51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

全新Spring Security安全管理配置使用详解

作者:Springboot实战案例锦集
开发 前端
如果配置了多个不同的SecurityFilterChain,而每个认证都使用相同的用户体系,那么我们可以定义AuthenticationProvider或者UserDetailsService 类型的Bean即可。

环境:SpringBoot2.7.12 + JDK21

1. 简介

Spring Security 是一个提供身份验证、授权和防护常见攻击的框架。它为确保命令式和反应式应用程序的安全提供一流的支持,是确保基于 Spring 的应用程序安全的事实标准。

Spring Scurity核心分为2大模块:

  1. 认证(Authentication):认证是建立一个他声明的主体的过程(一个主体一般是指用户、设备或一些可以在你的应用程序中执行的其他系统)。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
  2. 授权(Authorization):当身份认证通过后,去访问系统的资源,系统会判断用户是否拥有访问该资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。比如会员管理模块有增删改查功能,有的用户只能进行查询,而有的用户可以进行修改、删除。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

从Spring Security5.7开始之前的安全配置方式及Web授权处理方式发生了变化,接下来将详细介绍配置的变化。

2. 安全配置

2.1 配置方式

在5.7之前的版本自定义安全配置通过如下方式:

@Component
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  protected void configure(HttpSecurity http) throws Exception {
    // ...
  }
}

在5.7之后推荐如下配置方式

@Configuration
public class SecurityConfig {
  @Bean
  @Order(Ordered.HIGHEST_PRECEDENCE)
  SecurityFilterChain controllerFilterChain(HttpSecurity http) throws Exception {
    // ...
    return http.build() ;
  }
}

通过配置安全过滤器链的方式配置,具体内部的配置细节还都是围绕着HttpSecurity进行配置。

2.2 配置不同的过滤器链

在一个配置文件中我们可以非常方便的配置多个过滤器链,针对不同的请求进行拦截。

@Configuration
public class SecurityConfig {
  @Bean
  @Order(1)
  SecurityFilterChain controllerFilterChain(HttpSecurity http) {
    // 当前过滤器链只对/demos/**, /login, /logout进行拦截
    http.requestMatchers(matchers -> matchers.antMatchers("/demos/**", "/login", "/logout")) ;
    http.authorizeHttpRequests().antMatchers("/**").authenticated() ;
    http.formLogin(Customizer.withDefaults()) ;
    // ...
    return http.build() ;
  }
  @Bean
  @Order(2)
  SecurityFilterChain managementSecurityFilterChain(HttpSecurity http) throws Exception {
    // 该过滤器只会对/ac/**的请求进行拦截
    http.requestMatchers(matchers -> matchers.antMatchers("/ac/**")) ;
    // ...
    http.formLogin(Customizer.withDefaults());
    return http.build();
  }
}

以上配置了2个过滤器链,根据配置的@Order值,优先级分别:controllerFilterChain,managementSecurityFilterChain。当访问除上面指定的uri模式以为的请求都将自动放行。

2.3 用户验证配置

在5.7版本之前,我们通过如下配置配置内存用户

public class SecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
      .passwordEncoder(NoOpPasswordEncoder.getInstance())
      .withUser("admin")
      .password("123123")
      .authorities(Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN"))) ;
  }
}

5.7 只有由于推荐的是通过自定义SecurityFilterChain的方式,所以我们需要通过如下的方式进行配置:

@Configuration
public class SecurityConfig {
  @Bean
  @Order(0)
  SecurityFilterChain controllerFilterChain(HttpSecurity http) throws Exception {
    AuthenticationManagerBuilder builder = http.getSharedObject(AuthenticationManagerBuilder.class) ;
    builder.inMemoryAuthentication()
      .passwordEncoder(NoOpPasswordEncoder.getInstance())
      .withUser("admin")
      .password("123123")
      .authorities(Arrays.asList(new SimpleGrantedAuthority("ROLE_ADMIN"))) ;
    // ...
  }
}

