【Spring-Securty】安全框架使用详解

前言：

上一篇我分享了，关于使用swarrger的博客， 今天来分享关于security的操作：

在日常开发中，几乎所有的项目都需要进行请求的安全校验操作。

通常会采取以下几种方式来实现安全校验和过滤。

1、实例化HandlerInterceptor接口，配置其中的preHandle、postHandle、afterCompletion属性信息。
具体可以参考博客：

springboot实践----拦截器的配置

2、采取AOP的思想，手写一个接口的拦截过滤。
参考博客：

Springboot——使用Aspect实现token校验

3、使用一些较为成熟的权限认证、校验框架。如：shiro、security等。

1.简介

1.1.什么是安全框架

安全框架顾名思义，就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求，如身份验证、授权和加密方式。不使用安全框架之前，我们需要手动处理每个资源的访问控制，针对不同的项目都需要做不同的处理，此时就会显得非常麻烦，并且低效率引起的额外开销会延缓开发周期。使用安全框架，使开发团队能够选择最适合这些需求的框架，可以通过配置的方式实现对资源的访问限制，使得开发更加的高效。

1.2.主流安全框架

• Spring Security： Spring Security是目前Java Web领域中最流行的框架之一，它提供了一系列安全级别，包括基于认证和授权的安全保护，以及各种各样的安全校验，使得开发人员可以非常容易地为应用程序添加安全保护。Spring Security也提供了一种简单易用的方式来定制其过滤器链，以适应具体的安全需求。

• Apache Shiro： Apache Shiro是一个易于使用的Java Web安全框架。它提供了一种简单的方式来管理应用程序中的身份验证、授权和加密。Apache Shiro可以轻松地集成到Spring中，并提供了一系列构建块，以便定制其安全性行为。

1.2.为什么选择Spring Security

SpringBoot 没有发布之前，Shiro 应用更加广泛，因为 Shiro 是一个强大且易用的 Java 安全框架，能够非常清晰的处理身份验证、授权、管理会话以及密码加密。利用其易于理解的API，可以快速、轻松地获得任何应用程序，从最小的移动应用程序到最大的网络和企业应用程序。但是 Shiro 只是一个框架而已，其中的内容需要自己的去构建，前后是自己的，中间是Shiro帮我们去搭建和配置好的。

SpringBoot 发布后，随着其快速发展，Spring Security（前身叫做Acegi Security） 重新进入人们的视野。SpringBoot 解决了 Spring Security 各种复杂的配置，Spring Security 在我们进行用户认证以及授予权限的时候，通过各种各样的拦截器来控制权限的访问，从而实现安全，也就是说 Spring Security 除了不能脱离 Spring，Shiro 的功能它都有。

• 在用户认证方面，Spring Security 框架支持主流的认证方式，包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。

• 在用户授权方面，Spring Security 提供了基于角色的访问控制和访问控制列表（Access Control List，ACL），可以对应用中的领域对象进行细粒度的控制。

Shiro在这个环境下实际已经不具备优势了。因为Spring这个生态链现在是太强大了。

2.Spring Security

2.1.什么是Spring Security

Spring Security是一个基于Spring框架的安全性框架，可用于对Java应用程序进行身份验证、授权和其他安全性功能的添加。它不仅可以对Web应用程序进行保护，还可以保护非Web环境下的应用程序，如远程服务和命令行应用程序等。Spring Security提供了一系列可插拔的安全性特性，如基于标记的身份验证、权限控制、单点登录、密码加密等。它还支持多种安全性协议和标准，如OAuth、SAML、OpenID等，可与各种身份提供商集成。

2.2.工作原理

权限框架一般包含两大核心模块：认证（Authentication）和鉴权（Authorization）。

• 认证：认证模块负责验证用户身份的合法性，生成认证令牌，并保存到服务端会话中（如TLS）。

• 鉴权：鉴权模块负责从服务端会话内获取用户身份信息，与访问的资源进行权限比对。

核心组件介绍：

• AuthenticationManager：管理身份验证，可以从多种身份验证方案中选择一种。

• Authentication：用于验证用户的身份。

• SecurityContextHolder：用于管理 SecurityContext 的 ThreadLocal，以便在整个请求上下文中进行访问，方便用户访问。

