查看原文
其他

Spring Security(三)--核心配置解读

徐靖峰 Kirito的技术分享 2022-04-29

上一篇文章《Spring Security(二)--Guides》,通过Spring Security的配置项了解了Spring Security是如何保护我们的应用的,本篇文章对上一次的配置做一个分析。

目录

核心配置解读

  • 3.1 功能介绍

  • 3.2 EnableWebSecurity

    • WebSecurityConfiguration

    • AuthenticationConfiguration

  • 3.3 WebSecurityConfigurerAdapter

    • HttpSecurity常用配置

    • WebSecurityBuilder

    • AuthenticationManagerBuilder

3 核心配置解读

3.1 功能介绍

这是Spring Security入门指南中的配置项:

  1. @Configuration

  2. @EnableWebSecurity

  3. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  4.  @Override

  5.  protected void configure(HttpSecurity http) throws Exception {

  6.      http

  7.          .authorizeRequests()

  8.              .antMatchers("/", "/home").permitAll()

  9.              .anyRequest().authenticated()

  10.              .and()

  11.          .formLogin()

  12.              .loginPage("/login")

  13.              .permitAll()

  14.              .and()

  15.          .logout()

  16.              .permitAll();

  17.  }

  18.  @Autowired

  19.  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

  20.      auth

  21.          .inMemoryAuthentication()

  22.              .withUser("admin").password("admin").roles("USER");

  23.  }

  24. }

当配置了上述的javaconfig之后,我们的应用便具备了如下的功能:

  • 除了“/”,"/home"(首页),"/login"(登录),"/logout"(注销),之外,其他路径都需要认证。

  • 指定“/login”该路径为登录页面,当未认证的用户尝试访问任何受保护的资源时,都会跳转到“/login”。

  • 默认指定“/logout”为注销页面

  • 配置一个内存中的用户认证器,使用admin/admin作为用户名和密码,具有USER角色

  • 防止CSRF攻击

  • Session Fixation protection(可以参考我之前讲解Spring Session的文章,防止别人篡改sessionId)

  • Security Header(添加一系列和Header相关的控制)

    • HTTP Strict Transport Security for secure requests

    • 集成X-Content-Type-Options

    • 缓存控制

    • 集成X-XSS-Protection

    • X-Frame-Options integration to help prevent Clickjacking(iframe被默认禁止使用)

  • 为Servlet API集成了如下的几个方法

    • HttpServletRequest#getRemoteUser()

    • HttpServletRequest.html#getUserPrincipal()

    • HttpServletRequest.html#isUserInRole(java.lang.String)

    • HttpServletRequest.html#login(java.lang.String, java.lang.String)

    • HttpServletRequest.html#logout()

3.2 @EnableWebSecurity

我们自己定义的配置类WebSecurityConfig加上了@EnableWebSecurity注解,同时继承了WebSecurityConfigurerAdapter。你可能会在想谁的作用大一点,毫无疑问@EnableWebSecurity起到决定性的配置作用,它其实是个组合注解。

  1. @Import({ WebSecurityConfiguration.class, // <2>

  2.      SpringWebMvcImportSelector.class }) // <1>

  3. @EnableGlobalAuthentication // <3>

  4. @Configuration

  5. public @interface EnableWebSecurity {

  6.   boolean debug() default false;

  7. }

@Import是springboot提供的用于引入外部的配置的注解,可以理解为:@EnableWebSecurity注解激活了@Import注解中包含的配置类。

<1> SpringWebMvcImportSelector的作用是判断当前的环境是否包含springmvc,因为spring security可以在非spring环境下使用,为了避免DispatcherServlet的重复配置,所以使用了这个注解来区分。

<2> WebSecurityConfiguration顾名思义,是用来配置web安全的,下面的小节会详细介绍。

<3> @EnableGlobalAuthentication注解的源码如下:

  1. @Import(AuthenticationConfiguration.class)

  2. @Configuration

  3. public @interface EnableGlobalAuthentication {

  4. }

注意点同样在@Import之中,它实际上激活了AuthenticationConfiguration这样的一个配置类,用来配置认证相关的核心类。

也就是说:@EnableWebSecurity完成的工作便是加载了WebSecurityConfiguration,AuthenticationConfiguration这两个核心配置类,也就此将spring security的职责划分为了配置安全信息,配置认证信息两部分。

WebSecurityConfiguration

在这个配置类中,有一个非常重要的Bean被注册了。

  1. @Configuration

  2. public class WebSecurityConfiguration {

  3.    //DEFAULT_FILTER_NAME = "springSecurityFilterChain"

  4.    @Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME)

  5.    public Filter springSecurityFilterChain() throws Exception {

  6.        ...

  7.    }

  8. }  

在未使用springboot之前,大多数人都应该对“springSecurityFilterChain”这个名词不会陌生,他是spring security的核心过滤器,是整个认证的入口。在曾经的XML配置中,想要启用spring security,需要在web.xml中进行如下配置:

  1.    <!-- Spring Security -->

  2.    <filter>

  3.        <filter-name>springSecurityFilterChain</filter-name>

  4.        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

  5.    </filter>

  6.    <filter-mapping>

  7.        <filter-name>springSecurityFilterChain</filter-name>

  8.        <url-pattern>/*</url-pattern>

  9.    </filter-mapping>

而在springboot集成之后,这样的XML被java配置取代。WebSecurityConfiguration中完成了声明springSecurityFilterChain的作用,并且最终交给DelegatingFilterProxy这个代理类,负责拦截请求(注意DelegatingFilterProxy这个类不是spring security包中的,而是存在于web包中,spring使用了代理模式来实现安全过滤的解耦)。

AuthenticationConfiguration

  1. @Configuration

  2. @Import(ObjectPostProcessorConfiguration.class)

  3. public class AuthenticationConfiguration {

  4.      @Bean

  5.    public AuthenticationManagerBuilder authenticationManagerBuilder(

  6.            ObjectPostProcessor<Object> objectPostProcessor) {

  7.        return new AuthenticationManagerBuilder(objectPostProcessor);

  8.    }

  9.      public AuthenticationManager getAuthenticationManager() throws Exception {

  10.        ...

