Security 命名空间配置 2.1. 2.1. 2.1. 2.1. 介绍
从 Spring-2.0开始可以使用命名空间的配置方式。 使用它呢,可以通过附加 xml 架构, 为传统的spring beans应用环境语法做补充。你可以在spring参考文档得到更多信息。命 名空间元素可以简单的配置单个 bean,或使用更强大的,定义一个备用配置语法,这可以 更加紧密的匹配问题域,隐藏用户背后的复杂性。 简单元素可能隐藏事实,多种 bean 和 处理步骤添加到应用环境中。 比如,把下面的 security 命名元素添加到应用环境中,将会 为测试用途,在应用内部启动一个内嵌 LDAP 服务器:
<security:ldap-server/>
这比配置一个 Apache 目录服务器 bean 要简单得多。 最常见的替代配置需求都可以使用 ldap-server元素的属性进行配置,这样用户就不用担心他们需要设置什么,不用担心bean 里的各种属性。 [1]。使用一个良好的 XML 编辑器来编辑应用环境文件,应该提供可用的属 性和元素信息。 我们推荐你尝试一下 SpringSource 工具套件 因为它具有处理 spring 组合 命名空间的特殊功能。 要开始在你的应用环境里使用 security 命名空间,你所需要的就是把架构声明添加到你的 应用环境文件里:
<beansxmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
...
</beans>
在许多例子里,你会看到(在示例中)应用,我们通常使用"security"作为默认的命名空间, 而不是"beans",这意味着我们可以省略所有 security 命名空间元素的前缀,使上下文更 容易阅读。 如果你把应用上下文分割成单独的文件,让你的安全配置都放到其中一个文件 里,这样更容易使用这种配置方法。 你的安全应用上下文应该像这样开头
<beans:beansxmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
...
</beans:beans>
就在这一章里,我们都将假设使用这种语法。 2.1.1. 2.1.1. 2.1.1. 2.1.1. 命名空间的设计
命名空间被用来设计成,处理框架内最常见的功能,提供一个简化和简洁的语法,使他们在
一个应用程序里。 这种设计是基于框架内的大型依赖,可以分割成下面这些部分: Web/HTTP 安全 - 最复杂的部分。设置过滤器和相关的服务 bean 来应用框架验证机制, 保护 URL,渲染登录和错误页面还有更多。
业务类(方法)安全
- 可选的安全服务层。 AuthenticationManager - 通过框架的其它部分,处理认证请求。 AccessDecisionManager - 提供访问的决定,适用于 web 以及方法的安全。一个默认的 主体会被注册,但是你也可以选择自定义一个,使用正常的 spring bean 语法进行声明。 AuthenticationProviders - 验证管理器验证用户的机制。 该命名空间提供几种标准选 项,意味着使用传统语法添加自定义 bean。 UserDetailsService - 密切相关的认证供应器,但往往也需要由其他 bean 需要。
下一章中,我们将看到如何把这些放到一起工作。 2.2. 2.2. 2.2. 2.2. 开始使用安全命名空间配置
在本节中,我们来看看如何使用一些框架里的主要配置,建立一个命名空间配置。 我们假 设你最初想要尽快的启动运行,为已有的 web 应用添加认证支持和权限控制,使用一些测 试登录。 然后我们看一下如何修改一下,使用数据库或其他安全信息参数。 在以后的章节 里我们将引入更多高级的命名空间配置选项。 2.2.1. 2.2.1. 2.2.1. 2.2.1. 配置 web.xml web.xml web.xml web.xml 我们要做的第一件事是把下面的 filter 声明添加到 web.xml 文件中:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
这是为 Spring Security 的 web 机制提供了一个调用钩子。 DelegatingFilterProxy 是 一个 Spring Framework 的类,它可以代理一个 application context 中定义的 Spring bean 所实现的 filter。 这种情况下,bean 的名字是"springSecurityFilterChain",这是
由命名空间创建的用于处理 web 安全的一个内部的机制。 注意,你不应该自己使用这个 bean 的名字。 一旦你把这个添加到你的 web.xml 中,你就准备好开始编辑呢的 application context 文件了。 web 安全服务是使用<http>元素配置的。 2.2.2. 2.2.2. 2.2.2. 2.2.2. 最小 <http> <http> <http> <http>配置
只需要进行如下配置就可以实现安全配置:
<http auto-config='true'>
<intercept-urlpattern="/**" access="ROLE_USER"/>
</http>
这表示,我们要保护应用程序中的所有 URL,只有拥有 ROLE_USER 角色的用户才能访问。 <http>元素是 所有 web 相关的命名空间功能的上级元素。<intercept-url>元素定义了 pattern,用来匹配进入的请求 URL,使用一个 ant 路径语法。 access 属性定义了请求 匹配了指定模式时的需求。使用默认的配置, 这个一般是一个逗号分隔的角色队列,一个 用户中的一个必须被允许访问请求。 前缀“ROLE_”表示的是一个用户应该拥有的权限比 对。换句话说, 一个普通的基于角色的约束应该被使用。Spring Security 中的访问控制 不限于简单角色的应用 (因此,我们使用不同的前缀来区分不同的安全属性).我们会在后 面看到这些解释是可变的 [2] Note Note Note Note 你可以使用多个<intercept-url>元素为不同 URL 的集合定义不同的访问需求, 它们会被 归入一个有序队列中,每次取出最先匹配的一个元素使用。 所以你必须把期望使用的匹配 条件放到最上边。你也可以添加一个 method 属性 来限制匹配一个特定的 HTTP method(GET, POST, PUT 等等)。对于一个模式同时定义在定义了 method 和未定义 method 的情况, 指定 method 的匹配会无视顺序优先被使用。
要是想添加一些用户,你可以直接使用下面的命名空间直接定义一些测试数据:
<authentication-manager>
<authentication-provider>
<user-service>
<user name="jimi" password="jimispassword" authorities="ROLE_USER, ROLE_ADMIN"/>
<username="bob"password="bobspassword"authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
如果你熟悉以前的版本,你很可能已经猜到了这里是怎么回事。 <http>元素会创建一个 FilterChainProxy 和 filter 使用的 bean。 以前常常出现的,因为 filter 顺序不正确产生 的问题,不会再出现了,现在这些过滤器的位置都是预定义好的。 <authentication-provider>元素创建了一个 DaoAuthenticationProvider bean, <user-service>元素创建了一个 InMemoryDaoImpl。所有 authentication-provider 元 素 必 须 作 为 <authentication-manager> 的 子 元 素 , 它 创 建 了 一 个 ProviderManager,并把 authentication provider 注册到它里面。 你可以在命名空间附 录中找到关于创建这个 bean 的更新信息。 很值得去交叉检查一下这里,如果你希望开始 理解框架中哪些是重要的类 以及它们是如何使用的,特别是如果你希望以后做一些自定义 工作。
上面的配置定义了两个用户,他们在应用程序中的密码和角色(用在权限控制上)。 也可以 从一个标准 properties 文件中读取这些信息,使用 user-service 的 properties 属性。参 考 in-memory authentication 获得更多信息。 使用<authentication-provider>元素意味 着 用 户 信 息 将 被 认 证 管 理 用 作 处 理 认 证 请 求 。 你 可 以 拥 有 多 个 <authentication-provider>元素来定义不同的认证数据, 每个会被需要时使用。 现在,你可以启动程序,然后就会进入登录流程了。试试这个,或者试试工程里的“tutorial” 例子。 上述配置实际上把很多服务添加到了程序里,因为我们使用了 auto-config 属性。 比如,表单登录和"remember-me"服务自动启动了。 2.2.2.1. 2.2.2.1. 2.2.2.1. 2.2.2.1. auto-config auto-config auto-config auto-config 包含了什么? 我们在上面用到的 auto-config 属性,其实是下面这些配置的缩写:
<http>
<form-login/>
<http-basic/>
<logout/>
</http>
这些元素分别与 form-login,基本认证和注销处理对应。 [3] 他们拥有各自的属性,来改 变他们的具体行为。 2.2.2.2. 2.2.2.2. 2.2.2.2. 2.2.2.2. 表单和基本登录选项
你也许想知道,在需要登录的时候,去哪里找这个登录页面,到现在为止我们都没有提到任 何的 HTML 或 JSP 文件。 实际上,如果我们没有确切的指定一个页面用来登录,Spring Security 会自动生成一个,基于可用的功能,为这个 URL 使用标准的数据,处理提交的登 录,然后在登陆后发送到默认的目标 URL。 然而,命名空间提供了许多支持,让你可以自 定义这些选项。 比如,如果你想实现自己的登录页面,你可以使用:
<http auto-config='true'>
<intercept-urlpattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<form-loginlogin-page='/login.jsp'/>
</http>
注意,你依旧可以使用 auto-config。 这个 form-login 元素会覆盖默认的设置。 也要注 意我们需要添加额外的 intercept-url 元素,指定用来做登录的页面的 URL, 这些 URL 应 该可以被匿名访问。[4] 否则,这些请求会被/**部分拦截,它没法访问到登录页面。 这是 一个很常见的配置错误,它会导致系统出现无限循环。 Spring Security 会在日志中发出 一个警告,如果你的登录页面是被保护的。 也可能让所有的请求都匹配特定的模式,通过 完全的安全过滤器链:
<http auto-config='true'>
<intercept-urlpattern="/css/**" filters="none"/>
<intercept-urlpattern="/login.jsp*" filters="none"/>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<form-loginlogin-page='/login.jsp'/>
</http>
主要的是意识到这些请求会被完全忽略,对任何 Spring Security 中 web 相关的配置,或 额外的属性,比如 requires-channel, 所以你会不能访问当前用户信息,或调用被保护 方法,在请求过程中。 使用 access='IS_AUTHENTICATED_ANONYMOUSLY'作为一个 选择方式 如果你还想要安全过滤器链起作用。
如果你希望使用基本认证,代替表单登录,可以把配置改为:
<http auto-config='true'>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<http-basic/>
</http>
基本身份认证会被优先用到,在用户尝试访问一个受保护的资源时,用来提示用户登录。在 这种配置中,表单登录依然是可用的,如果你还想用的话,比如,把一个登录表单内嵌到其 他页面里。
2.2.2.2.1. 2.2.2.2.1. 2.2.2.2.1. 2.2.2.2.1. 设置一个默认的提交登陆目标
如果在进行表单登陆之前,没有试图去访问一个被保护的资源,default-target-url 就会起 作 用 。 这 是 用 户 登 陆 后 会 跳 转 到 的 URL , 默 认 是 "/" 。 你 也 可 以 把 always-use-default-target 属性配置成"true",这样用户就会 一直 跳转到这一页(无论 登陆是“跳转过来的”还是用户特定进行登陆) 。 如果你的系统一直需要用户从首页进入,就 可以使用它了,比如:
<http>
<intercept-urlpattern='/login.htm*' filters='none'/>
<intercept-urlpattern='/**' access='ROLE_USER'/>
<form-loginlogin-page='/login.htm'default-target-url='/home.htm'
always-use-default-target='true'/>
</http>
2.2.3. 2.2.3. 2.2.3. 2.2.3. 使用其他认证提供器 现实中,你会需要更大型的用户信息源,而不是写在 application context 里的几个名字。 多数情况下,你会想把用户信息保存到数据库或者是 LDAP 服务器里。 LDAP 命名空间会 在 LDAP 章里详细讨论,所以我们这里不会讲它。 如果你自定义了一个 Spring Security 的 UserDetailsService 实 现 , 在 你 的 application context 中 名 叫 "myUserDetailsService",然后你可以使用下面的验证。
<authentication-manager>
<authentication-provideruser-service-ref='myUserDetailsService'/>
</authentication-manager>
如果你想用数据库,可以使用下面的方式
<authentication-manager>
<authentication-provider>
<jdbc-user-servicedata-source-ref="securityDataSource"/>
</authentication-provider>
</authentication-manager>
这里的“securityDataSource”就是 DataSource bean 在 application context 里的名 字,它指向了包含着 Spring Security 用户信息的表。 另外,你可以配置一个 Spring Security JdbcDaoImpl bean,使用 user-service-ref 属性指定:
<authentication-manager>
<authentication-provideruser-service-ref='myUserDetailsService'/>
</authentication-manager>
<beans:beanid="myUserDetailsService"
class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
<beans:propertyname="dataSource"ref="dataSource"/>
</beans:bean>
你也可以使用标准的 AuthenticationProvider 类,像下面
<authentication-manager>
<authentication-providerref='myAuthenticationProvider'/>
</authentication-manager>
这里 myAuthenticationProvider 是你的 application context 中的一个 bean 的名字, 它实现了 AuthenticationProvider。 查看 Section 2.6, “验证管理器和命名空间”了解更多信 息, AuthenticationManager 使用命名空间在 Spring Security 中是如何配置的。 2.2.3.1. 2.2.3.1. 2.2.3.1. 2.2.3.1. 添加一个密码编码器 你的密码数据通常要使用一种散列算法进行编码。 使用<password-encoder>元素支持 这个功能。 使用 SHA 加密密码,原始的认证供应器配置,看起来就像这样:
<authentication-manager>
<authentication-provider>
<password-encoderhash="sha"/>
<user-service>
<username="jimi"password="d7e6351eaa13189a5a3641bab846c8e8c69ba39f"
authorities="ROLE_USER,ROLE_ADMIN"/>
<username="bob"password="4e7421b1b8765d8f9406d87e7cc6aa784c4ab97f"
authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
在使用散列密码时,用盐值防止字典攻击是个好主意,Spring Security 也支持这个功能。 理 想 情 况 下 , 你 可 能 想 为 每 个 用 户 随 机 生 成 一 个 盐 值 , 不 过 , 你 可 以 使 用 从 UserDetailsService 读取出来的 UserDetails 对象中的属性。 比如,使用 username 属 性,你可以这样用:
<password-encoderhash="sha">
<salt-sourceuser-property="username"/>
</password-encoder>
你可以通过 password-encoder 的 ref 属性,指定一个自定义的密码编码器 bean。 这应 该包含 application context 中一个 bean 的名字,它应该是 Spring Security 的 PasswordEncoder 接口的一个实例。 2.3. 2.3. 2.3. 2.3. 高级 web web web web 特性
2.3.1. 2.3.1. 2.3.1. 2.3.1. Remember-Me Remember-Me Remember-Me Remember-Me 认证 参考 Remember-Me 章获得 remember-me 命名空间配置的详细信息。 2.3.2. 2.3.2. 2.3.2. 2.3.2. 添加 HTTP/HTTPS HTTP/HTTPS HTTP/HTTPS HTTP/HTTPS 信道安全 如果你的同时支持 HTTP 和 HTTPS 协议,然后你要求特定的 URL 只能使用 HTTPS,这时 可以直接使用<intercept-url>的 requires-channel 属性:
<http>
<intercept-urlpattern="/secure/**" access="ROLE_USER"requires-channel="https"/>
<intercept-urlpattern="/**" access="ROLE_USER"requires-channel="any"/>
...
</http>
使用了这个配置以后,如果用户通过 HTTP 尝试访问"/secure/**"匹配的网址,他们会先
被重定向到 HTTPS 网址下。 可用的选项有"http", "https" 或 "any"。 使用"any"意味 着使用 HTTP 或 HTTPS 都可以。 如果你的程序使用的不是 HTTP 或 HTTPS 的标准端口,你可以用下面的方式指定端口对应 关系:
<http>
...
<port-mappings>
<port-mappinghttp="9080"https="9443"/>
</port-mappings>
</http>
你可以在???找到更详细的讨论。 2.3.3. 2.3.3. 2.3.3. 2.3.3. 会话管理 2.3.3.1. 2.3.3.1. 2.3.3.1. 2.3.3.1. 检测超时 你可以配置 Spring Security 检测失效的 session ID, 并把用户转发到对应的 URL。这 可以通过 session-management 元素配置: <http> ... <session-management invalid-session-url="/sessionTimeout.htm" /> </http> 2.3.3.2. 2.3.3.2. 2.3.3.2. 2.3.3.2. 同步会话控制 如果你希望限制单个用户只能登录到你的程序一次,Spring Security 通过添加下面简单的 部分支持这个功能。首先,你需要把下面的监听器添加到你的 web.xml 文件里,让 Spring Security 获 得 session 生 存 周 期 事 件 : <listener> <listener-class> org.springframework.security.web.session.HttpSessionEventPublisher </listener-class> </listener> 然后,在你的 application context 加入如下部分:
<http>
...
