【网络安全】Spring Security 安全框架基本原理及使用方法_filterchainproxy的作用
赞
踩
Spring Security概念
Spring Security 是一个基于 Spring 框架的安全性框架,它提供了许多针对身份验证(Authentication)和访问控制(Authorization)方面的功能,帮助开发人员保护和管理应用程序的安
全性。
Spring Security 核心思想
Spring Security 的核心思想是通过将安全性视为应用程序的一个关注点来实现,而不是将其视为一个单独的策略或框架。使用 Spring Security 可以轻松实现以下安全性功能:
1、身份验证和授权
2、记住我(Remember me)
3、CSRF 攻击防护
4、会话管理和过期处理
5、安全日志记录
6、与其他认证和授权机制的集成
Spring Security核心组件
当使用 Spring Security 进行身份验证和授权时,使用以下主要组件:
1.SecurityContextHolder
SecurityContextHolder 是一个存储当前安全上下文信息的中心化存储区。安全上下文是一个包含了认证和授权信息的对象,它通常包含了当前登录用户的信息,例如用户名、密码和角色等。在整个应用程序中,SecurityContextHolder 对象可以被多个线程共享和使用。
2.AuthenticationManager
AuthenticationManager 是 Spring Security 的核心接口之一。它处理来自用户的身份验证请求,并基于这些请求返回认证对象。AuthenticationManager 主要通过 AuthenticationProvider 或者 UserDetailsService 来完成这个工作。
在一个 Web 应用中,当用户尝试登录时,通常会提交一个包含用户名和密码等信息的表单。在使用 Spring Security 进行身份验证时,这个表单数据会被传递到 AuthenticationManager 的 authenticate() 方法中。AuthenticationManager 将根据传入的身份验证信息,通过相应的 AuthenticationProvider 或者 UserDetailsService 获取用户的详细信息,并进行身份验证。
如果身份验证通过,则 AuthenticationManager 会创建一个 Authentication 对象,其中包含了该用户的身份验证信息以及相关的角色和权限等信息。
认证对象(Authentication Object) 是 Spring Security 中的一个核心概念,它代表了经过身份验证的用户。在认证成功之后,认证对象会被存储在 SecurityContextHolder 中,供整个应用程序共享和使用。通过验证对象,应用程序可以访问用户的详细信息,例如用户名、角色和权限等,并根据这些信息做出相应的授权决策
3.AuthenticationProvider
AuthenticationProvider 接口实现了具体的身份验证机制,例如表单身份验证、LDAP 身份验证等。通常情况下,每个 AuthenticationProvider 组件对应一个身份验证机制。AuthenticationProvider 组件会从用户提供的身份验证信息中获取所需信息,并生成一个 Authentication 对象返回给 AuthenticationManager
4.UserDetailsService
UserDetailsService 接口定义了从内存、关系数据库或其他数据源中获取用户详细信息的方法。对于基于用户名和密码进行身份验证的应用程序,UserDetailsService 可以返回一个 UserDetails 实例,其中包含用户名、加密后的密码和该用户拥有的权限和角色信息
5.FilterChainProxy
FilterChainProxy 是 Spring Security 最重要的组件之一。它将请求传递给一个或多个 SecurityFilterChain 实例,这些实例负责检查身份验证和授权规则,并在需要时重定向或返回错误响应。FilterChainProxy 的主要作用是提供了一组过滤器链,这些过滤器链会被按顺序执行,直到找到能够处理请求的过滤器为止
6.SecurityMetadataSource
SecurityMetadataSource 接口定义了资源路径与相应的安全元数据之间的映射。例如,它可以指定哪些 URL 需要身份验证,哪些 URL 可以匿名访问等
7.AccessDecisionManager
AccessDecisionManager 是 Spring Security 的核心组件之一,在用户进行操作时,判断用户是否有足够的权限。其主要的方法是 decide() 方法,它包含了一个 Authentication 对象、一个要访问的资源对象和代表当前用户的权限信息。通过配置合适的 AccessDecisionManager,可以在应用程序中实现访问控制的功能
基本使用步骤
1.引入 Spring Security 依赖
在 Maven 或 Gradle 项目中引入 Spring Security 的依赖,根据需求选择相应版本。
<!-- Spring Boot -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
</dependency>
<!-- Spring Security -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
2.配置 Spring Security
在 Spring Boot 中,Spring Security 的配置通常可以通过在 application.properties 或 application.yml 文件中添加特定的属性来完成。如果不使用 Spring Boot,需要手动编写 Spring Security 的配置类,并将其注入到 Spring 容器中。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/login", "/register").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.defaultSuccessUrl("/home")
.failureUrl("/login?error")
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login?logout")
.invalidateHttpSession(true)
.deleteCookies("JSESSIONID");
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
3.配置用户认证信息源
Spring Security 支持多种用户认证信息源,包括内存、数据库、LDAP 等。根据实际需要选择合适的认证信息源,并进行相应的配置。
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException("Invalid username or password.");
}
return new org.springframework.security.core.userdetails.User(
user.getUsername(),
user.getPassword(),
getAuthorities(user));
}
private Collection<? extends GrantedAuthority> getAuthorities(User user) {
List<GrantedAuthority> authorities = new ArrayList<>();
for (Role role : user.getRoles()) {
authorities.add(new SimpleGrantedAuthority(role.getName()));
}
return authorities;
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
4.配置安全拦截规则
通过配置安全拦截规则,定义哪些 URL 需要进行身份验证、哪些 URL 可以匿名访问等。可以使用表达式语言(EL)或注解来定义安全拦截规则,以满足各种不同的场景需求。
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/login", "/register").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.defaultSuccessUrl("/home")
.failureUrl("/login?error")
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login?logout")
.invalidateHttpSession(true)
.deleteCookies("JSESSIONID");
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user").password("{noop}password").roles("USER")
.and()
.withUser("admin").password("{noop}password").roles("USER", "ADMIN");
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
5.编写自定义的安全过滤器
如果需要在 Spring Security 中添加自定义的安全过滤器,可以通过实现 Filter 接口或者继承 AbstractAuthenticationProcessingFilter 类来实现
6.集成其他安全框架
Spring Security 支持与其他安全框架的集成,例如 Apache Shiro、CAS 等。根据实际需要,选择合适的安全框架并进行相应的集成配置。