• AccessDecisionManager：负责对访问受保护的资源的请求进行决策（即决定是否允许用户访问资源）

• AccessDecisionVoter：是AccessDecisionManager的实现组件之一，它用于对用户请求的访问受保护的资源所需要的角色或权限进行投票。

• ConfigAttribute：用于表示受保护资源或URL需要的访问权限，它可以理解为是访问控制策略的一部分

2.3.特点

1. 兼容性强：Spring Security是一个流行的开源框架，它可以与Spring应用程序完美集成。由于它的兼容性很好，因此可以非常方便地使用它保护Web应用程序。

2. 功能强大：Spring Security具备众多功能，包括注销、登录、角色、权限、令牌、XSS防御、CSRF防御等等。它还支持各种身份验证、角色和权限管理方式，如基于表单的认证、基于记住我功能的认证以及OAuth认证等等。

3. 安全可靠：Spring Security具有极高的安全性，它使用最新的安全标准和协议来保护Web应用程序。Spring Security采用安全性分层的策略来保护应用程序中的各个层，例如Web层、Service层、DAO层等等。除此之外，Spring Security还支持自定义安全策略和事件响应，从而使得开发者可以根据应用程序需求定制安全保护。

4. 易于使用：Spring Security提供了一种高度简化的方式来保护Web应用程序。它使用简单的标签和安全注解来添加安全保护，从而使得开发者可以基本不需要手动编写代码就可以完成安全保护。

5. 社区广泛：Spring Security是一个著名的开源框架，因此它有一个庞大的用户社区。这个社区不仅提供了大量的文档、示例和教程，而且还会解答开发者的问题、修复框架中的BUG等等。这为开发者提供了无限的支持和帮助，从而可以使用Spring Security更加自信。

3.快速入门

3.1.基于SpringBoot创建项目

基于Spring Initializr创建SpringBoot项目（本次案例采用Spring Boot 2.7.12版本为例），导入基本依赖：

<!-- freemarker -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>
<!-- web -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- lombok -->
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <optional>true</optional>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
</dependency>

配置application.yml文件：

spring:
  freemarker:
    # 设置freemarker模板后缀
    suffix: .ftl
    # 设置freemarker模板前缀
    template-loader-path: classpath:/templates/
    enabled: true

3.2.配置Spring Security

3.2.1.导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

spring-boot-starter-security包含了以下几个主要的依赖：

• spring-security-core：Spring Security的核心模块，提供了基于权限的访问控制以及其他安全相关功能。

• spring-security-config：提供了Spring Security的配置实现，例如通过Java配置创建安全策略和配置Token存储等。

• spring-security-web：提供了Spring Security Web的基本功能，例如Servlet集成和通过HttpSecurity配置应用程序安全策略。

3.2.2.启动项目并测试

创建HellController类，并定义hello请求处理方法：

@Controller
public class HelloController {
​
    @RequestMapping("/hello")
    public String hello(){
       return "hello,spring security";
    }
}

注意：在未配置spring security依赖之前，直接启动项目是可以无阻碍的任意访问请求路径的；但是配置了spring security之后需要通过认证登录后才能访问请求路径。

