|
此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1! |
Spring Security 常见问题解答
此常见问题解答包含以下部分:
一般问题
此常见问题解答回答了以下一般问题:
Spring Security 能否满足我的所有应用程序安全要求?
Spring Security 为您的身份验证和授权要求提供了一个灵活的框架,但是构建安全应用程序还有许多其他注意事项超出了其范围。 Web 应用程序容易受到您应该熟悉的各种攻击,最好在开始开发之前,以便从一开始就牢记它们进行设计和编码。 查看 OWASP Web 站点,了解有关 Web 应用程序开发人员面临的主要问题以及可以针对这些问题的对策的信息。
为什么不使用 web.xml Security?
假设您正在开发一个基于 Spring 的企业应用程序。 您通常需要解决四个安全问题:身份验证、Web 请求安全性、服务层安全性(实现业务逻辑的方法)和域对象实例安全性(不同的域对象可以具有不同的权限)。考虑到这些典型要求,我们需要考虑以下因素:
-
身份验证:servlet 规范提供了一种身份验证方法。 但是,您需要配置容器以执行身份验证,这通常需要编辑特定于容器的“领域”设置。 这将进行不可移植的配置。此外,如果您需要编写一个实际的 Java 类来实现容器的身份验证接口,它将变得更加不可移植。 使用 Spring Security,您可以实现完全的可移植性 — 一直到 WAR 级别。 此外,Spring Security 还提供了经过生产验证的身份验证提供程序和机制的选择,这意味着您可以在部署时切换身份验证方法。 这对于编写需要在未知目标环境中工作的产品的软件供应商来说尤其有价值。
-
Web 请求安全性:Servlet 规范提供了一种保护请求 URI 的方法。 但是,这些 URI 只能以 servlet 规范自己的有限 URI 路径格式表示。 Spring Security 提供了一种更全面的方法。 例如,您可以使用 Ant 路径或正则表达式,您可以考虑 URI 的各个部分,而不仅仅是请求的页面(例如, 您可以考虑 HTTP GET 参数),并且可以实现自己的配置数据的运行时源。 这意味着您可以在 Web 应用程序的实际执行期间动态更改 Web 请求安全性。
-
服务层和域对象安全:Servlet 规范中缺少对服务层安全性或域对象实例安全性的支持,这代表了多层应用程序的严重限制。 通常,开发人员要么忽略这些要求,要么在其 MVC 控制器代码中(或者更糟糕的是,在视图中)实现安全逻辑。这种方法有严重的缺点:
-
关注点分离:授权是一个横切关注点,应该这样实施。 实现授权代码的 MVC 控制器或视图使得测试控制器和授权逻辑变得更加困难,更难调试,并且通常会导致代码重复。
-
支持富客户端和 Web 服务:如果最终必须支持其他客户端类型,则 Web 层中嵌入的任何授权代码都是不可重用的。 应该考虑到 Spring 远程导出器仅导出服务层 bean(而不是 MVC 控制器)。因此,授权逻辑需要位于服务层以支持多种客户端类型。
-
分层问题:MVC 控制器或视图是不正确的架构层,在其中实施有关服务层方法或域对象实例的授权决策。 虽然可以将主体传递给服务层以使其能够做出授权决策,但这样做会在每个服务层方法上引入一个额外的参数。 一种更优雅的方法是使用 a 来保存主体,尽管这可能会将开发时间增加到使用专用安全框架变得更加经济的程度(在成本效益的基础上)。
ThreadLocal -
授权代码质量:人们常说 Web 框架 “使做正确的事情变得更容易,而做错误的事情变得更难”。安全框架是相同的,因为它们是以抽象的方式设计的,用于广泛的目的。 从头开始编写自己的授权代码并不能提供框架提供的“设计检查”,并且内部授权代码通常缺乏广泛部署、同行评审和新版本带来的改进。
-
对于简单的应用程序,servlet 规范安全性可能就足够了。 尽管在 Web 容器可移植性、配置要求、有限的 Web 请求安全性灵活性以及不存在的服务层和域对象实例安全性的上下文中考虑时,开发人员经常寻求替代解决方案的原因就很明显了。
需要哪些 Java 和 Spring Framework 版本?