  11.    }

  12. }

AuthenticationConfiguration的主要任务,便是负责生成全局的身份认证管理者AuthenticationManager。还记得在《Spring Security(一)--Architecture Overview》中,介绍了Spring Security的认证体系,AuthenticationManager便是最核心的身份认证管理器。

3.3 WebSecurityConfigurerAdapter

适配器模式在spring中被广泛的使用,在配置中使用Adapter的好处便是,我们可以选择性的配置想要修改的那一部分配置,而不用覆盖其他不相关的配置。WebSecurityConfigurerAdapter中我们可以选择自己想要修改的内容,来进行重写,而其提供了三个configure重载方法,是我们主要关心的:

由参数就可以知道,分别是对AuthenticationManagerBuilder,WebSecurity,HttpSecurity进行个性化的配置。

HttpSecurity常用配置

  1. @Configuration

  2. @EnableWebSecurity

  3. public class CustomWebSecurityConfig extends WebSecurityConfigurerAdapter {

  4.    @Override

  5.    protected void configure(HttpSecurity http) throws Exception {

  6.        http

  7.            .authorizeRequests()

  8.                .antMatchers("/resources/**", "/signup", "/about").permitAll()

  9.                .antMatchers("/admin/**").hasRole("ADMIN")

  10.                .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")

  11.                .anyRequest().authenticated()

  12.                .and()

  13.            .formLogin()

  14.                .usernameParameter("username")

  15.                .passwordParameter("password")

  16.                .failureForwardUrl("/login?error")

  17.                .loginPage("/login")

  18.                .permitAll()

  19.                .and()

  20.            .logout()

  21.                .logoutUrl("/logout")

  22.                .logoutSuccessUrl("/index")

  23.                .permitAll()

  24.                .and()

  25.            .httpBasic()

  26.                .disable();

  27.    }

  28. }

上述是一个使用Java Configuration配置HttpSecurity的典型配置,其中http作为根开始配置,每一个and()对应了一个模块的配置(等同于xml配置中的结束标签),并且and()返回了HttpSecurity本身,于是可以连续进行配置。他们配置的含义也非常容易通过变量本身来推测,

  • authorizeRequests()配置路径拦截,表明路径访问所对应的权限,角色,认证信息。

  • formLogin()对应表单认证相关的配置

  • logout()对应了注销相关的配置

  • httpBasic()可以配置basic登录

  • etc

他们分别代表了http请求相关的安全配置,这些配置项无一例外的返回了Configurer类,而所有的http相关配置可以通过查看HttpSecurity的主要方法得知:

需要对http协议有一定的了解才能完全掌握所有的配置,不过,springboot和spring security的自动配置已经足够使用了。其中每一项Configurer(e.g.FormLoginConfigurer,CsrfConfigurer)都是HttpConfigurer的细化配置项。

WebSecurityBuilder

  1. @Configuration

  2. @EnableWebSecurity

  3. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  4.    @Override

  5.    public void configure(WebSecurity web) throws Exception {

  6.        web

  7.            .ignoring()

  8.            .antMatchers("/resources/**");

  9.    }

  10. }

以笔者的经验,这个配置中并不会出现太多的配置信息。

AuthenticationManagerBuilder

  1. @Configuration

  2. @EnableWebSecurity

  3. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  4.    @Override

  5.    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

  6.        auth

  7.            .inMemoryAuthentication()

  8.            .withUser("admin").password("admin").roles("USER");

  9.    }

  10. }

想要在WebSecurityConfigurerAdapter中进行认证相关的配置,可以使用configure(AuthenticationManagerBuilder auth)暴露一个AuthenticationManager的建造器:AuthenticationManagerBuilder 。如上所示,我们便完成了内存中用户的配置。

细心的朋友会发现,在前面的文章中我们配置内存中的用户时,似乎不是这么配置的,而是:

  1. @Configuration

  2. @EnableWebSecurity

  3. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  4.    @Autowired

  5.    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

  6.        auth

  7.            .inMemoryAuthentication()

  8.                .withUser("admin").password("admin").roles("USER");

  9.    }

  10. }

如果你的应用只有唯一一个WebSecurityConfigurerAdapter,那么他们之间的差距可以被忽略,从方法名可以看出两者的区别:使用@Autowired注入的AuthenticationManagerBuilder是全局的身份认证器,作用域可以跨越多个WebSecurityConfigurerAdapter,以及影响到基于Method的安全控制;而 protectedconfigure()的方式则类似于一个匿名内部类,它的作用域局限于一个WebSecurityConfigurerAdapter内部。关于这一点的区别,可以参考我曾经提出的issue:spring-security#issues4571。官方文档中,也给出了配置多个WebSecurityConfigurerAdapter的场景以及demo,将在该系列的后续文章中解读。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存