腾讯春招内幕：2024最全Spring Security面试题大解析，安全专家必备宝典！

随着2024年春季招聘季节的来临，科技巨头字节跳动和腾讯再次成为众多求职者的目标。对于渴望在这些顶尖公司扮演关键角色的软件开发者而言，精通Spring
Security是走向成功的必经之路。Spring
Security，作为Java开发领域中最为强大和广泛使用的安全框架，它的灵活性和强大功能使得开发者能够构建出既安全又可靠的应用程序。

本文旨在为广大求职者提供一份详细的面试准备材料，涵盖了Spring
Security的核心组件、自定义用户详细信息服务的配置、密码存储的最佳实践、基于角色的访问控制实现、CSRF保护机制、方法级别安全性的应用、JWT在Spring
Security中的使用场景、自定义登录页面与认证流程的实现、OAuth2工作流程、HTTPS的强制使用、会话管理策略以及Spring
Security的过滤器链工作原理等12个核心问题。

1. 解释Spring Security框架的核心组件

Spring Security
是一个强大的、高度可定制的认证和访问控制框架，它为基于Spring的应用程序提供了声明式的安全访问保护。主要核心组件包括：

• Authentication （认证）: 确定某个用户是否为他声明的用户。在Spring Security中，这通常是通过AuthenticationManager接口实现的，其中ProviderManager是最常用的实现。
• Authorization （授权）: 决定一个已认证的用户是否允许执行某个操作。这通常涉及到对HTTP请求进行决策，由AccessDecisionManager处理。
• SecurityContextHolder 与SecurityContext ：用于存储当前安全上下文的详细信息，其中主要包括当前使用者的详细信息。
• UserDetails ：提供了必要信息来构建Authentication对象，通常通过UserDetailsService接口的实现来加载用户特定数据。
• GrantedAuthority ：反映了应用程序对用户的授权声明。
• Security Filter Chain ：一系列的Spring Security过滤器，每个过滤器都有特定的责任，整个链负责处理传入的HTTP请求。

通过这些组件的协调工作，Spring Security提供了一个健壮的安全框架来保护Spring应用程序。

2. 如何在Spring Security中配置自定义用户详细信息服务？

在Spring
Security中，自定义用户详细信息服务涉及实现UserDetailsService接口，该接口中的loadUserByUsername方法需要返回一个UserDetails对象。这个对象包含了用户的用户名、密码、权限等信息。

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), getAuthorities(user));
    }

    private Collection<? extends GrantedAuthority> getAuthorities(User user) {
        List<GrantedAuthority> authorities = new ArrayList<>();
        // 假设我们存储用户的角色为字符串，如 "ROLE_ADMIN"
        for (String role : user.getRoles()) {
            authorities.add(new SimpleGrantedAuthority(role));
        }
        return authorities;
    }
}

此外，需要在Spring Security配置中注册自定义的UserDetailsService，以便Spring
Security使用它来获取用户详情。

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

在这个配置中，我们还需要配置一个PasswordEncoder，Spring Security推荐使用BCryptPasswordEncoder。

3. Spring Security中的密码存储推荐实践是什么？

对于密码存储，Spring Security推荐使用强哈希函数，并且每个密码都有一个唯一的盐值。BCryptPasswordEncoder是Spring
Security提供的一个密码编码器实现，它内部使用BCrypt强哈希算法，并自动生成盐值。这种方式可以有效地防止彩虹表攻击和字典攻击。

在Spring Security配置中使用BCryptPasswordEncoder：

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

在用户注册或密码更新时，使用passwordEncoder对密码进行编码，然后存储到数据库中。

User user = new User();
user.setUsername("user");
user.setPassword(passwordEncoder.encode("password"));
userRepository.save(user);

