Spring?Security配置保姆級(jí)教程

更新時(shí)間：2023年02月15日 14:05:00 作者：自牧君

Spring?Security是一個(gè)功能強(qiáng)大且可高度自定義的身份驗(yàn)證和訪問控制框架。它是保護(hù)基于Spring的應(yīng)用程序的事實(shí)上的標(biāo)準(zhǔn)。Spring?Security是一個(gè)專注于為Java應(yīng)用程序提供身份驗(yàn)證和授權(quán)的框架

背景

筆者使用 Spring Security 5.8 時(shí)，發(fā)現(xiàn)網(wǎng)上很多教程所教的 Spring Security 配置類 SecurityConfig.java 的配置風(fēng)格還是停留在繼承 WebSecurityConfigurerAdapter 的風(fēng)格。然而， WebSecurityConfigurerAdapter 在 Spring Security 5.7.0-M2 版本中已經(jīng)被 deprecated 了。因此在本文中分享 Spring 官方最新推薦的 Spring Security 配置風(fēng)格。

一、前言

在 Spring Security 5.7.0 (2022 年 2 月 21 日更新) 中，官方棄用了 WebSecurityConfigurerAdapter 。因?yàn)镾pring 官方鼓勵(lì)開發(fā)者朝著組件化安全配置遷移。為了幫助開發(fā)者順利過渡到這種配置風(fēng)格，Spring 官方準(zhǔn)備了一系列常見的使用案例和建議的替代方案。

在下面的例子中，我們將遵循最佳實(shí)踐，使用 Spring Security lambda DSL 和 HttpSecurity.java 中的 authorizeHttpRequests() 方法來定義授權(quán)規(guī)則。如果您對(duì) lambda DSL 感到陌生，可以參考我的這篇文章進(jìn)行學(xué)習(xí)：《如何使用Lambda DSL配置Spring Security》。

二、配置HttpSecurity

在 Spring Security 5.4 中，新增了通過創(chuàng)建一個(gè) SecurityFilterChain 的 Bean 來配置 HttpSecurity 的功能。

首先來看看沒有棄用 WebSecurityConfigurerAdapter 的示例，下面是使用 WebSecurityConfigurerAdapter 的配置示例，該配置使用 httpBasic() 方法來保護(hù)所有的接口。

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults());
    }
}

但今后， WebSecurityConfigurerAdapter 就被 Spring 官方棄用了，取而代之的是通過注冊(cè)一個(gè) SecurityFilterChain 的 Bean 來配置 HttpSecurity 。

@Configuration
public class SecurityConfiguration {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults());
        return http.build();
    }
}

三、配置WebSecurity

在 Spring Security 5.4 中，Spring 官方新增了 WebSecurityCustomizer 。

WebSecurityCustomizer 是一個(gè)回調(diào)接口，可以用來配置 WebSecurity 。

首先來看看先前的舊配置風(fēng)格的代碼示例：使用 WebSecurityConfigurerAdapter 來忽略與 /ignore1 或 /ignore2 匹配的請(qǐng)求 (即不攔截這兩個(gè)請(qǐng)求進(jìn)行認(rèn)證授權(quán)) 。

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(WebSecurity web) {
        web.ignoring().antMatchers("/ignore1", "/ignore2");
    }
}

但今后，Spring 官方不再推薦上面的配置風(fēng)格，取而代之的是向 Spring 容器中注入一個(gè) WebSecurityCustomizer 的 Bean 。

@Configuration
public class SecurityConfiguration {
    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
    	return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");
    }
}

注意：如果你想通過配置 WebSecurity 來忽略請(qǐng)求，建議優(yōu)先考慮通過配置 HttpSecurity 的 authorizeHttpRequests() 方法，使用 .permitAll() 來實(shí)現(xiàn)。

四、配置LDAP認(rèn)證

LDAP (Light Directory Access Protocol) ，是基于 X.500 標(biāo)準(zhǔn)的輕量級(jí)目錄訪問協(xié)議。有興趣的同學(xué)可以自行谷歌搜索學(xué)習(xí)，LDAP 這種協(xié)議常用于授權(quán)認(rèn)證的情景。

