Spring Security 入门教程：从基础概念到实战配置

Spring Security 入门教程：从基础概念到实战配置

引用

CSDN

1.

https://blog.csdn.net/dazhong2012/article/details/138047244

Spring Security是一个功能强大且易于使用的Java安全框架，主要用于保护基于Spring的应用程序的安全性。它提供了全面的安全解决方案，包括身份验证、授权、防止攻击等功能，并支持多种身份验证选项和授权策略。本文将从基础概念到具体实现，详细介绍如何使用Spring Security来增强应用程序的安全性。

一、简介

1. 什么是安全框架

在开发Web应用时，安全性是一个至关重要的方面。Java领域中，最常用的两个安全框架是Spring Security和Apache Shiro。一个完善的安全框架通常需要支持以下核心特性：

• 认证（Authentication）：验证用户的身份信息，如用户名和密码。
• 授权（Authorization）：验证用户的访问权限，对已认证用户进行访问控制。
• 加密：对重要信息进行加密处理，比如密码加密。
• 会话管理：对用户认证和会话信息进行存储管理。
• 防御攻击：对常见的网络攻击进行防御。

2. Spring Security 简介

Spring Security是一个Java框架，用于保护应用程序的安全性。它提供了一套全面的安全解决方案，包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念，可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略，开发人员可以根据需要选择适合的方式。此外，Spring Security还提供了一些附加功能，如集成第三方身份验证提供商和单点登录，以及会话管理和密码编码等。

认证和授权作为Spring Security安全框架的核心功能：

• 认证（Authentication）：验证当前访问系统用户是否是本系统用户，并且要确认具体是哪个用户。
• 授权（Authorization）：经过认证后判断当前用户是否具有权限进行某个操作。

3. Spring Security 底层过滤器

在Spring Security中，认证授权等功能都是基于过滤器实现的。以下是Spring Security中常见的过滤器：

• UsernamePasswordAuthenticationFilter：处理基于表单的登录请求。
• BasicAuthenticationFilter：处理HTTP基本认证。
• RememberMeAuthenticationFilter：处理“记住我”功能。
• AnonymousAuthenticationFilter：处理匿名用户。
• ExceptionTranslationFilter：处理安全异常。
• FilterSecurityInterceptor：执行访问控制。

二、Spring Security 集成

1. 引入 Maven 依赖

要使用Spring Security，首先需要在项目中引入相应的依赖。Spring Boot提供了spring-boot-starter-security启动器，可以简化依赖管理和自动配置。以下是核心依赖模块：

• spring-security-core：核心包，包含核心认证和访问权限功能类和接口、远程支持和基本配置API。
• spring-security-web：WEB框架集成包，包含过滤器和相关的web安全基础设置代码。
• spring-security-config：包含security命名空间解析代码和Java配置代码。

在pom.xml中添加以下依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

如果需要覆盖默认的Spring Security版本，可以在pom.xml中添加以下配置：

<properties>
    <!-- ... -->
    <spring-security.version>5.1.2.RELEASE</spring-security.version>
</properties>

