spring security 学习笔记(三)

最新推荐文章于 2024-07-10 11:15:22 发布
置顶 最新推荐文章于 2024-07-10 11:15:22 发布
阅读量433 收藏
点赞数
分类专栏: spring security spring java 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37723564/article/details/113788967
版权
spring 同时被 3 个专栏收录
18 篇文章 0 订阅
订阅专栏
java
17 篇文章 0 订阅
订阅专栏
spring security
4 篇文章 0 订阅
订阅专栏

目录

概述

路由配置

异常处理

退出登录

权限管理

跨域配置

杂项配置

概述

上一篇主要是总结了有关spring security 的账号主体的设计,这一篇主要会一步一步总结这个配置类是如何编写的。这个配置类在spring security中至关重要,许多的组件都汇集于此,搞定这配置类整个流程就走通了。

路由配置

这一类的安全框架大多都是通过过滤器来匹配你请求的路由来判断拦截合放行的,所以我们需要在配置类中进行路由的配置。首先我们创建一个配置类,

@Configuration
@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

然后继承这个WebSecurityCongiurerAdapter,继承它可以根据我们项目自身的需要去重写其中的方法。然后加上两个注解,一个是将这个类作为spring bean容器定义的源,同时可以用来调用同类中的其它bean方法来定义bean之间的依赖关系,所以后面我们会把其它的一些bean定义到这个类中。第二个注解是用来激活WebSecurity的配置,如同我们使用spring的缓存、定时任务组件时所需要的激活注解一样。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers(HttpMethod.GET,
                        "/favicon.ico",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/swagger-ui/**",
                        "/webjars/**",
                        "/swagger-resources/**",
                        "/v3/**"
                ).permitAll()
                .antMatchers(HttpMethod.POST,
                        "/user/login/**")
                .permitAll();
        http.authorizeRequests().anyRequest().authenticated();
    }

然后重写这个configure方法,这里表示匹配下面的get请求,允许匿名访问这些资源,这里主要时开放了swagger3的一些静态资源。第二个匹配的时我们的登录入口,使用的时post请求,spring security默认的表单登录请求也是建议使用post请求。最后一句是其余所有的路由都需要认证后才能访问。

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

然后我们重写这个认证管理器,并且把它作为bean注册到spring 容器中。

    @Bean
    public SelfUserDetailService selfUserDetailService() {
        return new SelfUserDetailService();
    }

这里把上一篇中账号主体信息获取的实现了以bean的形式注册。

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

这里是选择我们的加密算法

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(selfUserDetailService())
                .passwordEncoder(passwordEncoder());
    }

然后重写这个configure方法,注意的是它接收的是一个有关认证的参数,和之前路由的configure方法是不同的。将前面提到的账号主体和加密方式这两个容器配置进来。然后我们需要暴露一个路由作为我们的登录入口。里面具体的登录逻辑,我提炼后如下

    @Override
    public void userLogin(LoginBO loginBO) {
        SecurityContext currentUser = SecurityContextHolder.getContext();
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginBO.getUserName(),loginBO.getPassword());
        final Authentication authenticate = authenticationManager.authenticate(authenticationToken);
        currentUser.setAuthentication(authenticate);
    }

这里其实和shiro的登录实现是比较类似的。第一行获取当前这个会话session中账号主体信息的上下文,相当于我得到一个记录账号的载体。第二行,我们登录采用的是账号密码的方式,所以需要用这个账号和密码封装成一个token令牌来继续后面的认证流程,第三行就是认证操作了,spring security为我们封装成了这一个方法,隐藏了内部的实现,这里使用final,我个人的理解是,在当前认证流程中,获取完认证信息后,不应该再被别的操作修改,保证了安全性。最后将认证信息写入到我们的上下文中,那么我们这个会话session中这个账号就被认为是已认证的了。

异常处理

我们知道框架本身会定义好一些异常,但是这些异常信息基本都是英文的我们需要转成中文,另外在前后端分离的项目中这些异常我们需要统一处理通过json的形式返回给前端。那么我们就需要在这里再创建几个类。spring security中异常主要是分为认证异常和访问拒绝异常。首先我们创建一个认证异常的处理类,并让它实现AuthenticationEntryPoint接口,然后重写commence方法

