AI 助理
备案控制台
开发者社区 安全 文章 正文

第1章 Spring Security 概述(2024 最新版)(上)

2024-04-19 107
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 第1章 Spring Security 概述(2024 最新版)

9526b1d6ced59dd11678343f8411959.png

1.1 Spring Security 的重要性

在这一节中,我们将首先深入探讨 Spring Security 的基础知识,然后通过三个实际案例,展示其在现实生产环境中的应用。这些案例将以 Java 为核心,展现 Spring Security 在保护应用程序方面的实用性。

1.1.1 基础知识详解

Spring Security 的重要性

在深入探讨 Spring Security 之前,让我们先了解为什么这个框架在现代 Web 应用开发中如此重要。

  1. 安全性的核心需求
    在数字时代,安全性是任何 Web 应用的基石。Spring Security 提供了一个健壮的安全框架,帮助开发者保护他们的应用免受各种网络攻击和安全威胁。
  2. 广泛的应用场景
    无论是小型企业应用还是大型企业级系统,Spring Security 都能灵活适应。它不仅支持传统的 Web 应用,还能很好地与微服务架构和云服务集成。
  3. 社区和支持
    作为 Spring 生态系统的一部分,Spring Security 拥有一个活跃的开发者社区和丰富的文档资源。这意味着它不断更新,能够应对新出现的安全挑战。

Spring Security 的核心概念

  1. 认证(Authentication)
  • 认证是确认某个实体的身份。在 Spring Security 中,这通常指验证用户名和密码,但也可以扩展到更复杂的方法,如多因素认证。
  • Spring Security 支持多种认证方式,如表单登录、LDAP、OAuth2 等。
  1. 授权(Authorization)
  • 授权涉及决定认证通过的实体可以访问哪些资源。简单来说,就是决定谁能做什么。
  • Spring Security 通过角色和权限来管理授权。它允许细粒度控制,比如基于方法的安全性。
  1. 防护措施
  • Spring Security 提供了多种防护措施来保护应用免受常见的网络攻击,例如跨站请求伪造(CSRF)和会话固定攻击。
  • 它还提供了其他高级功能,如安全通道(HTTPS 强制使用)和内容安全策略(CSP)。
  1. 过滤器链
  • Spring Security 使用一系列过滤器来处理安全相关的任务。这些过滤器在请求进入应用之前拦截请求,执行例如认证和授权的操作。
  • 了解这些过滤器及其顺序对于深入理解 Spring Security 的工作原理至关重要。

通过理解这些基础概念,开发者能够更好地利用 Spring Security 为他们的应用提供坚固的安全基础。下一步,我们将深入探讨如何在实际应用中实现这些概念,并通过具体案例加以展示。

1.1.2 主要案例:用户认证与授权

在这个案例中,我们将展示如何在一个 Spring Boot 应用程序中实现基本的用户认证和授权。这个案例将重点介绍如何配置 Spring Security 来管理用户登录,并根据用户角色授权访问特定资源。

案例 Demo

假设我们正在开发一个小型网站,该网站有两种类型的用户:普通用户和管理员。我们需要确保普通用户只能访问主页,而管理员则可以访问管理面板。

步骤 1:创建 Spring Boot 应用程序

首先,我们需要创建一个基本的 Spring Boot 应用程序。您可以使用 Spring Initializr(https://start.spring.io/)快速生成项目结构。

添加以下依赖:

  • Spring Web
  • Spring Security

步骤 2:配置 Spring Security

在我们的 Spring Boot 应用程序中,我们需要配置 Spring Security 来处理用户认证和授权。创建一个类继承自 WebSecurityConfigurerAdapter 并覆盖相应的方法。

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.context.annotation.Configuration;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}adminpass").roles("ADMIN");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin").hasRole("ADMIN")
                .antMatchers("/").hasAnyRole("USER", "ADMIN")
                .and()
            .formLogin();
    }
}

