theme: cyanosis

Spring Security 入门与详解

Spring Security 是 Spring 框架中一个功能强大且灵活的安全模块。它为应用程序提供了强大的认证和授权功能，同时支持防止常见的安全攻击（如 CSRF 和会话固定攻击）。在开发 Web 应用程序时，理解和配置 Spring Security 是保障系统安全的关键。

一、Spring Security 的核心概念

1. 认证（Authentication）

认证是指验证用户的身份，即确认用户是谁。Spring Security 的认证过程包括以下几个步骤：

1. 用户提交登录凭据（例如用户名和密码）。
2. Spring Security 验证凭据的合法性。
3. 认证成功后，生成一个 Authentication 对象，存储在 SecurityContextHolder 中。

示例：获取当前用户的信息

当用户登录成功后，Spring Security 会将认证信息存储在会话中，从而在后续请求中验证用户身份。

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication != null && authentication.isAuthenticated()) {
    System.out.println("当前用户：" + authentication.getName());
}

2. 授权（Authorization）

授权是指在用户认证成功后，判断其是否有权限访问特定资源。Spring Security 通过角色（Role）或权限（Authority）来控制用户的访问行为。

示例：基于角色的访问控制

用户登录后，如果角色为 ROLE_ADMIN，可以访问管理页面；否则，将被重定向到权限不足的页面。

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/admin/**").hasRole("ADMIN") // 仅允许 ADMIN 角色访问
                .anyRequest().authenticated())
            .formLogin(form -> form
                .loginPage("/login")
                .defaultSuccessUrl("/home", true)
                .permitAll())
            .exceptionHandling(e -> e
                .accessDeniedPage("/access-denied")); // 权限不足跳转页面
        return http.build();
    }
}

3. 过滤器链（Security Filter Chain）

Spring Security 的工作原理是通过一组过滤器（Filter）来拦截和处理请求，这些过滤器形成了一个过滤器链。

关键过滤器及其职责

Spring Security 的过滤器链由多个过滤器组成，每个过滤器承担特定的职责。以下是部分关键过滤器的介绍：

• UsernamePasswordAuthenticationFilter：专门处理用户的用户名和密码认证请求。
• SecurityContextPersistenceFilter：负责维护用户的安全上下文信息，在每个请求开始时加载上下文，在请求完成时存储上下文。
• CsrfFilter：用于防止跨站请求伪造攻击（CSRF），通过生成和验证 CSRF Token 来保护应用安全。
• ExceptionTranslationFilter：捕获过滤器链中的异常，并将其转换为用户友好的响应。

示例：添加自定义过滤器

以下代码展示了如何在自定义过滤器链中插入额外的过滤器：

@Configuration
@EnableWebSecurity
public class CustomSecurityConfig {
   

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
   
        http.addFilterBefore(new CustomFilter(), UsernamePasswordAuthenticationFilter.class)
            .authorizeHttpRequests(auth -> auth
                .anyRequest().authenticated())
            .csrf().disable();

        return http.build();
    }

    private static class CustomFilter extends GenericFilterBean {
   
        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
   
            System.out.println("Custom filter applied");
            chain.doFilter(request, response);
        }
    }
}

二、Spring Security 的基本配置

在 Spring Boot 中，Spring Security 的配置主要通过以下几部分实现：

1. PasswordEncoder（密码加密器）

PasswordEncoder 用于对用户密码进行加密和验证。在 Spring Security 中，推荐使用 BCryptPasswordEncoder。

@Bean
public PasswordEncoder passwordEncoder() {
   
    return new BCryptPasswordEncoder();
}

示例：密码加密与验证

• 加密密码：

  String rawPassword = "123456";
  String encodedPassword = passwordEncoder().encode(rawPassword);
  System.out.println(encodedPassword); // 输出加密后的密码
  

• 验证密码：

  boolean matches = passwordEncoder().matches("123456", encodedPassword);
  System.out.println(matches); // true
  

2. UserDetailsService（用户信息服务）

UserDetailsService 是一个接口，用于从数据库加载用户信息（用户名、密码、角色等）。我们需要实现它，并在自定义逻辑中查询用户。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
   