Spring Security 3.0 和 3.1 至少需要 JDK 1.5,并且至少需要 Spring 3.0.3。 理想情况下,您应该使用最新版本以避免出现问题。
Spring Security 2.0.x 要求最低 JDK 版本为 1.4,并且是针对 Spring 2.0.x 构建的。 它还应该与使用 Spring 2.5.x 的应用程序兼容。
我有一个复杂的场景。可能有什么问题?
(此答案通过处理特定方案来解决一般复杂方案。
假设您是 Spring Security 的新手,并且需要构建一个支持通过 HTTPS 进行 CAS 单点登录的应用程序,同时允许对某些 URL 进行本地基本身份验证,并针对多个后端用户信息源(LDAP 和 JDBC)进行身份验证。您已经复制了一些配置文件,但发现它不起作用。可能有什么问题?
您需要了解您打算使用的技术,然后才能使用它们成功构建应用程序。 安全性很复杂。 通过使用登录表单和一些具有 Spring Security 命名空间的硬编码用户来设置简单的配置相当简单。 改用支持的 JDBC 数据库也很容易。 但是,如果您尝试直接跳到像此场景这样的复杂部署场景,您几乎肯定会感到沮丧。 设置 CAS 等系统、配置 LDAP 服务器和正确安装 SSL 证书所需的学习曲线会有很大的飞跃。 所以你需要一步一步来。
从 Spring Security 的角度来看,您应该做的第一件事是遵循 Web 站点上的“入门”指南。 这将引导您完成一系列步骤来启动和运行,并了解框架的运行方式。 如果您使用不熟悉的其他技术,您应该进行一些研究并尝试确保您可以单独使用它们,然后再将它们组合到一个复杂的系统中。
常见问题
本节解决了人们在使用 Spring Security 时遇到的最常见问题:
-
认证
-
会话管理
-
杂项
当我尝试登录时,收到一条错误消息,显示“Bad Credentials”。怎么了?
这意味着身份验证失败。 它没有说明原因,因为最好避免提供可能有助于攻击者猜测帐户名或密码的详细信息。
这也意味着,如果您在网上问这个问题,除非您提供更多信息,否则您不应该期望得到答案。
与任何问题一样,您应检查调试日志的输出,并记下任何异常堆栈跟踪和相关消息。
您应该在调试器中单步执行代码,以查看身份验证失败的位置和原因。
您还应该编写一个测试用例,在应用程序之外执行您的身份验证配置。
如果您使用哈希密码,请确保存储在数据库中的值与应用程序中配置的值完全相同。PasswordEncoder
当我尝试登录时,我的应用程序进入了 “无限循环”。这是怎么回事?
无限循环和重定向到登录页面的常见用户问题是由于意外地将登录页面配置为“安全”资源而导致的。
确保您的配置允许匿名访问登录页面,方法是将其从安全过滤器链中排除或将其标记为 require。ROLE_ANONYMOUS
如果包含 ,则可以使用该属性。如果您使用标准命名空间配置设置,则此功能会自动可用。AccessDecisionManagerAuthenticatedVoterIS_AUTHENTICATED_ANONYMOUSLY
从 Spring Security 2.0.1 开始,当您使用基于名称空间的配置时,将在加载应用程序上下文时进行检查,如果您的登录页面似乎受到保护,则会记录一条警告消息。
我收到异常消息“Access is denied (user is anonymous);”。怎么了?
这是一条调试级别的消息,当匿名用户首次尝试访问受保护的资源时出现。
DEBUG [ExceptionTranslationFilter] - Access is denied (user is anonymous); redirecting to authentication entry point
org.springframework.security.AccessDeniedException: Access is denied
at org.springframework.security.vote.AffirmativeBased.decide(AffirmativeBased.java:68)
at org.springframework.security.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:262)这是正常的,不应该有什么可担心的。
为什么在注销应用程序后仍能看到安全页面?
