第9章保护Web应用----概念梳理

概述：

学习一个简单demo，会有很多疑问需要解决，是时候梳理一下概念。

1、SpringSecurity 模块组成

Spring Security 3.2 分为 11个模块

ACL：支持通过访问控制列表（access Control list, ACL）为域对象提供安全

Aspects(切面)：使用Spring Security注解时，会使用基于AspectJ的切面，而不是标准的SpringAOP

CAS Client ：提供与Jasig的中心认证服务（Central Authentication Service, CAS）进行集成的功能

Configuration: 包含通过xml和java配置Spring Security 的功能支持

Core : 提供Spring Security基本库

Cryptography(加密) ：提供了加密和密码编码的功能

LDAP ：支持基于LDAP进行认证

OpenID : 支持使用OpenID进行集中式认证

Remoting：提供了对Spring Remoting 的支持

Tag Library: Spring Security的JSP标签库

Web : 提供了Spring Security基本Filter的Web安全性支持

1.2 过滤Web 请求

安全通过过滤来拦截验证，是否需要配置多个过滤器，其实只要配置一个代理过滤，它会自动找具体实现过滤器

方式一

<filter >

<filter-name>springSecurityFilterChain</filter-name>

<filter-class>

org.springframework.web.filter.DelegatingFilterProxy

</filter-class>

</filer>

方式二：

实现AbstractSecurityWebApplicationInitializer父类

package com.jack.config;import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;public class SpringSecurityInitializer extends AbstractSecurityWebApplicationInitializer{}

1.3 Spring Security 配置继承WebSecurityConfigurerAdapter

启动安全注解 @EnableWebSecurity

@Configuration
@EnableWebSecurity // 启动web安全控制
public class SecurityConfig extends WebSecurityConfigurerAdapter{@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception{auth.inMemoryAuthentication().withUser("jack").password("123456").roles("USER");auth.inMemoryAuthentication().withUser("admin").password("123456").roles("ADMIN");auth.inMemoryAuthentication().withUser("dba").password("123456").roles("DBA");}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')").antMatchers("/dba/**").access("hasRole('ROLE_ADMIN') or hasRole('ROLE_DBA')").and().formLogin();}}

重写configure入参不同，如下所示

WebSecurity、HttpSecurity、AuthenticationManagerBuilder

配置用户详细信息的方法

accountExpired(boolean) 定义账号是否已经过期

accountLocked(boolean) 定义账号是否已经锁定

and() 用来连接配置

authorities(GrantedAuthority...) 授予某个用户一项或多项权限

authorities(List <? extends GrantedAuthority>) 授予某个用户一项或多项权限

authorities(String ...) 授予某个用户一项或多项权限

credentialsExpired(boolean) 定义凭证是否已经过期

disabled(boolean) 定义账号是否已被禁用

password(String) 定义用户密码

roles(String...) 授予某个用户的一项或多项角色

1.4、基于数据库表进行认证

用到方法是 jdbcAuthentication()

@AutowiredDataSource dataSource;@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception{auth.jdbcAuthentication().dataSource(dataSource);}

自定查询语句

@AutowiredDataSource dataSource;@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception{auth.jdbcAuthentication().dataSource(dataSource).usersByUsernameQuery("select username, password, true "+"from Spitter where username=?").authoritiesByUsernameQuery("select username,'ROLE_USER' from Spitter where username=?").passwordEncoder(new StandardPasswordEncoder("532222"));}

1.5、基于LDAP 服务器

auth.ldapAuthentication().userSearchBase("ou=people").userSearchFilter("(uid={0})").groupSearchBase("ou=groups").groupSearchFilter("member={0}").passwordCompare().passwordEncoder(new Md5PasswordEncoder()).passwordAttribute("passcode");

如果是远程服务。通过contextSource().url("输入地址");

auth.ldapAuthentication().userSearchBase("ou=people").userSearchFilter("(uid={0})").groupSearchBase("ou=groups").groupSearchFilter("member={0}").contextSource().url("ldap://网址")

1.6 非关系型数据库，可以实现 UserDetailsService 接口

重写loadUserByUsername(String username) 方法

package com.jack.data;import java.util.ArrayList;
import java.util.List;import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;public class SpitterUserService implements UserDetailsService {private final SpitterRepository spitterRepository;public SpitterUserService(SpitterRepository spitterRepository) {this.spitterRepository = spitterRepository;}@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {Spitter spitter = spitterRepository.findByUsername(username);if(spitter != null){List<GrantedAuthority> authorities = new ArrayList <GrantedAuthority>();authorities.add(new SimpleGrantedAuthority("ROLE_SPITTER"));return new User(spitter.getUsername(),spitter.getPassword(),authorities);}throw new UsernameNotFoundException("User '"+ "username " + "' not found");}}

总结：

1、不关心数据如何来，只要返回一个User对象就行

配置 auth.userDetailsService(new SpitterUserService(spitterRepository));

1.7 拦截请求

@Override
protected void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()
.antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')")
.antMatchers("/dba/**").access("hasRole('ROLE_ADMIN') or hasRole('ROLE_DBA')")
.and().formLogin();
}

antMatchers() 是Ant风格，也支持regex风格

.regexMatchers()

用来定义如何保护路径的配置方法

access(String) 如果给定的SpEL表达式计算结果为true，就允许访问

anonymous() 允许匿名用户访问

authenticated() 允许认证过的用户访问

denyAll() 无条件拒绝所有访问

fullyAuthenticated() 如果用户是完整的话（不是通过Remember-me 功能认证的），就能访问

hasAnyAuthority(String...) 如果用户具备给定权限中的某一个的话，就允许访问

hasAnyRole(String...) 如果用户具备给定角色中的某一个的话，就允许访问

hasAuthority(String) 如果用户具备给定权限的话，就允许访问

hasIpAddress(String) 如果请求来自给定IP地址的话，就允许访问

hasRole(String) 如果用户具备给定角色的话，就允许访问

not() 对其他访问方法的结果取反

permitAll () 无条件允许访问

rememberMe() 如果用户是通过Remember-me功能认证的，就允许访问

1.8 强制通道的安全性

HTTPS 加密发送

1.9 防止跨站请求伪造

Cross-site request forgery (CSRF)

通过同步token来解决，也就是在表单中包含_csrf域

总结：

Spring-Security 可以完成很多验证相关的事情，具体需要慢慢研究