2.4 授权方式

在5.7之后推荐配置认证授权的方式如下

@Bean
public SecurityFilterChain apiSecurityFilterChain(HttpSecurity http) throws Exception {
  http.authorizeHttpRequests().antMatchers("/users/**").hasAnyRole("ADMIN") ;
  // ...
  return http.build() ;
}

通过上面的authorizeHttpRequests方式进行授权配置,会向过滤器链中添加AuthorizationFilter过滤器。在该过滤器中会进行权限的验证。

2.5 自定义授权决策

如果需要对请求的uri进行更加精确的匹配验证,如:/users/{id},需要验证只有这里的id值为666才方向。

@Bean
public SecurityFilterChain apiSecurityFilterChain(HttpSecurity http) throws Exception {
  http.authorizeHttpRequests(registry -> {
    registry.antMatchers("/users/{id}").access(new AuthorizationManager<RequestAuthorizationContext>() {
      @Override
      public AuthorizationDecision check(Supplier<Authentication> authentication,
          RequestAuthorizationContext object)
        // 获取路径上的值信息,其中key=id,value=xxx
        Map<String, String> variables 
        // 这里的第一个参数是boolean,确定了授权是否通过
        return new AuthorityAuthorizationDecision(variables.get("id").equals("666"), Arrays.asList(new SimpleGrantedAuthority("D"))) ;
      }
    }) ;
  }) ;
}

2.6 全局认证

如果配置了多个不同的SecurityFilterChain,而每个认证都使用相同的用户体系,那么我们可以定义AuthenticationProvider或者UserDetailsService 类型的Bean即可。

@Bean
UserDetailsService userDetailsService() {
  return new UserDetailsService() {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      return null;
    }
  } ;
}
@Bean
AuthenticationProvider authenticationProvider() {
  return new AuthenticationProvider() {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
      return null;
    }
    @Override
    public boolean supports(Class<?> authentication) {
      return false;
    }
  } ;
}


以上是本篇文章的全部内容, 希望对你有所帮助。

完毕!!!

责任编辑:武晓燕 来源: Spring全家桶实战案例源码
Spring安全管理配置
相关推荐
Spring Security6 全新写法,大变样!
小伙伴们看到,在登录成功之后,开发者自己手动将数据存入到HttpSession中,这样就能确保下个请求到达的时候,能够从HttpSession中读取到有效的数据存入到SecurityContextHolder中了。

2023-06-30 12:55:48

新版 Spring Security 配置的变化
在SpringSecurity时代,这个类可太重要了。过期的类当然可以继续使用,但是你要是决定别扭,只需要稍微看一下注释,基本上就明白该怎么玩了。

2023-04-10 11:41:15

Spring Boot如何集成Security实现安全认证
前面介绍了SpringBoot使用JWT实现Token验证,其实SpringBoot有完整的安全认证框架:SpringSecurity。接下来我们介绍如何集成Security实现安全验证。

2021-12-28 11:13:05

安全认证 Spring Boot
安全新构想:数据中心安全管理
很多企业并未平衡地从这两个方面去考虑数据中心安全问题;而有些企业也没有达到最佳的服务器保护状态,因为他们往往认为服务器性能更为重要。我们需要认清现实,仅在服务器上执行病毒防护的企业总是寄望于网络主防护层来保证安全,但这限制了企业对有针对性、持续性久、渗透性强的病毒攻击时的防范能力。

2011-07-20 13:32:33

Spring Security 即将弃用配置类 WebSecurityConfigurerAdapter
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。

2022-02-22 14:07:07

框架配置类Spring
Web安全之Content Security Policy(CSP 内容安全策略)详解
CSP对于保护Web应用程序的安全非常重要,可以帮助减少很多XSS类攻击。需要注意的是,CSP只是一种安全策略,不能完全保证网站的安全性。因此,在使用CSP时,还需要结合其他安全措施,如使用HTTPS、防火墙等,进一步提高网站的安全性。