<session-management>
<concurrency-controlmax-sessions="1"/>
</session-management>
</http>
这将防止一个用户重复登录好几次-第二次登录会让第一次登录失效。通常我们更想防止第 二次登录,这时候我们可以使用
<http>
...
<session-management>
<concurrency-controlmax-sessions="1"error-if-maximum-exceeded="true" />
</session-management>
</http>
第 二 次 登 录 将 被 阻 止 , 通 过 “ 注 入 ” , 我 们 的 意 思 是 用 户 会 被 转 发 到 authentication-failure-url,如果使用了 form-based 登录。 如果第二次验证使用了其 他非内置的机制,比如“remember-me”,一个“未认证”(402)错误就会发送给客户端。如 果 你 希 望 使 用 一 个 错 误 页 面 替 代 , 你 可 以 在 session-management 中 添 加 session-authentication-error-url 属性。 如果你为 form-based 登录使用了自定义认证, 你就必须特别配置同步会话控制。更多的 细节可以在 会话管理章节找到。 2.3.3.3. 2.3.3.3. 2.3.3.3. 2.3.3.3. 防止 Session Session Session Session 固定攻击 Session 固定攻击是一个潜在危险,当一个恶意攻击者可以创建一个 session 访问一个网站 的时候,然后说服另一个用户登录到同一个会话上(比如,发送给他们一个包含了 session 标识参数的链接)。 Spring Security 通过在用户登录时,创建一个新 session 来防止这 个问题。 如果你不需要保护,或者它与其他一些需求冲突,你可以通过使用<http>中的 session-fixation-protection 属性来配置它的行为,它有三个选项 migrateSession - 创建一个新 session,把原来 session 中所有属性复制到新 session 中。这是默认值。 none - 什么也不做,继续使用原来的 session。 newSession - 创建一个新的“干净的”session,不会复制 session 中的数据。 2.3.4. 2.3.4. 2.3.4. 2.3.4. 对 OpenID OpenID OpenID OpenID 的支持
命名空间支持 OpenID 登录,替代普通的表单登录,或作为一种附加功能,只需要进行简单 的修改:
<http>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<openid-login/>
</http>
你应该注册一个 OpenID 供应器(比如 myopenid.com),然后把用户信息添加到你的内 存<user-service>中:
<username="http://jimi.hendrix.myopenid.com/"authorities="ROLE_USER"/>
你应该可以使用 myopenid.com 网站登录来进行验证了。 也可能选择一个特定的 UserDetailsService bean 来使用 OpenID,通过设置元素。 查看上一节认证提供器获得 更多信息。 请注意,上面用户配置中我们省略了密码属性,因为这里的用户数据只用来为 数据读取数据。 内部会生成一个随机密码,放置我们使用用户数据时出现问题, 无论在你 的配置的地方使用认证信息。 2.3.4.1. 2.3.4.1. 2.3.4.1. 2.3.4.1. 属性交换 支持 OpenID 的 属性交换。 作为一个例子,下面的配置会尝试从 OpenID 提供器中获得 email 和全名, 这些会被应用程序使用到:
<openid-login>
<attribute-exchange>
<openid-attribute name="email" type="http://axschema.org/contact/email" required="true"
/>
<openid-attributename="name"type="http://axschema.org/namePerson"/>
</attribute-exchange>
</openid-login>
每个 OpenID 的“type”属性是一个 URI,这是由特定的 schema 决定的, 在这个例子中 是 http://axschema.org/。 如果一个属性必须为了成功认证而获取,可以设置 required。 确切的 schema 和对属性的支持会依赖于你使用的 OpenID 提供器。属性值作为认证过程 的一部分返回, 可以使用下面的代码在后面的过程中获得:
OpenIDAuthenticationToken token = (OpenIDAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
List<OpenIDAttribute>attributes =token.getAttributes();
OpenIDAttribute 包含的属性类型和获取的值 (或者在多属性情况下是多个值)。我们将 看到更多关于 SecurityContextHolder 如何使用的信息,只要我们在技术概述章节浏览核 心 Spring Security 组件。 2.3.5. 2.3.5. 2.3.5. 2.3.5. 添加你自己的 filter filter filter filter 如果你以前使用过 Spring Security,你就应该知道这个框架里维护了一个过滤器链,来提 供服务。 你也许想把你自己的过滤器添加到链条的特定位置,或者使用一个 Spring Security 的过滤器,这个过滤器现在还没有在命名空间配置中进行支持(比如 CAS)。 或 者你想要使用一个特定版本的标准命名空间过滤器,比如 <form-login>创建的 UsernamePasswordAuthenticationFilter,从而获得一些额外的配置选项的优势,这些 可以通过直接配置 bean 获得。 你如何在命名空间配置里实现这些功能呢?过滤器链现在 已经不能直接看到了。 过滤器顺序在使用命名空间的时候是被严格执行的。 当 application context 创建时,过 滤器 bean 通过 namespace 的处理代码进行排序, 标准的 spring security 过滤器都有 自己的假名和一个容易记忆的位置。 Note Note Note Note 在之前的版本中,排序是在过滤器实例创建后执行的,在 application context 的执行后 的过程中。在3.0+版本中,执行会在 bean 元元素级别被执行,在 bean 实例化之前。 这 会影响到你如何添加自己的过滤器,实体过滤器列表 必须在解析<http>元素的过程中了 解这些, 所以3.0中的语法变化的很明显。
有关创建过滤器的过滤器,假名和命名空间元素,属性可以在 Table 2.1,“标准过滤器假名和顺 序”中找到。 过滤器按照次序排列在过滤器链中。 Table Table Table Table 2.1. 2.1. 2.1. 2.1. 标准过滤器假名和顺序
假名 过滤器累 命名空间元素或属性
CHANNEL_FILTER ChannelProcessingFilter
http/intercept-url@requir es-channel
CONCURRENT_SESSI ON_FILTER
ConcurrentSessionFilter
session-management/con currency-control
SECURITY_CONTEXT _FILTER
SecurityContextPersistenceFil ter
http
LOGOUT_FILTER LogoutFilter http/logout
X509_FILTER X509AuthenticationFilter http/x509
PRE_AUTH_FILTER
AstractPreAuthenticatedProce ssingFilterSubclasses
N/A
CAS_FILTER CasAuthenticationFilter N/A
FORM_LOGIN_FILTER
UsernamePasswordAuthentic ationFilter
http/form-login
BASIC_AUTH_FILTER BasicAuthenticationFilter http/http-basic
SERVLET_API_SUPPO RT_FILTER
SecurityContextHolderAware Filter
http/@servlet-api-provisi on
REMEMBER_ME_FILT ER
RememberMeAuthenticationF ilter
http/remember-me
ANONYMOUS_FILTER SessionManagementFilter http/anonymous
SESSION_MANAGEM ENT_FILTER
AnonymousAuthenticationFilt er
session-management
EXCEPTION_TRANSL ATION_FILTER
ExceptionTranslationFilter http
FILTER_SECURITY_IN TERCEPTOR
FilterSecurityInterceptor http
SWITCH_USER_FILTE R
SwitchUserAuthenticationFilt er
N/A
你可以把你自己的过滤器添加到队列中,使用 custom-filter 元素,使用这些名字中的一个, 来指定你的过滤器应该出现的位置:
<http>
<custom-filterposition="FORM_LOGIN_FILTER"ref="myFilter"/>
</http>
<beans:beanid="myFilter"class="com.mycompany.MySpecialAuthenticationFilter"/>
你还可以使用 after 或 before 属性,如果你想把你的过滤器添加到队列中另一个过滤器 的前面或后面。 可以分别在 position 属性使用"FIRST" 或 "LAST"来指定你想让你的过 滤器出现在队列元素的前面或后面。
避免过滤器位置发生冲突
如果你插入了一个自定义的过滤器,而这个过滤器可能与命名空间自己创建的标准过滤器放 在同一个位置上,这样首要的是你不要错误包含命名空间的版本信息。 避免使用 auto-config 属性,然后删除所有会创建你希望替换的过滤器的元素。