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        //处理异常
        Object webJson;
        if (e instanceof UsernameNotFoundException) {
            //查询不到账号
            webJson = WebResponse.fail(ServiceErrorEnum.UN_KNOWN_ACCOUNT.getErrCode(), ServiceErrorEnum.UN_KNOWN_ACCOUNT.getErrMsg());
        } else if (e instanceof BadCredentialsException) {
            //账号或密码错误
            webJson = WebResponse.fail(ServiceErrorEnum.ERROR_CREDENTIALS.getErrCode(), ServiceErrorEnum.ERROR_CREDENTIALS.getErrMsg());
        } else if (e instanceof AccountExpiredException) {
            //账号过期
            webJson = WebResponse.fail(ServiceErrorEnum.ACCOUNT_EXPIRE.getErrCode(), ServiceErrorEnum.ACCOUNT_EXPIRE.getErrMsg());
        } else if (e instanceof ProviderNotFoundException) {
            //认证方式不支持
            webJson = WebResponse.fail(ServiceErrorEnum.PROVIDER_NOT_FOUND.getErrCode(), ServiceErrorEnum.PROVIDER_NOT_FOUND.getErrMsg());
        } else if (e instanceof DisabledException) {
            //账号被禁用
            webJson = WebResponse.fail(ServiceErrorEnum.DISABLE_ERROR.getErrCode(), ServiceErrorEnum.DISABLE_ERROR.getErrMsg());
        } else if (e instanceof LockedException) {
            //账号被锁定
            webJson = WebResponse.fail(ServiceErrorEnum.LOCK_ACCOUNT.getErrCode(), ServiceErrorEnum.LOCK_ACCOUNT.getErrMsg());
        } else if (e instanceof CredentialsExpiredException) {
            //凭证过期异常异常
            webJson = WebResponse.fail(ServiceErrorEnum.CREDENTIALS_EXPIRE.getErrCode(), ServiceErrorEnum.CREDENTIALS_EXPIRE.getErrMsg());
        }else if(e instanceof InsufficientAuthenticationException){
            //需要认证
            webJson = WebResponse.fail(ServiceErrorEnum.NEED_LOGIN.getErrCode(),ServiceErrorEnum.NEED_LOGIN.getErrMsg());
        } else {
            //认证服务异常
            webJson = WebResponse.fail(ServiceErrorEnum.AUTH_SERVICE_ERROR.getErrCode(), ServiceErrorEnum.AUTH_SERVICE_ERROR.getErrMsg());
        }
        httpServletResponse.setStatus(HttpStatus.OK.value());
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        Writer writer = httpServletResponse.getWriter();
        String toJSONString = JSON.toJSONString(webJson);
        writer.write(toJSONString);
        writer.flush();
        writer.close();
    }

这个方法默认在监听到认证异常后会去查找我们代码中所配置的登录页,然后跳转到登录页。但是在前后端分离项目中我们后端只需要返回这个json格式的异常信息就可以了。这里将匹配spring security中的认证异常,结合我们的登录代码,我总结了下面几种

  1. UsernameNotFoundException 顾名思义就是当通过账号名搜索时无法获取账号,就返回这个异常信息
  2. BadCredentialsException 这个就是我们的我们的账号和密码不正确时会返回的信息
  3. AccountExpiredException 账号过期,可以抛出这个异常
  4. ProviderNotFoundException 认证方式不支持,比如当前时账号密码认证,但是传递的时jwt认证那判断后可以抛出这个异常
  5. DisabledException 账号被禁用时可以抛出的这个异常
  6. LockedException 账号被锁定的时候可以抛出这个异常
  7. CredentialsExpiredException 凭证过期可以抛出的异常
  8. InsufficientAuthenticationException 当前的认证信息不足时可以抛出这个异常