最常见的原因是您的浏览器缓存了页面,并且您看到的是正在从浏览器缓存中检索的副本。
通过检查浏览器是否确实在发送请求来验证这一点(检查您的服务器访问日志和调试日志,或使用合适的浏览器调试插件,例如 Firefox 的 “Tamper Data”)。这与 Spring Security 无关,您应该配置应用程序或服务器以设置适当的响应标头。
请注意,SSL 请求永远不会被缓存。Cache-Control
我收到一条异常消息“在 SecurityContext 中找不到 Authentication 对象”。怎么了?
下面的清单显示了匿名用户首次尝试访问受保护资源时出现的另一条调试级别消息。但是,此清单显示了当您在 filter chain 配置中没有 an 时会发生什么:AnonymousAuthenticationFilter
DEBUG [ExceptionTranslationFilter] - Authentication exception occurred; redirecting to authentication entry point
org.springframework.security.AuthenticationCredentialsNotFoundException:
An Authentication object was not found in the SecurityContext
at org.springframework.security.intercept.AbstractSecurityInterceptor.credentialsNotFound(AbstractSecurityInterceptor.java:342)
at org.springframework.security.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:254)这是正常的,无需担心。
我无法让 LDAP 身份验证正常工作。我的配置有什么问题?
请注意,LDAP 目录的权限通常不允许您读取用户的密码。 因此,通常无法使用什么是UserDetailsService,我需要一个吗?其中 Spring Security 将存储的密码与用户提交的密码进行比较。 最常见的方法是使用 LDAP“bind”,这是 LDAP 协议支持的操作之一。使用这种方法, Spring Security 通过尝试以用户身份对目录进行身份验证来验证密码。
LDAP 身份验证最常见的问题是缺乏对目录服务器树结构和配置的了解。 这因公司而异,因此您必须自己找出来。 在将 Spring Security LDAP 配置添加到应用程序之前,您应该使用标准 Java LDAP 代码(不涉及 Spring Security)编写一个简单的测试,并确保您可以先使其工作。 例如,要对用户进行身份验证,您可以使用以下代码:
-
Java
-
Kotlin
@Test
public void ldapAuthenticationIsSuccessful() throws Exception {
Hashtable<String,String> env = new Hashtable<String,String>();
env.put(Context.SECURITY_AUTHENTICATION, "simple");
env.put(Context.SECURITY_PRINCIPAL, "cn=joe,ou=users,dc=mycompany,dc=com");
env.put(Context.PROVIDER_URL, "ldap://mycompany.com:389/dc=mycompany,dc=com");
env.put(Context.SECURITY_CREDENTIALS, "joespassword");
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
InitialLdapContext ctx = new InitialLdapContext(env, null);
}@Test
fun ldapAuthenticationIsSuccessful() {
val env = Hashtable<String, String>()
env[Context.SECURITY_AUTHENTICATION] = "simple"
env[Context.SECURITY_PRINCIPAL] = "cn=joe,ou=users,dc=mycompany,dc=com"
env[Context.PROVIDER_URL] = "ldap://mycompany.com:389/dc=mycompany,dc=com"
env[Context.SECURITY_CREDENTIALS] = "joespassword"
env[Context.INITIAL_CONTEXT_FACTORY] = "com.sun.jndi.ldap.LdapCtxFactory"
val ctx = InitialLdapContext(env, null)
}会话管理
会话管理问题是常见的问题来源。 如果您正在开发 Java Web 应用程序,则应了解如何在 servlet 容器和用户的浏览器之间维护会话。 您还应该了解安全 Cookie 和非安全 Cookie 之间的区别,以及使用 HTTP 和 HTTPS 以及在两者之间切换的含义。 Spring Security 与维护会话或提供会话标识符无关。 这完全由 servlet 容器处理。
我正在使用 Spring Security 的并发会话控制来防止用户同时多次登录。当我在登录后打开另一个浏览器窗口时,它不会阻止我再次登录。为什么我可以多次登录?
浏览器通常为每个浏览器实例维护一个会话。
您不能同时进行两个单独的会话。
因此,如果您在另一个窗口或选项卡中再次登录,则只是在同一会话中重新进行身份验证。
因此,如果您在另一个窗口或选项卡中再次登录,则您将在同一会话中重新进行身份验证。
服务器对选项卡、窗口或浏览器实例一无所知。
它看到的只是 HTTP 请求,并根据它们包含的 cookie 的值将这些请求绑定到特定会话。
当用户在会话期间进行身份验证时, Spring Security 的并发会话控制会检查他们拥有的其他已验证会话的数量。
如果他们已经通过同一会话进行身份验证,则重新身份验证不起作用。JSESSIONID
当我通过 Spring Security 进行身份验证时,为什么会话 ID 会发生变化?