注 意 , 你 不 能 替 换 那 些 <http> 元 素 自 己 使 用 而 创 建 出 的 过 滤 器 , 比 如 SecurityContextPersistenceFilter, ExceptionTranslationFilter 或 FilterSecurityInterceptor。
如果你替换了一个命名空间的过滤器,而这个过滤器需要一个验证入口点(比如,认证过程 是通过一个未通过验证的用户访问受保护资源的尝试来触发的),你将也需要添加一个自定 义的入口点 bean。 2.3.5.1. 2.3.5.1. 2.3.5.1. 2.3.5.1. 设置自定义 AuthenticationEntryPoint AuthenticationEntryPoint AuthenticationEntryPoint AuthenticationEntryPoint 如果你没有通过命名空间,使用表单登陆,OpenID 或基本认证,你可能想定义一个认证 过滤器,并使用传统 bean 语法定义一个入口点然后把它链接到命名空间里,就像我们已经 看 到 的 那 样 。 对 应 的 AuthenticationEntryPoint 可 以 使 用 <http> 元 素 中 的 entry-point-ref 属性来进行设置。 CAS 示例程序是一个在命名空间中使用自定义 bean 的好例子,包含这种语法。 如果你对 认证入口点并不熟悉,可以在技术纵览章中找到关于它们的讨论。 2.4. 2.4. 2.4. 2.4. 保护方法
从版本2.0开始 Spring Security 大幅改善了对你的服务层方法添加安全。 它提供对 JSR-250安全注解的支持,这与框架提供的@secured 注解相似。 从3.0开始,你也可以 使用新的基于表达式的注解。 你可以提供安全给单个 bean,使用 intercept-methods 来装 饰 bean 的声明, 或者你可以控制多个 bean,通过实体服务层,使用 AspectJ 演示的切 点功能。 2.4.1. 2.4.1. 2.4.1. 2.4.1. <global-method-security> <global-method-security> <global-method-security> <global-method-security>元素
这个元素用来在你的应用程序中启用基于安全的注解(通过在这个元素中设置响应的属性)
, 也可以用来声明将要应用在你的实体 application context 中的安全切点组。 你应该只定 义一个<global-method-security>元素。 下面的声明同时启用 Spring Security 的 @Secured 和 JSR-250注解:
<global-method-securitysecured-annotations="enabled"jsr250-annotations="enabled"/>
向一个方法(或一个类或一个接口)添加注解,会限制对这个方法的访问。Spring Security 原生注解支持为方法定义一系列属性。 这些属性将传递给 AccessDecisionManager,进 行决策:
publicinterfaceBankService{
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
publicAccountreadAccount(Longid);
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
publicAccount[]findAccounts();
@Secured("ROLE_TELLER")
publicAccountpost(Accountaccount,doubleamount);
}
为了使用新的基于表达式的预付,你可以好似用
<global-method-securitypre-post-annotations="enabled"/>
对应的代码将会是这样
publicinterfaceBankService{
@PreAuthorize("isAnonymous()")
publicAccountreadAccount(Longid);
@PreAuthorize("isAnonymous()")
publicAccount[]findAccounts();
@PreAuthorize("hasAuthority('ROLE_TELLER')")
publicAccountpost(Accountaccount,doubleamount);
}
2.4.1.1. 2.4.1.1. 2.4.1.1. 2.4.1.1. 使用 protect-pointcut protect-pointcut protect-pointcut protect-pointcut 添加安全切点 protect-pointcut 是非常强大的,它让你可以用简单的声明对多个 bean 的进行安全声明。 参考下面的例子:
<global-method-security>
<protect-pointcutexpression="execution(*com.mycompany.*Service.*(..))"
access="ROLE_USER"/>
</global-method-security>
这样会保护 application context 中的符合条件的 bean 的所有方法,这些 bean 要在 com.mycompany 包下,类名以"Service"结尾。 ROLE_USER 的角色才能调用这些方 法。 就像 URL 匹配一样,指定的匹配要放在切点队列的最前面,第一个匹配的表达式才会 被用到。 2.5. 2.5. 2.5. 2.5. 默认的 AccessDecisionManager AccessDecisionManager AccessDecisionManager AccessDecisionManager
这章假设你有一些 Spring Security 权限控制有关的架构知识。 如果没有,你可以跳过这 段,以后再来看,因为这章只是为了自定义的用户设置的,需要在简单基于角色安全的基础 上加一些客户化的东西。 当你使用命名空间配置时,默认的 AccessDecisionManager 实例会自动注册,然后用来 为 方 法 调 用 和 web URL 访 问 做 验 证 , 这 些 都 是 基 于 你 设 置 的 intercept-url 和 protect-pointcut 权限属性内容(和注解中的内容,如果你使用注解控制方法的权限)。 默认的策略是使用一个 AffirmativeBased AccessDecisionManager ,以及 RoleVoter 和 AuthenticatedVoter。 可以在 authorization 中获得更多信息。 2.5.1. 2.5.1. 2.5.1. 2.5.1. 自定义 AccessDecisionManager AccessDecisionManager AccessDecisionManager AccessDecisionManager 如果你需要使用一个更复杂的访问控制策略,把它设置给方法和 web 安全是很简单的。 对于方法安全,你可以设置 global-security 里的 access-decision-manager-ref 属性, 用对应 AccessDecisionManager bean 在 application context 里的 id:
<global-method-securityaccess-decision-manager-ref="myAccessDecisionManagerBean">
...
</global-method-security>
web 安全安全的语法也是一样,但是放在 http 元素里:
<http access-decision-manager-ref="myAccessDecisionManagerBean">
...
</http>
2.6. 2.6. 2.6. 2.6. 验证管理器和命名空间
主要接口提供了验证服务在 Spring Security 中, 是 AuthenticationManager。 通常 是 Spring Security 中 ProviderManager 类的一个实例, 如果你以前使用过框架,你可 能已经很熟悉了。 如果没有,它会在稍后被提及,在#tech-intro-authentication。 bean 实例被使用 authentication-manager 命名空间元素注册。 你不能好似用一个自定义的 AuthenticationManager 如果你使用 HTTp 或方法安全,在命名空间中,但是它不应该 是一个问题, 因为你完全控制了使用的 AuthenticationProvider。 你可能注册额外的 AuthenticationProviderbean, 在 ProviderManager 中,你可以使 用 <authentication-provider>做这些事情,使用 ref 属性, 这个属性的值,是你希望 添加的 provider 的 bean 的名字,比如:
<authentication-manager>
<authentication-providerref="casAuthenticationProvider"/>
</authentication-manager>
<beanid="casAuthenticationProvider"
class="org.springframework.security.cas.authentication.CasAuthenticationProvider">
<security:custom-authentication-provider/>
...
</bean>
另一个常见的需求是,上下文中的另一个 bean 可能需要引用 AuthenticationManager。 你可以为 AuthenticationManager 注册一个别名,然后在 application context 的其他 地方使用这个名字。
<security:authentication-manager alias="authenticationManager">
...
</security:authentication-manager>
<beanid="customizedFormLoginFilter"
class="com.somecompany.security.web.CustomFormLoginFilter">
<propertyname="authenticationManager"ref="authenticationManager"/>
...