在这个配置中,我们定义了两个用户:一个普通用户和一个管理员,以及它们的权限。我们还启用了表单登录。

步骤 3:创建控制器

现在,我们需要创建一个简单的控制器来管理不同的页面。

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
@Controller
public class MainController {
    @GetMapping("/")
    public String home() {
        return "home";
    }
    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }
}

步骤 4:创建视图

为了完整性,我们还需要创建两个简单的 HTML 页面(home.htmladmin.html)来表示主页和管理页面。

步骤 5:运行和测试

运行您的 Spring Boot 应用程序,并访问 http://localhost:8080/。您应该会看到一个登录表单。使用不同的用户登录,并验证它们是否能正确访问对应的页面。

通过这个案例,您不仅能够了解如何在 Spring Security 中实现基本的认证和授权机制,还能够看到这些概念在实际应用中是如何工作的。这为您提供了一个坚实的基础,让您可以根据自己的需要进一步扩展和定制安全性配置。

1.1.3 拓展案例 1:OAuth2 社交登录

在这个案例中,我们将展示如何在 Spring Boot 应用中集成 OAuth2 社交登录,允许用户通过 Google 账户登录。这种方式提供了一种更便捷、安全的用户认证方法,同时提高了用户体验。

案例 Demo

假设我们的 Spring Boot 应用需要提供用户通过 Google 账户登录的功能。我们将使用 Spring Security 的 OAuth2 客户端支持来实现这一点。

步骤 1:添加相关依赖

首先,在你的 pom.xml 文件中添加以下依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

步骤 2:配置 OAuth2 登录

application.propertiesapplication.yml 文件中,添加 Google OAuth2 客户端配置:

spring.security.oauth2.client.registration.google.client-id=YOUR_GOOGLE_CLIENT_ID
spring.security.oauth2.client.registration.google.client-secret=YOUR_GOOGLE_CLIENT_SECRET
spring.security.oauth2.client.registration.google.scope=profile,email

你需要替换 YOUR_GOOGLE_CLIENT_IDYOUR_GOOGLE_CLIENT_SECRET 为你从 Google Cloud Console 获得的实际值。

步骤 3:安全配置

更新你的 SecurityConfig 类,以支持 OAuth2 登录:

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.context.annotation.Configuration;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .oauth2Login();
    }
}

这里我们配置了所有请求都需要认证,并且启用了 OAuth2 登录。

步骤 4:用户信息获取和处理

当用户通过 Google 登录后,你可能需要获取并处理用户信息。你可以通过实现 OAuth2UserService 来完成这一步:

import org.springframework.security.oauth2.client.userinfo.DefaultOAuth2UserService;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Service;
@Service
public class CustomOAuth2UserService extends DefaultOAuth2UserService {
    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
        OAuth2User user = super.loadUser(userRequest);
        // 处理用户信息逻辑
        return user;
    }
}

步骤 5:运行和测试

启动应用程序并访问 http://localhost:8080/。现在,你应该能看到一个通过 Google 登录的选项。使用你的 Google 账户登录,并验证登录流程是否正常工作。

通过这个案例,你可以看到如何在 Spring Boot 应用中轻松集成 OAuth2 社交登录。这个功能不仅提高了用户体验,还增强了应用的安全性。

1.1.4 拓展案例 2:JWT 认证

在这个案例中,我们将演示如何在 Spring Boot 应用中实现基于 JSON Web Token (JWT) 的认证。JWT 是一种广泛使用的技术,用于在客户端和服务器之间安全地传输信息。

案例 Demo

假设我们正在开发一个 RESTful API,我们希望通过 JWT 来认证和授权用户。

步骤 1:添加 JWT 相关依赖

首先,在你的 pom.xml 文件中添加 JWT 的依赖。我们将使用 java-jwt 库:

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

步骤 2:实现 JWT 工具类

创建一个 JWT 工具类来生成和解析 JWT。这个类将负责创建令牌、验证令牌以及解析令牌:

