本文来详细说下security中的WebSecurityConfigurerAdapter
概述
今天我们要进一步的的学习如何自定义配置 Spring Security 我们已经多次提到了 WebSecurityConfigurerAdapter ,而且我们知道 Spring Boot 中的自动配置实际上是通过自动配置包下的 SecurityAutoConfiguration 总配置类上导入的 Spring Boot Web 安全配置类 SpringBootWebSecurityConfiguration 来配置的。
SpringBootWebSecurityConfiguration源码
packageorg.springframework.boot.autoconfigure.security.servlet;importorg.springframework.boot.autoconfigure.condition.ConditionalOnClass;importorg.springframework.boot.autoconfigure.condition.ConditionalOnMissingBean;importorg.springframework.boot.autoconfigure.condition.ConditionalOnWebApplication;importorg.springframework.boot.autoconfigure.condition.ConditionalOnWebApplication.Type;importorg.springframework.context.annotation.Configuration;importorg.springframework.core.annotation.Order;importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration(
proxyBeanMethods=false)@ConditionalOnClass({WebSecurityConfigurerAdapter.class})@ConditionalOnMissingBean({WebSecurityConfigurerAdapter.class})@ConditionalOnWebApplication(
type=Type.SERVLET)publicclassSpringBootWebSecurityConfiguration{publicSpringBootWebSecurityConfiguration(){}@Configuration(
proxyBeanMethods=false)@Order(2147483642)staticclassDefaultConfigurerAdapterextendsWebSecurityConfigurerAdapter{DefaultConfigurerAdapter(){}}}常用方法
WebSecurityConfigurerAdapter类图
常用配置
下面贴一下WebSecurityConfigurerAdapter在项目中的常用配置
packagecn.wideth.framework.config;importcn.wideth.framework.security.handle.AuthenticationEntryPointImpl;importorg.springframework.beans.factory.annotation.Autowired;importorg.springframework.context.annotation.Bean;importorg.springframework.http.HttpMethod;importorg.springframework.security.authentication.AuthenticationManager;importorg.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;importorg.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.config.annotation.web.builders.WebSecurity;importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;importorg.springframework.security.config.http.SessionCreationPolicy;importorg.springframework.security.core.userdetails.UserDetailsService;importorg.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;importorg.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;importorg.springframework.security.web.authentication.logout.LogoutFilter;importorg.springframework.web.filter.CorsFilter;importcn.wideth.framework.security.filter.JwtAuthenticationTokenFilter;importcn.wideth.framework.security.handle.LogoutSuccessHandlerImpl;/**
* spring security配置
*
*/@EnableGlobalMethodSecurity(prePostEnabled=true, securedEnabled=true)publicclassSecurityConfigextendsWebSecurityConfigurerAdapter{/**
* 自定义用户认证逻辑
*/@AutowiredprivateUserDetailsService userDetailsService;/**
* 认证失败处理类
*/@AutowiredprivateAuthenticationEntryPointImpl unauthorizedHandler;/**
* 退出处理类
*/@AutowiredprivateLogoutSuccessHandlerImpl logoutSuccessHandler;/**
* token认证过滤器
*/@AutowiredprivateJwtAuthenticationTokenFilter authenticationTokenFilter;/**
* 跨域过滤器
*/@AutowiredprivateCorsFilter corsFilter;/**
* 解决 无法直接注入 AuthenticationManager
*
* @return
* @throws Exception