在 Spring Security 5.7 中，Spring 官方新增了 EmbeddedLdapServerContextSourceFactoryBean 、LdapBindAuthenticationManagerFactory 和 LdapPasswordComparisonAuthenticationManagerFactory ，用來創(chuàng)建一個(gè)嵌入式 LDAP 服務(wù)器和一個(gè) AuthenticationManager 對(duì)象，來執(zhí)行 LDAP 認(rèn)證。

同樣的，先來看先前舊的配置風(fēng)格的示例，繼承 WebSecurityConfigurerAdapter ，創(chuàng)建一個(gè)嵌入式 LDAP 服務(wù)器，創(chuàng)建一個(gè) AuthenticationManager ，使用綁定認(rèn)證 (Bind Authentication) 來執(zhí)行 LDAP 認(rèn)證。

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .ladpAuthentication()
            .userDetailsContextMapper(new PersonContextMapper())
            .userDnPatterns("uid={0}, ou=people")
            .contextSource()
            .port(0);
    }
}

但今后，Spring 官方不再推薦上面的配置風(fēng)格，取而代之的是使用新的 LDAP 類。

@Configuration
public class SecurityConfiguration {
    @Bean
    public EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean() {
        EmbeddedLdapServerContextSourceFactoryBean contextSourceFactoryBean =
            EmbeddedLdapServerContextSourceFactoryBean.fromEmbeddedLdapServer();
        contextSourceFactoryBean.setPort(0);
        return contextSourceFactoryBean;
    }
    @Bean
    AuthenticationManager ldapAuthenticationManager(
        	BaseLdapPathContextSource contextSource) {
        LdapBindAuthenticationManagerFactory factory = 
            new LdapBindAuthenticationManagerFactory(contextSource);
        factory.setUserDnPatterns("uid={0}, ou=people");
        factory.setUserDetailsContextMapper(new PersonContextMapper());
        return factory.createAuthenticationManager();
    }
}

五、配置JDBC認(rèn)證

同樣的，先來看先前舊的配置風(fēng)格的示例，繼承 WebSecurityConfigurerAdapter ，使用一個(gè)以默認(rèn)方式初始化且具有一個(gè)用戶的嵌入式 DataSource 。

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Bean
    public DataSource dataSource() {
        return new EmbeddedDatabaseBuilder()
            .setType(EmbeddedDatabaseType.H2)
            .build();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        auth.jdbcAuthentication()
            .withDefaultSchema()
            .dataSource(dataSource())
            .withUser(user);
    }
}

但今后，Spring 官方不再推薦上面的配置風(fēng)格，取而代之的是向 Spring 容器注入一個(gè) JdbcUserDetailsManager 的 Bean 。

@Configuration
public class SecurityConfiguration {
    @Bean
    public DataSource datasource() {
        return new EmbeddedDatabaseBuilder()
            .setType(EmbeddedDatabaseType.H2)
            .addScript(JdbcDaoImpl.DEFAULT_USER_SCHEMA_DDL_LOCATION)
            .build();
    }
    @Bean
    public UserDetailsManager users(DataSource dataSource) {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        JdbcUserDetailsManager users = new JdbcUserDetailsManager(dataSource);
        users.createUser(user);
        return users;
    }
}

注意：上面的代碼示例第 14 行中，為了密碼的可讀性才使用方法 User.withDefaultPasswordEncoder() 。在實(shí)際的生產(chǎn)環(huán)境中并不會(huì)使用默認(rèn)的密碼編碼器，因?yàn)檫@樣存儲(chǔ)的密碼是明文，十分不安全。這里推薦使用 BCryptPasswordEncoder 作為密碼編碼器來對(duì)密碼進(jìn)行加密成暗文存儲(chǔ)。