启动项目，系统会自动生成一个默认的随机登录密码（因为当前没有配置用户信息，配置之后就不会在生成默认登录密码）

这就是 Spring Security 为默认用户 user 生成的临时密码，是一个 UUID 字符串。

访问登录页，并进行测试

输入正确的账号和密码之后才能访问后续接口。

3.2.3.配置自定义账号密码

在application.yml文件中配置自定义用户名和密码。

spring:
  security:
    user:
      name: admin
      password: 123456

配置完成之后，请重启服务进行测试。

4.Web安全配置类

4.1.HttpSecurity介绍

HttpSecurity 是 Spring Security 的一个核心类，用于配置应用程序的安全策略。

HttpSecurity 类通常包含许多方法，可以用于配置以下内容：

1. HTTP 请求的安全策略，例如访问控制、跨站点请求伪造 (CSRF) 防护等。

2. HTTP 验证的安全策略，例如基于表单、HTTP 基本身份验证、OAuth 等。

3. 访问受保护资源时所需的身份验证和授权方式。

方法	说明
authorizeRequests()	用于配置如何处理请求的授权，默认情况下所有的请求都需要进行认证和授权才能访问受保护的资源
formLogin()	用于配置基于表单的身份验证，包括自定义登录页面、登录请求路径、用户名和密码的参数名称、登录成功和失败的跳转等。
httpBasic()	用于配置基于HTTP Basic身份验证，包括定义使用的用户名和密码、realm名称等。
logout()	用于配置退出登录功能，包括定义退出登录请求的URL、注销成功后的跳转URL、清除会话、删除Remember-Me令牌等。
csrf()	用于配置跨站请求伪造保护，包括定义CSRF Token的名称、保存方式、忽略某些请求等。
sessionManagement()	用于配置会话管理，包括定义并发控制、会话失效、禁用URL重定向、会话固定保护等。
rememberMe()	用于配置Remember-Me功能，包括定义Remember-Me令牌的名称、有效期、加密方法、登录成功后的处理方式等。
exceptionHandling()	用于配置自定义的异常处理，包括定义异常处理器和异常处理页面等。
headers()	用于配置HTTP响应头信息，包括定义X-Content-Type-Options、X-XSS-Protection、Strict-Transport-Security等头信息。
cors()	用于配置跨域资源共享，包括定义可访问的来源、Headers等。
addFilter()	用于向当前HttpSecurity中添加自定义的Filter。
and()	用于在配置中添加另一个安全规则，并将两个规则合并。

匹配规则：

• URL匹配

方法	说明
requestMatchers()	配置一个request Mather数组，参数为RequestMatcher对象，其match规则自定义,需要的时候放在最前面，对需要匹配的的规则进行自定义与过滤
authorizeRequests()	URL权限配置
antMatchers()	配置一个request Mather的string数组，参数为ant路径格式， 直接匹配url
anyRequest()	匹配任意url，无参 ,最好放在最后面

• 保护URL

方法	说明
authenticated()	保护Url，需要用户登录
permitAll()	指定URL无需保护，一般应用与静态资源文件
hasRole(String role)	限制单个角色访问
hasAnyRole(String… roles)	允许多个角色访问
access(String attribute)	该方法使用 SPEL, 所以可以创建复杂的限制
hasIpAddress(String ipaddressExpression)	限制IP地址或子网

• 登录formLogin

方法	说明
loginPage()	设置登录页面的 URL
defaultSuccessUrl()	设置登录成功后的默认跳转页面
failuerHandler()	登录失败之后的处理器
successHandler()	登录成功之后的处理器
failuerUrl()	登录失败之后系统转向的url，默认是this.loginPage + “?error”
loginProcessingUrl()	设置登录请求的 URL，即表单提交的 URL
usernameParameter()	设置登录表单中用户名字段的参数名，默认为 username
passwordParameter()	设置登录表单中密码字段的参数名，默认为 password

• 登出logout

方法	说明
logoutUrl()	登出url ， 默认是/logoutl
logoutSuccessUrl()	登出成功后跳转的 url 默认是/login?logout
logoutSuccessHandler()	登出成功处理器，设置后会把logoutSuccessUrl 置为null

4.2.实现自定义的登录

4.2.1.配置相关页面及请求路径

将课件中的templates目录中的相关页面导入到项目。

• 自定义登录页

<h1>用户登录</h1>
<form action="/userLogin" method="post">
    <label>用户：</label><input type="text" name="username"/><br/>
    <label>密码：</label><input type="password" name="password"/><br/>
    <input type="submit" value="登录"/>
</form>

