Spring Security学习笔记-Spring专区论坛-技术-SpringForAll社区

Spring Security学习笔记

Tim121352年前发布
6205

shiro、spring security 这两个安全框架一直有听说,但一直没有使用过。从事过的几家公司,也都是自建安全框架。近期公司在搞数据权限设计,正好趁此机会学习下 spring security。

对安全框架的认识

  1. 登录验证

通过用户名、密码或者手机号、验证码等方式,让系统知道你是谁的一个步骤,并且认证通过后会发给你一个凭证(token、sessionId 等),接下来都是通过这个凭证来访问。

  1. 权限校验

你拿着凭证,只能访问管理员赋予你权限访问的地址。这里即包括在前端页面(web、app 等)可以看到的菜单、按钮等页面信息,也包括每次动作请求的后端接口。如果没有权限对于前端页面来说你就看不到相关信息,对于后端接口来说你请求会返回无权限的标识,例如 http 的 403 状态。

  1. 如何实现
  • a. 实现一个登录接口,校验通过后,生成凭证,并将用户的信息和权限缓存起来。
  • b. 实现一个 filter,对每个请求判断是否有凭证,如果没有凭证则返回 401 信息,如果有凭证则拿出用户信息和权限进行校验,如果凭证错误,则返回 401 信息,如果权限不足则返回 403,有权限则允许继续处理。

spring security

名词解释

  • Authentication
    认证,即用于确认用户身份的过程,一般来说就是校验用户名和密码。
  • Authorization
    授权,即确定用户是否有权访问资源或执行特定操作的过程。授权通常是访问控制的第二步,因为它确保只有经过授权的用户才能访问系统中的资源。
  • Protection Against Exploits
    防御攻击漏洞,主要是针对 CSRF(跨站点请求伪造)、Security HTTP Response Headers(安全响应头)
  • Principal
    在计算机中一般代指一个用户、一个实体。在 Authentication 过程中,一般就是指用户的用户名或者其他什么唯一标识这个用户的信息。
  • Credentials
    指身份验证信息,一般就是密码、数字证书、生物识别信息等。

security 的几个核心过滤器

SecurityFilterChain

  • DelegatingFilterProxy

    过滤器代理,其可以将请求委托给一个 Spring 管理的 Filter Bean。通过配置targetBeanName来指定具体的一个实现 Filter 接口的 Bean。这里的意义在于可以延迟加载这个 Bean,且这个 Bean 由 Spring 上下文管理。

  • FilterChainProxy

    security 提供的过滤器链代理,其可以将请求委托给一组过滤器链来处理,这些过滤器链可以根据请求的 URL 路径进行匹配,并按照一定的顺序依次处理请求。在配置 FilterChainProxy 时,可以使用多个 SecurityFilterChain 实例来定义不同的过滤器链,并将其组合成一个完整的过滤器链。每个 SecurityFilterChain 实例都包含了一个或多个过滤器,这些过滤器可以处理特定的 URL 路径。

  • SecurityFilterChain

    security 提供的过滤器链,它定义了一组过滤器,这些过滤器可以处理特定的 URL 路径。

  • Security Filters

    列出一些使用到的的 Security Filter,如下:

    • CorsFilter,处理跨域请求
    • CsrfFilter,处理 Csrf
    • LogoutFilter,登出
    • UsernamePasswordAuthenticationFilter,用户名密码登入,这里还有各种登入过滤器(OAuth2.0,SAML2.0,CAS 等)
    • AnonymousAuthenticationFilter,未登录用户给一个匿名用户身份
    • ExceptionTranslationFilter,用于处理认证异常和访问被拒异常
    • FilterSecurityInterceptor,用于访问权限判定

Authentication

AbstractAuthenticationProcessingFilter 是认证过程最重要和最基础的过滤器,UsernamePasswordAuthenticationFilter 都是继承了这个过滤器。其流程如下:

AbstractAuthenticationProcessingFilter有几个核心的关注点:

  • AuthenticationManager,处理认证请求的接口
    • ProviderManager,AuthenticationManager 的具体实现,通过一系列的 AuthenticationProvider 来做认证
      • AuthenticationProvider,提供具体的某一种认证流程的接口
        • AbstractUserDetailsAuthenticationProvider,AuthenticationProvider 的抽象实现,指定了通过用户名密码来认证
          • DaoAuthenticationProvider,继承了 AbstractUserDetailsAuthenticationProvider,通过 Dao 类即 UserDetailService 来获取用户信息
            • PasswordEncoder,对密码的加密处理
  • AuthenticationFailureHandler,认证失败后的处理
  • AuthenticationSuccessHandler,认证成功后的处理
  • SecurityContext,用户认证信息上下文(用户名、密码、准许的权限)
  • SecurityContextHolder,用来关联当前线程和用户认证信息上下文,默认策略是通过 ThreadLocal 来实现的。