</bean>
[1]你可以在 LDAP 的章节里,找到更多有关使用的 ldap-server 的元素。 [2]access 中逗号分隔的值的解释依赖使用的 AccessDecisionManager 的实现。 在 Spring Security 3.0中,这个属性也可以使用 EL 表达式。 [3]在3.0之前按,这里列表中还包含 remember-me 功能。 这是因为一些配置上容易冲突 的问题所以在3.0中被移除了。 在3.0中,AnonymousAuthenticationFilter 已经成为了 默认的 <http>配置的一部分,所以<anonymous /> 元素无论是否设置 auto-config 都会被添加到配置中。 [4] 参 考 匿 名 认 证 章 节 和 AuthenticatedVoter 类 获 得 更 多 细 节 , 和 IS_AUTHENTICATED_ANONYMOUSLY 如何被处理
从 Spring-2.0开始可以使用命名空间的配置方式。 使用它呢,可以通过附加 xml 架构, 为传统的spring beans应用环境语法做补充。你可以在spring参考文档得到更多信息。命 名空间元素可以简单的配置单个 bean,或使用更强大的,定义一个备用配置语法,这可以 更加紧密的匹配问题域,隐藏用户背后的复杂性。 简单元素可能隐藏事实,多种 bean 和 处理步骤添加到应用环境中。 比如,把下面的 security 命名元素添加到应用环境中,将会 为测试用途,在应用内部启动一个内嵌 LDAP 服务器:
<security:ldap-server/>
这比配置一个 Apache 目录服务器 bean 要简单得多。 最常见的替代配置需求都可以使用 ldap-server元素的属性进行配置,这样用户就不用担心他们需要设置什么,不用担心bean 里的各种属性。 [1]。使用一个良好的 XML 编辑器来编辑应用环境文件,应该提供可用的属 性和元素信息。 我们推荐你尝试一下 SpringSource 工具套件 因为它具有处理 spring 组合 命名空间的特殊功能。 要开始在你的应用环境里使用 security 命名空间,你所需要的就是把架构声明添加到你的 应用环境文件里:
<beansxmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
...
</beans>
在许多例子里,你会看到(在示例中)应用,我们通常使用"security"作为默认的命名空间, 而不是"beans",这意味着我们可以省略所有 security 命名空间元素的前缀,使上下文更 容易阅读。 如果你把应用上下文分割成单独的文件,让你的安全配置都放到其中一个文件 里,这样更容易使用这种配置方法。 你的安全应用上下文应该像这样开头
<beans:beansxmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
...
</beans:beans>
就在这一章里,我们都将假设使用这种语法。 2.1.1. 2.1.1. 2.1.1. 2.1.1. 命名空间的设计
命名空间被用来设计成,处理框架内最常见的功能,提供一个简化和简洁的语法,使他们在
一个应用程序里。 这种设计是基于框架内的大型依赖,可以分割成下面这些部分: Web/HTTP 安全 - 最复杂的部分。设置过滤器和相关的服务 bean 来应用框架验证机制, 保护 URL,渲染登录和错误页面还有更多。
业务类(方法)安全
- 可选的安全服务层。 AuthenticationManager - 通过框架的其它部分,处理认证请求。 AccessDecisionManager - 提供访问的决定,适用于 web 以及方法的安全。一个默认的 主体会被注册,但是你也可以选择自定义一个,使用正常的 spring bean 语法进行声明。 AuthenticationProviders - 验证管理器验证用户的机制。 该命名空间提供几种标准选 项,意味着使用传统语法添加自定义 bean。 UserDetailsService - 密切相关的认证供应器,但往往也需要由其他 bean 需要。
下一章中,我们将看到如何把这些放到一起工作。 2.2. 2.2. 2.2. 2.2. 开始使用安全命名空间配置
在本节中,我们来看看如何使用一些框架里的主要配置,建立一个命名空间配置。 我们假 设你最初想要尽快的启动运行,为已有的 web 应用添加认证支持和权限控制,使用一些测 试登录。 然后我们看一下如何修改一下,使用数据库或其他安全信息参数。 在以后的章节 里我们将引入更多高级的命名空间配置选项。 2.2.1. 2.2.1. 2.2.1. 2.2.1. 配置 web.xml web.xml web.xml web.xml 我们要做的第一件事是把下面的 filter 声明添加到 web.xml 文件中:
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
这是为 Spring Security 的 web 机制提供了一个调用钩子。 DelegatingFilterProxy 是 一个 Spring Framework 的类,它可以代理一个 application context 中定义的 Spring bean 所实现的 filter。 这种情况下,bean 的名字是"springSecurityFilterChain",这是
由命名空间创建的用于处理 web 安全的一个内部的机制。 注意,你不应该自己使用这个 bean 的名字。 一旦你把这个添加到你的 web.xml 中,你就准备好开始编辑呢的 application context 文件了。 web 安全服务是使用<http>元素配置的。 2.2.2. 2.2.2. 2.2.2. 2.2.2. 最小 <http> <http> <http> <http>配置
只需要进行如下配置就可以实现安全配置:
<http auto-config='true'>
<intercept-urlpattern="/**" access="ROLE_USER"/>
</http>
这表示,我们要保护应用程序中的所有 URL,只有拥有 ROLE_USER 角色的用户才能访问。 <http>元素是 所有 web 相关的命名空间功能的上级元素。<intercept-url>元素定义了 pattern,用来匹配进入的请求 URL,使用一个 ant 路径语法。 access 属性定义了请求 匹配了指定模式时的需求。使用默认的配置, 这个一般是一个逗号分隔的角色队列,一个 用户中的一个必须被允许访问请求。 前缀“ROLE_”表示的是一个用户应该拥有的权限比 对。换句话说, 一个普通的基于角色的约束应该被使用。Spring Security 中的访问控制 不限于简单角色的应用 (因此,我们使用不同的前缀来区分不同的安全属性).我们会在后 面看到这些解释是可变的 [2] Note Note Note Note 你可以使用多个<intercept-url>元素为不同 URL 的集合定义不同的访问需求, 它们会被 归入一个有序队列中,每次取出最先匹配的一个元素使用。 所以你必须把期望使用的匹配 条件放到最上边。你也可以添加一个 method 属性 来限制匹配一个特定的 HTTP method(GET, POST, PUT 等等)。对于一个模式同时定义在定义了 method 和未定义 method 的情况, 指定 method 的匹配会无视顺序优先被使用。
要是想添加一些用户,你可以直接使用下面的命名空间直接定义一些测试数据:
<authentication-manager>
<authentication-provider>
<user-service>
<user name="jimi" password="jimispassword" authorities="ROLE_USER, ROLE_ADMIN"/>
<username="bob"password="bobspassword"authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
如果你熟悉以前的版本,你很可能已经猜到了这里是怎么回事。 <http>元素会创建一个 FilterChainProxy 和 filter 使用的 bean。 以前常常出现的,因为 filter 顺序不正确产生 的问题,不会再出现了,现在这些过滤器的位置都是预定义好的。 <authentication-provider>元素创建了一个 DaoAuthenticationProvider bean, <user-service>元素创建了一个 InMemoryDaoImpl。所有 authentication-provider 元 素 必 须 作 为 <authentication-manager> 的 子 元 素 , 它 创 建 了 一 个 ProviderManager,并把 authentication provider 注册到它里面。 你可以在命名空间附 录中找到关于创建这个 bean 的更新信息。 很值得去交叉检查一下这里,如果你希望开始 理解框架中哪些是重要的类 以及它们是如何使用的,特别是如果你希望以后做一些自定义 工作。
上面的配置定义了两个用户,他们在应用程序中的密码和角色(用在权限控制上)。 也可以 从一个标准 properties 文件中读取这些信息,使用 user-service 的 properties 属性。参 考 in-memory authentication 获得更多信息。 使用<authentication-provider>元素意味 着 用 户 信 息 将 被 认 证 管 理 用 作 处 理 认 证 请 求 。 你 可 以 拥 有 多 个 <authentication-provider>元素来定义不同的认证数据, 每个会被需要时使用。 现在,你可以启动程序,然后就会进入登录流程了。试试这个,或者试试工程里的“tutorial” 例子。 上述配置实际上把很多服务添加到了程序里,因为我们使用了 auto-config 属性。 比如,表单登录和"remember-me"服务自动启动了。 2.2.2.1. 2.2.2.1. 2.2.2.1. 2.2.2.1. auto-config auto-config auto-config auto-config 包含了什么? 我们在上面用到的 auto-config 属性,其实是下面这些配置的缩写:
<http>
<form-login/>
<http-basic/>
<logout/>
</http>
这些元素分别与 form-login,基本认证和注销处理对应。 [3] 他们拥有各自的属性,来改 变他们的具体行为。 2.2.2.2. 2.2.2.2. 2.2.2.2. 2.2.2.2. 表单和基本登录选项
你也许想知道,在需要登录的时候,去哪里找这个登录页面,到现在为止我们都没有提到任 何的 HTML 或 JSP 文件。 实际上,如果我们没有确切的指定一个页面用来登录,Spring Security 会自动生成一个,基于可用的功能,为这个 URL 使用标准的数据,处理提交的登 录,然后在登陆后发送到默认的目标 URL。 然而,命名空间提供了许多支持,让你可以自 定义这些选项。 比如,如果你想实现自己的登录页面,你可以使用:
<http auto-config='true'>
<intercept-urlpattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<form-loginlogin-page='/login.jsp'/>