2. WebSecurityConfig 配置

（1）HttpSecurity接口常用方法

HttpSecurity接口提供了多种方法来配置安全策略，以下是一些常用的方法：

1. antMatchers(String… antPatterns)：配置Ant风格的URL匹配规则，可以指定哪些URL需要进行安全约束。
2. requestMatchers(RequestMatcher… requestMatchers)：配置自定义的请求匹配规则，可以更加灵活地指定哪些URL需要进行安全约束。
3. sessionManagement()：配置会话管理相关的设置，例如会话创建策略、会话超时时间等。
4. csrf()：配置跨站请求伪造(CSRF)相关的设置，例如是否启用CSRF保护、是否禁用SameSite属性等。
5. httpBasic()：启用HTTP基本认证，可以配置基本认证的Realm名称、是否使用Preemptive认证等。
6. formLogin()：启用表单登录功能，可以配置表单登录时的登录页面、登录处理程序、登录失败处理器等。
7. logout()：配置登出功能，可以配置登出时的处理程序、是否注销用户会话等。
8. hasAnyRole(String… roles)：配置多个角色的访问权限，例如要求用户角色或管理员角色才能访问某些URL。
9. anonymous()：配置匿名用户的表示方法。默认情况下匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示。
10. rememberMe()：启用“记住我”功能，可以配置自定义的RememberMeAuthenticationProvider来提供“记住我”功能。
11. headers()：添加安全标头到响应中，例如设置CSP（内容安全策略）。
12. cors()：配置跨域资源共享相关的设置，例如是否允许跨域请求、允许哪些域名进行跨域等。
13. portMapper()：允许配置一个PortMapper，用于将HTTP请求的端口映射到特定的处理器或安全约束上。
14. jee()：配置基于容器的预认证，例如使用Servlet容器提供的认证机制。
15. openidLogin()：用于基于OpenID的认证，可以配置OpenID的服务端点、客户端ID和秘钥等。

（2）Spring Security WebSecurityConfig 示例

在Spring Boot 2.7.0版本之前，需要创建一个配置类继承WebSecurityConfigurerAdapter，并重写其中的方法进行配置。以下是示例代码：

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 配置安全约束，限制对特定 URL 的访问权限
            .antMatcher("/admin/**")
                .hasRole("ADMIN")
                .and()
            // 配置跨站请求伪造（CSRF）保护
            .csrf().disable()
            // 配置基本认证
            .httpBasic()
                .realmName("MyApp")
                .and()
            // 配置表单登录
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            // 配置登出功能
            .logout()
                .logoutUrl("/logout")
                .permitAll();
    }

    @Bean
    @Override
    public UserDetailsService userDetailsService() {
        // 配置用户详情服务，用于验证用户凭据并返回对应的用户信息
        return new JdbcUserDetailsService(dataSource);
    }

    @Bean
    @Override
    public RememberMeServices rememberMeServices() {
        // 配置“记住我”功能，使用数据库保存用户的登录状态信息
        return new JdbcRememberMeServices(dataSource);
    }
}

在Spring Boot 2.7.0版本之后，不再需要继承WebSecurityConfigurerAdapter，而是直接声明配置类，并配置一个生成SecurityFilterChain的方法。以下是更新后的示例代码：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

    /**
     * 授权
     * @param http
     * @return
     * @throws Exception
     */
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        //链式编程
        // 首页所有人都可以访问，功能也只有对应有权限的人才能访问到
        // 请求授权的规则
        return http
            .authorizeRequests()
            //首页所有人可以访问
            .antMatchers("/").permitAll()
            //特定权限访问页
            .antMatchers("/level1/**").hasRole("vip1")
            .antMatchers("/level2/**").hasRole("vip2")
            .antMatchers("/level3/**").hasRole("vip3")
            .and()
            //无权限默认跳转登录页
            .formLogin()
            .and()
            //注销，开启注销功能，跳转到首页
            .logout().logoutSuccessUrl("/")
            .and()
            .build();
    }

    /**
     * 认证
     * @return
     */
    @Bean
    public UserDetailsService userDetailsService() {
        //密码加密
        PasswordEncoder encoder= PasswordEncoderFactories.createDelegatingPasswordEncoder();
        //设置用户
        UserDetails user2=User.builder()
            .username("root")
            .password(encoder.encode("123456"))
            .roles("vip1","vip2","vip3")
            .build();
        return new InMemoryUserDetailsManager(user2);
    }

    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration configuration) throws Exception {
        return configuration.getAuthenticationManager();
    }
}

（3）定义登录成功跳转首页

为了处理登录成功后的页面跳转，可以创建一个控制器类，如下所示：

@RestController
public class HelloController {

    /**
     * 默认登录成功跳转
     * @return
     */
    @RequestMapping("/")
    public String hello(){
        return "hello,spring security";
    }
}

（4）登录

访问http://localhost:8080/login进行登录。登录成功后，将跳转到首页并显示"hello,spring security"的欢迎信息。