作者:清茶淡粥醬
鏈接:https://juejin.cn/post/7026734817853210661
Spring Security簡介
Spring Security 是一種高度自定義的安全框架,利用(基于)SpringIOC/DI和AOP功能,為系統提供了宣告式安全訪問控制功能,減少了為系統安全而撰寫大量重復代碼的作業,
核心功能:認證和授權
Spring Security 認證流程
Spring Security 專案搭建
匯入依賴
Spring Security已經被Spring boot進行集成,使用時直接引入啟動器即可
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
Spring Boot 基礎就不介紹了,推薦下這個實戰教程:
https://github.com/javastacks/spring-boot-best-practice
訪問頁面
匯入spring-boot-starter-security啟動器后,Spring Security已經生效,默認攔截全部請求,如果用戶沒有登錄,跳轉到內置登錄頁面,
在瀏覽器輸入:http://localhost:8080/ 進入Spring Security內置登錄頁面
用戶名: user
密碼:專案啟動,列印在控制臺中
自定義用戶名和密碼
修改application.yml 檔案
# 靜態用戶,一般只在內部網路認證中使用,如:內部服務器1,訪問服務器2
spring:
security:
user:
name: test # 通過組態檔,設定靜態用戶名
password: test # 組態檔,設定靜態登錄密碼
UserDetailsService詳解
什么也沒有配置的時候,賬號和密碼是由Spring Security定義生成的,而在實際專案中賬號和密碼都是從資料庫中查詢出來的, 所以我們要通過自定義邏輯控制認證邏輯,如果需要自定義邏輯時,只需要實作UserDetailsService介面
@Component
public class UserSecurity implements UserDetailsService {
@Autowired
private UserService userService;
@Override
public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
User user = userService.login(userName);
System.out.println(user);
if (null==user){
throw new UsernameNotFoundException("用戶名錯誤");
}
org.springframework.security.core.userdetails.User result =
new org.springframework.security.core.userdetails.User(
userName,user.getPassword(), AuthorityUtils.createAuthorityList()
);
return result;
}
}
推薦一個 Spring Boot 基礎教程:
https://github.com/javastacks/spring-boot-best-practice
PasswordEncoder密碼決議器詳解
PasswordEncoder
PasswordEncoder 是SpringSecurity 的密碼決議器,用戶密碼校驗、加密 , 自定義登錄邏輯時要求必須給容器注入PaswordEncoder的bean物件
SpringSecurity 定義了很多實作介面PasswordEncoder 滿足我們密碼加密、密碼校驗 使用需求
自定義密碼決議器
- 撰寫類,實作PasswordEncoder 介面
/**
* 憑證匹配器,用于做認證流程的憑證校驗使用的型別
* 其中有2個核心方法
* 1. encode - 把明文密碼,加密成密文密碼
* 2. matches - 校驗明文和密文是否匹配
* */
public class MyMD5PasswordEncoder implements PasswordEncoder {
/**
* 加密
* @param charSequence 明文字串
* @return
*/
@Override
public String encode(CharSequence charSequence) {
try {
MessageDigest digest = MessageDigest.getInstance("MD5");
return toHexString(digest.digest(charSequence.toString().getBytes()));
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
return "";
}
}
/**
* 密碼校驗
* @param charSequence 明文,頁面收集密碼
* @param s 密文 ,資料庫中存放密碼
* @return
*/
@Override
public boolean matches(CharSequence charSequence, String s) {
return s.equals(encode(charSequence));
}
/**
* @param tmp 轉16進制位元組陣列
* @return 飯回16進制字串
*/
private String toHexString(byte [] tmp){
StringBuilder builder = new StringBuilder();
for (byte b :tmp){
String s = Integer.toHexString(b & 0xFF);
if (s.length()==1){
builder.append("0");
}
builder.append(s);
}
return builder.toString();
}
}
2.在配置類中指定自定義密碼憑證匹配器
/**
* 加密
* @return 加密物件
* 如需使用自定義密碼憑證匹配器 回傳自定義加密物件
