Spring Security

Spring Security是Spring社区的一个顶级项目,也是Spring Boot官方推荐使用的Security框架。除了常规的Authentication和Authorization之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。虽然功能强大,Spring Security的配置并不算复杂(得益于官方详尽的文档),尤其在3.2版本加入Java Configuration的支持之后,可以彻底告别令不少初学者望而却步的XML Configuration。在使用层面,Spring Security提供了多种方式进行业务集成,包括注解,Servlet API,JSP Tag,系统API等。下面就结合一些示例代码介绍Boot应用中集成Spring Security的几个关键点。

1 核心概念

Principle(User), Authority(Role)和Permission是Spring Security的3个核心概念。跟通常理解上Role和Permission之间一对多的关系不同,在Spring Security中,Authority和Permission是两个完全独立的概念,两者并没有必然的联系,但可以通过配置进行关联。

2 基础配置

首先在项目的pom.xml中引入spring-boot-starter-security依赖。

  1. <dependency>
  2. <groupId>org.springframework.boot</groupId>
  3. <artifactId>spring-boot-starter-security</artifactId>
  4. </dependency>

和其余Spring框架一样,XML Configuration和Java Configuration是Spring Security的两种常用配置方式。Spring 3.2版本之后,Java Configuration因其流式API支持,强类型校验等特性,逐渐替代XML Configuration成为更广泛的配置方式。下面是一个示例Java Configuration。

  1. @Configuration
  2. @EnableWebSecurity
  3. @EnableGlobalMethodSecurity(prePostEnabled = true)
  4. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  5. @Autowired
  6. MyUserDetailsService detailsService;
  7. @Override
  8. protected void configure(HttpSecurity http) throws Exception {
  9. http.authorizeRequests()
  10. .and().formLogin().loginPage("/login").permitAll().defaultSuccessUrl("/", true)
  11. .and().logout().logoutUrl("/logout")
  12. .and().sessionManagement().maximumSessions(1).expiredUrl("/expired")
  13. .and()
  14. .and().exceptionHandling().accessDeniedPage("/accessDenied");
  15. }
  16. @Override
  17. public void configure(WebSecurity web) throws Exception {
  18. web.ignoring().antMatchers("/js/**", "/css/**", "/images/**", "/**/favicon.ico");
  19. }
  20. @Override
  21. public void configure(AuthenticationManagerBuilder auth) throws Exception {
  22. auth.userDetailsService(detailsService).passwordEncoder(new BCryptPasswordEncoder());
  23. }
  24. }
  • @EnableWebSecurity: 禁用Boot的默认Security配置,配合@Configuration启用自定义配置(需要扩展WebSecurityConfigurerAdapter)
  • @EnableGlobalMethodSecurity(prePostEnabled = true): 启用Security注解,例如最常用的@PreAuthorize
  • configure(HttpSecurity): Request层面的配置,对应XML Configuration中的<http>元素
  • configure(WebSecurity): Web层面的配置,一般用来配置无需安全检查的路径
  • configure(AuthenticationManagerBuilder): 身份验证配置,用于注入自定义身份验证Bean和密码校验规则
3 扩展配置

完成基础配置之后,下一步就是实现自己的UserDetailsService和PermissionEvaluator,分别用于自定义Principle, Authority和Permission。

  1. @Component
  2. public class MyUserDetailsService implements UserDetailsService {
  3. @Autowired
  4. private LoginService loginService;
  5. @Autowired
  6. private RoleService roleService;
  7. @Override
  8. public UserDetails loadUserByUsername(String username) {
  9. if (StringUtils.isBlank(username)) {
  10. throw new UsernameNotFoundException("用户名为空");
  11. }
  12. Login login = loginService.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("用户不存在"));
  13. Set<GrantedAuthority> authorities = new HashSet<>();
  14. roleService.getRoles(login.getId()).forEach(r -> authorities.add(new SimpleGrantedAuthority(r.getName())));
  15. return new org.springframework.security.core.userdetails.User(
  16. username, login.getPassword(),
  17. true,//是否可用
  18. true,//是否过期
  19. true,//证书不过期为true
  20. true,//账户未锁定为true
  21. authorities);
  22. }
  23. }

创建GrantedAuthority对象时,一般名称加上ROLE_前缀。

  1. @Component
  2. public class MyPermissionEvaluator implements PermissionEvaluator {
  3. @Autowired
  4. private LoginService loginService;
  5. @Autowired
  6. private RoleService roleService;
  7. @Override
  8. public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
  9. String username = authentication.getName();
  10. Login login = loginService.findByUsername(username).get();
  11. return roleService.authorized(login.getId(), targetDomainObject.toString(), permission.toString());
  12. }
  13. @Override
  14. public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
  15. // not supported
  16. return false;
  17. }
  18. }
  • hasPermission(Authentication, Object, Object)和hasPermission(Authentication, Serializable, String, Object)两个方法分别对应Spring Security中两个同名的表达式。
4 业务集成

Spring Security提供了注解,Servlet API,JSP Tag,系统API等多种方式进行集成,最常用的是第一种方式,包含@Secured, @PreAuthorize, @PreFilter, @PostAuthorize和@PostFilter五个注解。@Secure是最初版本中的一个注解,自3.0版本引入了支持Spring EL表达式的其余四个注解之后,就很少使用了。

  1. @RequestMapping(value = "/hello", method = RequestMethod.GET)
  2. @PreAuthorize("authenticated and hasPermission(‘hello‘, ‘view‘)")
  3. public String hello(Model model) {
  4. String username = SecurityContextHolder.getContext().getAuthentication().getName();
  5. model.addAttribute("message", username);
  6. return "hello";
  7. }
  • @PreAuthorize("authenticated and hasPermission(‘hello‘, ‘view‘)"): 表示只有当前已登录的并且拥有("hello", "view")权限的用户才能访问此页面
  • SecurityContextHolder.getContext().getAuthentication().getName(): 获取当前登录的用户,也可以通过HttpServletRequest.getRemoteUser()获取

总结

以上就是Spring Security的一般集成步骤,更多细节和高级特性可参考官方文档。

参考

http://emacoo.cn/blog/spring-boot-security