</http>
注意,你依旧可以使用 auto-config。 这个 form-login 元素会覆盖默认的设置。 也要注 意我们需要添加额外的 intercept-url 元素,指定用来做登录的页面的 URL, 这些 URL 应 该可以被匿名访问。[4] 否则,这些请求会被/**部分拦截,它没法访问到登录页面。 这是 一个很常见的配置错误,它会导致系统出现无限循环。 Spring Security 会在日志中发出 一个警告,如果你的登录页面是被保护的。 也可能让所有的请求都匹配特定的模式,通过 完全的安全过滤器链:
<http auto-config='true'>
<intercept-urlpattern="/css/**" filters="none"/>
<intercept-urlpattern="/login.jsp*" filters="none"/>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<form-loginlogin-page='/login.jsp'/>
</http>
主要的是意识到这些请求会被完全忽略,对任何 Spring Security 中 web 相关的配置,或 额外的属性,比如 requires-channel, 所以你会不能访问当前用户信息,或调用被保护 方法,在请求过程中。 使用 access='IS_AUTHENTICATED_ANONYMOUSLY'作为一个 选择方式 如果你还想要安全过滤器链起作用。
如果你希望使用基本认证,代替表单登录,可以把配置改为:
<http auto-config='true'>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<http-basic/>
</http>
基本身份认证会被优先用到,在用户尝试访问一个受保护的资源时,用来提示用户登录。在 这种配置中,表单登录依然是可用的,如果你还想用的话,比如,把一个登录表单内嵌到其 他页面里。
2.2.2.2.1. 2.2.2.2.1. 2.2.2.2.1. 2.2.2.2.1. 设置一个默认的提交登陆目标
如果在进行表单登陆之前,没有试图去访问一个被保护的资源,default-target-url 就会起 作 用 。 这 是 用 户 登 陆 后 会 跳 转 到 的 URL , 默 认 是 "/" 。 你 也 可 以 把 always-use-default-target 属性配置成"true",这样用户就会 一直 跳转到这一页(无论 登陆是“跳转过来的”还是用户特定进行登陆) 。 如果你的系统一直需要用户从首页进入,就 可以使用它了,比如:
<http>
<intercept-urlpattern='/login.htm*' filters='none'/>
<intercept-urlpattern='/**' access='ROLE_USER'/>
<form-loginlogin-page='/login.htm'default-target-url='/home.htm'
always-use-default-target='true'/>
</http>
2.2.3. 2.2.3. 2.2.3. 2.2.3. 使用其他认证提供器 现实中,你会需要更大型的用户信息源,而不是写在 application context 里的几个名字。 多数情况下,你会想把用户信息保存到数据库或者是 LDAP 服务器里。 LDAP 命名空间会 在 LDAP 章里详细讨论,所以我们这里不会讲它。 如果你自定义了一个 Spring Security 的 UserDetailsService 实 现 , 在 你 的 application context 中 名 叫 "myUserDetailsService",然后你可以使用下面的验证。
<authentication-manager>
<authentication-provideruser-service-ref='myUserDetailsService'/>
</authentication-manager>
如果你想用数据库,可以使用下面的方式
<authentication-manager>
<authentication-provider>
<jdbc-user-servicedata-source-ref="securityDataSource"/>
</authentication-provider>
</authentication-manager>
这里的“securityDataSource”就是 DataSource bean 在 application context 里的名 字,它指向了包含着 Spring Security 用户信息的表。 另外,你可以配置一个 Spring Security JdbcDaoImpl bean,使用 user-service-ref 属性指定:
<authentication-manager>
<authentication-provideruser-service-ref='myUserDetailsService'/>
</authentication-manager>
<beans:beanid="myUserDetailsService"
class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
<beans:propertyname="dataSource"ref="dataSource"/>
</beans:bean>
你也可以使用标准的 AuthenticationProvider 类,像下面
<authentication-manager>
<authentication-providerref='myAuthenticationProvider'/>
</authentication-manager>
这里 myAuthenticationProvider 是你的 application context 中的一个 bean 的名字, 它实现了 AuthenticationProvider。 查看 Section 2.6, “验证管理器和命名空间”了解更多信 息, AuthenticationManager 使用命名空间在 Spring Security 中是如何配置的。 2.2.3.1. 2.2.3.1. 2.2.3.1. 2.2.3.1. 添加一个密码编码器 你的密码数据通常要使用一种散列算法进行编码。 使用<password-encoder>元素支持 这个功能。 使用 SHA 加密密码,原始的认证供应器配置,看起来就像这样:
<authentication-manager>
<authentication-provider>
<password-encoderhash="sha"/>
<user-service>
<username="jimi"password="d7e6351eaa13189a5a3641bab846c8e8c69ba39f"
authorities="ROLE_USER,ROLE_ADMIN"/>
<username="bob"password="4e7421b1b8765d8f9406d87e7cc6aa784c4ab97f"
authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
在使用散列密码时,用盐值防止字典攻击是个好主意,Spring Security 也支持这个功能。 理 想 情 况 下 , 你 可 能 想 为 每 个 用 户 随 机 生 成 一 个 盐 值 , 不 过 , 你 可 以 使 用 从 UserDetailsService 读取出来的 UserDetails 对象中的属性。 比如,使用 username 属 性,你可以这样用:
<password-encoderhash="sha">
<salt-sourceuser-property="username"/>
</password-encoder>
你可以通过 password-encoder 的 ref 属性,指定一个自定义的密码编码器 bean。 这应 该包含 application context 中一个 bean 的名字,它应该是 Spring Security 的 PasswordEncoder 接口的一个实例。 2.3. 2.3. 2.3. 2.3. 高级 web web web web 特性
2.3.1. 2.3.1. 2.3.1. 2.3.1. Remember-Me Remember-Me Remember-Me Remember-Me 认证 参考 Remember-Me 章获得 remember-me 命名空间配置的详细信息。 2.3.2. 2.3.2. 2.3.2. 2.3.2. 添加 HTTP/HTTPS HTTP/HTTPS HTTP/HTTPS HTTP/HTTPS 信道安全 如果你的同时支持 HTTP 和 HTTPS 协议,然后你要求特定的 URL 只能使用 HTTPS,这时 可以直接使用<intercept-url>的 requires-channel 属性:
<http>
<intercept-urlpattern="/secure/**" access="ROLE_USER"requires-channel="https"/>
<intercept-urlpattern="/**" access="ROLE_USER"requires-channel="any"/>
...
</http>
使用了这个配置以后,如果用户通过 HTTP 尝试访问"/secure/**"匹配的网址,他们会先
被重定向到 HTTPS 网址下。 可用的选项有"http", "https" 或 "any"。 使用"any"意味 着使用 HTTP 或 HTTPS 都可以。 如果你的程序使用的不是 HTTP 或 HTTPS 的标准端口,你可以用下面的方式指定端口对应 关系:
<http>
...
<port-mappings>
<port-mappinghttp="9080"https="9443"/>
</port-mappings>
</http>
你可以在???找到更详细的讨论。 2.3.3. 2.3.3. 2.3.3. 2.3.3. 会话管理 2.3.3.1. 2.3.3.1. 2.3.3.1. 2.3.3.1. 检测超时 你可以配置 Spring Security 检测失效的 session ID, 并把用户转发到对应的 URL。这 可以通过 session-management 元素配置: <http> ... <session-management invalid-session-url="/sessionTimeout.htm" /> </http> 2.3.3.2. 2.3.3.2. 2.3.3.2. 2.3.3.2. 同步会话控制 如果你希望限制单个用户只能登录到你的程序一次,Spring Security 通过添加下面简单的 部分支持这个功能。首先,你需要把下面的监听器添加到你的 web.xml 文件里,让 Spring Security 获 得 session 生 存 周 期 事 件 : <listener> <listener-class> org.springframework.security.web.session.HttpSessionEventPublisher </listener-class> </listener> 然后,在你的 application context 加入如下部分:
<http>
...