使用默认配置, Spring Security 在用户进行身份验证时更改会话 ID。 如果您使用的是 Servlet 3.1 或更高版本的容器,则会话 ID 只是更改。 如果使用较旧的容器,则 Spring Security 将使现有会话无效,创建新会话,并将会话数据传输到新会话。 以这种方式更改会话标识符可以防止 “session-fixation” 攻击。 您可以在线和参考手册中找到有关此内容的更多信息。
我使用 Tomcat(或其他一些 servlet 容器)并为我的登录页面启用了 HTTPS,然后切换回 HTTP。它不起作用。身份验证后,我最终回到了登录页面。
它不起作用 - 我在身份验证后只是回到了登录页面。
发生这种情况是因为在 HTTPS 下创建的会话(会话 Cookie 标记为“安全”)随后无法在 HTTP 下使用。浏览器不会将 cookie 发送回服务器,并且任何会话状态(包括安全上下文信息)都将丢失。首先在 HTTP 中启动会话应该可以工作,因为会话 cookie 未标记为安全。 但是, Spring Security 的会话固定保护可能会干扰这一点,因为它会导致将新的会话 ID cookie 发送回用户的浏览器,通常带有安全标志。 要解决此问题,您可以禁用会话固定保护。但是,在较新的 Servlet 容器中,您还可以将会话 cookie 配置为从不使用 secure 标志。
|
一般来说,在 HTTP 和 HTTPS 之间切换不是一个好主意,因为任何使用 HTTP 的应用程序都容易受到中间人攻击。 为了真正安全,用户应该开始以 HTTPS 访问您的网站并继续使用它,直到他们注销。 即使从通过 HTTP 访问的页面点击 HTTPS 链接也有潜在风险。 如果您需要更有说服力,请查看像 sslstrip 这样的工具。 |
我没有在 HTTP 和 HTTPS 之间切换,但我的会话仍然丢失。发生了什么事?
通过交换会话 Cookie 或向 URL 添加参数来维护会话(如果您使用 JSTL 输出 URL 或调用 URL(例如,在重定向之前),则会自动发生这种情况)。如果客户端禁用了 Cookie,并且您没有重写 URL 以包含 ,则会话将丢失。
请注意,出于安全原因,最好使用 Cookie,因为它不会在 URL 中公开会话信息。jsessionidHttpServletResponse.encodeUrljsessionid
我正在尝试使用并发会话控制支持,但它不允许我重新登录,即使我确定我已经注销并且没有超过允许的会话。怎么了?
确保已将侦听器添加到文件中。
必须确保在销毁会话时通知 Spring Security 会话注册表。
如果没有它,则不会从注册表中删除会话信息。
以下示例在文件中添加侦听器:web.xmlweb.xml
<listener>
<listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
</listener>Spring Security 通过将 create-session 属性设置为 never,在某处创建一个会话,即使我已将其配置为不这样做。怎么了?
这通常意味着用户的应用程序正在某处创建会话,但他们并不知道。
最常见的罪魁祸首是 JSP。许多人不知道 JSP 默认创建会话。
要防止 JSP 创建会话,请将该指令添加到页面顶部。<%@ page session="false" %>
如果您在确定会话的创建位置时遇到问题,可以添加一些调试代码来跟踪位置。实现此目的的一种方法是将 ,在方法中调用 ,添加到您的应用程序中。javax.servlet.http.HttpSessionListenerThread.dumpStack()sessionCreated
我在执行 POST 时收到 403 Forbidden。怎么了?
