Spring Security—配置(Configuration)
目录
一、Java 配置
1、Hello Web Security Java 配置
2、AbstractSecurityWebApplicationInitializer
3、不使用 Spring 的 AbstractSecurityWebApplicationInitializer
4、使用 SpringMCV 的 AbstractSecurityWebApplicationInitializer
二、HttpSecurity
三、多个 HttpSecurity 实例
四、自定义 DSL
五、后处理配置对象
一、Java 配置
| 本站(springdoc.cn)中的内容来源于 spring.io ,原始版权归属于 spring.io。由 springdoc.cn 进行翻译,整理。可供个人学习、研究,未经许可,不得进行任何转载、商用或与之相关的行为。 商标声明:Spring 是 Pivotal Software, Inc. 在美国以及其他国家的商标。 |
在Spring 3.1中,Spring框架加入了对 Java configuration 的一般支持。Spring Security 3.2引入了Java配置,让用户无需使用任何XML就能配置Spring Security。
如果你熟悉 Security Namespace 配置,你应该会发现它与Spring Security Java配置之间有不少相似之处。
| Spring Security 提供了 大量的示例应用程序 来演示Spring Security Java配置的使用。 |
1、Hello Web Security Java 配置
第一步是创建我们的Spring Security Java配置。该配置创建了一个被称为 springSecurityFilterChain 的 Servlet 过滤器,它负责应用程序中的所有安全问题(保护应用程序的URL,验证提交的用户名和密码,重定向到登录表单,等等)。下面的例子显示了Spring Security Java配置的最基本例子。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.configuration.*;
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withDefaultPasswordEncoder().username("user").password("password").roles("USER").build());
return manager;
}
}这个配置并不复杂或广泛,但它做了很多事情。
- 要求对你的应用程序中的每个URL进行认证
- 为你生成一个登录表单(Form)
- 让用户使用 Username (user)和 Password(password)进行基于表单的身份验证。
- 让用户注销
- 防止 CSRF 攻击
- Session Fixation 保护
- Security Header 集成:
- HTTP Strict Transport Security 用于安全的请求
- X-Content-Type-Options 集成
- 缓存控制(你可以在以后的应用程序中覆盖它,以允许对你的静态资源进行缓存。)
- X-XSS-Protection 集成
- 集成 X-Frame-Options integration 防止 Clickjacking(点击劫持)
- 与以下Servlet API方法整合。
- HttpServletRequest#getRemoteUser()
- HttpServletRequest#getUserPrincipal()
- HttpServletRequest#isUserInRole(java.lang.String)
- HttpServletRequest#login(java.lang.String, java.lang.String)
- HttpServletRequest#logout()
2、AbstractSecurityWebApplicationInitializer
下一步是在WAR文件中注册 springSecurityFilterChain。你可以在Servlet 3.0以上的环境中通过 Spring的 WebApplicationInitializer 支持 在Java配置中完成。毫不奇怪,Spring Security提供了一个基类(AbstractSecurityWebApplicationInitializer)来确保 springSecurityFilterChain 为你注册。我们使用 AbstractSecurityWebApplicationInitializer 的方式有所不同,这取决于我们是否已经在使用Spring,或者Spring Security是否是我们应用中唯一的Spring组件。
- 不使用 Spring 的 AbstractSecurityWebApplicationInitializer - 如果你还没有使用Spring,请使用这些说明。
- 使用 SpringMCV 的 AbstractSecurityWebApplicationInitializer - 如果你已经在使用Spring,请使用这些说明。
3、不使用 Spring 的 AbstractSecurityWebApplicationInitializer
如果你没有使用 Spring 或 Spring MVC,你需要将 WebSecurityConfig 传递给超类(superclass)以确保配置被接收。
import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
public SecurityWebApplicationInitializer() {
super(WebSecurityConfig.class);
}
}SecurityWebApplicationInitializer:
- 为你应用程序中的每个URL自动注册 springSecurityFilterChain 过滤器。
- 添加一个 ContextLoaderListener,加载 WebSecurityConfig。
4、使用 SpringMCV 的 AbstractSecurityWebApplicationInitializer
如果我们在应用的其他地方使用Spring,我们可能已经有一个 WebApplicationInitializer,正在加载我们的Spring配置。如果我们使用之前的配置,我们会得到一个错误。相反,我们应该用现有的 ApplicationContext 注册Spring Security。例如,如果我们使用Spring MVC,我们的 SecurityWebApplicationInitializer 可能看起来像下面这样。
import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
}这只是为你应用程序中的每个URL注册 springSecurityFilterChain。之后,我们需要确保 WebSecurityConfig 被加载到我们现有的 ApplicationInitializer 中。例如,如果我们使用Spring MVC,它会被添加到 getRootConfigClasses() 中。
public class MvcWebApplicationInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { WebSecurityConfig.class };
}
// ... other overrides ...
