|
此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.4.1! |
Kotlin 配置
Spring Security Kotlin 配置从 Spring Security 5.3 开始可用。 它允许用户使用本机 Kotlin DSL 配置 Spring Security。
|
Spring Security 提供了一个示例应用程序来演示 Spring Security Kotlin 配置的使用。 |
HttpSecurity 安全
Spring Security 如何知道我们要要求所有用户都经过身份验证?
Spring Security 如何知道我们想要支持基于表单的身份验证?
有一个配置类(称为 )正在后台调用。
它使用以下默认实现进行配置:SecurityFilterChain
import org.springframework.security.config.annotation.web.invoke
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
formLogin { }
httpBasic { }
}
return http.build()
}请务必导入该函数以在您的类中启用 Kotlin DSL,因为 IDE 不会始终自动导入该方法,从而导致编译问题。org.springframework.security.config.annotation.web.invoke |
默认配置(如前面的示例所示):
-
确保对我们的应用程序的任何请求都需要对用户进行身份验证
-
允许用户使用基于表单的登录进行身份验证
-
允许用户使用 HTTP 基本身份验证进行身份验证
请注意,此配置与 XML 命名空间配置类似:
<http>
<intercept-url pattern="/**" access="authenticated"/>
<form-login />
<http-basic />
</http>多个 HttpSecurity 实例
为了有效地管理某些区域需要不同保护的应用程序的安全性,我们可以在 DSL 方法旁边使用多个过滤器链。
这种方法允许我们定义针对应用程序的特定部分量身定制的不同安全配置,从而增强整体应用程序安全性和控制力。securityMatcher
我们可以配置多个实例,就像我们可以在 XML 中拥有多个块一样。
关键是要注册多个 s。
以下示例对以 开头的 URL 具有不同的配置。HttpSecurity<http>SecurityFilterChain@Bean/api/
import org.springframework.security.config.annotation.web.invoke
@Configuration
@EnableWebSecurity
class MultiHttpSecurityConfig {
@Bean (1)
open fun userDetailsService(): UserDetailsService {
val users = User.withDefaultPasswordEncoder()
val manager = InMemoryUserDetailsManager()
manager.createUser(users.username("user").password("password").roles("USER").build())
manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build())
return manager
}
@Bean
@Order(1) (2)
open fun apiFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
securityMatcher("/api/**") (3)
authorizeHttpRequests {
authorize(anyRequest, hasRole("ADMIN"))
}
httpBasic { }
}
return http.build()
}
@Bean (4)
open fun formLoginFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
formLogin { }
}
return http.build()
}
}| 1 | 照常配置 Authentication。 |
| 2 | 创建该 contains 的实例以指定应首先考虑哪个实例。SecurityFilterChain@OrderSecurityFilterChain |
| 3 | 表示这仅适用于以 .http.securityMatcher()HttpSecurity/api/ |
| 4 | 创建 的另一个实例。
如果 URL 不以 开头,则使用此配置。
此配置在 之后考虑,因为它在 之后 具有值(没有默认为 last)。SecurityFilterChain/api/apiFilterChain@Order1@Order |
选择 或securityMatcherrequestMatchers
一个常见的问题是:
方法和用于请求授权的方法有什么区别(即在 内部)?
http.securityMatcher()requestMatchers()http.authorizeHttpRequests()
要回答这个问题,了解用于构建 的每个实例都包含一个 以匹配传入请求。
如果请求与优先级较高的 a 不匹配(例如 ),则可以针对优先级较低的过滤器链(例如 no )尝试请求。HttpSecuritySecurityFilterChainRequestMatcherSecurityFilterChain@Order(1)@Order
|
多个过滤器链的匹配逻辑由 |
默认值匹配任何请求,以确保 Spring Security 默认保护所有请求。RequestMatcher
|
指定 a 将覆盖此默认值。 |
|
如果没有过滤器链与特定请求匹配,则该请求不受 Spring Security 保护。 |
以下示例演示了一个筛选条件链,该链仅保护以 :/secured/
import org.springframework.security.config.annotation.web.invoke
@Configuration
@EnableWebSecurity
class PartialSecurityConfig {
@Bean
open fun userDetailsService(): UserDetailsService {
// ...
}
@Bean
open fun securedFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
securityMatcher("/secured/**") (1)
authorizeHttpRequests {
authorize("/secured/user", hasRole("USER")) (2)
authorize("/secured/admin", hasRole("ADMIN")) (3)
authorize(anyRequest, authenticated) (4)
}
httpBasic { }
formLogin { }
}
return http.build()
}
}| 1 | 以 开头的请求将受到保护,但任何其他请求都不受保护。/secured/ |
| 2 | 需要权限的请求。/secured/userROLE_USER |
| 3 | 需要权限的请求。/secured/adminROLE_ADMIN |
| 4 | 任何其他请求(例如 )只需要经过身份验证的用户。/secured/other |
|
建议提供不指定 any 的 a ,以确保整个应用程序受到保护,如前面的示例所示。 |
请注意,该方法仅适用于单个授权规则。
此处列出的每个请求还必须与用于创建 .