* 例如: return new MD5PasswordEncoder();
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(); //Spring Security 自帶
}
登錄配置
方式一 轉發
http.formLogin()
.usernameParameter("name") // 設定請求引數中,用戶名引數名稱, 默認username
.passwordParameter("pswd") // 設定請求引數中,密碼引數名稱, 默認password
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什么? 默認 /login
.loginProcessingUrl("/login") // 用戶登錄邏輯請求地址是什么, 默認是 /login
.failureForwardUrl("/failure"); // 登錄失敗后,請求轉發的位置,Security請求轉發使用Post請求,默認轉發到: loginPage?error
.successForwardUrl("/toMain"); // 用戶登錄成功后,請求轉發到的位置,Security請求轉發使用POST請求,
方式二 :重定向
http.formLogin()
.usernameParameter("name") // 設定請求引數中,用戶名引數名稱, 默認username
.passwordParameter("pswd") // 設定請求引數中,密碼引數名稱, 默認password
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什么? 默認 /login
.loginProcessingUrl("/login") // 用戶登錄邏輯請求地址是什么, 默認是 /login
.defaultSuccessUrl("/toMain",true); //用戶登錄成功后,回應重定向到的位置, GET請求,必須配置絕對地址,
.failureUrl("/failure"); // 登錄失敗后,重定向的位置,
方式三:自定義登錄處理器
自定義登錄失敗邏輯處理器
/*自定義登錄失敗處理器*/
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
private String url;
private boolean isRedirect;
public MyAuthenticationFailureHandler(String url, boolean isRedirect) {
this.url = url;
this.isRedirect = isRedirect;
}
@Override
public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
if (isRedirect){
httpServletResponse.sendRedirect(url);
}else {
httpServletRequest.getRequestDispatcher(url).forward(httpServletRequest,httpServletResponse);
}
}
//get set 方法 省略
自定義登錄成功邏輯處理器
/**
* 自定義登錄成功后處理器
* 轉發重定向,有代碼邏輯實作
* */
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
private String url;
private boolean isRedirect;
public MyAuthenticationSuccessHandler(String url, boolean isRedirect) {
this.url = url;
this.isRedirect = isRedirect;
}
/**
* @param request 請求物件 request.getRequestDispatcher.forward()
* @param response 回應物件 response.sendRedirect()
* @param authentication 用戶認證成功后的物件,其中報換用戶名權限結合,內容是
* 自定義UserDetailsService
* */
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
if (isRedirect){
response.sendRedirect(url);
}else {
request.getRequestDispatcher(url).forward(request,response);
}
}
//get set 方法 省略
http.formLogin()
.usernameParameter("name") // 設定請求引數中,用戶名引數名稱, 默認username
.passwordParameter("pswd") // 設定請求引數中,密碼引數名稱, 默認password
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什么? 默認 /login
.loginProcessingUrl("/login") // 用戶登錄邏輯請求地址是什么, 默認是 /login
登錄相關配置類
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserSecurity userSecurity;
@Autowired
private PersistentTokenRepository persistentTokenRepository;
/**
* 加密
* @return 加密物件
* 如需使用自定義加密邏輯 回傳自定義加密物件
* return new MD5PasswordEncoder(); return new SimplePasswordEncoder();
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(); //Spring Security 自帶
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// 配置登錄請求相關內容,