*/@Bean@OverridepublicAuthenticationManagerauthenticationManagerBean()throwsException{returnsuper.authenticationManagerBean();}/**
* 强散列哈希加密实现
*/@BeanpublicBCryptPasswordEncoderbCryptPasswordEncoder(){returnnewBCryptPasswordEncoder();}/**
* 身份认证接口
*/@Overrideprotectedvoidconfigure(AuthenticationManagerBuilder auth)throwsException{//在这里关联数据库和security
auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());}/**
* anyRequest | 匹配所有请求路径
* access | SpringEl表达式结果为true时可以访问
* anonymous | 匿名可以访问
* denyAll | 用户不能访问
* fullyAuthenticated | 用户完全认证可以访问(非remember-me下自动登录)
* hasAnyAuthority | 如果有参数,参数表示权限,则其中任何一个权限可以访问
* hasAnyRole | 如果有参数,参数表示角色,则其中任何一个角色可以访问
* hasAuthority | 如果有参数,参数表示权限,则其权限可以访问
* hasIpAddress | 如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
* hasRole | 如果有参数,参数表示角色,则其角色可以访问
* permitAll | 用户可以任意访问
* rememberMe | 允许通过remember-me登录的用户访问
* authenticated | 用户登录后可访问
*/@Overrideprotectedvoidconfigure(HttpSecurity httpSecurity)throwsException{
httpSecurity// CSRF禁用,因为不使用session.csrf().disable()// 认证失败处理类.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()// 基于token,所以不需要session.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()// 过滤请求.authorizeRequests()// 对于登录login 验证码captchaImage 允许匿名访问.antMatchers("/login","/captchaImage").anonymous().antMatchers(HttpMethod.GET,"/*.html","/**/*.html","/**/*.css","/**/*.js").permitAll().antMatchers("/profile/**").permitAll().antMatchers("/common/download**").permitAll().antMatchers("/common/download/resource**").permitAll().antMatchers("/swagger-ui.html").permitAll().antMatchers("/swagger-resources/**").permitAll().antMatchers("/webjars/**").permitAll().antMatchers("/*/api-docs").permitAll().antMatchers("/druid/**").permitAll().antMatchers("/flowable/**").permitAll().antMatchers("/socket/**").permitAll().antMatchers("/api/common/**").permitAll().antMatchers("/api/contract/**").permitAll().antMatchers("/api/project/**").permitAll().antMatchers("/api/document/**").permitAll().antMatchers("/api/purchase/**").permitAll()// 除上面外的所有请求全部需要鉴权认证.anyRequest().authenticated().and().headers().frameOptions().disable();
httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);// 添加JWT filter
httpSecurity.addFilterBefore(authenticationTokenFilter,UsernamePasswordAuthenticationFilter.class);// 添加CORS filter
httpSecurity.addFilterBefore(corsFilter,JwtAuthenticationTokenFilter.class);
httpSecurity.addFilterBefore(corsFilter,LogoutFilter.class);}/***
* 核心过滤器配置方法
* @param web
* @throws Exception
*/@Overridepublicvoidconfigure(WebSecurity web)throwsException{super.configure(web);}}相信已经有人注意到了上面 WebSecurityConfigurerAdapter 中我覆写(@Override)了三个configure方法,我们一般会通过自定义配置这三个方法来自定义我们的安全访问策略。
认证管理器配置方法
AuthenticationManagerBuilder(身份验证管理生成器)
void configure(AuthenticationManagerBuilder auth) 用来配置认证管理器AuthenticationManager。说白了就是所有 UserDetails 相关的它都管,包含 PasswordEncoder 密码等。如果你不清楚可以通过 Spring Security 中的 UserDetail 进行了解。本文对 AuthenticationManager 不做具体分析讲解,后面会有专门的文章来讲这个东西 。
常见用法
/**
* 身份认证接口
*/@Overrideprotectedvoidconfigure(AuthenticationManagerBuilder auth)throwsException{
auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());}核心过滤器配置方法
WebSecurity(WEB安全)
void configure(WebSecurity web) 用来配置 WebSecurity 。而 WebSecurity 是基于 Servlet Filter 用来配置 springSecurityFilterChain 。而 springSecurityFilterChain 又被委托给了 Spring Security 核心过滤器 Bean DelegatingFilterProxy 。 相关逻辑你可以在 WebSecurityConfiguration 中找到。我们一般不会过多来自定义 WebSecurity , 使用较多的使其ignoring() 方法用来忽略 Spring Security 对静态资源的控制。
安全过滤器链配置方法
HttpSecurity(HTTP请求安全处理)
void configure(HttpSecurity http) 这个是我们使用最多的,用来配置 HttpSecurity 。 HttpSecurity 用于构建一个安全过滤器链 SecurityFilterChain 。SecurityFilterChain 最终被注入核心过滤器 。 HttpSecurity 有许多我们需要的配置。我们可以通过它来进行自定义安全访问策略。所以我们单独开一章来讲解这个东西。
HttpSecurity 配置
HttpSecurity 是后面几篇文章的重点,我们将实际操作它来实现一些实用功能。所以本文要着重介绍它。
HttpSecurity 类图
默认配置
默认配置
protectedvoidconfigure(HttpSecurity http)throwsException{this.logger.debug("Usingdefaultconfigure(HttpSecurity).If subclassedthis will potentially override subclassconfigure(HttpSecurity).");((HttpSecurity)((HttpSecurity((AuthorizedUrl)
http.authorizeRequests().anyRequest()).authenticated().and()).formLogin().and()).httpBasic();}上面是 Spring Security 在 Spring Boot 中的默认配置。通过以上的配置,你的应用具备了一下的功能:
- 所有的请求访问都需要被授权。
- 使用 form 表单进行登陆(默认路径为/login),也就是前几篇我们见到的登录页。
- 防止 CSRF 攻击、 XSS 攻击。
- 启用 HTTP Basic 认证
常用方法解读
HttpSecurity 使用了builder 的构建方式来灵活制定访问策略。最早基于 XML 标签对 HttpSecurity 进行配置。现在大部分使用 javaConfig方式。常用的方法解读如下:
| 方法 | 说明 |
|---|---|
| openidLogin() | 用于基于 OpenId 的验证 |
| headers() | 将安全标头添加到响应,比如说简单的 XSS 保护 |
| cors() | 配置跨域资源共享( CORS ) |
| sessionManagement() | 允许配置会话管理 |
| portMapper() | 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 PortMapper 从 HTTP 重定向到 HTTPS 或者从 HTTPS 重定向到 HTTP。默认情况下,Spring Security使用一个PortMapperImpl映射 HTTP 端口8080到 HTTPS 端口8443,HTTP 端口80到 HTTPS 端口443 |
| jee() | 配置基于容器的预认证。 在这种情况下,认证由Servlet容器管理 |
| x509() | 配置基于x509的认证 |
| rememberMe() | 允许配置“记住我”的验证 |
| authorizeRequests() | 允许基于使用HttpServletRequest限制访问 |
| requestCache() | 允许配置请求缓存 |
| exceptionHandling() | 允许配置错误处理 |
| securityContext() | 在HttpServletRequests之间的SecurityContextHolder上设置SecurityContext的管理。 当使用WebSecurityConfigurerAdapter时,这将自动应用 |
| servletApi() | 将HttpServletRequest方法与在其上找到的值集成到SecurityContext中。 当使用WebSecurityConfigurerAdapter时,这将自动应用 |
| csrf() | 添加 CSRF 支持,使用WebSecurityConfigurerAdapter时,默认启用 |
| logout() | 添加退出登录支持。当使用WebSecurityConfigurerAdapter时,这将自动应用。默认情况是,访问URL”/ logout”,使HTTP Session无效来清除用户,清除已配置的任何#rememberMe()身份验证,清除SecurityContextHolder,然后重定向到”/login?success” |
| anonymous() | 允许配置匿名用户的表示方法。 当与WebSecurityConfigurerAdapter结合使用时,这将自动应用。 默认情况下,匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示,并包含角色 “ROLE_ANONYMOUS” |
| formLogin() | 指定支持基于表单的身份验证。如果未指定FormLoginConfigurer#loginPage(String),则将生成默认登录页面 |
| oauth2Login() | 根据外部OAuth 2.0或OpenID Connect 1.0提供程序配置身份验证 |
| requiresChannel() | 配置通道安全。为了使该配置有用,必须提供至少一个到所需信道的映射 |
| httpBasic() | 配置 Http Basic 验证 |
| addFilterBefore() | 在指定的Filter类之前添加过滤器 |
| addFilterAt() | 在指定的Filter类的位置添加过滤器 |
| addFilterAfter() | 在指定的Filter类的之后添加过滤器 |
| and() | 连接以上策略的连接器,用来组合安全策略。实际上就是"而且"的意思 |
本文小结
本文详细介绍了WebSecurityConfigurerAdapter相关的知识与内容,后续会对HttpSecurity相关的知识进行详细介绍,这个也是在平时的开发中使用的最多的地方。