Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。
下面记录讲解下SpringBoot集成SpringSecurtiy,
SpringBoot版本2.1.6.RELEASE,SpringSecurity版本:5.1.5.RELEASE
分为三个部分:
1. 开启SpringSecurity
2. 基于HttpBasic认证
3. 基本原理
开启SpringSecurity
创建一个Spring Boot项目,然后引入spring-boot-starter-security:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
创建一个对外的服务:
@RestController
public class DemoController {
@GetMapping("/hello")
public String hello() {
return "Hello SpringSecurity!";
}
}
application.properties 中修改端口号为9090
server.port=9090
启动项目,访问http://127.0.0.1:9090/hello
image.png
当Spring项目中引入了Spring Security依赖的时候,项目会默认开启如下配置:
security.basic.enabled=true
这个配置开启了一个表单认证,所有服务的访问都必须先过这个认证,默认的用户名为user,密码由Sping Security自动生成,回到IDE的控制台,可以找到密码信息:
Using generated security password: 078db2a5-ae07-4a10-a85c-cf0162a7e966
输入用户名user,密码078db2a5-ae07-4a10-a85c-cf0162a7e966后,我们便可以成功访问/hello接口。
基于HttpBasic认证
配置SpringSecurity认证方式。
创建一个配置类SpringSecurityConfig继承org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter这个抽象类并重写configure(HttpSecurity http)方法。
WebSecurityConfigurerAdapter是由Spring Security提供的Web应用安全配置的适配器:
@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic() // HttpBasic
// http.formLogin() // 表单方式
.and()
.authorizeRequests() // 授权配置
.anyRequest() // 所有请求
.authenticated(); // 都需要认证
}
}
重启项目,再次访问:http://127.0.0.1:9090/hello
image.png
基本原理
上面我们开启了一个最简单的Spring Security安全配置,下面我们来了解下Spring Security的基本原理。通过上面的的配置,代码的执行过程可以简化为下图表示:
image.png
如上图所示,Spring Security包含了众多的过滤器,这些过滤器形成了一条链,所有请求都必须通过这些过滤器后才能成功访问到资源。
其中UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录认证,
而BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证,后面还可能包含一系列别的过滤器(可以通过相应配置开启)。
在过滤器链的末尾是一个名为FilterSecurityInterceptor的拦截器,用于判断当前请求身份认证是否成功,是否有相应的权限,当身份认证失败或者权限不足的时候便会抛出相应的异常。
ExceptionTranslateFilter捕获并处理,所以我们在ExceptionTranslateFilter过滤器用于处理了FilterSecurityInterceptor抛出的异常并进行处理,比如需要身份认证时将请求重定向到相应的认证页面,当认证失败或者权限不足时返回相应的提示信息。
源码地址:https://github.com/lbshold/springboot/tree/master/Start-Spring-Security
网友评论