在Spring 3.1中,对 Java Configuration (Java配置)的一般支持被添加到Spring框架中。自Spring Security 3.2以来,就有了Spring Security Java配置支持,用户可以轻松配置Spring Security,而无需使用任何XML。
如果您熟悉第6章“安全命名空间配置”,那么您应该会发现它和安全Java配置支持之间有很多相似之处。
Spring Security提供了 lots of sample applications (许多示例应用程序),演示了Spring Security Java配置的使用。
5.1 Web Security Java Configuration(网络安全Java配置)
第一步是创建我们的Spring安全Java配置。该配置创建了一个名为springSecurityFilterChain的Servlet过滤器,它负责应用程序中的所有安全性(保护应用程序URL、验证提交的用户名和密码、重定向到登录表单等)。您可以在下面找到Spring安全Java配置的最基本的例子:
1、这里真没有配置多少内容,但它确实很有用。您可以找到以下功能的摘要:
2、在你的应用程序中对每个URL进行验证
3、为你生成一个登陆表单
4、允许使用用户名Usernameuser和密码Passwordpassword使用验证表单进行验证。
5、允许用户登出
6、CSRF attackCSPF攻击防范
7、Session FixationSession保护
8、安全 Header 集成
HTTP Strict Transport Security对安全要求严格的HTTP传输安全
X-Content-Type-OptionsX-Content-Type-Options集成
缓存控制(稍后可以允许你缓存静态资源)
X-XSS-ProtectionX-XSS-Protection集成
X-Frame-Options 集成防止点击劫持Clickjacking
9、和以下 Servlet API 方法集成
HttpServletRequest#getRemoteUser()
HttpServletRequest.html#getUserPrincipal()
HttpServletRequest.html#isUserInRole(java.lang.String)
HttpServletRequest.html#login(java.lang.String, java.lang.String)
HttpServletRequest.html#logout()
5.1.1 AbstractSecurityWebApplicationInitializer(抽象安全网络应用程序初始化器)
下一步是将springSecurityFilterChain注册到war中。这可以在Servlet 3.0+环境中通过支持Spring的WebApplicationInitializer在Java配置中完成。不足为奇的是,Spring Security提供了一个基类AbstractSecurityWebApplicationInitializer(抽象安全性应用程序初始化器),它将确保springSecurityFilterChain为您注册。我们使用AbstractSecurityWebApplicationInitializer(抽象安全性应用程序初始化器)的方式会有所不同,这取决于我们是否已经在使用Spring,或者Spring安全性是我们的应用程序中唯一的Spring组件。
第5.1.2节,“AbstractSecurityWebApplicationInitializer without Existing Spring”-如果您还没有使用Spring,请使用这些说明。
第5.1.3节,“AbstractSecurityWebApplicationInitializer with Spring MVC”-如果您已经在使用Spring,请使用这些说明。
5.1.2 AbstractSecurityWebApplicationInitializer without Existing Spring(没有现有Spring的抽象安全性应用程序初始化器)
如果您没有使用Spring或Spring MVC,您将需要将网络安全参数(WebSecurityConfig)传入超类,以确保配置被采用。你可以在下面找到一个例子:
安全性应用程序初始化器(SecurityWebApplicationInitializer)将执行以下操作:
为应用程序中的每个网址自动注册到springSecurityFilterChain过滤器。
添加一个加载网络安全配置(WebSecurityConfig)的上下文加载器(ContextLoaderListener)。
5.1.3 AbstractSecurityWebApplicationInitializer with Spring MVC(有springMVC的抽象安全性应用程序初始化器 )