<session-management>
<concurrency-controlmax-sessions="1"/>
</session-management>
</http>
这将防止一个用户重复登录好几次-第二次登录会让第一次登录失效。通常我们更想防止第 二次登录,这时候我们可以使用
<http>
...
<session-management>
<concurrency-controlmax-sessions="1"error-if-maximum-exceeded="true" />
</session-management>
</http>
第 二 次 登 录 将 被 阻 止 , 通 过 “ 注 入 ” , 我 们 的 意 思 是 用 户 会 被 转 发 到 authentication-failure-url,如果使用了 form-based 登录。 如果第二次验证使用了其 他非内置的机制,比如“remember-me”,一个“未认证”(402)错误就会发送给客户端。如 果 你 希 望 使 用 一 个 错 误 页 面 替 代 , 你 可 以 在 session-management 中 添 加 session-authentication-error-url 属性。 如果你为 form-based 登录使用了自定义认证, 你就必须特别配置同步会话控制。更多的 细节可以在 会话管理章节找到。 2.3.3.3. 2.3.3.3. 2.3.3.3. 2.3.3.3. 防止 Session Session Session Session 固定攻击 Session 固定攻击是一个潜在危险,当一个恶意攻击者可以创建一个 session 访问一个网站 的时候,然后说服另一个用户登录到同一个会话上(比如,发送给他们一个包含了 session 标识参数的链接)。 Spring Security 通过在用户登录时,创建一个新 session 来防止这 个问题。 如果你不需要保护,或者它与其他一些需求冲突,你可以通过使用<http>中的 session-fixation-protection 属性来配置它的行为,它有三个选项 migrateSession - 创建一个新 session,把原来 session 中所有属性复制到新 session 中。这是默认值。 none - 什么也不做,继续使用原来的 session。 newSession - 创建一个新的“干净的”session,不会复制 session 中的数据。 2.3.4. 2.3.4. 2.3.4. 2.3.4. 对 OpenID OpenID OpenID OpenID 的支持
命名空间支持 OpenID 登录,替代普通的表单登录,或作为一种附加功能,只需要进行简单 的修改:
<http>
<intercept-urlpattern="/**" access="ROLE_USER"/>
<openid-login/>
</http>
你应该注册一个 OpenID 供应器(比如 myopenid.com),然后把用户信息添加到你的内 存<user-service>中:
<username="http://jimi.hendrix.myopenid.com/"authorities="ROLE_USER"/>
你应该可以使用 myopenid.com 网站登录来进行验证了。 也可能选择一个特定的 UserDetailsService bean 来使用 OpenID,通过设置元素。 查看上一节认证提供器获得 更多信息。 请注意,上面用户配置中我们省略了密码属性,因为这里的用户数据只用来为 数据读取数据。 内部会生成一个随机密码,放置我们使用用户数据时出现问题, 无论在你 的配置的地方使用认证信息。 2.3.4.1. 2.3.4.1. 2.3.4.1. 2.3.4.1. 属性交换 支持 OpenID 的 属性交换。 作为一个例子,下面的配置会尝试从 OpenID 提供器中获得 email 和全名, 这些会被应用程序使用到:
<openid-login>
<attribute-exchange>
<openid-attribute name="email" type="http://axschema.org/contact/email" required="true"
/>
<openid-attributename="name"type="http://axschema.org/namePerson"/>
</attribute-exchange>
</openid-login>
每个 OpenID 的“type”属性是一个 URI,这是由特定的 schema 决定的, 在这个例子中 是 http://axschema.org/。 如果一个属性必须为了成功认证而获取,可以设置 required。 确切的 schema 和对属性的支持会依赖于你使用的 OpenID 提供器。属性值作为认证过程 的一部分返回, 可以使用下面的代码在后面的过程中获得:
OpenIDAuthenticationToken token = (OpenIDAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
List<OpenIDAttribute>attributes =token.getAttributes();
OpenIDAttribute 包含的属性类型和获取的值 (或者在多属性情况下是多个值)。我们将 看到更多关于 SecurityContextHolder 如何使用的信息,只要我们在技术概述章节浏览核 心 Spring Security 组件。 2.3.5. 2.3.5. 2.3.5. 2.3.5. 添加你自己的 filter filter filter filter 如果你以前使用过 Spring Security,你就应该知道这个框架里维护了一个过滤器链,来提 供服务。 你也许想把你自己的过滤器添加到链条的特定位置,或者使用一个 Spring Security 的过滤器,这个过滤器现在还没有在命名空间配置中进行支持(比如 CAS)。 或 者你想要使用一个特定版本的标准命名空间过滤器,比如 <form-login>创建的 UsernamePasswordAuthenticationFilter,从而获得一些额外的配置选项的优势,这些 可以通过直接配置 bean 获得。 你如何在命名空间配置里实现这些功能呢?过滤器链现在 已经不能直接看到了。 过滤器顺序在使用命名空间的时候是被严格执行的。 当 application context 创建时,过 滤器 bean 通过 namespace 的处理代码进行排序, 标准的 spring security 过滤器都有 自己的假名和一个容易记忆的位置。 Note Note Note Note 在之前的版本中,排序是在过滤器实例创建后执行的,在 application context 的执行后 的过程中。在3.0+版本中,执行会在 bean 元元素级别被执行,在 bean 实例化之前。 这 会影响到你如何添加自己的过滤器,实体过滤器列表 必须在解析<http>元素的过程中了 解这些, 所以3.0中的语法变化的很明显。
有关创建过滤器的过滤器,假名和命名空间元素,属性可以在 Table 2.1,“标准过滤器假名和顺 序”中找到。 过滤器按照次序排列在过滤器链中。 Table Table Table Table 2.1. 2.1. 2.1. 2.1. 标准过滤器假名和顺序
假名 过滤器累 命名空间元素或属性
CHANNEL_FILTER ChannelProcessingFilter
http/intercept-url@requir es-channel
CONCURRENT_SESSI ON_FILTER
ConcurrentSessionFilter
session-management/con currency-control
SECURITY_CONTEXT _FILTER
SecurityContextPersistenceFil ter
http
LOGOUT_FILTER LogoutFilter http/logout
X509_FILTER X509AuthenticationFilter http/x509
PRE_AUTH_FILTER
AstractPreAuthenticatedProce ssingFilterSubclasses
N/A
CAS_FILTER CasAuthenticationFilter N/A
FORM_LOGIN_FILTER
UsernamePasswordAuthentic ationFilter
http/form-login
BASIC_AUTH_FILTER BasicAuthenticationFilter http/http-basic
SERVLET_API_SUPPO RT_FILTER
SecurityContextHolderAware Filter
http/@servlet-api-provisi on
REMEMBER_ME_FILT ER
RememberMeAuthenticationF ilter
http/remember-me
ANONYMOUS_FILTER SessionManagementFilter http/anonymous
SESSION_MANAGEM ENT_FILTER
AnonymousAuthenticationFilt er
session-management
EXCEPTION_TRANSL ATION_FILTER
ExceptionTranslationFilter http
FILTER_SECURITY_IN TERCEPTOR
FilterSecurityInterceptor http
SWITCH_USER_FILTE R
SwitchUserAuthenticationFilt er
N/A
你可以把你自己的过滤器添加到队列中,使用 custom-filter 元素,使用这些名字中的一个, 来指定你的过滤器应该出现的位置:
<http>
<custom-filterposition="FORM_LOGIN_FILTER"ref="myFilter"/>
</http>
<beans:beanid="myFilter"class="com.mycompany.MySpecialAuthenticationFilter"/>
你还可以使用 after 或 before 属性,如果你想把你的过滤器添加到队列中另一个过滤器 的前面或后面。 可以分别在 position 属性使用"FIRST" 或 "LAST"来指定你想让你的过 滤器出现在队列元素的前面或后面。
避免过滤器位置发生冲突
如果你插入了一个自定义的过滤器,而这个过滤器可能与命名空间自己创建的标准过滤器放 在同一个位置上,这样首要的是你不要错误包含命名空间的版本信息。 避免使用 auto-config 属性,然后删除所有会创建你希望替换的过滤器的元素。
注 意 , 你 不 能 替 换 那 些 <http> 元 素 自 己 使 用 而 创 建 出 的 过 滤 器 , 比 如 SecurityContextPersistenceFilter, ExceptionTranslationFilter 或 FilterSecurityInterceptor。
