纷杂的Spring-boot-starter: 5 应用安全与spring-boot-starter-security

最新推荐文章于 2024-10-15 22:10:59 发布
最新推荐文章于 2024-10-15 22:10:59 发布
阅读量475 收藏
点赞数
分类专栏: 微服务SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44778952/article/details/106963472
版权
本文深入探讨SpringSecurity框架,解析其基本设计与核心组件,如AuthenticationManager、AccessDecisionManager及AbstractSecurityInterceptor。同时,介绍了spring-boot-starter-security的便捷特性,帮助快速构建安全的Web应用。
摘要由CSDN通过智能技术生成

文章目录


应用安全属于安全防护体系中的重要一环,但也是最薄弱的一环,究其原因,或许是:

  • 应用核心职责是完成业务和产品的功能需求,而安全确实非功能性需求,在资源有限的情况下,企业一定是更加注重将有限的资源投入到“开疆扩土”上去,否则,穷家破瓦的,也真没什么值得安全防护的。
  • 大部分应用开发者对应用安全知之甚少,而且安全一般属于一个企业或者业界秘而不宣的信息,所以,在没有一个专职安全团队负责推动整个安全防护体系落实的情况下,零零散散和线上落实的一些应用安全防护已经算是很不错的了。
  • “树大招风”,树不大的时候,那些“风”通常也不会来找你麻烦,所以,大部分中小企业,除非应用了一些业界广泛使用的软件或者方案被连贯性的伤害到,大部分情况下,这些中小企业并不知道这类潜在风险,或者是他们自身不会为黑客们(cracker)带来太大的利用价值

好在我们这些Java开发者生活在Spring框架营造的生态圈之中,所以,关于应用安全这种头疼的问题,Spring生态圈里也有现成的解决方案,即从Acegi发展起来的SpringSecurity。但说实话,SpringSecurity在整个社区中的名声并不好,尤其在开发者眼中,“复杂(Too Compliated),太重(Too Heavyweight)”,但实际上,如果大家真的扑进去了解一个人,哦,不对一个框架,就会发现,其实SpringSecurity框架本身的设计还是挺优秀的,SpringSecurity可以任意裁剪,而且还提供了丰富的开箱即用的安全特性支持。这里其实存在一个常见的设计取舍,我们到底应该为了良好的扩展和组合型而将组件拆分的精细一些,还是应该为了使用便利,适度忽略定制化的需求,提供一个功能简化的一站式方案?不管SpringSecurity团队当时是如何选择的,既然已经成为了事实,给使用这的感受不好,那么,我们就要想办法改善这种现状,spring-boot-starter-scecurity就是一种答案。

spring-boot-starter-security主要面向Web应用安全,配合spring-boot-starter-web,要使用SpringBoot构建一个安全的对外提供服务的Web应用简直太容易了:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven- 4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>
    <groupId>com.keevol.unveilspring.chapter3</groupId>
    <artifactId>web- security- demo</artifactId>
    <version>0.0.1- SNAPSHOT</version>
    <packaging>jar</packaging>
    <name>web- security- demo</name>
    <description>web security demo project for Spring Boot</description>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.3.1.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <properties>
        <project.build.sourceEncoding>UTF- 8</project.build.sourceEncoding>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency> <!-- 其他 依赖-->
    </dependencies>
    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

在当前项目中只要添加需要的Controller实现,一个添加了基本安全防护的Web应用就诞生了。spring-boot-starter-security默认会提供一个基于HTTP Basic认证的安全防护策略,默认用户名为user,访问密码则在当前Web应用启动的时候,打印到控制台,类似于:

2016- 01- 01 13: 57: 00. 596 INFO 17966 --- [ost- startStop- 1] b. a. s. Au- thenticationManagerConfiguration : 
Using default security password: 560ff91b- 0ae7- 492c- ad16- 603e1adec54c

如果我们希望对HTTP Basic认证的用户名密码进行定制,可以通过如下配置项进行:

security.user.name={ 个人 希望 设置 的 用 户名} 
security.user.password={ 个人 希望 使用 的 访问 密码}

除此之外,spring-boot-starter-security还会默认启用一些必要的Web安全防护,比如针对XSS、CSRF等常见针对Web应用的攻击,同时,也会将一些常见的静态资源路径排除在安全防护之外。

但是,说实话,spring-boot-starter-security提供的默认安全策略相对于生产环境来说,还是太弱了,但也没办法,既要安全,又要便利,spring-boot-starter-security默认情况下已经尽量做到够好了。不过好在SpringSecurity扩展性不错,要在其上构建一套真正严谨有效的Web应用安全防护体系也并非难事,只不过,需要我们先能够从其架构设计上理解并把握它,然后再在SpringSecurity和SpringBoot的基础上构建一套符合自身需要的Web应用安全方案。

