|
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
|
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
| Spring Security 提供了许多示例应用程序来演示 Spring Security Java 配置的使用。 |
Hello Web Security Java 配置
第一步是创建我们的 Spring Security Java 配置。
该配置会创建一个称为 Servlet 过滤器的过滤器,该过滤器负责应用程序中的所有安全性(保护应用程序 URL、验证提交的用户名和密码、重定向到登录表单等)。
您可以在下面找到 Spring Security Java 配置的最基本示例:springSecurityFilterChain
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.configuration.*;
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withDefaultPasswordEncoder().username("user").password("password").roles("USER").build());
return manager;
}
}这种配置确实没有太多,但它做了很多。 您可以找到以下功能的摘要:
-
要求对应用程序中的每个 URL 进行身份验证
-
为您生成登录表单
-
允许具有用户名、用户和密码的用户使用基于表单的身份验证进行身份验证
-
允许用户注销
-
CSRF 攻击防护
-
会话固定保护
-
安全标头集成
-
安全请求的 HTTP 严格传输安全性
-
缓存控制(以后可由应用程序覆盖,以允许缓存静态资源)
-
X-Frame-Options 集成,有助于防止点击劫持
-
-
与以下 Servlet API 方法集成
AbstractSecurityWebApplicationInitializer
下一步是向战争注册。
这可以在 Servlet 3.0+ 环境中使用 Spring 的 WebApplicationInitializer 支持在 Java 配置中完成。
不出所料,Spring Security 提供了一个基类,可以确保为您注册。
我们的使用方式有所不同,这取决于我们是否已经在使用 Spring,或者 Spring Security 是否是我们应用程序中唯一的 Spring 组件。springSecurityFilterChainAbstractSecurityWebApplicationInitializerspringSecurityFilterChainAbstractSecurityWebApplicationInitializer
-
没有现有 Spring 的 AbstractSecurityWebApplicationInitializer - 如果您尚未使用 Spring,请使用这些说明
-
AbstractSecurityWebApplicationInitializer with Spring MVC - 如果您已经在使用 Spring,请使用这些说明
没有现有 Spring 的 AbstractSecurityWebApplicationInitializer
如果您不使用 Spring 或 Spring MVC,则需要将 传入到超类中,以确保选取配置。
您可以在下面找到一个示例:WebSecurityConfig
import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
public SecurityWebApplicationInitializer() {
super(WebSecurityConfig.class);
}
}将执行以下操作:SecurityWebApplicationInitializer
-
自动为应用程序中的每个 URL 注册 springSecurityFilterChain 过滤器
-
添加加载 WebSecurityConfig 的 ContextLoaderListener。
带有 Spring MVC 的 AbstractSecurityWebApplicationInitializer
如果我们在应用程序的其他地方使用 Spring,我们可能已经有一个正在加载我们的 Spring 配置。
如果我们使用以前的配置,我们将收到错误。
相反,我们应该将 Spring Security 注册到现有的 .
例如,如果我们使用 Spring MVC,我们将如下所示:WebApplicationInitializerApplicationContextSecurityWebApplicationInitializer
import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
}这只会为应用程序中的每个 URL 注册 springSecurityFilterChain 过滤器。
之后,我们将确保将其加载到现有的 ApplicationInitializer 中。
例如,如果我们使用 Spring MVC,它将被添加到WebSecurityConfiggetServletConfigClasses()
public class MvcWebApplicationInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[] { WebSecurityConfig.class, WebMvcConfig.class };
}
// ... other overrides ...
}这样做的原因是 Spring Security 需要能够检查某些 Spring MVC 配置,以便适当地配置底层请求匹配器,因此它们需要处于相同的应用程序上下文中。
将 Spring Security 放置在 Spring Security 中,该上下文可能无法找到 Spring MVC 的 .getRootConfigClassesHandlerMappingIntrospector
配置多个 Spring MVC 调度程序
如果需要,任何与 Spring MVC 无关的 Spring Security 配置都可以放置在不同的配置类中,如下所示:
public class MvcWebApplicationInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { NonWebSecurityConfig.class };
}
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[] { WebSecurityConfig.class, WebMvcConfig.class };
}
// ... other overrides ...
}如果您有多个实例,并且不想在这两个实例之间复制常规安全配置,这可能很有帮助。AbstractAnnotationConfigDispatcherServletInitializer
Http安全
到目前为止,我们的 WebSecurityConfig 仅包含有关如何对用户进行身份验证的信息。
Spring Security 如何知道我们要要求所有用户都进行身份验证?
Spring Security 如何知道我们要支持基于表单的身份验证?
实际上,有一个 Bean 在幕后被调用,称为 .