这里需要注意的是这个spring security自带的这个usernamenotfoundException一般是不会被抛出到最外层,我举个例子,在之前重写获取账号主体信息的方法中,对于通过账号名获取不到信息的,我们自主地抛出了这个框架自带的异常,通过断点可以发现


            try {
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            } catch (UsernameNotFoundException var6) {
                this.logger.debug("User '" + username + "' not found");
                if (this.hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                }

                throw var6;
            }

当这个我们抛出的账号不存在的异常被捕获后,系统通过这个hideUserNotFoundException参数(这个参数默认是true)将异常转为BadeCredentialsException凭证不正确抛出。这个也是处于安全考虑,避免别人通过不断的请求来推断你的账号名。

我们通过匹配抛出的原生异常类,然后封装成json串返回给前端由前端决定跳转地址。

另一种异常就是访问权限异常,这里需要实现AccessDeniedHandler接口

public class SelfAccessDecisionHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setStatus(HttpStatus.OK.value());
        httpServletResponse.setContentType("application/json");
        WebResponse<Object> fail = WebResponse.fail(ServiceErrorEnum.PERMISSION_REFUSE.getErrCode(), ServiceErrorEnum.PERMISSION_REFUSE.getErrMsg());
        Writer writer = httpServletResponse.getWriter();
        String toJSONString = JSONObject.toJSONString(fail);
        writer.write(toJSONString);
        writer.flush();
        writer.close();
    }
}

这里比较简单将异常封装好以json串的格式jiang返回给前端。

最后要做的是在之前配置类中,将这两个类注册到spring容器中

   @Bean
    public SelfAuthenticationHandler selfAuthenticationHandler() {
        return new SelfAuthenticationHandler();
    }

    @Bean
    public SelfAccessDecisionHandler selfAccessDecisionHandler() {
        return new SelfAccessDecisionHandler();
    }

将这两个异常处理器添加到exceptionHandling。那么spring security 就会把认证异常和访问拒绝异常抛出到这两个处理器中

http.exceptionHandling().authenticationEntryPoint(selfAuthenticationHandler())
                .accessDeniedHandler(selfAccessDecisionHandler());

 到此spring security 的异常处理就结束了。

退出登录

和登录一样重要的是退出登录,一般来说会重新跳转到登录页面,但是在前后端分离的项目中应该交给前端来处理。所以我们需要把退出登录的信息封装成json 数据然后返回

我们需要先创建一个类然后实现LogoutSuccessHandler接口,重写onLogoutSuccess方法。这个方法在退出登录成功时会调用。

public class SelfLogoutSuccessHandler implements LogoutSuccessHandler {


    @Override
    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json");
        httpServletResponse.setCharacterEncoding("UTF-8");
        WebResponse<String> webResponse = WebResponse.success("退出登录成功");
        PrintWriter writer = httpServletResponse.getWriter();
        writer.write(JSON.toJSONString(webResponse));
        writer.flush();
        writer.close();
    }
}

接着就需要在之前的configure类中精选配置了。我们梳理下要做的事,首先我们需要指定一个路由用作我们退出登录的路由,然后我们需要去执行退出登录时所需要处理的业务,比如清除会话,清除cookie,清除凭证等等。然后这些处理完了,意味着我们的退出登录业务时成功的,我们需要处理退出登录成功后的业务,是跳转还是直接返回一个信息提示给前端。

按照这三点我们在配置类中之前配置路由的地方再加上一句

   http.logout(logout -> logout
                .logoutUrl("/user/logout/**")
                .logoutSuccessHandler(selfLogoutSuccessHandler())
                .deleteCookies("selfCookie")
        );

logoutUrl用于指定退出的入口,spring security框架再退出登录的时候会默认为我们处理一些事情,默认是由SecurityContextLogoutHandler来实现的,默认是会使会话失效,同时清除认证信息。

  public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        Assert.notNull(request, "HttpServletRequest required");
        if (this.invalidateHttpSession) {
            HttpSession session = request.getSession(false);
            if (session != null) {
                this.logger.debug("Invalidating session: " + session.getId());
                session.invalidate();
            }
        }

        if (this.clearAuthentication) {
            SecurityContext context = SecurityContextHolder.getContext();
            context.setAuthentication((Authentication)null);
        }