了解SpringSecurity基本设计

SpringSecurity框架不但囊括了基本的认证和授权功能,而且还提供了加密解密、统一登录等一系列相关支持。我们下面只对基本的认证和授权的设计简单介绍下

我们可以将Spring Security的几个核心概念按照下图勾勒在一起

在这里插入图片描述

  • 访问者(Accessor)需要访问某个资源(Resources)是这个场景中最原始的需求,但并不是谁都可以访问资源,也不是任何资源都允许任何人访问,所以,中间我们需要加入一些检查和防护。
  • 在访问资源的所经路径上,可能需要上山、过桥、下海行船,不管怎么样,这些所经之路对于我们要防护的资源来说都是比较好的设置关卡点,对应上图就是FilterInvoation(对应Web应用场景)、MethodInvocation以及Joinpoint,这些在Spring Security框架中统称为Secured Object(s)
  • 我们知道了在哪里设置关卡最合适,下一步就是设置关卡,对应不同的所经之路,我们分别设置类似FilterSecurityInterceptor、MethodSecurityInterceptor以及AspectJSecurityInterceptor这样的关卡来负责拦截非法资源访问的闯入者们;而在Spring Security框架的设计中,关卡的概念统一抽象成AbstractSecurityInterceptor,而FilterSecurityInterceptor、MethodSecurityInterceptor以及AspectJSecurityInterceptor都是它的具体实现类
  • 好啦,把门到是有了,可是他们不知道该拦谁,不该拦谁,所以,我们需要有类似神盾局(S.H.I.E.L.D)这样的机构,由这个机构决定谁可以放行,谁必须阻截,而在SpringSecurity框架中AccessDecisionManager就是这个控制机构,AccessDecisionManager将决定谁可以访问那些资源
  • 现在剩下最后一个问题,这个谁怎么定义?我们总得知道当前这个访问者是谁才能告知AccessDecisionManager阻截还是放行,所以,SpringSecurity框架中AuthenticationManager将解决的是访问者身份认证的问题,只有确定你在册了,才可以给你授权访问(除非我们运行匿名访问某些公共资源)

AuthenticationManager、AccessDecisionManager和AbstractSecurityIntrerceptor属于SpringSecurity框架的基础铁三角,AuthenticationManager、AccessDecisionManager负责定制规则,AbstractSecurityIntrerceptor负责执行。所有基于不同场景的应用方案,基本上都是在这个基础核心的基础上衍生出来的,比如,Web安全。