}二、HttpSecurity
到目前为止,我们的 WebSecurityConfig 只包含了关于如何验证用户的信息。Spring Security 是如何知道我们要要求所有的用户都要进行身份验证的?Spring Security 如何知道我们要支持基于表单的认证?实际上,有一个配置类(称为 SecurityFilterChain )在幕后被调用。它被配置为以下的默认实现。
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeRequests(authorize -> authorize
.anyRequest().authenticated()
)
.formLogin(withDefaults())
.httpBasic(withDefaults());
return http.build();
}默认配置(如上例所示):
- 确保对我们的应用程序的任何请求都需要用户进行认证
- 让用户通过基于表单的登录进行认证
- 让用户用HTTP基本认证(HTTP Basic authentication)进行认证
请注意,这种配置与XML命名空间的配置是平行的。
<http>
<intercept-url pattern="/**" access="authenticated"/>
<form-login />
<http-basic />
</http>三、多个 HttpSecurity 实例
我们可以配置多个 HttpSecurity 实例,就像我们可以在XML中拥有多个 <http> 节点一样。关键是要注册多个 SecurityFilterChain @Bean。下面的例子对以 /api/ 开头的URL有不同的配置。
@Configuration
@EnableWebSecurity
public class MultiHttpSecurityConfig {
@Bean
public UserDetailsService userDetailsService() throws Exception {
// ensure the passwords are encoded properly
UserBuilder users = User.withDefaultPasswordEncoder();
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(users.username("user").password("password").roles("USER").build());
manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build());
return manager;
}
@Bean
@Order(1)
public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
http
.securityMatcher("/api/**")
.authorizeHttpRequests(authorize -> authorize
.anyRequest().hasRole("ADMIN")
)
.httpBasic(withDefaults());
return http.build();
}
@Bean
public SecurityFilterChain formLoginFilterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.formLogin(withDefaults());
return http.build();
}
}| 像往常一样配置认证。 |
| 创建一个 SecurityFilterChain 的实例,其中包含 @Order 以指定哪一个 SecurityFilterChain 应该被优先考虑。 |
| http.securityMatcher 指出,这个 HttpSecurity 只适用于以 /api/ 开头的URL。 |
| 创建另一个 SecurityFilterChain 的实例。如果URL不是以 /api/ 开头,就会使用这个配置。这个配置被认为在 apiFilterChain 之后,因为它的 @Order 值在 1 之后(没有 @Order 默认为最后)。 |
四、自定义 DSL
你可以在 Spring Security 中提供你自己的自定义DSL。
- Java
public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
private boolean flag;
@Override
public void init(HttpSecurity http) throws Exception {
// any method that adds another configurer
// must be done in the init method
http.csrf().disable();
}
@Override
public void configure(HttpSecurity http) throws Exception {
ApplicationContext context = http.getSharedObject(ApplicationContext.class);
// here we lookup from the ApplicationContext. You can also just create a new instance.
MyFilter myFilter = context.getBean(MyFilter.class);
myFilter.setFlag(flag);
http.addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter.class);
}
public MyCustomDsl flag(boolean value) {
this.flag = value;
return this;
}
public static MyCustomDsl customDsl() {
return new MyCustomDsl();
}
}| 这实际上是 HttpSecurity.authorizeRequests() 等方法的实现方式。 |
然后你可以使用自定义DSL。
- Java
@Configuration
@EnableWebSecurity
public class Config {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.with(MyCustomDsl.customDsl(), (dsl) -> dsl
.flag(true)
)
// ...
return http.build();
}
}该代码按以下顺序调用。
- Config.configure 方法中的代码被调用
- MyCustomDsl.init 方法中的代码被调用
- MyCustomDsl.configure 方法中的代码被调用
如果你愿意,你可以通过使用 SpringFactories 让 HttpSecurity 默认添加 MyCustomDsl。例如,你可以在classpath上创建一个名为 META-INF/spring.factories 的资源,内容如下。
META-INF/spring.factories
org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer = sample.MyCustomDsl你也可以明确地禁用默认值。
- Java
@Configuration
@EnableWebSecurity
public class Config {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.with(MyCustomDsl.customDsl(), (dsl) -> dsl
.disable()
)
...;
return http.build();
}
}五、后处理配置对象
Spring Security的Java配置并没有公开它所配置的每个对象的每个属性。这为大多数用户简化了配置。毕竟,如果每个属性都暴露出来,用户可以使用标准的bean配置。
虽然有很好的理由不直接暴露每个属性,但用户可能仍然需要更高级的配置选项。为了解决这个问题,Spring Security引入了 ObjectPostProcessor 的概念,它可以用来修改或替换许多由Java配置创建的 Object 实例。例如,为了配置 FilterSecurityInterceptor 上的 filterSecurityPublishAuthorizationSuccess 属性,你可以使用下面的方法。
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeRequests(authorize -> authorize
.anyRequest().authenticated()
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
public <O extends FilterSecurityInterceptor> O postProcess(
O fsi) {
fsi.setPublishAuthorizationSuccess(true);
return fsi;
}
})
);
return http.build();
}