通过这种方式，即使数据库被泄露，攻击者也难以从哈希值中恢复出原始密码，大大增加了安全性。

4. 如何通过Spring Security实现角色基的访问控制？

在Spring Security中实现基于角色的访问控制（RBAC）主要依赖于配置安全拦截，确保只有具有相应角色的用户才能访问特定资源。

配置方法通常涉及WebSecurityConfigurerAdapter的configure(HttpSecurity http)方法，其中可以定义哪些URL路径需要什么样的角色才能访问：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/admin/**").hasRole("ADMIN") // 只有ADMIN角色可以访问/admin/**路径
        .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") // USER和ADMIN角色都可以访问/user/**路径
        .antMatchers("/public/**").permitAll() // 所有用户都可以访问/public/**路径
        .anyRequest().authenticated() // 其他所有路径都需要认证
        .and()
        .formLogin();
}

通过这种配置，Spring Security能够根据用户的角色控制访问权限，从而实现细粒度的访问控制。

5. 解释Spring Security中的CSRF保护机制

跨站请求伪造（CSRF）是一种攻击方式，攻击者诱导用户在已经认证的网站上执行恶意操作。Spring
Security提供了CSRF保护机制，默认情况下是开启的。

Spring
Security的CSRF保护会为每个会话生成一个唯一的CSRF令牌，并要求所有修改状态的请求（如POST、PUT、DELETE等）都携带这个令牌。这可以确保请求是由实际的用户在网站上有意发起的，而不是由攻击者伪造的。

在表单提交时，必须包含CSRF令牌：

<form action="/path" method="post">
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
    <!-- 表单内容 -->
</form>

对于使用AJAX发送的请求，也需要在请求头中携带CSRF令牌。Spring Security会验证这个令牌，如果请求中没有令牌或令牌不匹配，请求将被拒绝。

6. 如何在Spring Security中实现方法级别的安全性？

Spring
Security支持方法级别的安全性，允许开发者对单个方法调用进行细粒度的访问控制。这是通过@PreAuthorize、@PostAuthorize、@Secured等注解实现的。

• @PreAuthorize ：在方法调用之前进行权限验证，可以使用表达式来指定访问条件。

• @PostAuthorize ：在方法调用之后进行权限验证，通常用于验证方法返回值。

• @Secured ：指定调用方法需要的权限，相比于@PreAuthorize和@PostAuthorize，它的功能较为简单。

  @PreAuthorize(“hasRole(‘ADMIN’)”)
  public void updateUserData(UserData userData) {
  // 更新用户数据的代码
  }

  @PreAuthorize(“#username == authentication.name”)
  public UserData getUserData(String username) {
  // 返回用户数据
  }

为了启用方法级别的安全性，需要在配置中加上@EnableGlobalMethodSecurity注解，并设置相应的属性来启用所需的注解：

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
}

通过这种方式，Spring Security为开发者提供了强大的工具来保护应用程序的敏感操作，确保只有具备正确权限的用户才能执行特定的方法。

7. Spring Security中JWT的应用场景有哪些？

JSON Web Tokens (JWT) 在Spring Security中广泛应用于实现无状态的认证机制。它主要用于以下场景：

• RESTful API 安全 ：对于构建RESTful服务的应用，JWT提供了一种有效的方式来保护API。客户端在登录时获取JWT令牌，并在随后的请求中携带这个令牌，服务端通过验证令牌来认证请求。
• 单点登录（SSO） ：JWT也可用于实现单点登录，用户在一个系统登录后，可以无缝地访问其他关联系统，无需再次认证。
• 微服务架构中的服务认证 ：在微服务架构中，服务间的调用需要认证。使用JWT可以方便地在服务间传递认证信息，确保调用的安全性。

在Spring Security中，通常会配置一个过滤器来处理JWT认证，例如：

public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String token = getTokenFromRequest(request);
        if (token != null && validateToken(token)) {
            Authentication auth = getAuthentication(token);
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        filterChain.doFilter(request, response);
    }

    // 方法：从请求中获取JWT令牌，验证令牌，从令牌中获取认证信息...
}

这个过滤器会检查HTTP请求中的JWT令牌，验证令牌的有效性，并根据令牌中的信息设置安全上下文。

8. 在Spring Security中，如何自定义登录页面和认证流程？

在Spring
Security中，自定义登录页面和认证流程主要通过配置HttpSecurity实现。可以使用formLogin()方法提供的配置选项来自定义登录行为：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .formLogin()
        .loginPage("/login") // 指定登录页面URL
        .loginProcessingUrl("/perform_login") // 指定表单提交URL
        .defaultSuccessUrl("/homepage", true) // 登录成功后跳转的URL
        .failureUrl("/login?error=true") // 登录失败后跳转的URL
        .and()
        .logout()
        .logoutUrl("/perform_logout") // 指定注销URL
        .deleteCookies("JSESSIONID"); // 登出时删除JSESSIONID cookie
}