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.auth0.jwt.interfaces.JWTVerifier;
import java.util.Date;
public class JwtUtil {
    private static final String SECRET_KEY = "your_secret_key";
    public static String createToken(String username) {
        return JWT.create()
                .withSubject(username)
                .withExpiresAt(new Date(System.currentTimeMillis() + 864000000)) // 设置过期时间
                .sign(Algorithm.HMAC256(SECRET_KEY));
    }
    public static String validateTokenAndRetrieveSubject(String token) {
        try {
            JWTVerifier verifier = JWT.require(Algorithm.HMAC256(SECRET_KEY)).build();
            DecodedJWT jwt = verifier.verify(token);
            return jwt.getSubject();
        } catch (JWTVerificationException exception) {
            //Invalid signature/claims
            return null;
        }
    }
}

步骤 3:配置 Spring Security

在 Spring Security 配置中,我们需要添加一个过滤器来检查传入的请求中的 JWT。

创建一个 JWT 过滤器类:

import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.FilterChain;
import java.io.IOException;
import java.util.Collections;
public class JwtFilter extends UsernamePasswordAuthenticationFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        String token = request.getHeader("Authorization");
        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7);
            String username = JwtUtil.validateTokenAndRetrieveSubject(token);
            if (username != null) {
                UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
                        username, null, Collections.singletonList(new SimpleGrantedAuthority("USER")));
                SecurityContextHolder.getContext().setAuthentication(auth);
            }
        }
        chain.doFilter(request, response);
    }
}

然后,在 SecurityConfig 类中注册这个过滤器:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(new JwtFilter(), UsernamePasswordAuthenticationFilter.class);
    // 其他配置...
}

步骤 4:创建认证端点

在你的控制器中,创建一个端点用于生成 JWT:

@PostMapping("/authenticate")
public ResponseEntity<?> createAuthToken(@RequestParam String username) {
    String token = JwtUtil.createToken(username);
    return ResponseEntity.ok(token);
}

步骤 5:运行和测试

启动你的应用程序,然后向 /authenticate 端点发送一个请求,携带用户名。你应该会收到一个 JWT。然后,你可以使用这个 JWT 来访问受保护的资源。

通过这个案例,你可以看到如何在 Spring Boot 应用中使用 JWT 进行认证。JWT 认证在开发现代 Web 应用和微服务架构时非常有用,尤其是在处理跨域请求和轻量级认证时。

1.2 Spring Security 的核心特性

1.2.1 基础知识详解

Spring Security 的核心特性

  1. 认证和授权
  • 认证 是验证用户身份的过程。Spring Security 支持多种认证方式,包括但不限于用户名和密码验证、LDAP 认证、OAuth2、JWT 等。
  • 授权 则是决定已认证用户可以访问哪些资源的过程。Spring Security 允许你基于角色或更细粒度的权限来控制访问。
  1. CSRF 防护
  • CSRF 攻击是一种常见的网络攻击方式,它试图利用用户的登录状态执行未经授权的操作。Spring Security 提供了 CSRF 防护机制,默认情况下在所有的 POST 请求上启用。
  1. 会话管理
  • 会话管理涉及用户的登录会话和会话过期。Spring Security 提供了丰富的会话管理功能,包括会话固定保护和并发会话控制。
  1. 密码存储
  • Spring Security 支持多种密码存储格式,包括明文、哈希、PBKDF2、SCrypt 等,并且鼓励开发者使用强密码编码方式。
  1. 方法级安全
  • 除了 URL 级别的安全控制外,Spring Security 还支持方法级别的安全控制。这允许开发者直接在 Java 方法上应用安全注解,实现更细粒度的控制。
  1. LDAP 集成
  • 对于需要与 LDAP 目录服务集成的应用程序,Spring Security 提供了简便的集成方式。这使得在企业环境中实现认证和授权变得容易。
  1. OAuth2 和 OpenID Connect
  • Spring Security 支持现代认证和授权协议,如 OAuth2 和 OpenID Connect,使得它可以与第三方认证提供者(如 Google、Facebook 等)轻松集成。
  1. 跨域资源共享(CORS)支持
  • 在开发 SPA(单页面应用程序)或调用跨域 API 时,CORS 是一个常见的问题。Spring Security 提供了 CORS 支持,允许开发者配置跨域请求的处理。