开发1024
关注
专栏目录
Spring Boot-搭建SpringSecurity(保姆级别)
2301_82242204的博客
04-09 3248
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
纷杂spring-boot-starter
我的LOG
01-13 413
纷杂spring-boot-starter简述应用日志和spring-boot-starter-logging快速Web应用开发与spring-boot-starter-web项目结构层面的约定SpringMVC框架层面的约定和定制嵌入式Web容器层面的约定和定制数据访问与spring-boot-starter-jdbcSpringBoot应用的数据库版本化管理 简述 1)基于Spring框架的“约定优先于配置(COC)”理念以及最佳实践之路。 2)提供了针对日常企业应用研发各种场景的spring-boo
Spring Security 和 SpringCloud Security 有什么区别?
极客星云-CSDN博客
11-12 7120
Spring Security 和 SpringCloud Security 有什么区别?
重学SpringBoot3-集成Spring Security(一)
最新发布
CoderJia的学习之路
10-15 3191
Spring Security 是一个强大、灵活的安全框架,广泛用于保护 Java 应用程序。随着 Spring Boot 3 和 Java 17 的引入,Spring Security 继续增强其功能,为开发者提供了更简化的配置和现代化的安全实践。 本文将详细介绍如何在 Spring Boot 3 中集成 Spring Security,涵盖基本认证、密码加密等核心功能。
Spring Cloud Security
selt791的博客
01-18 466
Spring Cloud Security提供了一组原语,用于以最少的麻烦构建安全应用程序和服务。可以在外部(或中央)进行大量配置的声明性模型很适合于通常使用中央身份管理服务的大型协作远程组件系统的实施。在Cloud Foundry等服务平台中使用它也非常容易。在Spring Boot和Spring Security OAuth2的基础上,我们可以快速创建实现通用模式(如单点登录,令牌中继和令牌...
springcloud系类代码:spring-boot-starter-security-thymeleaf-springsecurity-mysql
BLOG域名:programb.blog.csdn.net
06-22 537
package com.programb.example; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.context.ConfigurableApplicationContext; import org.springframework.context.annotation.ComponentScan; import static org.springfram
spring boot security ajax_Spring和SpringBoot比较,到底有什么区别?
weixin_39696665的博客
11-22 106
击上方蓝色“程序员追风”,选择“设为星标”回复“关键词”获取整理好的面试资料作者:SanLi原文:pingfangushi.com/posts/1090913254/概述对于 Spring和 SpringBoot到底有什么区别,我听到了很多答案,刚开始迈入学习 SpringBoot的我当时也是一头雾水,随着经验的积累、我慢慢理解了这两个框架到底有什么区别,相信对于用了 SpringBoo...
spring-boot-starter-parent3.1.2与spring-context
08-11
至于spring-boot-starter-parent3.1.2与spring-context,您的问题中没有提及这些内容。有关这两个依赖的具体信息,您可能需要提供更多的细节或内容。12<em>3 #### 引用[.reference_title] - *1* *...
设备安全--IPS部署与维护
qq_45967269的博客
07-11 7965
设备安全–IPS部署与维护 IPS—网络入侵防护系统 1.入侵检测技术 攻击手段最多的是应用层,而IPS就是一款防御应用层攻击的系统。 1.产生该技术的背景: (1)外部攻击众多—外部黑客会不停进行攻击 (2)内部威胁增多—内部人员的不正当操作 (3)防火墙的局限—防火墙工作在网络层并不能对应用层的攻击进行有效的防护 (4)各种应用纷杂—各种小公司的一些应用安全并不能保证安全 2.入侵检测技术的工作流程 数据经由主机与网络经过的时候,先进行数据采集采集完成后进行数据的检测与分析,倘若检测时,检测出数据中携
十字猫手机伴侣 v3.5.0.zip
07-12
 当前市场手机管理工具纷杂,各色应用参差不齐,十字猫始终坚持用户的安全第一,为用户提供最可靠的软件资源以及手机管理功具。让用户免受手机病毒侵扰,不再让手机流量“偷偷”的流走。  在十字猫里面您可放心的...
智能化打印机:纸张使用监控功能介绍
在当前的IT行业中,设备装置分类繁多,从个人使用的电脑配件到大型的工业自动化设备,种类纷杂。其中,打印机作为一种重要的办公设备,其分类依据可以是打印技术、打印速度、分辨率、打印成本等多个方面。本压缩包...
spring-cloud-starter-securityspring-cloud-starter-oauth2
热门推荐
qq_30359369的博客
12-02 2万+
之前学过spring-security,最近又在学习spring-cloud-starter-securityspring-cloud-starter-oauth2, 脑子里顿时冒出一个问题: 之前学的spring-security和最近学的spring-cloud-starter-security有什么关系, spring-cloud-starter-security和spring-clou......
在spring cloud config中使用spring-boot-starter-security
qq_33868430的博客
09-04 2694
首先是在pom需要使用的到的插件: &lt;!--版本1.5.10--&gt; &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.
SpringBoot和SpringCloud 使用 spring security 认证框架详解
Json的知识梦工厂
01-10 1282
上目录结构 //权限管理模块 // 1. 创建一个权限管理的子模块 //2. 引入相关依赖 // <dependencies> //<!-- 自定义的模块 安全框架 security--> // <dependency> // <groupId>com.schoolWeb</groupId> // <artifactId>spring_secu.
SpringBoot最新版本Security配置(2023年),亲测成功
ns3405453840的博客
05-12 3459
application.properties SecurityConfig: 配置默认登录用户(即用数据库的用户和密码登录): 1:UserDetailsServiceImpl 2:UserDetailsImpl: 3:配置完,记得更改SecurityConfig配置,添加前端密码加密验证, 这里就可以使用security自带登录对数据库信息进行验证登录了通过该工具类根据用户id生成jwt
spring-boot-starter-security
xq_adress的博客
01-06 657
若需要添加基于HTTP的basic认证 1.在pom.xml中添加 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactI...
springcloud系类代码:spring-boot-starter-security-thymeleaf-thymeleaf-extras-springsecurity
BLOG域名:programb.blog.csdn.net
06-22 324
package com.programb.example; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.context.ConfigurableApplicationContext; import org.springframework.context.annotation.ComponentScan; import static org.springfra
Spring Boot 2.3 中开启Spring Security
LoveSummer
09-10 2393
Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。 这里我们使用Spring Boot来集成Spring Security,Spring Boot版本为2.3.3.RELEAS
SpringBoot与安全—Spring Security
qq_38151401的博客
12-10 1290
目录 一、介绍 二、测试环境搭建 1、pom.xml文件 2、Controller 3、页面 二、登录&认证&授权 1、引入spring-security相关依赖 2、编写SpringSecurity配置类 3、控制请求的访问权限 三、注销 四、实现按角色显示对应的内容 1、Thymeleaf提供的SpringSecurity标签支持 –需要引入thy...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值