它配置了以下默认实现:SecurityFilterChain
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeRequests(authorize -> authorize
.anyRequest().authenticated()
)
.formLogin(withDefaults())
.httpBasic(withDefaults());
return http.build();
}上面的默认配置:
-
确保对应用程序的任何请求都需要对用户进行身份验证
-
允许用户使用基于表单的登录进行身份验证
-
允许用户使用 HTTP 基本身份验证进行身份验证
您会注意到,此配置与 XML 命名空间配置非常相似:
<http>
<intercept-url pattern="/**" access="authenticated"/>
<form-login />
<http-basic />
</http>多个 HttpSecurity
我们可以配置多个实例,就像我们可以拥有多个块一样。
关键是注册多个 s。
例如,下面是一个示例,说明对以 开头的 URL 进行不同配置。HttpSecurity<http>SecurityFilterChain@Bean/api/
@EnableWebSecurity
public class MultiHttpSecurityConfig {
@Bean (1)
public UserDetailsService userDetailsService() throws Exception {
// ensure the passwords are encoded properly
UserBuilder users = User.withDefaultPasswordEncoder();
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(users.username("user").password("password").roles("USER").build());
manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build());
return manager;
}
@Bean
@Order(1) (2)
public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
http
.antMatcher("/api/**") (3)
.authorizeHttpRequests(authorize -> authorize
.anyRequest().hasRole("ADMIN")
)
.httpBasic(withDefaults());
return http.build();
}
@Bean (4)
public SecurityFilterChain formLoginFilterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.formLogin(withDefaults());
return http.build();
}
}| 1 | 将身份验证配置为正常 |
| 2 | 注册一个包含的实例,以指定应首先考虑哪个实例。SecurityFilterChain@OrderSecurityFilterChain |
| 3 | 声明这仅适用于以http.antMatcherHttpSecurity/api/ |
| 4 | 注册 的另一个实例。
如果 URL 不以此开头,则将使用此配置。
此配置被视为 after,因为它具有 after 值(没有默认为 last)。SecurityFilterChain/api/apiFilterChain@Order1@Order |
| 1 | 将身份验证配置为正常 |
| 2 | 注册一个包含的实例,以指定应首先考虑哪个实例。SecurityFilterChain@OrderSecurityFilterChain |
| 3 | 声明这仅适用于以http.antMatcherHttpSecurity/api/ |
| 4 | 注册 的另一个实例。
如果 URL 不以此开头,则将使用此配置。
此配置被视为 after,因为它具有 after 值(没有默认为 last)。SecurityFilterChain/api/apiFilterChain@Order1@Order |
自定义 DSL
您可以在 Spring Security 中提供自己的自定义 DSL。 例如,您可能有如下所示的内容:
public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
private boolean flag;
@Override
public void init(HttpSecurity http) throws Exception {
// any method that adds another configurer
// must be done in the init method
http.csrf().disable();
}
@Override
public void configure(HttpSecurity http) throws Exception {
ApplicationContext context = http.getSharedObject(ApplicationContext.class);
// here we lookup from the ApplicationContext. You can also just create a new instance.
MyFilter myFilter = context.getBean(MyFilter.class);
myFilter.setFlag(flag);
http.addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter.class);
}
public MyCustomDsl flag(boolean value) {
this.flag = value;
return this;
}
public static MyCustomDsl customDsl() {
return new MyCustomDsl();
}
}这实际上是 LIKE 方法的实现方式。HttpSecurity.authorizeRequests() |
然后可以像这样使用自定义 DSL:
@EnableWebSecurity
public class Config {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.apply(customDsl())
.flag(true)
.and()
...;
return http.build();
}
}代码按以下顺序调用:
-
调用“Config”配置方法中的代码
-
调用“MyCustomDsl”的 init 方法中的代码
-
调用“MyCustomDsl”配置方法中的代码
如果需要,默认情况下可以使用 添加到 。
例如,您将在类路径上创建一个资源,该类路径的名称包含以下内容:MyCustomDslHttpSecuritySpringFactoriesMETA-INF/spring.factories
org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer = sample.MyCustomDsl
希望禁用默认值的用户可以显式执行此操作。
@EnableWebSecurity
public class Config {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.apply(customDsl()).disable()
...;
return http.build();
}
}这实际上是 LIKE 方法的实现方式。HttpSecurity.authorizeRequests() |
后处理配置的对象
Spring Security 的 Java 配置不会公开它配置的每个对象的每个属性。 这简化了大多数用户的配置。 毕竟,如果每个属性都公开了,用户可以使用标准的 Bean 配置。
虽然有充分的理由不直接公开每个属性,但用户可能仍然需要更高级的配置选项。
为了解决这个问题,Spring Security 引入了 an 的概念,该概念可用于修改或替换 Java 配置创建的许多 Object 实例。
例如,如果要配置属性,可以使用以下命令:ObjectPostProcessorfilterSecurityPublishAuthorizationSuccessFilterSecurityInterceptor
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeRequests(authorize -> authorize
.anyRequest().authenticated()
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
public <O extends FilterSecurityInterceptor> O postProcess(
O fsi) {
fsi.setPublishAuthorizationSuccess(true);
return fsi;
}
})
);
return http.build();
}