Spring Security 最佳實踐
今天來一篇 Spring Security 精講,相信你看過之後能徹底搞懂 Spring Security。
Spring Security 簡介
Spring Security 是一種高度自定義的安全框架,利用(基於)SpringIOC/DI 和 AOP 功能,爲系統提供了聲明式安全訪問控制功能,「減少了爲系統安全而編寫大量重複代碼的工作」 。
「核心功能:認證和授權」
Spring Security 認證流程
Spring Security 項目搭建
導入依賴
Spring Security 已經被 Spring boot 進行集成,使用時直接引入啓動器即可
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>訪問頁面
導入 spring-boot-starter-security 啓動器後,Spring Security 已經生效,默認攔截全部請求,如果用戶沒有登錄,跳轉到內置登錄頁面。
在瀏覽器輸入:http://localhost:8080/ 進入 Spring Security 內置登錄頁面
用戶名:user。
密碼:項目啓動,打印在控制檯中。
自定義用戶名和密碼
修改 「application.yml」 文件
# 靜態用戶,一般只在內部網絡認證中使用,如:內部服務器1,訪問服務器2
spring:
security:
user:
name: test # 通過配置文件,設置靜態用戶名
password: test # 配置文件,設置靜態登錄密碼UserDetailsService 詳解
什麼也沒有配置的時候,賬號和密碼是由 Spring Security 定義生成的。而在實際項目中賬號和密碼都是從數據庫中查詢出來的。所以我們要通過 「自定義邏輯控制認證邏輯」 。如果需要自定義邏輯時,只需要實現 UserDetailsService 接口
@Component
public class UserSecurity implements UserDetailsService {
@Autowired
private UserService userService;
@Override
public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
User user = userService.login(userName);
System.out.println(user);
if (null==user){
throw new UsernameNotFoundException("用戶名錯誤");
}
org.springframework.security.core.userdetails.User result =
new org.springframework.security.core.userdetails.User(
userName,user.getPassword(), AuthorityUtils.createAuthorityList()
);
return result;
}
}PasswordEncoder 密碼解析器詳解
PasswordEncoder
「PasswordEncoder」 是 SpringSecurity 的密碼解析器,用戶密碼校驗、加密 。自定義登錄邏輯時要求必須給容器注入 PaswordEncoder 的 bean 對象
SpringSecurity 定義了很多實現接口 「PasswordEncoder」 滿足我們密碼加密、密碼校驗 使用需求。
PasswordEncoder 密碼解析器詳解
自定義密碼解析器
- 編寫類,實現 PasswordEncoder 接口
/**
* 憑證匹配器,用於做認證流程的憑證校驗使用的類型
* 其中有2個核心方法
* 1. encode - 把明文密碼,加密成密文密碼
* 2. matches - 校驗明文和密文是否匹配
* */
public class MyMD5PasswordEncoder implements PasswordEncoder {
/**
* 加密
* @param charSequence 明文字符串
* @return
*/
@Override
public String encode(CharSequence charSequence) {
try {
MessageDigest digest = MessageDigest.getInstance("MD5");
return toHexString(digest.digest(charSequence.toString().getBytes()));
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
return "";
}
}
/**
* 密碼校驗
* @param charSequence 明文,頁面收集密碼
* @param s 密文 ,數據庫中存放密碼
* @return
*/
@Override
public boolean matches(CharSequence charSequence, String s) {
return s.equals(encode(charSequence));
}
/**
* @param tmp 轉16進制字節數組
* @return 飯回16進制字符串
*/
private String toHexString(byte [] tmp){
StringBuilder builder = new StringBuilder();
for (byte b :tmp){
String s = Integer.toHexString(b & 0xFF);
if (s.length()==1){
builder.append("0");
}
builder.append(s);
}
return builder.toString();
}
}- 在配置類中指定自定義密碼憑證匹配器
/**
* 加密
* @return 加密對象
* 如需使用自定義密碼憑證匹配器 返回自定義加密對象
* 例如: return new MD5PasswordEncoder();
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(); //Spring Security 自帶
}登錄配置
方式一 轉發
http.formLogin()
.usernameParameter("name") // 設置請求參數中,用戶名參數名稱。 默認username
.passwordParameter("pswd") // 設置請求參數中,密碼參數名稱。 默認password
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什麼? 默認 /login
.loginProcessingUrl("/login") // 用戶登錄邏輯請求地址是什麼。 默認是 /login
.failureForwardUrl("/failure"); // 登錄失敗後,請求轉發的位置。Security請求轉發使用Post請求。默認轉發到:loginPage?error
.successForwardUrl("/toMain"); // 用戶登錄成功後,請求轉發到的位置。Security請求轉發使用POST請求。方式二 :重定向
http.formLogin()
.usernameParameter("name") // 設置請求參數中,用戶名參數名稱。 默認username
.passwordParameter("pswd") // 設置請求參數中,密碼參數名稱。 默認password
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什麼? 默認 /login
.loginProcessingUrl("/login") // 用戶登錄邏輯請求地址是什麼。 默認是 /login
.defaultSuccessUrl("/toMain",true); //用戶登錄成功後,響應重定向到的位置。GET請求。必須配置絕對地址。
.failureUrl("/failure"); // 登錄失敗後,重定向的位置。方式三:自定義登錄處理器