• 创建UserController

@Controller
public class UserController {
​
    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }
​
    @RequestMapping("/userLogin")
    public String userLogin(String username,String password){
        System.out.println("username="+username+",password="+password);
        return "index";
    }
​
    @RequestMapping("/admin/toAddUser")
    public String toAddUser(){
        return "admin/addUser";
    }
​
    @RequestMapping("/admin/toListUser")
    public String toListUser(){
        return "admin/listUser";
    }
​
    @RequestMapping("/admin/toResetPwd")
    public String toResetPwd(){
        return "admin/resetPwd";
    }
​
    @RequestMapping("/admin/toUpdateUser")
    public String toUpdateUser(){
        return "admin/updateUser";
    }
​
    @RequestMapping("/user/toUpdatePwd")
    public String toUpdatePwd(){
        return "user/updatePwd";
    }
}

4.2.2.创建SecurityConfig配置类

创建WebSecurityConfig配置类，设置@EnableWebSecurity注解开启Spring Security的默认行为。

@Configuration
//开启SpringSecurity的默认行为
@EnableWebSecurity
public class WebSecurityConfig {
​
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http)
            throws Exception{
        http.authorizeRequests()
                    // 开放接口访问权限，不需要登录就可以访问
                    .antMatchers("/","/hello","/toLogin").permitAll()
                    // 其余所有请求全部需要鉴权认证
                    .anyRequest().authenticated()
        return http.build();     
    }
}

配置完毕之后，请重启项目访问主页页面进行测试。

除了开放接口能正常访问以外，其他接口均提示403错误。

4.2.3.配置自定义登录

下面所用到的方法都在HttpSecurity有介绍

@Configuration
//开启SpringSecurity的默认行为
@EnableWebSecurity
public class WebSecurityConfig {
​
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http)
            throws Exception{
        http.authorizeRequests()
                    // 开放接口访问权限，不需要登录授权就可以访问
                    .antMatchers("/","/hello","/toLogin").permitAll()
                    // 其余所有请求全部需要鉴权认证
                    .anyRequest().authenticated()
                .and()
                    .formLogin()
                    // 设置登录页面的 URL
                    .loginPage("/toLogin")
                    // 设置登录请求的 URL，即表单提交的 URL
                    .loginProcessingUrl("/userLogin")
                    // 设置登录表单中用户名字段的参数名，默认为username
                    .usernameParameter("username")
                    // 设置登录表单中密码字段的参数名，默认为password
                    .passwordParameter("password")
                ;
        return http.build();
    }
}

配置完毕之后，请重启项目访问登录页。这时会发现不在使用Spring Security提供的默认登录页（一个字丑），而是使用的自定义登录页。

可使用application.yml文件中配置的Spring Security自定义账号和密码。

4.2.4.配置安全退出

修改SecurityConfig配置类，加入Spring Security安全退出设置。

@Configuration
//开启SpringSecurity的默认行为
@EnableWebSecurity
public class WebSecurityConfig {
​
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http)
            throws Exception{
        http.authorizeRequests()
                    // 开放接口访问权限，不需要登录授权就可以访问
                    .antMatchers("/","/hello","/toLogin").permitAll()
                    // 其余所有请求全部需要鉴权认证
                    .anyRequest().authenticated()
                .and()
                    .formLogin()
                    // 设置登录页面的 URL
                    .loginPage("/toLogin")
                    // 设置登录请求的 URL，即表单提交的 URL
                    .loginProcessingUrl("/userLogin")
                    // 设置登录表单中用户名字段的参数名，默认为username
                    .usernameParameter("username")
                    // 设置登录表单中密码字段的参数名，默认为password
                    .passwordParameter("password")
                .and()
                    .logout()
                    // 设置安全退出的URL路径
                    .logoutUrl("/logout")
                    // 设置退出成功后跳转的路径
                    .logoutSuccessUrl("/")
                ;
        return http.build();
    }
}