        SecurityContextHolder.clearContext();
    }

所以这里没有选择再重写框架的logoutHandler,因为本身的这些功能已经基本够用了。

我这里是增加了一个清除指定cookies的功能,它可以根据名称来清除cookie的值。这里需要注意的一点是在登录流程中我们所写入的cookie的path需要这样写

  selfCookie.setPath(request.getContextPath() + "/");

这样才能和框架清除cookie时的path保持一致,这样才能重写掉cookie的值。

最后将之前自定义的退出登录成功处理器注册到spring 容器中作为logoutSuccessHandler配置进去。

权限管理

和大多数的权限系统框架一样,spring security 也是通过注解来管理权限的。首先第一步在配置类上增加注解

@EnableGlobalMethodSecurity(prePostEnabled = true)

这个表示全局方法级别的安全校验开启,并且可以在切面前后发挥作用,指的是在进入方法前处理权限后执行完方法后处理权限。

@PreAuthorize(value = "hasRole('ROLE_ADMIN')")
@PreAuthorize(value = "hasAuthority('TEST_ONE')")

这两个就是在controller层中加在方法层面上的注解,一个是角色一个是权限。注意角色必须加上前缀ROLE_。

跨域配置

在前后端分离的一大痛点就是跨域问题,spring security有专门对于跨域的配置。

系统默认会读取corsConfigurationSource名称的bean,所以我们可以把跨域配置写在这里

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList(ORIGIN));
        configuration.setAllowedMethods(Arrays.asList("GET","POST","PUT","DELETE","OPTION"));
        configuration.setAllowedHeaders(Arrays.asList("Origin", "X-Requested-With", "Content-Type", "Accept","Authorization","If-Modified-Since"));
        configuration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

这里分别是自定义配置了跨域允许的源、方法、请求头、是否允许跨域携带凭证。并且当允许跨域携带凭证的时候,我们的origin不能设置为*。当然实际开发中origin 也不会有很多。至于在shiro中跨域带来的复杂请求,请求预校验。security本身已经封装了处理的方法不需要我们再额外写了。

http.cors(Customizer.withDefaults());

在配置类之前配置路由的方法中再加上这么一句,表示使用跨域资源共享,并且读取默认的名称为corsConfigurationSource的容器。

杂项配置

由于spring security本身的一个特点就是能够对抗跨域伪造请求,所以这个功能是默认开启的,它需要请求的时候默认携带一个csrfToken。这个功能我们可以暂时关闭

        http.csrf().disable();

在配置类配置路由的方法中加上这句。

对于会话的时间来说,可以在yml配置文件中直接配置时间

server:
  port: 9092
  servlet:
    context-path: /security
    session:
      timeout: 30m