http.formLogin()
.loginPage("/toLogin") // 當用戶未登錄的時候,跳轉的登錄頁面地址是什么? 默認 /login
.usernameParameter("name") // 設定請求引數中,用戶名引數名稱, 默認username
.passwordParameter("pswd") // 設定請求引數中,密碼引數名稱, 默認password
.loginProcessingUrl("/login") //設定登錄 提交表單資料訪問請求地址
.defaultSuccessUrl("/toMain")
.failureUrl("/toLogin");
//.successForwardUrl("/toMain")
//.failureForwardUrl("/toLogin");
//.successHandler(new LoginSuccessHandler("/toMain", true)) //自定義登錄成功處理器
//.failureHandler(new LoginErrorHandler("/toLogin", true));
http.authorizeRequests()
//.antMatchers("/toLogin").anonymous() //只能匿名用戶訪問
.antMatchers("/toLogin", "/register", "/login", "/favicon.ico").permitAll() // /toLogin請求地址,可以隨便訪問,
.antMatchers("/**/*.js").permitAll() // 授予所有目錄下的所有.js檔案可訪問權限
.regexMatchers(".*[.]css").permitAll() // 授予所有目錄下的所有.css檔案可訪問權限
.anyRequest().authenticated(); // 任意的請求,都必須認證后才能訪問,
// 配置退出登錄
http.logout()
.invalidateHttpSession(true) // 回收HttpSession物件,退出之前呼叫HttpSession.invalidate() 默認 true
.clearAuthentication(true) // 退出之前,清空Security記錄的用戶登錄標記, 默認 true
// .addLogoutHandler() // 增加退出處理器,
.logoutSuccessUrl("/") // 配置退出后,進入的請求地址, 默認是loginPage?logout
.logoutUrl("/logout"); // 配置退出登錄的路徑地址,和頁面請求地址一致即可,
// 關閉CSRF安全協議,
// 關閉是為了保證完整流程的可用,
http.csrf().disable();
}
@Bean
public PersistentTokenRepository persistentTokenRepository(DataSource dataSource){
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
//jdbcTokenRepository.setCreateTableOnStartup(true);
return jdbcTokenRepository;
}
}
角色權限
hasAuthority(String) 判斷角色是否具有特定權限
http.authorizeRequests().antMatchers("/main1.html").hasAuthority("admin")
hasAnyAuthority(String ...) 如果用戶具備給定權限中某一個,就允許訪問
http.authorizeRequests().antMatchers("/admin/read").hasAnyAuthority("xxx","xxx")
hasRole(String) 如果用戶具備給定角色就允許訪問,否則出現403
//請求地址為/admin/read的請求,必須登錄用戶擁有'管理員'角色才可訪問
http.authorizeRequests().antMatchers("/admin/read").hasRole("管理員")
hasAnyRole(String ...) 如果用戶具備給定角色的任意一個,就允許被訪問
//用戶擁有角色是管理員 或 訪客 可以訪問 /guest/read
http.authorizeRequests().antMatchers("/guest/read").hasAnyRole("管理員", "訪客")
hasIpAddress(String) 請求是指定的IP就運行訪問
//ip 是127.0.0.1 的請求 可以訪問/ip
http.authorizeRequests().antMatchers("/ip").hasIpAddress("127.0.0.1")
403 權限不足頁面處理
1.撰寫類實作介面AccessDeniedHandler
/**
* @describe 403 權限不足
* @author: AnyWhere
* @date 2021/4/18 20:57
*/
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e)
throws IOException, ServletException {
response.setStatus(HttpServletResponse.SC_OK);
response.setContentType("text/html;charset=UTF-8");
response.getWriter().write(
"<html>" +
"<body>" +
"<div style='width:800px;text-align:center;margin:auto;font-size:24px'>" +
"權限不足,請聯系管理員" +
"</div>" +
"</body>" +
"</html>"
);
response.getWriter().flush();//重繪緩沖區
}
}
2.配置類中配置exceptionHandling
// 配置403訪問錯誤處理器,
