- spring security与servlet过滤器filter拦截通过自己的验证决定是否放行。同样security也是此原理,使用DispatcherServlet对spring MVC进行拦截。
为对请求进行拦截,springMVC提供过滤器DelegatingFilterProxy类给予开发者配置 - springboot使用@EnableWebSecurity
配置账户密码spring.security.User.name和password
WebSecurityConfigurerAdapter
提供WebSecurityConfigurerAdapter,可以覆盖方法,自行定义安全拦截方案。其内三个方法
- configure(AutoenticationManagerBuilder)
- 用户签名服务,没有则默认用户名user
- 内存签名,内存签名将用户信心放入到内存中
auth.inMemoryAuthebtication
auth.jdbcAuthentication,需要注入数据源DataSource,阴钥加密,密码编码器Pbkdf2PasswordEncoder - 数据库签名
- 自定义服务签名,自定义;用户量大,使用数据库验证会造成网站缓慢,一般使用redis存储用户数据进行验证,如果redis中没有,再去数据库中取,使用UserDetailsServiceImpl重写loadUserByUsername,使用UserRoleService通过用户名查询,再转换UserDetails即可。
- configure(WebSecurity)
- configure(HTTPSecurity)
- 可以实现不同角色赋予不同权限的功能
- 还可以使用springEl表达式进行检验
- 强制使用https为http.requiresChannel和.requiresSecure(),而requiresInsecure则是取消安全请求的机制。
防止跨站点请求伪造
-
CSRF:浏览器登录,信息以Cookie形式报存。再通过此浏览器访问危险网站,而危险网站通过此Cookie访问安全网站
可以关闭,但不建议http.csrf().disable。 -
CSRF原理:每次HTTP请求的表单要求存在CSRF参数,当访问表单时,思spring security就会生成CSRF参数,放入表单中,当表单提交时一并提交CSRF参数,spring security对CSRF参数进行判断,判断是否与其生成的一致,如不一致,就认为是攻击。因为这个参数不在cookie中,所以第三方网站无法伪造,这样就避免CS r f攻击。
-
记住我功能http…And.rememberMe().tokenValiditySeconds(86400).key(qqqq),有效期1天,存在Cookie中,使用md5加密。