SpringSecurity学习笔记之四：拦截请求

  在任何应用中，并不是所有请求都需要同等程度地保护起来。有些请求需要认证，有些则不需要。
对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法，它为不同的URL路径有选择地应用安全性：

@Override
protected void configure(HttpSecurity http) throws Exception{
    http
      .authorizeRequests()
        .antMatchers("/spitters/me").authenticated()
        .antMatchers(HttpMethod.POST,"/spittles").authenticated()
        .anyRequest().permitAll();
}

antMatchers()方法所设定的路径支持Ant风格的通配符。如下

.antMatchers("/spitters/**","spittles/mine").authenticated();          //Ant风格

  antMatchers()方法所使用的路径可能会包括Ant风格的通配符，而regexMatchers()方法则能够接受正则表达式来定义请求路径。如下：

.regexMatchers("spitters/.*").authenticated();   //正则表达式风格

  除了路径选择，我们还通过authenticated()和permitAll()来定义该如何保护路径。authenticated()要求在执行该请求时，必须已经登录了应用。如果用户没有认证，Spring Security的Filter将会捕获该请求，并将用户重定向到应用的登录界面。同时permitAll()方法允许请求没有任何的安全限制。除了authenticated()和permitAll()以外，authorizeRequests()方法返回的对象还有更多的方法用于细粒度地保护请求。如下所示：

  我们可以将任意数量的antMatchers()、regexMatchers()和anyRequest()连接起来，以满足Web应用安全规则的需要。注意，将最不具体的路径（如anyRequest()）放在最后面。如果不这样做，那不具体的路径配置将会覆盖掉更为具体的路径配置。

使用Spring表达式进行安全保护

  上面的方法虽然满足了大多数应用场景，但并不是全部。如果我们希望限制某个角色只能在星期二进行访问的话，那么就比较困难了。同时，上面的大多数方法都是一维的，如hasRole()方法和hasIpAddress()方法没办法同时限制一个请求路径。
  借助access()方法，我们可以将SpEL作为声明访问限制的一种方式。例如，如下就是使用SpEL表达式来声明具有“ROLE_SPITTER”角色才能访问“/spitter/me”URL：

.antMatchers("/spitters/me").access("hasRole('ROLE_SPITTER')");

  让SpEL更强大的原因在于，hasRole()仅是Spring支持的安全相关表达式中的一种。下表列出了Spring Security支持的所有SpEL表达式。

  现在，如果我们想限制“/spitter/me”URL的访问，不仅需要ROLE_SPITTER角色，还需要来自指定的IP地址，那么我们可以按照如下的方式调用access()方法：

.antMatchers("/spitter/me")
     .access("hasRole('SPITTER') and hasIpAddress('127.0.0.1')");

Spring Security拦截请求的另外一种方式：强制通道的安全性

  通过HTTP发送的数据没有经过加密，黑客就有机会拦截请求并且能够看到他们想看的数据。这就是为什么敏感信息要通过HTTPS来加密发送的原因。传递到configure()方法中的HttpSecurity对象，除了具有authorizeRequests()方法以外，还有一个requiresChannel()方法，借助这个方法能够为各种URL模式声明所要求的通道（如HTTPS）。
  在注册表单中，用户会希望敏感信息（用户不希望泄露的信息，如信用卡号等）是私密的。为了保证注册表单的数据通过HTTPS传送，我们可以在配置中添加requiresChannel()方法，如下所示：

@Override
protected void configure(HttpSecurity http) throws Exception{
   http
     .authorizeRequests()
       .antMatchers("/spitter/me").hasRole("SPITTER")
       .antMatchers(HttpMethod.POST,"/spittles").hasRole("SPITTER")
       .anyRequest().permitAll();
     .and()
     .requiresChannel()
       .antMatchers("spitter/form").requiresSecure();   //需要 
}

  不论何时，只要是对“/spitter/form”的请求，Spring Security都视为需要安全通道（通过调用requiresChannel()确定的）并自动将请求重定向到HTTPS上。
与之相反，有些页面并不需要通过HTTPS传送。例如，首页不包含任何敏感信息，因此并不需要通过HTTPS传送。我们可以使用requiresInsecure()代替requiresSecure()方法，将首页声明为始终通过HTTP传送：

.antMatchers("/").requiresInsecure();

防止跨站请求伪造

什么是跨站请求伪造？下面是一个简单的例子：

method="POST" action="http://www.spittr.com/Spittles">
    type="hidden" name="massage" value="I'm a stupid" />
    type="submit" value="Click here to win a new car!"/>

  这是跨站请求伪造（cross-site request forgery，CRSF）的一个简单样例。简单来讲，入过一个站点欺骗用户提交请求到其他服务器的话，就会发生CSRF攻击，这可能会带来很严重的后果。
  从Spring Security3.2开始，默认就会启用CSRF攻击。
  Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token，或token不能与服务器端的token相匹配，请求将会失败，并抛出CsrfException。
Spring Security已经简化了将token放到请求的属性中这一任务。

• 使用Thymeleaf，只要标签的action属性添加了Thymeleaf命名空间前缀，那么就会自动生成一个“_csrf”隐藏域：

  ...

• 使用JSP作为页面模板的话，要做的事非常类似：

type="hidden" name="${_csrf.parameterName}"  value="${_csrf.token}" />

• 如果使用Spring表单绑定标签的话，标签会自动为我们添加隐藏的CSRF token标签。

---

上一篇： SpringSecurity学习笔记之三：配置用户存储
下一篇： SpringSecurity学习笔记之五：认证用户