如果我们在应用程序的其他地方使用Spring,我们可能已经有了一个加载Spring配置的WebApplicationInitializer(web应用初始化器)。如果我们使用以前的配置,我们会得到一个错误。相反,我们应该在现有的应用上下文(ApplicationContext)中注册Spring Security。例如,如果我们使用的是Spring MVC,我们的SecurityWebApplicationInitializer(安全web应用初始化器)看起来就像下面这样:
这只会为应用程序中的每个网址注册springSecurityFilterChain过滤器。之后,我们将确保WebSecurityConfig(web安全配置)加载到我们现有的应用程序初始化器中。例如,如果我们使用Spring MVC,它将被添加到getRootConfigClasses():
5.2 HttpSecurity(http安全)
到目前为止,我们的网络安全配置只包含如何验证用户身份的信息。Spring Security如何知道我们想要要求所有用户都经过身份验证?Spring Security如何知道我们想要支持基于表单的身份验证?原因是WebSecurityConfigurerAdapter(web安全配置适配器)在configure(HttpseSecurity http)方法中提供了一个默认配置,如下所示:
上面的默认配置:
确保我们应用中的所有请求都需要用户被认证
允许用户进行基于表单的认证
允许用户使用HTTP基于验证进行认证
你可以看到这个配置和下面的XML命名配置相似:
java配置使用and()方法相当于XML标签的关闭。这允许我们继续配置父对象。如果你阅读代码,它也是有意义的。我想配置授权请求,配置表单登录和配置HTTP基本身份验证。
然而,Java配置有不同的默认URL和参数。创建自定义登录页面时请记住这一点。结果是,我们的网址更加RESTful。此外,我们使用有助于防止信息泄露的Spring Security并不十分明显。例如5.3所示:
5.3 Java Configuration and Form Login(java配置和表单登录)
当提示您登录时,您可能想知道登录表单是从哪里来的,因为我们没有提到任何HTML文件或JSP。由于Spring Security的默认配置没有为登录页面明确设置URL,Spring Security会根据已启用的功能自动生成一个,并使用处理提交的登录的URL的标准值、用户登录后将被发送到的默认目标URL等等。
虽然自动生成的登录页面便于快速启动和运行,但大多数应用程序都希望提供自己的登录页面。为此,我们可以更新我们的配置,如下所示:
1、指定登录页的路径
2、我们必须允许所有用户访问我们的登录页(例如为验证的用户),这个formLogin().permitAll()方法允许基于表单登录的所有的URL的所有用户的访问。
下面是我们当前配置的一个用JSPs实现的登录页面示例:
下面的登录页面代表我们当前的配置。如果某些默认值不能满足我们的需求,我们可以轻松地更新我们的配置。
1、一个POST请求到/login用来验证用户
2、如果参数有error, 验证尝试失败
3、如果请求蚕食logout存在则登出
4、登录名参数必须被命名为username
5、密码参数必须被命名为password
6、我们必须阅读第18.4.3节“包含CSRF令牌”(Section 18.4.3, “Include the CSRF Token”)以了解更多信息,请阅读第18章“跨站点请求伪造(CSRF)”(Chapter 18,Cross Site Request Forgery (CSRF))一节的参考资料
5.4 Authorize Requests(请求授权)
我们的例子中要求用户进行身份验证并且在我们应用程序的每个URL这样做。我么你可以通过给http.authorizeRequests()添加多个子节点来指定多个定制需求到我们的URL。例如:
1、http.authorizeRequests()方法有多个子节点,每个macher按照他们的声明顺序执行。
2、我们指定任何用户都可以通过访问的多个URL模式。任何用户都可以访问URL以"/resources/", equals "/signup", 或者 "/about"开头的URL。
3、以 "/admin/" 开头的URL只能由拥有 "ROLE_ADMIN"角色的用户访问。请注意我们使用 hasRole 方法,没有使用 "ROLE_" 前缀。
4、任何以"/db/" 开头的URL需要用户同时具有 "ROLE_ADMIN" 和 "ROLE_DBA"。和上面一样我们的 hasRole 方法也没有使用 "ROLE_" 前缀。
5、尚未匹配的任何URL要求用户进行身份验证。
5.5 Handling Logouts(登出处理)
当使用WebSecurityConfigurerAdapter, 注销功能会自动应用。默认是访问URL`/logout`将注销登陆的用户:
使HTTP Session 无效
清楚所有已经配置的 RememberMe 认证
清除SecurityContextHolder
重定向到 /login?logout
1、提供注销支持,使用WebSecurityConfigurerAdapter会自动被应用。
2、设置触发注销操作的URL (默认是/logout). 如果CSRF内启用(默认是启用的)的话这个请求的方式被限定为POST。 请查阅相关信息JavaDoc相关信息.