2023-04-13 07:52:59

Spring Security权限控制框架使用指南
本文给大家讲解了后管系统如何引入权限控制框架SpringSecurity3.0版本以及代码实战。

2024-02-18 12:44:22

Keycloak Spring Security适配器的常用配置
在SpringSecurity集成Keycloak适配器时需要引入一些额外的配置属性。一般我们会把它配置到SpringBoot的配置文件中。

2021-08-06 06:51:16

适配器配置Spring
Check Point推出Endpoint Security R72树立端点安全新标准
互联网安全保护领域首屈一指的CheckPoint软件技术有限公司宣布推出CheckPointEndpointSecurityR72&8482;,这是业界唯一专门为端点安全而设计的单一代理的最新版本。

2009-07-17 18:11:13

Spring Security 实战干货:Spring Security中的单元测试
今天组里的新人迷茫的问我:哥,SpringSecurity弄的我单元测试跑不起来,总是401,你看看咋解决。没问题,有写单元测试的觉悟,写的代码质量肯定有保证,对代码质量重视的态度,这种忙一定要帮!

2021-04-23 07:33:10

SpringSecurity单元
再见,Spring Security OAuth!!
本次将《SpringAuthorizationServer》项目正式上线,去掉了之前的体验状态,此举恰逢0.2.0版本发布,这也是第一个正式支持的生产就绪版本。

2021-08-29 18:36:57

项目
Spring Security过滤器就该这么配置
CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。

2022-02-16 23:58:41

Spring过滤器验证码
使用 Spring Security 资源服务器来保护 Spring Cloud 微服务
以SpringSecurity实战干货的DEMO为例子,原本它是一个单体应用,认证和授权都在一个应用中使用。改造为独立的服务后,原本的认证就要剥离出去(这个后续再讲如何实现),服务将只保留基于用户凭证(JWT)的访问控制功能。

2021-10-19 14:02:12

服务器SpringSecurity
详解无线路由安全配置
无线笔记本的使用也越来越普及,同时无线路由安全设置问题也就越来越凸现出来,怎样保护自己的网络安全性呢?这里就介绍一下。

2010-09-13 13:47:22

无线路由器
Spring Security配置机制早就变了,你发现了吗?
本篇东西非常重要,不是马上就能掌握的,需要有些耐心,需要在使用和学习中总结和发现。

2022-04-18 07:42:31

配置机制Spring
赛门铁克诺顿推出全新Norton Security解决方案
2016年10月28日,赛门铁克诺顿公司宣布推出全新NortonSecurity解决方案,为消费者提供更高的安全防护水平和性能。作为业界领先的消费级安全解决方案之一,NortonSecurity可以横跨Windows、Mac、Android和iOS等多个平台的订阅服务,为客户提供更为出色的安全防护。

2016-10-28 15:45:33

Endpoint Security安全终端测评
CheckPoint公司出品的EndpointSecurity软件安全访问版是针对Windows用户设计的用户安全服务全方位套装。这款套装产品包括反病毒软件,反间谍软件,桌面系统防火墙,NAC,程序控制和一个虚拟私人网络客户包。

2010-09-27 15:43:32

Spring Boot 2.x的默认日志管理与 Logback 配置详解
在SpringBoot生态中,为JavaUtilLogging、Log4J2和Logback这些常见的日志框架都提供了自动化配置组件,每种Logger都可以通过配置在控制台或者文件中输出日志内容。

2021-12-31 08:48:23

Logback日志管理
实例详解Spring JDBC事务管理
本文以JDBC事务为例,介绍Spring的事务管理。Spring提供编程式的事务管理与声明式的事务管理,提供提供了一致的编程模型。

2009-06-08 17:56:00

SpringJDBC事务
Spring事务管理详解
你还可以通过编程方式指示所需的回滚。尽管这个过程很简单,但它具有很强的侵入性,并将您的代码紧密地耦合到SpringFramework的事务基础设施。

2023-03-27 10:40:09

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服