配置完毕之后，请重启项目。先跳转到登录页面，输入账号密码登录，然后再点击安全退出按钮测试是否成功退出。

4.2.5.配置多用户角色访问

首先请删除或注释掉application.yml文件中的配置的自定义账号和密码。

spring:
  freemarker:
    suffix: .ftl
    template-loader-path: classpath:/templates/
    enabled: true
#  security:
#    user:
#      name: admin
#      password: 123456

修改SecurityConfig配置类，加入多用户角色配置。

@Bean
public UserDetailsService userDetailsService(){
    UserDetails admin = User.withUsername("admin")
        .password(bcryptPasswordEncoder().encode("123456"))
        .roles("ADMIN", "USER").build();
    UserDetails user = User.withUsername("user")
        .password(bcryptPasswordEncoder().encode("123456"))
        .roles("USER").build();
    return new InMemoryUserDetailsManager(admin,user);
}

注意：此处采用的是基于内存方式储存身份和授权信息。

异常说明：

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

解决方案：这个错误通常是因为在使用 Spring Security 进行密码验证时没有正确地配置密码编码器。在 Spring Security 中，密码编码器用于将用户提供的密码编码为安全的散列值，并将其与存储在数据库中的散列值进行比较。如果没有正确地配置密码编码器，则 Spring Security 将无法识别密码编码器的类型，并在比较密码时引发“没有映射到 id“null”的密码编码器”异常。要解决这个问题，需要在 Spring Security 配置中配置一个密码编码器，并将其用于验证用户提供的密码。常用的密码编码器有 BCryptPasswordEncoder 和 StandardPasswordEncoder。

修改SecurityConfig配置类，配置密码编码器。

@Bean
public PasswordEncoder bcryptPasswordEncoder() {
    return new BCryptPasswordEncoder();
}

重启项目，重新使用账号和密码登录进行测试。

4.2.6.配置自定义异常处理器

修改SecurityConfig配置类，设置不同角色的访问权限。

@Configuration
//开启SpringSecurity的默认行为
@EnableWebSecurity
public class WebSecurityConfig {
​
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http)
            throws Exception{
        http.authorizeRequests()
                    // 开放接口访问权限，不需要登录授权就可以访问
                    .antMatchers("/","/hello","/toLogin").permitAll()
                    // 设置角色权限
                    .antMatchers("/admin/**").hasRole("ADMIN")
                    .antMatchers("/user/**").hasAnyRole("ADMIN","USER")
                    // 其余所有请求全部需要鉴权认证
                    .anyRequest().authenticated()
                .and()
                    .formLogin()
                    // 设置登录页面的 URL
                    .loginPage("/toLogin")
                    // 设置登录请求的 URL，即表单提交的 URL
                    .loginProcessingUrl("/userLogin")
                    // 设置登录表单中用户名字段的参数名，默认为username
                    .usernameParameter("username")
                    // 设置登录表单中密码字段的参数名，默认为password
                    .passwordParameter("password")
                .and()
                    .logout()
                    // 设置安全退出的URL路径
                    .logoutUrl("/logout")
                    // 设置退出成功后跳转的路径
                    .logoutSuccessUrl("/")
                ;
        return http.build();
    }
}

重启项目，跳转登录页重新登录。这时发现登录不成功，后台控制台也没有产生任何异常信息，通过浏览器的网络(network)查看现实登录请求接口302错误。

解决方案：关闭csrf

修改SecurityConfig配置类，添加关闭csrf配置。

http.csrf().disable();

再次重启项目，发现登录正常。

最后通过切换不同的用户（user和admin）来测试角色权限是否授权成功，admin账号访问所有接口权限正常；切换到user账号访问时，发现以/admin/**开头的接口不能访问（证明鉴权成功），但是却提示403错误。

解决方案：配置自定义异常处理器

修改SecurityConfig配置类，添加自定义异常处理，并设置异常处理页面。

http.exceptionHandling().accessDeniedPage("/noauth")

重启项目后发现无权限将跳转到自定义异常页面。

总体演示：