servlet后台如何接受multpartfile_Spring Security 实战干货:如何实现不同的接口不同的安全策略

8fa22085d70342558a4738a2170816bd

1. 前言

欢迎阅读 Spring Security 实战干货 系列文章 。最近有开发小伙伴提了一个有趣的问题。他正在做一个项目,涉及两种风格,一种是给小程序出接口,安全上使用无状态的JWT Token;另一种是管理后台使用的是Freemarker,也就是前后端不分离的Session机制。用Spring Security该怎么办?

2. 解决方案

我们可以通过多次继承WebSecurityConfigurerAdapter构建多个HttpSecurity。HttpSecurity 对象会告诉我们如何验证用户的身份,如何进行访问控制,采取的何种策略等等。

如果你看过之前的教程,我们是这么配置的:

/** * 单策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)@EnableWebSecurity@ConditionalOnClass(WebSecurityConfigurerAdapter.class)@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)public class CustomSpringBootWebSecurityConfiguration {        /**     * The type Default configurer adapter.     */    @Configuration    @Order(SecurityProperties.BASIC_AUTH_ORDER)    static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {        @Override        protected void configure(AuthenticationManagerBuilder auth) throws Exception {            super.configure(auth);        }        @Override        public void configure(WebSecurity web) {            super.configure(web);        }        @Override        protected void configure(HttpSecurity http) throws Exception {            // 配置 httpSecurity        }    }}复制代码

上面的配置了一个HttpSecurity,我们如法炮制再增加一个WebSecurityConfigurerAdapter的子类来配置另一个HttpSecurity。伴随而来的还有不少的问题要解决。

2.1 如何路由不同的安全配置

我们配置了两个HttpSecurity之后,程序如何让小程序接口和后台接口走对应的HttpSecurity?

HttpSecurity.antMatcher(String antPattern)可以提供过滤机制。比如我们配置:

     @Override        protected void configure(HttpSecurity http) throws Exception {            // 配置 httpSecurity            http.antMatcher("/admin/v1");        }复制代码

那么该HttpSecurity将只提供给以/admin/v1开头的所有URL。这要求我们针对不同的客户端指定统一的URL前缀。

举一反三只要HttpSecurity提供的功能都可以进行个性化定制。比如登录方式,角色体系等。

2.2 如何指定默认的HttpSecurity

我们可以通过在WebSecurityConfigurerAdapter实现上使用@Order注解来指定优先级,数值越大优先级越低,没有@Order注解将优先级最低。

2.3 如何配置不同的UserDetailsService

很多情况下我们希望普通用户和管理用户完全隔离,我们就需要多个UserDetailsService,你可以在下面的方法中对AuthenticationManagerBuilder进行具体的设置来配置UserDetailsService,同时也可以配置不同的密码策略。

@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {    DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();    daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {        @Override        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {            // 自行实现            return  null ;        }    });    // 也可以设计特定的密码策略    BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();    daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);    auth.authenticationProvider(daoAuthenticationProvider);}复制代码

2.4 最终的配置模板

上面的几个问题解决之后,我们基本上掌握了在一个应用中执行多种安全策略。配置模板如下:

/** * 多个策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)@EnableWebSecurity@ConditionalOnClass(WebSecurityConfigurerAdapter.class)@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)public class CustomSpringBootWebSecurityConfiguration {    /**     * 后台接口安全策略. 默认配置     */    @Configuration    @Order(1)    static class AdminConfigurerAdapter extends WebSecurityConfigurerAdapter {        @Override        protected void configure(AuthenticationManagerBuilder auth) throws Exception {            DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();            //用户详情服务个性化            daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {                @Override                public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {                    // 自行实现                    return null;                }            });            // 也可以设计特定的密码策略            BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();            daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);            auth.authenticationProvider(daoAuthenticationProvider);        }        @Override        public void configure(WebSecurity web) {            super.configure(web);        }        @Override        protected void configure(HttpSecurity http) throws Exception {            // 根据需求自行定制            http.antMatcher("/admin/v1")                    .sessionManagement(Customizer.withDefaults())                    .formLogin(Customizer.withDefaults());        }    }    /**     * app接口安全策略. 没有{@link Order}注解优先级比上面低     */    @Configuration    static class AppConfigurerAdapter extends WebSecurityConfigurerAdapter {        @Override        protected void configure(AuthenticationManagerBuilder auth) throws Exception {            DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();            //用户详情服务个性化            daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {                @Override                public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {                    // 自行实现                    return null;                }            });            // 也可以设计特定的密码策略            BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();            daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);            auth.authenticationProvider(daoAuthenticationProvider);        }        @Override        public void configure(WebSecurity web) {            super.configure(web);        }        @Override        protected void configure(HttpSecurity http) throws Exception {            // 根据需求自行定制            http.antMatcher("/app/v1")                    .sessionManagement(Customizer.withDefaults())                    .formLogin(Customizer.withDefaults());        }    }}复制代码

3. 总结

今天我们解决了如何针对不同类型接口采取不同的安全策略的方法,希望对你有用,如果你有什么问题可以留言。多多关注:码农小胖哥,更多干货奉上。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值