如果 HTTP POST 返回 HTTP 403 Forbidden 错误,但该错误适用于 HTTP GET,则问题很可能与 CSRF 有关。要么提供 CSRF 令牌,要么禁用 CSRF 保护(不建议后者)。
我正在使用 RequestDispatcher 将请求转发到另一个 URL,但我的安全约束未得到应用。
默认情况下,筛选条件不应用于转发或包含。
如果您确实希望将安全筛选器应用于 forward 或 include,则必须使用 element(元素的子元素)在文件中显式配置这些筛选器。web.xml<dispatcher><filter-mapping>
我已将 Spring Security 的 <global-method-security> 元素添加到我的应用程序上下文中,但是,如果我向 Spring MVC 控制器 Bean(Struts 操作等)添加安全注释,它们似乎不会产生任何效果。为什么不呢?
在 Spring Web 应用程序中,保存调度程序 Servlet 的 Spring MVC bean 的应用程序上下文通常与主应用程序上下文分开。
它通常在名为 的文件中定义,其中 是分配给文件中的 Spring 的名称。一个应用程序可以有多个实例,每个实例都有自己的独立应用程序上下文。
这些 “子” 上下文中的 bean 对应用程序的其余部分不可见。
“父” 应用程序上下文由您在文件中定义的 加载,并且对所有子上下文可见。
此父上下文通常是定义安全配置(包括元素)的位置。因此,任何应用于这些Web Bean中方法的安全约束都不会被强制执行,因为无法从上下文中看到这些bean。
您需要将声明移动到 Web 上下文,或者将要保护的 bean 移动到主应用程序上下文中。myapp-servlet.xmlmyappDispatcherServletweb.xmlDispatcherServletContextLoaderListenerweb.xml<global-method-security>DispatcherServlet<global-method-security>
通常,我们建议在服务层而不是单个 Web 控制器上应用方法安全性。
Spring Security 架构问题
本节解决常见的 Spring Security 体系结构问题:
我怎么知道 X 类在哪个包中?
查找类的最佳方法是在 IDE 中安装 Spring Security 源。该发行版包括项目划分为的每个模块的源 jar。
将这些添加到项目源路径中,您可以直接导航到 Spring Security 类(在 Eclipse 中)。这也使调试更加容易,并允许您通过直接查看发生异常的代码来了解其中发生的情况,从而排除异常故障。Ctrl-Shift-T
命名空间元素如何映射到传统的 bean 配置?
在参考指南的名称空间附录中,对名称空间创建哪些 bean 的一般概述。
blog.springsource.com 上还有一篇名为 “Behind the Spring Security Namespace” 的详细博客文章。如果想知道完整的细节,那么代码就在 Spring Security 3.0 发行版的模块中。
你可能应该先阅读标准 Spring Framework 参考文档中关于名称空间解析的章节。spring-security-config
“ROLE_”是什么意思,为什么我的角色名称需要它?
Spring Security 具有基于选民的架构,这意味着访问决策是由一系列实例做出的。
投票者对 “configuration attributes” 进行操作,这些属性是为受保护的资源(例如方法调用)指定的。使用这种方法时,并非所有属性都与所有选民相关,选民需要知道何时应忽略某个属性(弃权),以及何时应根据属性值投票授予或拒绝访问权限。
最常见的投票者是 ,默认情况下,只要找到带有前缀的属性,它就会进行投票。
它将属性 (如 ) 与已为当前用户分配的权限名称进行简单比较。
如果找到匹配项(他们有一个名为 ) 的颁发机构,它将投票授予访问权限。否则,它将投票拒绝访问。AccessDecisionVoterRoleVoterROLE_ROLE_USERROLE_USER
您可以通过设置 的属性来更改前缀。如果只需要在应用程序中使用角色,而不需要其他自定义投票者,则可以将前缀设置为空字符串。在这种情况下,会将所有属性视为角色。rolePrefixRoleVoterRoleVoter
我如何知道要向我的应用程序添加哪些依赖项才能与 Spring Security 一起使用?
