<span data-type="color" style="color:rgb(255, 0, 0)">笔者注:</span>跟传统情况下,我们在做过滤器中做权限验证类似,Spring Secuirty也是在Filter中进行权限验证。因此使用Java代码配置Spring Security主要是这两个步骤:

1、创建过滤器

2、注册过滤器。

关于创建过滤器与注册过滤器过程中内部都做了什么,我们在后面会详细解释,目前我们只是要知道如何配置。

第一步:创建过滤器

第一步,是使用Java代码创建Spring Security的配置。这段配置创建一个Servlet Filter:<span data-type="color" style="color:rgb(123, 0, 61)">springSecurityFilterChain</span>其负责应用中的所有安全,包括:保护应用的URLS,验证提交的username和password,重定向到登录页面等。

编写一个类,名字随意,这里为起名为SecurityConfig,源码如下所示: 

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
 
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
 
}

方法名 configureGlobal是无关紧要的,重要的是在一个添加了 @EnableWebSecurity, @EnableGlobalMethodSecurity或者 @EnableGlobalAuthentication注解的类里面,注入 AuthenticationManagerBuilder。

这段代码内容很少,但事实上已经做了很多的默认安全验证,包括:

1、访问应用中的每个URL都需要进行验证

2、生成一个登陆表单

3、允许用户使用username和password来登陆

4、允许用户注销

5、CSRF攻击拦截

6、 Session Fixation攻击

7、 安全Header集成

  • HTTP Strict Transport Security for secure requests
  • X-Content-Type-Options integration
  • 缓存控制 (can be overridden later by your application to allow caching of your static resources)
  • X-XSS-Protection integration
  • X-Frame-Options integration to help prevent Clickjacking

Integrate with the following Servlet API methods

  • HttpServletRequest#getRemoteUser()
  • HttpServletRequest.html#getUserPrincipal()
  • HttpServletRequest.html#isUserInRole(java.lang.String)
  • HttpServletRequest.html#login(java.lang.String, java.lang.String)
  • HttpServletRequest.html#logout()
    第二步:注册过滤器

下一步是注册springSecurityFilterChain。这个可以借助Spring3.1引入的<span data-type="color" style="color:rgb(173, 0, 0)">WebApplicationInitializer</span>完成。SpringSecurity提供了一个基类 <span data-type="color" style="color:rgb(173, 0, 0)"><strong>AbstractSecurityWebApplicationInitializer</strong></span>来确保 springSecurityFilterChain被注册。对于如何使用AbstractSecurityWebApplicationInitializer, 这要依据Spring Secuirty是否项目中的唯一的Spring组件而有所不同。

项目中没有使用Spring

如果你没有使用Spring或者SpringMvc,你需要传递我们的 SecurityConfig类到父类中,从而确保我们的配置会被加载。可以参照一下的代码:

import org.springframework.security.web.context.*;
 
public class SecurityWebApplicationInitializer
        extends AbstractSecurityWebApplicationInitializer {
 
        public SecurityWebApplicationInitializer() {
                super(SecurityConfig.class);
        }
}

SecurityWebApplicationInitializer将会做以下的事情:

  • 自动注册 springSecurityFilterChain 过滤器,并作用于应用中的每个URL。
  • 添加一个 ContextLoaderListener 来加载 SecurityConfig类。
    项目中已经使用了SpringMvc

如果在我们的应用程序中已经使用了Spring,那么在我们的应用中可能已经有了一个 WebApplicationInitializer来加载我们的配置,如果我们还使用之前的代码,将会出现一个错误。此时我们应该在已经存在的ApplicationContext中注册Spring Security。例如,如果我们已经使用SpringMvc,那么我们的代码应该是如下所示:

import org.springframework.security.web.context.*;
 
public class SecurityWebApplicationInitializer
        extends AbstractSecurityWebApplicationInitializer {
 
}

<span data-type="color" style="color:rgb(47, 53, 59)"><span data-type="background" style="background-color:rgb(255, 255, 255)">这段代码仅仅会将 springSecurityFilterChain 注册到应用中,并作用于每个url。此时我们的SecurityConfig类依然会被已经存在的 ApplicationInitializer 加载。例如,我们使用SpringMvc,它将会被添加到 </span></span>getRootConfigClasses()<span data-type="color" style="color:rgb(47, 53, 59)"><span data-type="background" style="background-color:rgb(255, 255, 255)">。</span></span>

public class MvcWebApplicationInitializer extends
                AbstractAnnotationConfigDispatcherServletInitializer {
//Specify @Configuration and/or @Component classes to be provided to the root application context.
        @Override
        protected Class<?>[] getRootConfigClasses() {
                return new Class[] { SecurityConfig.class };
        }
 
        // ... other overrides ...
}

运行项目

将以上代码部署到Tomcat中运行,通过浏览器访问任何页面都会被重新定位到一个登陆页面,截图如下:

image.png | left | 425x216

<span data-type="color" style="color:rgb(47, 53, 59)"><span data-type="background" style="background-color:rgb(255, 255, 255)">这个页面是Spring Security自动帮我们生成的。我们可以使用之前配置的用户名和密码进行登录。自动生成这个页面的代码位于类</span></span>DefaultLoginPageGeneratingFilter<span data-type="color" style="color:rgb(47, 53, 59)"><span data-type="background" style="background-color:rgb(255, 255, 255)">的generateLoginPageHtml方法中。</span></span>

转载

Last modification:December 21st, 2018 at 11:12 am
If you think my article is useful to you, please feel free to appreciate