在此示例中使用 匹配此特定 (必须以 开头) 中的所有其他请求。requestMatcherssecurityMatcherHttpSecuritySecurityFilterChainanyRequest()SecurityFilterChain/secured/
|
有关的更多信息,请参阅 授权 HttpServletRequests 。 |
SecurityFilterChain端点
中的多个筛选条件直接提供终端节点,例如 由终端节点设置并提供终端节点的筛选条件。
在上面的示例中,endpoint 不匹配,因此该应用程序将没有 any 或 endpoint。
此类请求将返回 。
这通常让用户感到惊讶。SecurityFilterChainUsernamePasswordAuthenticationFilterhttp.formLogin()POST /login/loginhttp.securityMatcher("/secured/**")GET /loginPOST /login404 Not Found
指定会影响与该匹配的请求。
但是,它不会自动影响筛选条件链提供的终端节点。
在这种情况下,您可能需要自定义您希望筛选条件链提供的任何终端节点的 URL。http.securityMatcher()SecurityFilterChain
以下示例演示了一个配置,该配置保护以 开头并拒绝所有其他请求的请求,同时还自定义 :/secured/SecurityFilterChain
import org.springframework.security.config.annotation.web.invoke
@Configuration
@EnableWebSecurity
class SecuredSecurityConfig {
@Bean
open fun userDetailsService(): UserDetailsService {
// ...
}
@Bean
@Order(1)
open fun securedFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
securityMatcher("/secured/**") (1)
authorizeHttpRequests {
authorize(anyRequest, authenticated) (2)
}
formLogin { (3)
loginPage = "/secured/login"
loginProcessingUrl = "/secured/login"
permitAll = true
}
logout { (4)
logoutUrl = "/secured/logout"
logoutSuccessUrl = "/secured/login?logout"
permitAll = true
}
}
return http.build()
}
@Bean
open fun defaultFilterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, denyAll) (5)
}
}
return http.build()
}
}| 1 | 以 开头的请求将受此筛选条件链保护。/secured/ |
| 2 | 以 开头的请求需要经过身份验证的用户。/secured/ |
| 3 | 自定义表单登录以在 URL 前面加上 ./secured/ |
| 4 | 自定义注销以在 URL 前面添加 ./secured/ |
| 5 | 所有其他请求都将被拒绝。 |
|
此示例自定义登录和注销页面,这将禁用 Spring Security 生成的页面。
您必须为 和 提供自己的自定义终端节点。
请注意,Spring Security 仍然为您提供 and endpoints 。 |
真实示例
以下示例演示了将所有这些元素放在一起的更真实的配置:
import org.springframework.security.config.annotation.web.invoke
@Configuration
@EnableWebSecurity
class BankingSecurityConfig {
@Bean (1)
open fun userDetailsService(): UserDetailsService {
val users = User.withDefaultPasswordEncoder()
val manager = InMemoryUserDetailsManager()
manager.createUser(users.username("user1").password("password").roles("USER", "VIEW_BALANCE").build())
manager.createUser(users.username("user2").password("password").roles("USER").build())
manager.createUser(users.username("admin").password("password").roles("ADMIN").build())
return manager
}
@Bean
@Order(1) (2)
open fun approvalsSecurityFilterChain(http: HttpSecurity): SecurityFilterChain {
val approvalsPaths = arrayOf("/accounts/approvals/**", "/loans/approvals/**", "/credit-cards/approvals/**")
http {
securityMatcher(approvalsPaths)
authorizeHttpRequests {
authorize(anyRequest, hasRole("ADMIN"))
}
httpBasic { }
}
return http.build()
}
@Bean
@Order(2) (3)
open fun bankingSecurityFilterChain(http: HttpSecurity): SecurityFilterChain {
val bankingPaths = arrayOf("/accounts/**", "/loans/**", "/credit-cards/**", "/balances/**")
val viewBalancePaths = arrayOf("/balances/**")
http {
securityMatcher(bankingPaths)
authorizeHttpRequests {
authorize(viewBalancePaths, hasRole("VIEW_BALANCE"))
authorize(anyRequest, hasRole("USER"))
}
}
return http.build()
}
@Bean (4)
open fun defaultSecurityFilterChain(http: HttpSecurity): SecurityFilterChain {
val allowedPaths = arrayOf("/", "/user-login", "/user-logout", "/notices", "/contact", "/register")
http {
authorizeHttpRequests {
authorize(allowedPaths, permitAll)
authorize(anyRequest, authenticated)
}
formLogin {
loginPage = "/user-login"
loginProcessingUrl = "/user-login"
}
logout {
logoutUrl = "/user-logout"
logoutSuccessUrl = "/?logout"
}
}
return http.build()
}
}| 1 | 首先配置身份验证设置。 |
| 2 | 使用 定义实例 ,这意味着此过滤器链将具有最高优先级。
此筛选条件链仅适用于以 、 或 开头的请求。
对此过滤器链的请求需要权限并允许 HTTP 基本身份验证。SecurityFilterChain@Order(1)/accounts/approvals//loans/approvals//credit-cards/approvals/ROLE_ADMIN |
| 3 | 接下来,创建另一个实例,该实例将被视为第二个实例。
此筛选条件链仅适用于以 、 、 或 开头的请求。
请注意,由于此筛选条件链是第二个筛选条件链,因此任何包含的请求都将与前一个筛选条件链匹配,并且不会与此筛选条件链匹配。
对此筛选条件链的请求需要 authority。
此过滤器链未定义任何身份验证,因为下一个(默认)过滤器链包含该配置。SecurityFilterChain@Order(2)/accounts//loans//credit-cards//balances//approvals/ROLE_USER |
| 4 | 最后,创建一个不带注释的附加实例。
此配置将处理其他过滤器链未涵盖的请求,并将最后处理(没有默认值为最后)。
匹配 、 和 的请求允许无需身份验证即可访问。
任何其他请求都要求用户进行身份验证才能访问其他筛选条件链未明确允许或保护的任何 URL。SecurityFilterChain@Order@Order//user-login/user-logout/notices/contact/register |