六、In-Memory Authentication

與上面存儲(chǔ)在數(shù)據(jù)庫的不同，In-Memory 是把用戶信息存儲(chǔ)在內(nèi)存中。

同樣的，先來看先前舊的配置風(fēng)格的示例，繼承 WebSecurityConfigurerAdapter 來配置存儲(chǔ)在內(nèi)存中的一個(gè)用戶信息。

@Configuration
public class SecurityConfiguration extends WebSecutiryConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        auth.inMemoryAuthentication()
            .withUser(user);
    }
}

但今后，Spring 官方不再推薦上面的配置風(fēng)格，取而代之的是向 Spring 容器注入一個(gè) InMemoryUserDetailsManager 的 Bean 。

@Configuration
public class SecurityConfiguration {
    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        return new InMemoryUserDetailsManager(user);
    }
}

注意：上面的代碼示例第 6 行中，為了密碼的可讀性才使用方法 User.withDefaultPasswordEncoder() 。在實(shí)際的生產(chǎn)環(huán)境中并不會(huì)使用默認(rèn)的密碼編碼器，因?yàn)檫@樣存儲(chǔ)的密碼是明文，十分不安全。這里推薦使用 BCryptPasswordEncoder 作為密碼編碼器來對(duì)密碼進(jìn)行加密成暗文存儲(chǔ)。

七、配置全局AuthenticationManager

如果你想要?jiǎng)?chuàng)建整個(gè)應(yīng)用都可以調(diào)用的 AuthenticationManager 對(duì)象，只需要簡(jiǎn)單地使用注解 @Bean 來注入 Spring 容器。

配置風(fēng)格示例與 LDAP 的配置示例相同。

八、配置局部AuthenticationManager

在 Spring Security 5.6 中，Spring 官方在 HttpSecurity 中新增了方法 authenticationManager() ，該方法重寫具體的 SecurityFilterChain 的默認(rèn) AuthenticationManager 。

下面是配置自定義局部 AuthenticationManager 的代碼示例。

@Configuration
public class SecurityConfiguration {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
               	.anyRequest().authticated())
            .httpBasic(withDefaults())
            .authenticationManager(new CustomAuthenticationManager());
        return http.build();
    }
}

九、調(diào)用局部AuthenticationManager

可以使用 custom DSL 來調(diào)用局部 AuthenticationManager 。這實(shí)際上正是 Spring Security 內(nèi)部實(shí)現(xiàn)諸如 HttpSecurity.authorizeRequests() 方法的方式。

public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
    @Override
    public void configure(HttpSecurity http) throws Exception {
        AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class);
        http.addFilter(new CustomFilter(authenticationManager));
    }
    public static MyCustomDsl customDsl() {
        return new MyCustomDsl();
    }
}

當(dāng)Spring Security開始構(gòu)建 SecurityFilterChain 時(shí)，custom DSL 就會(huì)被自動(dòng)調(diào)用。

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    // ...
    http.apply(customDsl());
    return http.build();
}

到此這篇關(guān)于Spring Security配置保姆級(jí)教程的文章就介紹到這了,更多相關(guān)Spring Security配置內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring?Security配置保姆級(jí)教程

目錄

背景

一、前言

二、配置HttpSecurity

三、配置WebSecurity

四、配置LDAP認(rèn)證

五、配置JDBC認(rèn)證

六、In-Memory Authentication

七、配置全局AuthenticationManager

八、配置局部AuthenticationManager

九、調(diào)用局部AuthenticationManager

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring?Security配置保姆級(jí)教程

目錄

背景

一、前言

二、配置HttpSecurity

三、配置WebSecurity

四、配置LDAP認(rèn)證

五、配置JDBC認(rèn)證

六、In-Memory Authentication

七、配置全局AuthenticationManager

八、配置局部AuthenticationManager

九、調(diào)用局部AuthenticationManager

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

一、前言

二、配置HttpSecurity

三、配置WebSecurity

四、配置LDAP認(rèn)證

六、In-Memory Authentication

七、配置全局AuthenticationManager

八、配置局部AuthenticationManager

九、調(diào)用局部AuthenticationManager