通过掌握这些基础知识,开发者可以利用 Spring Security 为他们的应用程序构建一个强大且灵活的安全系统。接下来的案例将更具体地展示如何将这些特性应用于实际开发中。

1.2.2 主要案例:基于角色的访问控制

在这个案例中,我们将演示如何在 Spring Boot 应用中实现基于角色的访问控制(RBAC)。我们假设有两种角色:“USER” 和 “ADMIN”,每种角色都有不同的访问权限。

案例 Demo

我们将创建一个简单的 Spring Boot 应用程序,其中包含两个受保护的页面:一个仅对普通用户开放,另一个仅对管理员开放。

实现步骤:

  1. 创建 Spring Boot 应用程序:
    使用 Spring Initializr 创建一个新的 Spring Boot 项目,并添加 spring-boot-starter-webspring-boot-starter-security 依赖。
  2. 配置安全性:
    创建一个继承自 WebSecurityConfigurerAdapter 的配置类来定义安全规则。
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}adminpass").roles("ADMIN");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/user").hasRole("USER")
            .antMatchers("/admin").hasRole("ADMIN")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout();
    }
}
  1. 在这个配置中,我们定义了两个用户和他们的角色。同时,我们设置了 /user 只能被 USER 角色访问,/admin 只能被 ADMIN 角色访问。
  2. 创建控制器:
    创建一个控制器来管理不同的页面。
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
@Controller
public class MainController {
    @GetMapping("/user")
    public String user() {
        return "user";
    }
    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }
}
  1. 创建视图:
    useradmin 路径分别创建视图文件,例如 user.htmladmin.html
  2. 运行和测试:
    运行应用程序并访问 http://localhost:8080/userhttp://localhost:8080/admin。尝试使用不同的用户登录并验证它们是否能访问正确的页面。

通过这个案例,您将看到 Spring Security 如何实现基于角色的访问控制,这是构建安全 Web 应用程序的基础。这种方法可以确保用户只能访问他们被授权的资源。

第1章 Spring Security 概述(2024 最新版)(下)+https://developer.aliyun.com/article/1487140

文章标签:
Java
Spring
安全
数据安全/隐私保护
开发者
关键词:
Spring概述
Spring Security
Spring security最新版
Spring最新版
江帅帅
目录
相关文章
码农阿豪
|
5月前
|
XML Java 数据格式
Spring5系列学习文章分享---第一篇(概述+特点+IOC原理+IOC并操作之bean的XML管理操作)
Spring5系列学习文章分享---第一篇(概述+特点+IOC原理+IOC并操作之bean的XML管理操作)
码农阿豪
46 1
weixin_836869520
|
4月前
|
安全 Java 数据安全/隐私保护
使用Spring Security实现细粒度的权限控制
使用Spring Security实现细粒度的权限控制
weixin_836869520
233 0
weixin_836869520
|
4月前
|
安全 Java 数据库
实现基于Spring Security的权限管理系统
实现基于Spring Security的权限管理系统
weixin_836869520
83 0
weixin_836869520
|
4月前
|
安全 Java 数据安全/隐私保护
解析Spring Security中的权限控制策略
解析Spring Security中的权限控制策略
weixin_836869520
103 0
Dylaniou
|
27天前
|
Java 数据库连接 数据库
让星星⭐月亮告诉你,SSH框架01、Spring概述
Spring是一个轻量级的Java开发框架,旨在简化企业级应用开发。它通过IoC(控制反转)和DI(依赖注入)降低组件间的耦合度,支持AOP(面向切面编程),简化事务管理和数据库操作,并能与多种第三方框架无缝集成,提供灵活的Web层支持,是开发高性能应用的理想选择。
Dylaniou
35 1
fullstackyang
|
5月前
|
JSON 安全 Java
Spring Security 6.x 微信公众平台OAuth2授权实战
上一篇介绍了OAuth2协议的基本原理,以及Spring Security框架中自带的OAuth2客户端GitHub的实现细节,本篇以微信公众号网页授权登录为目的,介绍如何在原框架基础上定制开发OAuth2客户端。
fullstackyang
199 4
Spring Security 6.x 微信公众平台OAuth2授权实战
热爱技术的小郑
|
3月前
|
Java API Spring
Spring5入门到实战------1、Spring5框架概述、入门案例
这篇文章是Spring5框架的入门教程,概述了Spring框架的核心概念和特点,并通过一个创建普通Java类的案例,详细演示了从下载Spring核心Jar包、创建配置文件、编写测试代码到运行测试结果的完整流程,涵盖了Spring IOC容器的使用和依赖注入的基本用法。
热爱技术的小郑
30 0
聚娃科技开发者团队
|
4月前
|
安全 Java 数据安全/隐私保护
使用Spring Security实现细粒度的权限控制
使用Spring Security实现细粒度的权限控制
聚娃科技开发者团队
69 1
聚娃科技开发者团队
|
4月前
|
安全 Java 数据安全/隐私保护
使用Java和Spring Security实现身份验证与授权
使用Java和Spring Security实现身份验证与授权
聚娃科技开发者团队
50 1
聚娃科技开发者团队
|
4月前
|
存储 安全 Java
Spring Security在企业级应用中的应用
Spring Security在企业级应用中的应用
聚娃科技开发者团队
74 1