自定義登錄失敗邏輯處理器
/*自定義登錄失敗處理器*/
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
private String url;
private boolean isRedirect;
public MyAuthenticationFailureHandler(String url, boolean isRedirect) {
this.url = url;
this.isRedirect = isRedirect;
}
@Override
public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
if (isRedirect){
httpServletResponse.sendRedirect(url);
}else {
httpServletRequest.getRequestDispatcher(url).forward(httpServletRequest,httpServletResponse);
}
}
//get set 方法 省略自定義登錄成功邏輯處理器
/**
* 自定義登錄成功後處理器
* 轉發重定向,有代碼邏輯實現
* */
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
private String url;
private boolean isRedirect;
public MyAuthenticationSuccessHandler(String url, boolean isRedirect) {
this.url = url;
this.isRedirect = isRedirect;
}
/**
* @param request 請求對象 request.getRequestDispatcher.forward()
* @param response 響應對象 response.sendRedirect()
* @param authentication 用戶認證成功後的對象。其中報換用戶名權限結合,內容是
* 自定義UserDetailsService
* */
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
if (isRedirect){
response.sendRedirect(url);
}else {
request.getRequestDispatcher(url).forward(request,response);
}
}
//get set 方法 省略
http.formLogin()
.usernameParameter("name") // 設置請求參數中,用戶名參數名稱。 默認username
.passwordParameter("pswd") // 設置請求參數中,密碼參數名稱。 默認password
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什麼? 默認 /login
.loginProcessingUrl("/login") // 用戶登錄邏輯請求地址是什麼。 默認是 /login登錄相關配置類
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserSecurity userSecurity;
@Autowired
private PersistentTokenRepository persistentTokenRepository;
/**
* 加密
* @return 加密對象
* 如需使用自定義加密邏輯 返回自定義加密對象
* return new MD5PasswordEncoder(); return new SimplePasswordEncoder();
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(); //Spring Security 自帶
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// 配置登錄請求相關內容。
http.formLogin()
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什麼? 默認 /login
.usernameParameter("name") // 設置請求參數中,用戶名參數名稱。 默認username
.passwordParameter("pswd") // 設置請求參數中,密碼參數名稱。 默認password
.loginProcessingUrl("/login") //設置登錄 提交表單數據訪問請求地址
.defaultSuccessUrl("/toMain")
.failureUrl("/toLogin");
//.successForwardUrl("/toMain")
//.failureForwardUrl("/toLogin");
//.successHandler(new LoginSuccessHandler("/toMain", true)) //自定義登錄成功處理器
//.failureHandler(new LoginErrorHandler("/toLogin", true));
http.authorizeRequests()
//.antMatchers("/toLogin").anonymous() //只能匿名用戶訪問
.antMatchers("/toLogin", "/register", "/login", "/favicon.ico").permitAll() // /toLogin請求地址,可以隨便訪問。
.antMatchers("/**/*.js").permitAll() // 授予所有目錄下的所有.js文件可訪問權限
.regexMatchers(".*[.]css").permitAll() // 授予所有目錄下的所有.css文件可訪問權限
.anyRequest().authenticated(); // 任意的請求,都必須認證後才能訪問。
// 配置退出登錄
http.logout()
.invalidateHttpSession(true) // 回收HttpSession對象。退出之前調用HttpSession.invalidate() 默認 true
.clearAuthentication(true) // 退出之前,清空Security記錄的用戶登錄標記。 默認 true
// .addLogoutHandler() // 增加退出處理器。
.logoutSuccessUrl("/") // 配置退出後,進入的請求地址。 默認是loginPage?logout
.logoutUrl("/logout"); // 配置退出登錄的路徑地址。和頁面請求地址一致即可。
// 關閉CSRF安全協議。
// 關閉是爲了保證完整流程的可用。
http.csrf().disable();
}
@Bean
public PersistentTokenRepository persistentTokenRepository(DataSource dataSource){
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
//jdbcTokenRepository.setCreateTableOnStartup(true);
return jdbcTokenRepository;
}
}角色權限
「hasAuthority(String)」 判斷角色是否具有特定權限
http.authorizeRequests().antMatchers("/main1.html").hasAuthority("admin")「hasAnyAuthority(String ...)」 如果用戶具備給定權限中某一個,就允許訪問
http.authorizeRequests().antMatchers("/admin/read").hasAnyAuthority("xxx","xxx")「hasRole(String)」 如果用戶具備給定角色就允許訪問。否則出現 403