无 session 基于 token+redis 来做登陆授权校验的纯后端案例

案例基于 Spring boot 2.6.8

  1. 在 pom 中引入
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.6.8</version>
</dependency>
  1. 在工程中创建一个包,专门用来放 Spring security 的相关配置
  2. 一些核心类的代码

WebSecurityConfig.java,security 的配置类

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    public static final String LOGIN_URI = "/login";
    public static final String LOGOUT_URI = "/logout";
    public static final String ATTR_USERNAME = "username";
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private SysUserService sysUserService;
    @Autowired
    private CustomPwdEncoder customMd5PasswordEncoder;
    @Autowired
    private StringRedisTemplate redisTemplate;

    @Value("${maxLoginAttempts:3}")
    private Integer maxLoginAttempts;

    @Value("${tokenTimeoutSeconds:600}")
    private Integer tokenTimeoutSeconds;

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf,开启cors跨域
                .csrf().disable()
                .cors()

                //禁用session
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

                //拦截规则
                .and()
                .authorizeRequests()
                .antMatchers(LOGIN_URI).permitAll()
                .anyRequest().authenticated()

                //登出配置
                .and()
                .logout()
                .logoutRequestMatcher(new AntPathRequestMatcher(LOGOUT_URI, "POST"))
                .addLogoutHandler(new CustomLogoutHandler(redisTemplate))

                // 异常处理
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
                .accessDeniedHandler(new CustomAccessDeniedHandler())

                //过滤器
                .and()
                .addFilterBefore(new TokenAuthenticationFilter(redisTemplate, tokenTimeoutSeconds), UsernamePasswordAuthenticationFilter.class)
                .addFilter(new TokenLoginFilter(authenticationManager(), redisTemplate, sysUserService, maxLoginAttempts, tokenTimeoutSeconds));

    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 指定UserDetailService和加密器
        auth
                .eraseCredentials(true)//登录成功后清除上下文中的密码
                .userDetailsService(userDetailsService)
                .passwordEncoder(customMd5PasswordEncoder);
    }

    /**
     * 配置哪些请求不拦截
     * 排除swagger相关请求
     *
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web
                .ignoring()
                .antMatchers("/favicon.ico", "/swagger-resources/**", "/webjars/**", "/v3/**", "/swagger-ui/**", "/swagger-ui**", "/doc.html", "/error");
    }
}

TokenLoginFilter.java,登录过滤器

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    private StringRedisTemplate redisTemplate;

    private Integer maxLoginAttempts;

    private Integer tokenTimeoutSeconds;

    private SysUserService sysUserService;

    public TokenLoginFilter(AuthenticationManager authenticationManager, StringRedisTemplate redisTemplate,
                            SysUserService sysUserService, Integer maxLoginAttempts, Integer tokenTimeoutSeconds) {
        this.setAuthenticationManager(authenticationManager);
        this.setPostOnly(false);
        //指定登录接口的地址和http method
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher(WebSecurityConfig.LOGIN_URI, "POST"));
        this.redisTemplate = redisTemplate;
        this.sysUserService = sysUserService;
        this.maxLoginAttempts = maxLoginAttempts;
        this.tokenTimeoutSeconds = tokenTimeoutSeconds;
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res)
            throws AuthenticationException {
        try {
            LoginVO loginVo = new ObjectMapper().readValue(req.getInputStream(), LoginVO.class);
            req.setAttribute(WebSecurityConfig.ATTR_USERNAME, loginVo.getUsername());
            Authentication authenticationToken = new UsernamePasswordAuthenticationToken(loginVo.getUsername(), loginVo.getPassword());
            return this.getAuthenticationManager().authenticate(authenticationToken);
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }

    /**
     * 认证成功后的处理流程
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {
        //获取认证信息
        CustomUser customUser = (CustomUser) auth.getPrincipal();
        //缓存认证信息到redis
        String token = UUIDUtils.getUUID();
        redisTemplate.opsForValue().set(token, JSONObject.toJSONString(customUser), tokenTimeoutSeconds, TimeUnit.SECONDS);
        //解锁用户
        sysUserService.releaseLock(customUser.getId());
        //返回
        ResponseUtils.out(response, R.ok(token));
    }

    /**
     * 认证失败后的处理流程
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
                                              AuthenticationException e) throws IOException, ServletException {
        //针对用户名密码错误的异常,记录错误次数,达到上限则锁住用户
        if (e instanceof BadCredentialsException) {
            String userName = (String) request.getAttribute(WebSecurityConfig.ATTR_USERNAME);
            if (StringUtils.isNotBlank(userName)) {
                SysUser sysUser = sysUserService.getByUsername(userName);
                if (sysUser != null) {
                    sysUser.setErrorNum(Optional.ofNullable(sysUser.getErrorNum()).orElse(0) + 1);
                    if (sysUser.getErrorNum() >= maxLoginAttempts) {
                        sysUser.setLocked(1);
                    }
                    sysUserService.updateLock(sysUser);
                }
            }
        }
        ResponseUtils.out(response, R.fail().addError("401", e.getMessage()));
    }
}

