Spring Security 学习总结

时间:2022-10-10 01:34:16

  Spring Security

  Spring Security是基于Spring提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,能够在Web请求级别和方法调用级别处理身份认证和授权。

  Spring Security从两个角度来解决安全性问题:

  1. 使用Servlet规范中的Filter保护Web请求并限制URL级别的访问;
  2. 使用Spring AOP保护方法调用——借助于动态代理和使用通知,确保只有具备适当权限的用户才能访问安全保护的方法。

  Spring Security被分为了11个模块:

模块 描述
ACL(access control list) 支持通过访问控制列表(ACL)为域对象提供安全性
切面(Aspects) 当使用Spring Security注解时,会使用基于AspectJ的切面,而非标准的AOP
CAS(Central Authentication Service)客户端 提供与Jasig的中心认证服务(CAS)进行集成的功能
配置(Configuratiion)* 包含通过XML和Java配置Spring Security的功能支持
核心(Core)      * 提供Spring Security基本库
加密(Cryptography) 提供了加密和密码编码的功能
LDAP 支持基于LDAP进行认证
OpenID 支持使用OpenID进行集中式认证
Remoting 提供了对Spring Remoting的支持
标签库(Tag Library) Spring Security的JSP标签库
Web 提供了Spring Security基于Filter的Web安全性支持

  过滤Web请求

  Spring Security基于DelegatingFilterProxy实现其安全性需要的过滤功能。DelegatingFilterProxy是一个特殊的Servlet Filter,主要将工作委托给一个javax.servlet.Filter实现类,实现类将作为一个bean注册在Spring应用的上下文中。

  Java配置方式,配置DelegatingFilterProxy:

public class SecurityWebInitializer extends
AbstractSecurityWebApplicationInitializer {}
  AbstractSecurityWebApplicationInitializer 实现了 WebApplicationInitializer ,因此将被Spring容器并注册 DelegatingFilterProxy。实现类可以重载抽象类中的appendFilters()或insertFilters()方法来注册自己选择的Filter,但如果只是注册DelegatingFilterProxy的话,不需要重载任何方法。
完成配置DelegatingFilterProxy后,它就会拦截发往应用中的请求,并将请求委托给ID为springSecurityFilterChain的Bean。
  springSecurityFilterChain本身是另一个特殊的Filter,也叫 FilterChainProxy。它可以链接任意一个或多个其他的Filter。Spring Security依赖一系列Servlet Filter来提供不同的安全特性。实际开发中,只需要显式声明springSecurityFilterChain以及它所链接的Filter即可。启动Web安全性时将自动创建。    

  简单的安全性配置--基于Java配置
 
@Configuration
@EnableWebSecurity // 启用Web安全性
public class SecurityConfig extends WebSecurityConfigurerAdapter { /**
* 简单的默认配置:指定该如何保护HTTP请求
* @param http
* @throws Exception
*/
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin().and()
.httpBasic();
} }

  @EnableWebSecurity注解将会启用Web安全功能,ps:Spring Security必须配置在一个实现了WebSecurityConfigurer的bean中,或者扩展 WebSecurityConfigurerAdapter 。

 具体的Web安全细节,将通过重写WebSecurityConfigurerAdapter 中的一个或多个方法来实现,如其中的三个configure()方法来配置Web安全性,具体通过传递的参数设置行为。
重写WebSecurityConfigurerAdapter的configure()方法
方法 描述
configure(WebSecurity) 通过重写,配置Spring Security的Filter链
configure(HttpSecurity) 通过重写,配置如何通过拦截器保护请求
configure(AuthenticationManagerBuilder) 通过重写,配置user-detail服务
  示例代码中进行了简单的默认配置,指定如何保护HTTP请求,以及客户端认证用户的方案。调用authorizeRequests()和anyRequest().authenticated()就会要求所有进入应用的HTTP请求都要进行认证。formLogin()和httpBasic()则配置了对表单登录和HTTP Basic方式的支持。
注意:因为没有重写configure(AuthenticationManagerBuilder)方法,所以没有用户存储支撑认证过程。进而所有的请求都要认证,且没人可成功登陆。
后续需要的配置如下:
  1. 配置用户存储
  2. 指定具体需要认证的请求及所需权限
  3. 提供自定义登陆页面
  4. 基于安全限制,设置选择性地在Web视图上显示特定的内容

user-detail服务 **

  优势:内置了多种常见的用户存储场景,如内存、关系型数据库以及LDAP,能够基于各种数据存储来认证用户。