这取决于您使用的功能以及您正在开发的应用程序类型。
在 Spring Security 3.0 中,项目 jar 被划分为明显不同的功能区域,因此很容易从应用程序需求中找出需要哪些 Spring Security jar。
所有应用程序都需要 jar。
如果您正在开发 Web 应用程序,则需要 jar。
如果您使用的是安全名称空间配置,则需要 jar。对于 LDAP 支持,您需要 jar。等等。spring-security-corespring-security-webspring-security-configspring-security-ldap
对于第三方 jar,情况并不总是那么明显。
一个好的起点是从预构建的示例应用程序目录之一复制这些内容。
对于基本应用程序,您可以从教程示例开始。
对于基本应用程序,您可以从教程示例开始。
如果要将 LDAP 与嵌入式测试服务器一起使用,请使用 LDAP 示例作为起点。
参考手册还包括一个附录,其中列出了每个 Spring Security 模块的第一级依赖项,以及有关它们是否是可选的以及何时需要它们的一些信息。WEB-INF/lib
如果使用 Maven 构建项目,则将适当的 Spring Security 模块作为依赖项添加到文件中会自动提取框架所需的核心 jar。
如果需要,必须在 Spring Security 文件中标记为“可选”的任何文件添加到您自己的文件中。pom.xmlpom.xmlpom.xml
运行嵌入式 ApacheDS LDAP 服务器需要哪些依赖项?
如果您使用 Maven,则需要将以下内容添加到您的文件依赖项中:pom.xml
<dependency>
<groupId>org.apache.directory.server</groupId>
<artifactId>apacheds-core</artifactId>
<version>1.5.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.apache.directory.server</groupId>
<artifactId>apacheds-server-jndi</artifactId>
<version>1.5.5</version>
<scope>runtime</scope>
</dependency>其他必需的 jar 应该以传递方式拉入。
什么是 UserDetailsService,我需要一个吗?
UserDetailsService是一个 DAO 接口,用于加载特定于用户帐户的数据。
它除了加载该数据以供框架中的其他组件使用外,没有其他功能。
它不负责对用户进行身份验证。
使用用户名和密码组合对用户进行身份验证通常是由 执行,它被注入 a,以允许它加载用户的密码(和其他数据),以将其与提交的值进行比较。
请注意,如果使用 LDAP,则此方法可能不起作用。DaoAuthenticationProviderUserDetailsService
如果要自定义身份验证过程,则应自行实现。
有关将 Spring Security 身份验证与 Google App Engine 集成的示例,请参阅此博客文章。AuthenticationProvider
常见的“如何做”问题
本节解决了有关 Spring Security 的最常见的“如何”(或“如何”)问题:
我需要使用更多信息登录,而不仅仅是用户名。如何添加对额外登录字段(如公司名称)的支持?
这个问题反复出现,因此您可以通过在线搜索找到更多信息。
提交的登录信息由 的实例处理。您需要自定义此类以处理额外的数据字段。一种选择是使用您自己的自定义身份验证令牌类(而不是 standard )。另一种选择是将额外字段与 username 连接起来(例如,通过使用字符作为分隔符),并在 的 username 属性中传递它们。UsernamePasswordAuthenticationFilterUsernamePasswordAuthenticationToken:UsernamePasswordAuthenticationToken
您还需要自定义实际的身份验证过程。
例如,如果使用自定义身份验证令牌类,则必须编写 (或扩展 standard )来处理它。如果您已连接字段,则可以实施自己的字段以拆分它们并加载相应的用户数据进行身份验证。AuthenticationProviderDaoAuthenticationProviderUserDetailsService
如何在只有请求的 URL 的片段值不同的情况下应用不同的 intercept-url 约束(例如 /thing1#thing2 和 /thing1#thing3)?
您无法执行此操作,因为 fragment 不会从浏览器传输到服务器。 从服务器的角度来看,URL 是相同的。 这是 GWT 用户经常提出的一个问题。
如何在 UserDetailsService 中访问用户的 IP 地址(或其他 Web 请求数据)?
你不能(不求助于线程局部变量之类的东西),因为提供给接口的唯一信息是用户名。
您应该直接实施并从提供的令牌中提取信息,而不是实施。UserDetailsServiceAuthenticationProviderAuthentication
在标准 Web 设置中,对象上的方法将返回 .如果您需要其他信息,可以将自定义注入到您正在使用的身份验证筛选条件中。
如果您使用的是命名空间,例如元素,则应删除此元素并将其替换为指向显式配置的声明。getDetails()AuthenticationWebAuthenticationDetailsAuthenticationDetailsSource<form-login><custom-filter>UsernamePasswordAuthenticationFilter
如何从 UserDetailsService 访问 HttpSession?
