Token 自动刷新实现 SpringSecurity Jwt Token 自动刷新实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
SpringSecurity白名单路径不走自定义过滤器
qq_52614517的博客
07-01 973
第二步:自定义过滤器不要注入到Spring容器中(也就是不要使用@Component注解)在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。第一步:在SpringSecurity的配置类中重写public void configure(WebSecurity web)方法。这样springsecurity白名单的路径就不会走自定义过滤器。参考:http://t.csdn.cn/AogH8。具体原因可以看上面博主的博文。
Spring Security6.2.2配置白名单
最新发布
qq_31706527的博客
03-14 1185
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
spring security实现IP动态添加白名单
L_zsen的博客
07-06 5855
最近有个小需求:实现一个IP白名单的功能;指定ip可以无需登录认证即可访问指定的接口,非指定ip需要登录认证才能访问; 安全框架用spring security+jwt,安全配置类securityConfig继承WebSecurityConfigurerAdapter中可以配置hasIpaddress白名单; 但这个只能在初始化项目时通过字符串拼接access参数,没有达到ip动态添加删除的效果; 随后在百度了N篇文章后,参考动态url权限配置,自定义了一个决策器实现了功能,代码如下: import co
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4270
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
spring security工作的大致流程
yu001207的博客
10-17 1731
spring security工作的大致流程,可以帮助你理解
spring security 实现动态权限和短信验证码登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
Spring Security如何使用URL地址进行权限控制
08-25
在本文中,我们将探讨如何使用Spring Security实现URL地址的权限控制。 权限控制是指根据用户的角色和权限来控制用户对资源的访问权限。例如,在一个Web应用程序中,可能存在多个用户,每个用户都有不同的角色和...
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
Spring Security初识用户认证流程
weixin_43525167的博客
12-01 364
初步认识Spring Security的认证流程
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2566
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
spring实战-Spring-security权限认证白名单
热门推荐
乔布斯基的博客
08-21 2万+
第九篇:spring实战-Spring-security权限认证白名单 当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等 此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护 com.halfworlders.idat.config
SpingSecurity 重定向uri白名单使用域名校验
weixin_42555971的博客
02-07 939
重定向uri 域名
Spring Security 动态url权限控制
weixin_44809110的博客
11-25 1579
记录一下。。。
循序渐进学习spring security 第十四篇 自定义验证码认证逻辑,自定义动态权限下URL白名单配置
huangxuanheng的专栏
08-08 1535
文章目录学习目标回顾自定义认证逻辑,增加验证码校验创建项目:security-verify创建类:UsernamePasswordProvider编写获取验证码接口配置URL白名单测试如何添加URL白名单DefaultFilterInvocationSecurityMetadataSource 源码剖析将过滤器 MenuFilterInvocationSecurityMetadataSource 改为继承DefaultFilterInvocationSecurityMetadataSource配置URL
Spring Security 动态加载URL权限
shanchahua123456的博客
04-01 2771
https://www.jb51.net/article/141682.htm https://blog.csdn.net/weixin_43184769/article/details/84937685#t0 动态加载URL权限 动态实际测试项目:https://gitee.com/sw008/springbootdemo_source_code 项目目的是实现Spring Securi...
spring Security配置拦截规则
weixin_43575792的博客
03-18 6554
问题描述 使用spring Security实现后台管理系统登录验证加拦截,访问图片时需要验证 解决方案: 配置spring Security拦截规则,将访问路径添加进入白名单中,比如博主将resources下files下的图片设置白名单,规则就是"/files/**" @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurit
通过Security设置白名单
weixin_51722520的博客
10-11 2244
请问请问
Spring Security 实现IP白名单机制
04-07
Spring Security可以通过配置IP白名单来限制特定IP地址的访问。实现IP白名单机制的步骤如下: 1. 创建一个IP白名单过滤器,该过滤器用于过滤请求。在过滤器中,获取请求的IP地址,并将其与白名单列表进行比较。 ```java public class IpFilter extends OncePerRequestFilter { private final List<String> whitelist = Arrays.asList("192.168.1.100", "192.168.1.101"); @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String ipAddress = request.getRemoteAddr(); if (whitelist.contains(ipAddress)) { filterChain.doFilter(request, response); } else { response.setStatus(HttpStatus.FORBIDDEN.value()); } } } ``` 2. 在Spring Security配置文件中配置该过滤器,并将其添加到过滤器链中。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private IpFilter ipFilter; @Override protected void configure(HttpSecurity http) throws Exception { http .addFilterBefore(ipFilter, BasicAuthenticationFilter.class) .authorizeRequests() .anyRequest().authenticated() .and() .httpBasic(); } } ``` 在上述配置中,我们将IP过滤器添加到了基本认证过滤器之前,以确保所有请求都受到IP白名单的限制。 3. 测试IP白名单机制。使用一个不在白名单列表中的IP地址进行访问,应该会返回HTTP 403 Forbidden状态码。而使用白名单列表中的IP地址进行访问,应该可以正常访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值