通过这种方式，开发者可以提供自定义的登录页面，控制登录成功或失败后的重定向逻辑。

9. 解释Spring Security中OAuth2的工作流程

OAuth2是一个授权框架，Spring
Security支持OAuth2，使得应用可以安全地允许用户通过第三方服务进行认证。OAuth2的工作流程大致如下：

1. 授权请求 ：客户端请求授权服务器，获取用户的授权。
2. 用户授权 ：用户同意授权后，授权服务器会将用户重定向回客户端，携带授权码。
3. 获取令牌 ：客户端使用授权码，向授权服务器请求访问令牌。
4. 访问资源 ：客户端使用访问令牌，向资源服务器请求受保护的资源。

在Spring
Security中，可以通过配置ClientRegistrationRepository和AuthorizedClientService来实现OAuth2登录。Spring
Boot的OAuth2客户端自动配置大大简化了这一过程。

10. 在Spring Security中配置HTTPS强制使用

为了提高安全性，可以配置Spring
Security强制使用HTTPS。这可以通过调用HttpSecurity的requiresChannel()方法实现，然后对任意请求调用requiresSecure()来指定：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.requiresChannel()
    .anyRequest()
    .requiresSecure()
    .and()
    .formLogin()
    .and()
    // 其他配置...
}

这段配置确保了所有请求都必须通过HTTPS进行，如果尝试通过HTTP访问，Spring
Security将自动重定向到HTTPS。这是保护应用避免被中间人攻击的有效手段。

11. Spring Security中的会话管理策略有哪些？

Spring Security提供了灵活的会话管理策略，可以在多种场景下保证应用的安全性。主要的会话管理策略包括：

• 会话固定保护 ：为了防止会话固定攻击，每当用户认证成功时，Spring Security可以更换会话ID。
• 会话并发控制 ：限制用户同时在多个地方登录。可以配置最大会话数，防止同一用户的多个会话同时存在。
• 会话超时 ：可以配置会话的最大生命周期，超过这个时间未活动的会话将被自动失效。
• 无效会话跳转 ：当用户尝试访问但会话已经失效时，可以配置跳转到特定的页面。

这些策略通过HttpSecurity的sessionManagement()方法配置：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .sessionManagement()
        .sessionFixation().migrateSession() // 会话固定保护
        .maximumSessions(1) // 会话并发控制
        .maxSessionsPreventsLogin(true) // 达到最大会话数时阻止登录
        .expiredUrl("/session-expired") // 会话超时后跳转的URL
        .and()
        .and()
        // 其他配置...
}

12. Spring Security的过滤器链是如何工作的？

Spring
Security通过一系列的过滤器来提供安全保护，这些过滤器组成了一个过滤器链。每个过滤器都有其特定的职责，例如处理认证请求、检查CSRF令牌、管理会话等。

当一个请求到达应用时，它会依次通过过滤器链中的每个过滤器。每个过滤器可以决定是处理该请求、修改请求/响应、终止请求的处理过程还是将请求传递给链中的下一个过滤器。

过滤器链的顺序很重要，因为它决定了过滤器的执行顺序。Spring
Security为常见的安全需求提供了一套默认的过滤器链，但开发者可以根据需要自定义过滤器和过滤器链的配置。

自定义过滤器通常涉及创建一个实现Filter接口的类，并在Spring Security配置中将其添加到过滤器链中：

public class MyCustomFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        // 自定义过滤逻辑
        chain.doFilter(request, response);
    }
}

// 在配置中添加过滤器
http.addFilterBefore(new MyCustomFilter(), UsernamePasswordAuthenticationFilter.class);

通过这种方式，Spring Security的过滤器链为开发者提供了一种灵活而强大的机制来定制应用的安全策略，满足不同的安全需求。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！