热门文章

最新文章

  • 1
    Spring-boot+Dubbo应用启停源码分析
  • 2
    SpringCloud - Circular placeholder reference ‘xxx‘ in property definitions
  • 3
    5种SpringBoot热部署方式,你用哪种?
  • 4
    spring的AOP组件
  • 5
    配置springmvc在其他类中(spring容器外)获取注入bean
  • 6
    Spring中注入基本类型
  • 7
    Spring Cloud实战小贴士:Zuul统一异常处理(一)
  • 8
    面向切面的Spring
  • 9
    Spring装配Bean---使用xml配置
  • 10
    转:spring配置文件中xsd引用问题
  • 1
    【Springcloud Alibaba微服务分布式架构 | Spring Cloud】之学习笔记(一)基础知识+各个组件介绍+聚合父工程创建
    759
  • 2
    spring cache整合redis实现springboot项目中的缓存功能
    125
  • 3
    Spring Boot整合Spring Security--学习笔记
    100
  • 4
    【spring(六)】WebSocket网络传输协议
    73
  • 5
    【spring(五)】SpringMvc总结 SSM整合流程
    65
  • 6
    【spring(四)】Spring事务管理和@Transactional注解
    93
  • 7
    Spring Boot 4.0:构建云原生Java应用的前沿工具
    345
  • 8
    Java 新手如何使用Spring MVC 中的查询字符串和查询参数
    65
  • 9
    Spring Boot的定时任务与异步任务
    120
  • 10
    通用Shell脚本执行Spring Boot项目Jar包
    90

    • 相关课程

    更多
  • 全面讲解Spring Cloud Alibaba技术栈(知识精讲+项目实战)第三阶段
  • 精通Spring Cloud Alibaba
  • 微服务框架 Spring Cloud 快速入门
  • Java Web开发系列课程 - Spring框架入门
  • Spring Boot 2.5.x开发实战
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 云栖社区特邀专家徐雷Java Spring Boot开发实战系列课程(第20讲):经典面试题与阿里等名企内部招聘求职面试技巧
  • 微服务架构模式与原理Spring Cloud开发实战
  • 阿里特邀专家徐雷Java Spring Boot开发实战系列课程(第18讲):制作Java Docker镜像与推送到DockerHub和阿里云Docker仓库

    • 相关实验场景

    更多
  • Arthas 基础教程
  • Spring-cloud-bus-rocketmq入门与实践
  • Spring-cloud-stream-binder-rocketmq入门与实践
  • Rocketmq-spring入门与实践
  • 手动部署Java Web环境(Alibaba Cloud Linux 2)
  • 使用Aliyun Java Intializr进行项目开发
    • 下一篇
    无影云桌面