您不能,因为 不知道 servlet API。如果要存储自定义用户数据,则应自定义返回的对象。
然后,可以随时通过 thread-local 进行访问。调用 将返回此自定义对象。UserDetailsServiceUserDetailsSecurityContextHolderSecurityContextHolder.getContext().getAuthentication().getPrincipal()
如果您确实需要访问会话,则必须通过自定义 Web 层来实现。
如何在 UserDetailsService 中访问用户的密码?
你不能(也不应该,即使你找到了这样做的方法)。你可能误解了它的目的。 请参阅常见问题解答前面的“什么是 UserDetailsService?
如何在应用程序中动态定义受保护的 URL?
人们经常询问如何将安全 URL 和安全元数据属性之间的映射存储在数据库中,而不是存储在应用程序上下文中。
您应该问自己的第一件事是您是否真的需要这样做。 如果应用程序需要安全,则还需要根据定义的策略对安全性进行全面测试。 在推出到生产环境之前,它可能需要审核和验收测试。 具有安全意识的组织应该意识到,通过在运行时通过更改配置数据库中的一行或两行来修改安全设置,可能会立即消除他们勤奋的测试过程的好处。 如果您已考虑到这一点(可能通过在应用程序中使用多层安全性),Spring Security 允许您完全自定义安全元数据的来源。 如果您愿意,您可以将其设置为完全动态。
方法和 Web 安全都受 的子类保护,该子类配置了 ,从中获取特定方法或过滤器调用的元数据。
对于 Web 安全性,拦截器类是 ,它使用 marker 接口。它所操作的“安全对象”类型是 .默认实现(在命名空间中和显式配置拦截器时使用)将 URL 模式列表及其相应的“配置属性”(实例)列表存储在内存映射中。AbstractSecurityInterceptorSecurityMetadataSourceFilterSecurityInterceptorFilterInvocationSecurityMetadataSourceFilterInvocation<http>ConfigAttribute
要从备用源加载数据,必须使用显式声明的安全过滤器链(通常是 Spring Security 的)来自定义 bean。
您不能使用命名空间。
然后,您将实现为特定 .该对象包含 ,因此您可以根据返回的属性列表包含的内容获取 URL 或任何其他相关信息,以作为决策的基础。基本大纲将类似于以下示例:FilterChainProxyFilterSecurityInterceptorFilterInvocationSecurityMetadataSourceFilterInvocationFilterInvocationHttpServletRequest
-
Java
-
Kotlin
public class MyFilterSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
public List<ConfigAttribute> getAttributes(Object object) {
FilterInvocation fi = (FilterInvocation) object;
String url = fi.getRequestUrl();
String httpMethod = fi.getRequest().getMethod();
List<ConfigAttribute> attributes = new ArrayList<ConfigAttribute>();
// Lookup your database (or other source) using this information and populate the
// list of attributes
return attributes;
}
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
public boolean supports(Class<?> clazz) {
return FilterInvocation.class.isAssignableFrom(clazz);
}
}class MyFilterSecurityMetadataSource : FilterInvocationSecurityMetadataSource {
override fun getAttributes(securedObject: Any): List<ConfigAttribute> {
val fi = securedObject as FilterInvocation
val url = fi.requestUrl
val httpMethod = fi.request.method
// Lookup your database (or other source) using this information and populate the
// list of attributes
return ArrayList()
}
override fun getAllConfigAttributes(): Collection<ConfigAttribute>? {
return null
}
override fun supports(clazz: Class<*>): Boolean {
return FilterInvocation::class.java.isAssignableFrom(clazz)
}
}有关更多信息,请查看 的代码。DefaultFilterInvocationSecurityMetadataSource
如何根据 LDAP 进行身份验证,但从数据库加载用户角色?