TokenAuthenticationFilter.java,token 认证过滤器

public class TokenAuthenticationFilter extends OncePerRequestFilter {
    public static String CONTEXT_TOKEN = "m-token";
    private StringRedisTemplate redisTemplate;

    private Integer tokenTimeoutSeconds;

    public TokenAuthenticationFilter(StringRedisTemplate redisTemplate, Integer tokenTimeoutSeconds) {
        this.redisTemplate = redisTemplate;
        this.tokenTimeoutSeconds = tokenTimeoutSeconds;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        logger.info("uri:" + request.getRequestURI());
        //如果是登录接口,直接放行
        if (WebSecurityConfig.LOGIN_URI.equals(request.getRequestURI())) {
            chain.doFilter(request, response);
            return;
        }
        UsernamePasswordAuthenticationToken authentication = getAuthentication(request);
        if (authentication != null) {
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        chain.doFilter(request, response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        // token从header里取
        String token = request.getHeader(CONTEXT_TOKEN);
        if (StringUtils.isNotBlank(token)) {
            String authoritiesString = redisTemplate.opsForValue().get(token);
            if (StringUtils.isNotBlank(authoritiesString)) {
                try {
                    CustomUser customUser = JSONObject.parseObject(authoritiesString, CustomUser.class);
                    if (customUser != null) {
                        redisTemplate.expire(token, tokenTimeoutSeconds, TimeUnit.SECONDS);
                        return new UsernamePasswordAuthenticationToken(customUser.getUsername(), null, customUser.getAuthorities());
                    }
                } catch (Exception e) {
                    logger.error(e.getMessage(), e);
                }
            }
        }
        return null;
    }
}

还要一些自定义的异常处理、登出、密码加密、用户信息获取等代码逻辑较为简单,可以直接参考对应接口进行实现即可。

总结

查阅 spring security 文档和源码的过程中,发现相对于自己来实现一个安全框架,其提供了更加完善的流程。每个流程节点都提供了市面上常用的默认实现,以及预留了扩展槽位,且能做到不侵入业务代码。而且内置了很多安全防御机制(如在密码校验的时候,有专门防御计时攻击等),可见其对安全的重视。总结就是果然牛~

图片来源:https://docs.spring.io/spring-security/reference/5.7/servlet/getting-started.html

Spring Security
评分
欢迎为Ta评分
分享
请登录后发表评论

    回复5
    只看作者
    最新最热
    • 用户25022342的头像-SpringForAll社区用户250223420
      为什么TokenAuthenticationFilter.java这个过滤器要放到身份认证过滤器前呢?
      2年前重庆
分享
Spring专区-SpringForAll社区

Spring专区

Spring、Spring Boot、Spring Data、Spring Security、Spring Cloud等,任何与Spring相关的内容。
发布
帖子
591
互动
383
阅读
11.6W+
  • Java 8 简明教程
    本教程将带领你一步一步地认识这门语言的新特性。通过简单明了的代码示例,你将会学习到如何使用默认接口方法,Lambda表达式,方法引用和重复注解。看完这篇教程后,你还将对最新推出的API有一定的了解,例如:流控制,函数式接口,map扩展和新的时间日期API等等。
  • Java 新特性解读
    盘点Java8之后的各种新特性学习
  • Spring Boot 1.x 入门教程
    Spring Boot 1.x版本入门教程,全网最早连载的的免费Spring Boot经典教程
  • Spring Boot 2.x 入门教程
    Spring Boot 2.x版本入门教程,全网最早连载的的免费Spring Boot经典教程
  • Spring Cloud教程
    全网最早最全最持久的Spring Cloud教程,内容涵盖经典Netflix套件、Aliababa套件
  • Spring Guides
    Spring官方指南的翻译
  • 开发者安装大全
    该专栏主要创作、整理、汇总开发者常用的好用软件、编程环境、中间件等工具的安装,以指导开发者快速搭建自己的需要的开发环境。
  • 玩转 IntelliJ IDEA
    收录各种IDEA的使用技巧、实用插件
标签云
开源 (43)原创 (11)Spring Shell (0)Spring Security (13)Spring Native (0)Spring LDAP (0)Spring Data (11)Spring Cloud Gateway (2)Spring Cloud (28)Spring Boot (164)Spring Batch (3)Spring Authorization (3)Spring AI (3)Spring (64)Java (129)IDEA插件 (2)Chrome插件 (3)
扫码添加微信-SpringForAll社区
在手机上浏览此页面