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
        User user = userRepository.findByUsername(username)
                .orElseThrow(() -> new UsernameNotFoundException("用户不存在"));
        return new org.springframework.security.core.userdetails.User(
                user.getUsername(),
                user.getPassword(),
                user.getRoles() // 用户角色
        );
    }
}

3. DaoAuthenticationProvider（认证提供者）

DaoAuthenticationProvider 是 Spring Security 的默认认证提供者。它依赖于 UserDetailsService 和 PasswordEncoder。

@Bean
public DaoAuthenticationProvider authenticationProvider() {
   
    DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
    authProvider.setUserDetailsService(userDetailsService);
    authProvider.setPasswordEncoder(passwordEncoder());
    return authProvider;
}

4. SecurityFilterChain（过滤器链配置）

Spring Security 的过滤器链通过 SecurityFilterChain 进行配置。以下是常见配置项的解析：

4.1 CSRF（跨站请求伪造防护）

在开发阶段，可以禁用 CSRF 防护：

.csrf(csrf -> csrf.disable())

在生产环境，建议开启 CSRF 防护，并为特定接口添加白名单：

.csrf(csrf -> csrf.ignoringRequestMatchers("/api/**"))

4.2 授权规则

通过 authorizeHttpRequests 配置路由访问规则：

.authorizeHttpRequests(auth -> auth
        .requestMatchers("/login", "/register", "/css/**", "/js/**").permitAll()
        .anyRequest().authenticated()
)

4.3 自定义登录页面

通过 formLogin 配置自定义登录行为：

.formLogin(form -> form
        .loginPage("/login")                // 登录页面路径
        .loginProcessingUrl("/perform_login") // 登录表单提交路径
        .defaultSuccessUrl("/home", true)    // 登录成功后跳转页面
        .failureUrl("/login?error")         // 登录失败后跳转页面
        .permitAll()
)

4.4 注销配置

通过 logout 配置用户退出登录后的行为：

.logout(logout -> logout
        .logoutUrl("/logout")                  // 退出登录 URL
        .logoutSuccessUrl("/login?logout")     // 退出成功后跳转页面
        .permitAll()
)

4.5 会话管理

限制每个用户只能有一个会话，并配置会话过期后的行为：

.sessionManagement(session -> session
        .maximumSessions(1)                // 每个用户限制一个会话
        .expiredUrl("/login?expired")     // 会话过期后跳转页面
)

三、完整代码示例

以下是一个完整的 Spring Security 配置类示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig {
   

    private final UserDetailsServiceImpl userDetailsService;

    public SecurityConfig(UserDetailsServiceImpl userDetailsService) {
   
        this.userDetailsService = userDetailsService;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
   
        return new BCryptPasswordEncoder();
    }

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
   
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService);
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
   
        http
                .csrf(csrf -> csrf.disable())
                .authorizeHttpRequests(auth -> auth
                        .requestMatchers("/login", "/register", "/css/**", "/js/**").permitAll()
                        .anyRequest().authenticated()
                )
                .formLogin(form -> form
                        .loginPage("/login")
                        .loginProcessingUrl("/perform_login")
                        .defaultSuccessUrl("/home", true)
                        .failureUrl("/login?error")
                        .permitAll()
                )
                .logout(logout -> logout
                        .logoutUrl("/logout")
                        .logoutSuccessUrl("/login?logout")
                        .permitAll()
                )
                .authenticationProvider(authenticationProvider())
                .sessionManagement(session -> session
                        .maximumSessions(1)
                        .expiredUrl("/login?expired")
                );
        return http.build();
    }
}

四、常见问题与排查

1. 登录后页面循环重定向

• 问题：登录成功后，页面无限跳转。
• 原因：登录页面路径和默认跳转页面相同，导致循环跳转。
• 解决方案： 确保 defaultSuccessUrl 和 loginPage 的路径不同。

2. 静态资源被拦截

• 问题：CSS 或 JavaScript 文件无法加载。

• 原因：静态资源路径未被放行。

• 解决方案： 确保在 authorizeHttpRequests 中添加以下规则：

  .requestMatchers("/css/**", "/js/**", "/images/**").permitAll()
  

3. 登录失败未返回错误信息

• 问题：用户登录失败时，未显示具体错误提示。

• 解决方案： 确保在登录页面中添加错误信息的展示逻辑：

  <div th:if="${param.error}" class="error">用户名或密码错误</div>