bean(在 Spring Security 中处理正常的 LDAP 身份验证)配置了两个单独的策略接口,一个执行身份验证,另一个加载用户权限,分别称为 和 。
从 LDAP 目录加载用户权限,并具有各种配置参数,允许您指定应如何检索这些权限。LdapAuthenticationProviderLdapAuthenticatorLdapAuthoritiesPopulatorDefaultLdapAuthoritiesPopulator
要改用 JDBC,您可以使用适合您的架构的任何 SQL 自行实现接口:
-
Java
-
Kotlin
public class MyAuthoritiesPopulator implements LdapAuthoritiesPopulator {
@Autowired
JdbcTemplate template;
List<GrantedAuthority> getGrantedAuthorities(DirContextOperations userData, String username) {
return template.query("select role from roles where username = ?",
new String[] {username},
new RowMapper<GrantedAuthority>() {
/**
* We're assuming here that you're using the standard convention of using the role
* prefix "ROLE_" to mark attributes which are supported by Spring Security's RoleVoter.
*/
@Override
public GrantedAuthority mapRow(ResultSet rs, int rowNum) throws SQLException {
return new SimpleGrantedAuthority("ROLE_" + rs.getString(1));
}
});
}
}class MyAuthoritiesPopulator : LdapAuthoritiesPopulator {
@Autowired
lateinit var template: JdbcTemplate
override fun getGrantedAuthorities(userData: DirContextOperations, username: String): MutableList<GrantedAuthority?> {
return template.query("select role from roles where username = ?",
arrayOf(username)
) { rs, _ ->
/**
* We're assuming here that you're using the standard convention of using the role
* prefix "ROLE_" to mark attributes which are supported by Spring Security's RoleVoter.
*/
SimpleGrantedAuthority("ROLE_" + rs.getString(1))
}
}
}然后,将这种类型的 bean 添加到应用程序上下文中,并将其注入到 .这在参考手册的 LDAP 一章中的“使用显式 Spring bean 配置 LDAP”一节中进行了介绍。
请注意,在这种情况下,您不能使用 namespace 进行配置。
您还应该查阅 security-api-url[Javadoc] 以获取相关的类和接口。LdapAuthenticationProvider
我想修改由名称空间创建的 Bean 的属性,但架构中没有任何内容支持它。除了放弃使用命名空间之外,我还能做什么?
名称空间功能是有意限制的,因此它并不涵盖您可以使用普通 bean 执行的所有操作。
如果你想做一些简单的事情,比如修改 bean 或注入不同的依赖项,你可以通过在配置中添加 a 来实现。
您可以在 Spring 参考手册中找到更多信息。为此,您需要了解一些有关创建哪些 bean 的信息,因此您还应该阅读前面问题中提到的有关名称空间如何映射到 Spring bean 的博客文章。BeanPostProcessor
通常,您会将所需的功能添加到 的方法中。假设你想自定义 used by the (created by the element).您希望提取从请求中调用的特定标头,并在对用户进行身份验证时使用它。
处理器类将类似于下面的清单:postProcessBeforeInitializationBeanPostProcessorAuthenticationDetailsSourceUsernamePasswordAuthenticationFilterform-loginCUSTOM_HEADER
-
Java
-
Kotlin
public class CustomBeanPostProcessor implements BeanPostProcessor {
public Object postProcessAfterInitialization(Object bean, String name) {
if (bean instanceof UsernamePasswordAuthenticationFilter) {
System.out.println("********* Post-processing " + name);
((UsernamePasswordAuthenticationFilter)bean).setAuthenticationDetailsSource(
new AuthenticationDetailsSource() {
public Object buildDetails(Object context) {
return ((HttpServletRequest)context).getHeader("CUSTOM_HEADER");
}
});
}
return bean;
}
public Object postProcessBeforeInitialization(Object bean, String name) {
return bean;
}
}class CustomBeanPostProcessor : BeanPostProcessor {
override fun postProcessAfterInitialization(bean: Any, name: String): Any {
if (bean is UsernamePasswordAuthenticationFilter) {
println("********* Post-processing $name")
bean.setAuthenticationDetailsSource(
AuthenticationDetailsSource<HttpServletRequest, Any?> { context -> context.getHeader("CUSTOM_HEADER") })
}
return bean
}
override fun postProcessBeforeInitialization(bean: Any, name: String?): Any {
return bean
}
}然后,您将在应用程序上下文中注册此 Bean。 Spring 在应用程序上下文中定义的 bean 上自动调用它。