到这里一个基本的可以进行前后端分离开发的spring security配置就完成了。

今天想吃柠檬
关注
专栏目录
Spring Security 实战干货:如何实现不同的接口不同的安全策略
ITjianshuzhai的博客
06-11 719
1. 前言 欢迎阅读 Spring Security 实战干货 系列文章 。最近有开发小伙伴提了一个有趣的问题。他正在做一个项目,涉及两种风格,一种是给小程序出接口,安全上使用无状态的JWT Token;另一种是管理后台使用的是Freemarker,也就是前后端不分离的Session机制。用Spring Security该怎么办? 2. 解决方案 我们可以通过多次继承 WebSecurityConfigurerAdapter构建多个HttpSecurity。HttpSecurit...
spring security in action》读书笔记
慢慢的长大
10-09 485
why demo 管理用户 处理密码 身份验证 实践:小型安全web应用程序 配置授权:闲置访问 配置授权:应用限制 实施过滤器 应用CSRF保护和CORS 实践:职责分离 OAuth2如何工作 OAuth2:实现授权服务器 OAuth2:实现资源服务器 使用JWT和加密签名 全局方法安全性:授权前和授权后 全局方法安全性:授权前和过滤后 实践:Oauth2应用程序 用于反应式应用程序的Spring Security Spring Security 测试
Spring Security Oauth2.1 最新版 1.1.0 整合 (基于 springboot 3.1.0)gateway 完成授权认证
热门推荐
Ricardo.M.Yu的博客
06-14 2万+
Spring Boot 3.1 提供了一个 spring-boot-starter-oauth2-authorization-server 启动器,可以支持 Spring Authorization Server 的自动配置,轻松配置基于 Servlet 的 OAuth2 授权服务器,同时@EnableAuthorizationServer这些注解也早已废弃。用这个请求来模拟客户端,实际开发中,其实是先访问资源服务,由资源服务来拼接这几个参数来重定向到授权服务的,参数意义如下,
SpringSecurity中文文档(Servlet OAuth2)
znjy111的博客
07-10 701
Spring Security 提供了全面的 OAuth 2.0支持。
新版Spring Security6.2架构 (一)
喝醉的鱼博客
12-09 3950
新版Springsecurity6.2架构介绍
SpringSecurityOAuth已停更,来看一看进化版本Spring Authorization Server
Hanko的专栏
06-05 1687
Spring Authorization Server是Spring Security OAuth的进化版本,Spring Security OAuth官方已经宣布“End of Life”了。Spring Security OAuth使用的是OAuth2.0标准而Spring Authorization Serve引入了对OAuth 2.1和OpenID Connect 1.0规范的支持,并提供了更多功能和改进。它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
Spring Authorization Server 的一些核心组件和内置 Filter
小水牛的博客
05-06 3439
Spring Authorization Server 的一些核心组件和内置 Filter
springboot 2.7 oauth server配置源码走读一
suanhengzi的博客
01-04 1471
oauth2 server
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
spring security学习笔记
最新发布
08-02
spring security学习笔记
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。
SpringSecurity学习笔记
HRX98的博客
01-14 486
SpringSecurity
SpringCloud微服务实战——搭建企业级开发框架(四十四):【微服务监控告警实现方式一】使用Actuator + Spring Boot Admin实现简单的微服务监控告警系统
全栈程序猿的专栏
07-27 1927
业务系统正常运行的稳定性十分重要,作为SpringBoot的四大核心之一,Actuator让你时刻探知SpringBoot服务运行状态信息,是保障系统正常运行必不可少的组件。spring-boot-starter-actuator提供的是一系列HTTP或者JMX监控端点,通过监控端点我们可以获取到系统的运行统计信息,同时,我们可以自己选择开启需要的监控端点,也可以自定义扩展监控端点。...
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider)
sadoshi的专栏
02-15 585
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何与数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
springsecurity整合oauth2
qq_21277357的博客
01-07 2189
客户端的意思就是比如我是库存系统,我自己没有登陆,但是我想要登陆,那么就需要先在授权服务器进行注册客户端,然后才能拿着授权服务器的登陆,接入到我自己的业务系统,这样我就可以进行单点登陆了。用户拿着用户名密码请求到-》授权中心Oauth2->访问数据库-》返回授权码或者令牌token->认证/校验->授权->访问端点(EndPoint);用户-》请求:带着用户名密码-》认证-》访问数据库-》授权-》访问端点(EndPoint),可以认为是http接口,或者数据;
授权服务器框架Spring Authorization Server的过滤器链
码农小胖哥
11-11 5188
上一篇我们初次体验了Spring Authorization Server,很多粉丝都希望对这个新授权框架有进一步了解。所以今天我们再进一步再从配置上来了解和OAuth2.0授权服务器相关...
Spring Security框架原理及解析
多看多听多总结
07-26 1953
Spring Security框架原理及解析
Spring-Security完整版配置
盲目的拾荒者的博客
04-08 9558
package com.niugang.config; import java.io.IOException; import javax.servlet.ServletException; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.anno...
springsecurity笔记
08-17
Spring Security 是一个用于实现 Web 应用程序权限管理的框架。在 Spring Security 中,有种方式可以配置用户认证信息,一种是直接在配置文件中配置用户名和密码,例如:spring.security.user.name=beim,spring.security.user.password=123。从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护来防止 CSRF 攻击,特别是对于 PATCH、POST、PUT 和 DELETE 方法。而授权则是系统判断用户是否具有进行某些操作的权限。使用 Spring Security 的好处是可以提供强大的身份验证和授权功能,保护应用程序免受潜在的安全威胁。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值