|
此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3! |
|
此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3! |
概述
通常认为采用“默认拒绝”是一种良好的安全实践,其中您明确指定允许的内容并禁止其他所有内容。
定义未经身份验证的用户可以访问的内容也是一种类似的情况,尤其是对于 Web 应用程序。
许多网站要求用户必须对除少数 URL 以外的任何内容(例如主页和登录页面)进行身份验证。
在这种情况下,最简单的方法是为这些特定 URL 定义访问配置属性,而不是为每个受保护的资源定义访问配置属性。
换句话说,有时最好说是默认必需的,并且只允许此规则的某些例外,例如应用程序的登录、注销和主页。
您也可以从过滤器链中完全省略这些页面,从而绕过访问控制检查,但这可能是由于其他原因而不希望的,特别是当这些页面对经过身份验证的用户的行为不同时。ROLE_SOMETHING
这就是我们所说的匿名身份验证。
请注意,“匿名身份验证”的用户和未经身份验证的用户之间在概念上没有真正的区别。
Spring Security 的匿名身份验证只是为您提供了一种更方便的方式来配置访问控制属性。
对 servlet API(例如 )的调用仍将返回 null,即使 中实际上存在匿名身份验证对象。getCallerPrincipalSecurityContextHolder
在其他情况下,匿名身份验证也很有用,例如,当审计侦听器查询以确定哪个委托人负责给定操作时。
如果类知道 always contains an object,并且 never .SecurityContextHolderSecurityContextHolderAuthenticationnull
配置
使用 HTTP 配置 Spring Security 3.0 时,会自动提供匿名身份验证支持,并且可以使用该元素进行自定义(或禁用)。
除非您使用传统的 bean 配置,否则您不需要配置此处描述的 bean。<anonymous>
三个类共同提供匿名身份验证功能。 是 的实现,并存储适用于匿名主体的 s。
有一个相应的 ,它被链接到 中,以便接受 s。
最后,还有一个 ,它在正常的身份验证机制之后被链接起来,如果那里没有现有的 hold,则会自动添加 an。
筛选器和身份验证提供程序的定义如下所示:AnonymousAuthenticationTokenAuthenticationGrantedAuthorityAnonymousAuthenticationProviderProviderManagerAnonymousAuthenticationTokenAnonymousAuthenticationFilterAnonymousAuthenticationTokenSecurityContextHolderAuthentication
<bean id="anonymousAuthFilter"
class="org.springframework.security.web.authentication.AnonymousAuthenticationFilter">
<property name="key" value="foobar"/>
<property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS"/>
</bean>
<bean id="anonymousAuthenticationProvider"
class="org.springframework.security.authentication.AnonymousAuthenticationProvider">
<property name="key" value="foobar"/>
</bean>在过滤器和身份验证提供商之间共享,因此后者接受前者创建的令牌key[1].
以 的形式表示。
这与属性 的等号后使用的语法相同。userAttributeusernameInTheAuthenticationToken,grantedAuthority[,grantedAuthority]userMapInMemoryDaoImpl
如前所述,匿名身份验证的好处是所有 URI 模式都可以应用安全性。 例如:
<bean id="filterSecurityInterceptor"
class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
<property name="securityMetadata">
<security:filter-security-metadata-source>
<security:intercept-url pattern='/index.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
<security:intercept-url pattern='/hello.htm' access='ROLE_ANONYMOUS,ROLE_USER'/>
<security:intercept-url pattern='/logoff.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
<security:intercept-url pattern='/login.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
<security:intercept-url pattern='/**' access='ROLE_USER'/>
</security:filter-security-metadata-source>" +
</property>
</bean>AuthenticationTrustResolver 认证
匿名身份验证讨论的圆满结束是接口及其相应的实现。
此接口提供了一个方法,该方法允许感兴趣的类考虑这种特殊类型的身份验证状态。
在处理 s 时使用此接口。
如果引发 an,并且身份验证是匿名类型,则过滤器将开始 ,以便主体可以正确进行身份验证,而不是引发 403 (禁止) 响应。
这是一个必要的区别,否则 principals 将始终被视为 “authenticated”,并且永远不会有机会通过 form、basic、digest 或其他一些正常的身份验证机制登录。AuthenticationTrustResolverAuthenticationTrustResolverImplisAnonymous(Authentication)ExceptionTranslationFilterAccessDeniedExceptionAccessDeniedExceptionAuthenticationEntryPoint
你经常会看到上述拦截器配置中的属性被 替换为 ,这在定义访问控制时实际上是一样的。
这是我们将在 authorization 章节中看到的 the 用法示例。
它使用 来处理此特定配置属性并向匿名用户授予访问权限。
该方法更强大,因为它允许您区分匿名用户、记住我用户和完全身份验证的用户。
不过,如果您不需要此功能,则可以坚持使用 ,它将由 Spring Security 的标准处理。ROLE_ANONYMOUSIS_AUTHENTICATED_ANONYMOUSLYAuthenticatedVoterAuthenticationTrustResolverAuthenticatedVoterROLE_ANONYMOUSRoleVoter
使用 Spring MVC 获取匿名身份验证
Spring MVC 使用自己的参数解析器解析 Principal 类型的参数。
这意味着,像这样的结构:
-
Java
-
Kotlin
@GetMapping("/")
public String method(Authentication authentication) {
if (authentication instanceof AnonymousAuthenticationToken) {
return "anonymous";
} else {
return "not anonymous";
}
}@GetMapping("/")
fun method(authentication: Authentication?): String {
return if (authentication is AnonymousAuthenticationToken) {
"anonymous"
} else {
"not anonymous"
}
}将始终返回 “not anonymous”,即使对于匿名请求也是如此。
原因是 Spring MVC 使用 解析参数,即请求是匿名的。HttpServletRequest#getPrincipalnull
如果您想获取匿名请求,请改用:Authentication@CurrentSecurityContext
-
Java
-
Kotlin
@GetMapping("/")
public String method(@CurrentSecurityContext SecurityContext context) {
return context.getAuthentication().getName();
}@GetMapping("/")
fun method(@CurrentSecurityContext context : SecurityContext) : String =
context!!.authentication!!.namekeyProviderManagerAnonymousAuthenticationProviderAuthenticationAnonymousAuthenticationTokenkeyProviderManager