http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);/
RememberMe(記住我)
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
//配置記住密碼
http.rememberMe()
.rememberMeParameter("remember-me") // 修改請求引數名, 默認是remember-me
.tokenValiditySeconds(14*24*60*60) // 設定記住我有效時間,單位是秒,默認是14天
.rememberMeCookieName("remember-me") // 修改remember me的cookie名稱,默認是remember-me
.tokenRepository(persistentTokenRepository) // 配置用戶登錄標記的持久化工具物件,
.userDetailsService(userSecurity); // 配置自定義的UserDetailsService介面實作類物件
}
@Bean
public PersistentTokenRepository persistentTokenRepository(DataSource dataSource){
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
//jdbcTokenRepository.setCreateTableOnStartup(true);
return jdbcTokenRepository;
}
}
Spring Security 注解
@Secured
角色校驗 ,請求到來訪問控制單元方法時必須包含XX角色才能訪問
角色必須添加ROLE_前綴
@Secured({"ROLE_管理員","ROLE_訪客"})
@RequestMapping("/toMain")
public String toMain(){
return "main";
}
使用注解@Secured需要在配置類中添加注解 使@Secured注解生效
@EnableGlobalMethodSecurity(securedEnabled = true)
@PreAuthorize
權限檢驗,請求到來訪問控制單元之前必須包含xx權限才能訪問,控制單元方法執行前進行角色校驗
/**
* [ROLE_管理員, admin:read, admin:write, all:login, all:logout, all:error, all:toMain]
* @PreAuthorize 角色 、權限 校驗 方法執行前進行角色校驗
*
* hasAnyAuthority()
* hasAuthority()
*
* hasPermission()
*
*
* hasRole()
* hasAnyRole()
* */
@PreAuthorize("hasAnyRole('ROLE_管理員','ROLE_訪客')")
@RequestMapping("/toMain")
@PreAuthorize("hasAuthority('admin:write')")
public String toMain(){
return "main";
}
使用@PreAuthorize和@PostAuthorize 需要在配置類中配置注解@EnableGlobalMethodSecurity 才能生效
@EnableGlobalMethodSecurity(prePostEnabled = true)
@PostAuthorize
權限檢驗,請求到來訪問控制單元之后必須包含xx權限才能訪問 ,控制單元方法執行完后進行角色校驗
/**
* [ROLE_管理員, admin:read, admin:write, all:login, all:logout, all:error, all:toMain]
* @PostAuthorize 角色 、權限 校驗 方法執行后進行角色校驗
*
* hasAnyAuthority()
* hasAuthority()
* hasPermission()
* hasRole()
* hasAnyRole()
* */
@PostAuthorize("hasRole('ROLE_管理員')")
@RequestMapping("/toMain")
@PreAuthorize("hasAuthority('admin:write')")
public String toMain(){
return "main";
}
Spring Security 整合Thymeleaf 進行權限校驗
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
Spring Security中CSRF
什么是CSRF?
CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack” 或者Session Riding,通過偽造用戶請求訪問受信任站點的非法請求訪問,
跨域:只要網路協議,ip地址,埠中任何一個不相同就是跨域請求,
客戶端與服務進行互動時,由于http協議本身是無狀態協議,所以引入了cookie進行記錄客戶端身份,在cookie中會存放session id用來識別客戶端身份的,在跨域的情況下,session id可能被第三方惡意劫持,通過這個session id向服務端發起請求時,服務端會認為這個請求是合法的,可能發生很多意想不到的事情,
通俗解釋:
CSRF就是別的網站非法獲取我們網站Cookie值,我們專案服務器是無法區分到底是不是我們的客戶端,只有請求中有Cookie,認為是自己的客戶端,所以這個時候就出現了CSRF,
近期熱文推薦:
1.1,000+ 道 Java面試題及答案整理(2022最新版)
2.勁爆!Java 協程要來了,,,
3.Spring Boot 2.x 教程,太全了!
4.別再寫滿屏的爆爆爆炸類了,試試裝飾器模式,這才是優雅的方式!!
5.《Java開發手冊(嵩山版)》最新發布,速速下載!
覺得不錯,別忘了隨手點贊+轉發哦!
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/501306.html
標籤:Java
上一篇:面向物件ooDay8