//請求地址爲/admin/read的請求,必須登錄用戶擁有'管理員'角色纔可訪問
http.authorizeRequests().antMatchers("/admin/read").hasRole("管理員")「hasAnyRole(String ...)」 如果用戶具備給定角色的任意一個,就允許被訪問
//用戶擁有角色是管理員 或 訪客 可以訪問 /guest/read
http.authorizeRequests().antMatchers("/guest/read").hasAnyRole("管理員", "訪客")「hasIpAddress(String)」 請求是指定的 IP 就運行訪問
//ip 是127.0.0.1 的請求 可以訪問/ip
http.authorizeRequests().antMatchers("/ip").hasIpAddress("127.0.0.1")403 權限不足頁面處理
- 編寫類實現接口 「AccessDeniedHandler」
/**
* @describe 403 權限不足
* @author: AnyWhere
* @date 2021/4/18 20:57
*/
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e)
throws IOException, ServletException {
response.setStatus(HttpServletResponse.SC_OK);
response.setContentType("text/html;charset=UTF-8");
response.getWriter().write(
"<html>" +
"<body>" +
"<div style='width:800px;text-align:center;margin:auto;font-size:24px'>" +
"權限不足,請聯繫管理員" +
"</div>" +
"</body>" +
"</html>"
);
response.getWriter().flush();//刷新緩衝區
}
}- 配置類中配置 exceptionHandling
// 配置403訪問錯誤處理器。
http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);/RememberMe(記住我)
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
//配置記住密碼
http.rememberMe()
.rememberMeParameter("remember-me") // 修改請求參數名。 默認是remember-me
.tokenValiditySeconds(14*24*60*60) // 設置記住我有效時間。單位是秒。默認是14天
.rememberMeCookieName("remember-me") // 修改remember me的cookie名稱。默認是remember-me
.tokenRepository(persistentTokenRepository) // 配置用戶登錄標記的持久化工具對象。
.userDetailsService(userSecurity); // 配置自定義的UserDetailsService接口實現類對象
}
@Bean
public PersistentTokenRepository persistentTokenRepository(DataSource dataSource){
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
//jdbcTokenRepository.setCreateTableOnStartup(true);
return jdbcTokenRepository;
}
}Spring Security 註解
@Secured
角色校驗 , 請求到來訪問控制單元方法時必須包含 XX 角色才能訪問
角色必須添加 ROLE_前綴
@Secured({"ROLE_管理員","ROLE_訪客"})
@RequestMapping("/toMain")
public String toMain(){
return "main";
}使用註解 @Secured 需要在配置類中添加註解 使 @Secured 註解生效
@EnableGlobalMethodSecurity(securedEnabled = true)@PreAuthorize
權限檢驗, 請求到來訪問控制單元之前必須包含 xx 權限才能訪問,控制單元方法執行前進行角色校驗
/**
* [ROLE_管理員, admin:read, admin:write, all:login, all:logout, all:error, all:toMain]
* @PreAuthorize 角色 、權限 校驗 方法執行前進行角色校驗
*
* hasAnyAuthority()
* hasAuthority()
*
* hasPermission()
*
*
* hasRole()
* hasAnyRole()
* */
@PreAuthorize("hasAnyRole('ROLE_管理員','ROLE_訪客')")
@RequestMapping("/toMain")
@PreAuthorize("hasAuthority('admin:write')")
public String toMain(){
return "main";
}使用@PreAuthorize和@PostAuthorize 需要在配置類中配置註解 @EnableGlobalMethodSecurity 才能生效
@EnableGlobalMethodSecurity(prePostEnabled = true)@PostAuthorize
權限檢驗, 請求到來訪問控制單元之後必須包含 xx 權限才能訪問 ,控制單元方法執行完後進行角色校驗
/**
* [ROLE_管理員, admin:read, admin:write, all:login, all:logout, all:error, all:toMain]
* @PostAuthorize 角色 、權限 校驗 方法執行後進行角色校驗
*
* hasAnyAuthority()
* hasAuthority()
* hasPermission()
* hasRole()
* hasAnyRole()
* */
@PostAuthorize("hasRole('ROLE_管理員')")
@RequestMapping("/toMain")
@PreAuthorize("hasAuthority('admin:write')")
public String toMain(){
return "main";
}Spring Security 整合 Thymeleaf 進行權限校驗
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>Spring Security 中 CSRF
什麼是 CSRF?
CSRF(Cross-site request forgery)跨站請求僞造,也被稱爲 “One Click Attack” 或者 Session Riding。通過僞造用戶請求訪問受信任站點的非法請求訪問。
跨域:只要網絡協議,ip 地址,端口中任何一個不相同就是跨域請求。
客戶端與服務進行交互時,由於 http 協議本身是無狀態協議,所以引入了 cookie 進行記錄客戶端身份。在 cookie 中會存放 session id 用來識別客戶端身份的。在跨域的情況下,session id 可能被第三方惡意劫持,通過這個 session id 向服務端發起請求時,服務端會認爲這個請求是合法的,可能發生很多意想不到的事情。
通俗解釋:
CSRF 就是別的網站非法獲取我們網站 Cookie 值,我們項目服務器是無法區分到底是不是我們的客戶端,只有請求中有 Cookie,認爲是自己的客戶端,所以這個時候就出現了 CSRF。
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/iWc2FAeWQQZxHCzMrX0eGw