如果你替换了一个命名空间的过滤器,而这个过滤器需要一个验证入口点(比如,认证过程 是通过一个未通过验证的用户访问受保护资源的尝试来触发的),你将也需要添加一个自定 义的入口点 bean。 2.3.5.1. 2.3.5.1. 2.3.5.1. 2.3.5.1. 设置自定义 AuthenticationEntryPoint AuthenticationEntryPoint AuthenticationEntryPoint AuthenticationEntryPoint 如果你没有通过命名空间,使用表单登陆,OpenID 或基本认证,你可能想定义一个认证 过滤器,并使用传统 bean 语法定义一个入口点然后把它链接到命名空间里,就像我们已经 看 到 的 那 样 。 对 应 的 AuthenticationEntryPoint 可 以 使 用 <http> 元 素 中 的 entry-point-ref 属性来进行设置。 CAS 示例程序是一个在命名空间中使用自定义 bean 的好例子,包含这种语法。 如果你对 认证入口点并不熟悉,可以在技术纵览章中找到关于它们的讨论。 2.4. 2.4. 2.4. 2.4. 保护方法
从版本2.0开始 Spring Security 大幅改善了对你的服务层方法添加安全。 它提供对 JSR-250安全注解的支持,这与框架提供的@secured 注解相似。 从3.0开始,你也可以 使用新的基于表达式的注解。 你可以提供安全给单个 bean,使用 intercept-methods 来装 饰 bean 的声明, 或者你可以控制多个 bean,通过实体服务层,使用 AspectJ 演示的切 点功能。 2.4.1. 2.4.1. 2.4.1. 2.4.1. <global-method-security> <global-method-security> <global-method-security> <global-method-security>元素
这个元素用来在你的应用程序中启用基于安全的注解(通过在这个元素中设置响应的属性)
, 也可以用来声明将要应用在你的实体 application context 中的安全切点组。 你应该只定 义一个<global-method-security>元素。 下面的声明同时启用 Spring Security 的 @Secured 和 JSR-250注解:
<global-method-securitysecured-annotations="enabled"jsr250-annotations="enabled"/>
向一个方法(或一个类或一个接口)添加注解,会限制对这个方法的访问。Spring Security 原生注解支持为方法定义一系列属性。 这些属性将传递给 AccessDecisionManager,进 行决策:
publicinterfaceBankService{
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
publicAccountreadAccount(Longid);
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
publicAccount[]findAccounts();
@Secured("ROLE_TELLER")
publicAccountpost(Accountaccount,doubleamount);
}
为了使用新的基于表达式的预付,你可以好似用
<global-method-securitypre-post-annotations="enabled"/>
对应的代码将会是这样
publicinterfaceBankService{
@PreAuthorize("isAnonymous()")
publicAccountreadAccount(Longid);
@PreAuthorize("isAnonymous()")
publicAccount[]findAccounts();
@PreAuthorize("hasAuthority('ROLE_TELLER')")
publicAccountpost(Accountaccount,doubleamount);
}
2.4.1.1. 2.4.1.1. 2.4.1.1. 2.4.1.1. 使用 protect-pointcut protect-pointcut protect-pointcut protect-pointcut 添加安全切点 protect-pointcut 是非常强大的,它让你可以用简单的声明对多个 bean 的进行安全声明。 参考下面的例子:
<global-method-security>
<protect-pointcutexpression="execution(*com.mycompany.*Service.*(..))"
access="ROLE_USER"/>
</global-method-security>
这样会保护 application context 中的符合条件的 bean 的所有方法,这些 bean 要在 com.mycompany 包下,类名以"Service"结尾。 ROLE_USER 的角色才能调用这些方 法。 就像 URL 匹配一样,指定的匹配要放在切点队列的最前面,第一个匹配的表达式才会 被用到。 2.5. 2.5. 2.5. 2.5. 默认的 AccessDecisionManager AccessDecisionManager AccessDecisionManager AccessDecisionManager
这章假设你有一些 Spring Security 权限控制有关的架构知识。 如果没有,你可以跳过这 段,以后再来看,因为这章只是为了自定义的用户设置的,需要在简单基于角色安全的基础 上加一些客户化的东西。 当你使用命名空间配置时,默认的 AccessDecisionManager 实例会自动注册,然后用来 为 方 法 调 用 和 web URL 访 问 做 验 证 , 这 些 都 是 基 于 你 设 置 的 intercept-url 和 protect-pointcut 权限属性内容(和注解中的内容,如果你使用注解控制方法的权限)。 默认的策略是使用一个 AffirmativeBased AccessDecisionManager ,以及 RoleVoter 和 AuthenticatedVoter。 可以在 authorization 中获得更多信息。 2.5.1. 2.5.1. 2.5.1. 2.5.1. 自定义 AccessDecisionManager AccessDecisionManager AccessDecisionManager AccessDecisionManager 如果你需要使用一个更复杂的访问控制策略,把它设置给方法和 web 安全是很简单的。 对于方法安全,你可以设置 global-security 里的 access-decision-manager-ref 属性, 用对应 AccessDecisionManager bean 在 application context 里的 id:
<global-method-securityaccess-decision-manager-ref="myAccessDecisionManagerBean">
...
</global-method-security>
web 安全安全的语法也是一样,但是放在 http 元素里:
<http access-decision-manager-ref="myAccessDecisionManagerBean">
...
</http>
2.6. 2.6. 2.6. 2.6. 验证管理器和命名空间
主要接口提供了验证服务在 Spring Security 中, 是 AuthenticationManager。 通常 是 Spring Security 中 ProviderManager 类的一个实例, 如果你以前使用过框架,你可 能已经很熟悉了。 如果没有,它会在稍后被提及,在#tech-intro-authentication。 bean 实例被使用 authentication-manager 命名空间元素注册。 你不能好似用一个自定义的 AuthenticationManager 如果你使用 HTTp 或方法安全,在命名空间中,但是它不应该 是一个问题, 因为你完全控制了使用的 AuthenticationProvider。 你可能注册额外的 AuthenticationProviderbean, 在 ProviderManager 中,你可以使 用 <authentication-provider>做这些事情,使用 ref 属性, 这个属性的值,是你希望 添加的 provider 的 bean 的名字,比如:
<authentication-manager>
<authentication-providerref="casAuthenticationProvider"/>
</authentication-manager>
<beanid="casAuthenticationProvider"
class="org.springframework.security.cas.authentication.CasAuthenticationProvider">
<security:custom-authentication-provider/>
...
</bean>
另一个常见的需求是,上下文中的另一个 bean 可能需要引用 AuthenticationManager。 你可以为 AuthenticationManager 注册一个别名,然后在 application context 的其他 地方使用这个名字。
<security:authentication-manager alias="authenticationManager">
...
</security:authentication-manager>
<beanid="customizedFormLoginFilter"
class="com.somecompany.security.web.CustomFormLoginFilter">
<propertyname="authenticationManager"ref="authenticationManager"/>
...
</bean>
[1]你可以在 LDAP 的章节里,找到更多有关使用的 ldap-server 的元素。 [2]access 中逗号分隔的值的解释依赖使用的 AccessDecisionManager 的实现。 在 Spring Security 3.0中,这个属性也可以使用 EL 表达式。 [3]在3.0之前按,这里列表中还包含 remember-me 功能。 这是因为一些配置上容易冲突 的问题所以在3.0中被移除了。 在3.0中,AnonymousAuthenticationFilter 已经成为了 默认的 <http>配置的一部分,所以<anonymous /> 元素无论是否设置 auto-config 都会被添加到配置中。 [4] 参 考 匿 名 认 证 章 节 和 AuthenticatedVoter 类 获 得 更 多 细 节 , 和 IS_AUTHENTICATED_ANONYMOUSLY 如何被处理
133
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