3、注销之后跳转的URL。默认是/login?logout。具体查看JavaDoc文档.
4、让你设置定制的 LogoutSuccessHandler。如果指定了这个选项那么logoutSuccessUrl()的设置会被忽略。请查阅JavaDoc文档.
5、指定是否在注销时让HttpSession无效。 默认设置为true。 在内部配置SecurityContextLogoutHandler,有关更多信息, 请查阅JavaDoc文档.
6、添加一个LogoutHandler,默认情况下SecurityContextLogoutHandler会被添加为最后一个LogoutHandler。
7、允许指定在注销成功时将移除的cookie。这是一个显示的添加一个CookieClearingLogoutHandler的快捷方式。
注销也可以通过XML命名空间进行配置,请参阅Spring Security XML命名空间相关文档获取更多细节logout element。
5.5.1 LogoutHandler(登出处理器)
通常,LogoutHandle的r实现类能够参与到注销处理中。它们将被调用来执行必要的清理。因此,他们不应该抛出异常。提供了各种实现方式:
PersistentTokenBasedRememberMeServices(基于持久令牌的记忆服务)
TokenBasedRememberMeServices(基于令牌的记忆服务)
CookieClearingLogoutHandler(Cookie清除注销处理程序)
CsrfLogoutHandler(Csrf注销处理程序)
SecurityContextLogoutHandler(安全上下文注销处理程序)
详情请参见第17.4节“记住我的界面和实现”。(Section 17.4, “Remember-Me Interfaces and Implementations”)
除了直接提供LogoutHandler实现,fluent应用编程接口还提供了快捷方式,这些快捷方式在封面下提供了各自的LogoutHandler实现。例如,deleteCookies()允许指定注销成功时要删除的一个或多个cookies的名称。与添加CookieClearingLogoutHandler相比,这是一个快捷方式。
5.5.2 LogoutSuccessHandler(登出成功处理器)
LogoutSuccessHandler(登出成功处理器)被LogoutFilter(登出处理器)在成功注销后调用,用来进行重定向或者转发相应的目的地。注意这个接口与LogoutHandler(登出处理器)几乎一样,但是可以抛出异常。
下面是提供的一些实现:
SimpleUrlLogoutSuccessHandler(简单URL登出成功处理器)
HttpStatusReturningLogoutSuccessHandler(http状态返回登出成功处理器)
和前面提到的一样,你不需要直接指定SimpleUrlLogoutSuccessHandler(简单URL登出成功处理器)。而使用流式API接口通过设置logoutSuccessUrl(登出成功URL)快捷方式进行设置SimpleUrlLogoutSuccessHandler简单URL登出成功处理器)。注销成功 后将重定向到设置的URL地址。默认的地址是 /login?logout。
在REST API场景中HttpStatusReturningLogoutSuccessHandlerhttp状态返回登出成功处理器)会进行一些有趣的改变。LogoutSuccessHandler(登出成功处理器)允许你设置一个返回给客户端的HTTP状态码(默认返回200)来替换重定向到URL这个动作。
5.5.3 Further Logout-Related References(进一步登出相关参考)
Logout Handling(登出处理)
Testing Logout(登出测试)
HttpServletRequest.logout()(HTTPServletRequest登出)
Section 17.4, “Remember-Me Interfaces and Implementations”(Remember-Me接口和实现)
Logging Outin section CSRF Caveats (登出CSRF说明)
SectionSingle Logout(CAS protocol)(单点登出)
Documentation for thelogout elementin the Spring Security XML Namespace section(Spring安全XML命名空间部分中注销元素的文档)
5.6 Authentication(认证)
到目前为止,我们只看了最基本的身份验证配置。让我们看几个稍微高级一点的配置身份验证的选项。
5.6.1 In-Memory Authentication(内存中的身份验证)
我们已经看到了一个单用户配置到内存验证的示例,下面是配置多个用户的例子:
5.6.2 JDBC Authentication(jdbc认证)
你可以找一些更新来支持JDBC的验证。下面的例子假设你已经在应用程序中定义好了DataSource, jdbc-javaconfig 示例提供了一个完整的基于JDBC的验证。
5.6.3 LDAP Authentication(LDAP认证)
你可以找一些更新来支持LDAP的身份验证, ldap-javaconfig 提供了一个完成的使用基于LDAP的身份验证的示例。
上面的例子使用了下面的LDIF和一个嵌入的Apache DS LDAP实例。
dn: ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: groups
dn: ou=people,dc=springframework,dc=org
objectclass: top
objectclass: organizationalUnit
ou: people
dn: uid=admin,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Rod Johnson
sn: Johnson
uid: admin
userPassword: password
dn: uid=user,ou=people,dc=springframework,dc=org
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Dianne Emu
sn: Emu
uid: user
userPassword: password
dn: cn=user,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfNames
cn: user
uniqueMember: uid=admin,ou=people,dc=springframework,dc=org
uniqueMember: uid=user,ou=people,dc=springframework,dc=org
dn: cn=admin,ou=groups,dc=springframework,dc=org
objectclass: top
objectclass: groupOfNames
cn: admin
uniqueMember: uid=admin,ou=people,dc=springframework,dc=org
5.6.4 AuthenticationProvider(认证提供商)
您可以通过一个自定义的AuthenticationProvider为bean定义自定义身份验证。 例如, 下面这个例子假设自定义身份验证SpringAuthenticationProvider实现了AuthenticationProvider:
仅当尚未填充AuthenticationManagerBuilder时,才使用此选项。
5.6.5 UserDetailsService(用户详细信息服务)
你可以通过一个自定义的UserDetailsService(用户详细信息服务)为bean定义自定义身份验证。 例如,下面这个例子假设自定义身份验证SpringDataUserDetailsService实现了UserDetailsService:
仅当尚未填充AuthenticationManagerBuilder(身份验证管理器生成器)并且未定义AuthenticationProviderBean(身份验证提供商)时,才使用此选项。
你也可以通过让passwordencoder为bean自定义密码如何编码。 例如,如果你使用BCrypt,你可以添加一个bean定义如下图所示:
5.6.6 LDAP Authentication(LDAP身份认证)
5.7 Multiple HttpSecurity(多个HttpSecurity)
我们可以配置多个http安全实例,就像我们可以有多个< http >块一样。关键是多次扩展WebSecurityConfigurerAdapter。例如,下面是一个为以/api/开头的网址进行不同配置的示例。
配置正常的验证。
1、创建一个WebSecurityConfigurerAdapter,包含一个@Order注解,用来指定个哪一个WebSecurityConfigurerAdapter更优先。
2、http.antMatcher指出,这个HttpSecurity只应用到以/api/开头的URL上。
3、创建另外一个WebSecurityConfigurerAdapter实例。用于不以/api/开头的URL,这个配置的顺序在ApiWebSecurityConfigurationAdapter之后,因为他没有指定@Order值为1(没有指定@Order默认会被放到最后).
5.8 Method Security(方法安全性)
从版本2.0开始,Spring Security已经大大改进了对为服务层方法增加安全性的支持。它支持JSR-250注释安全性以及框架的原始@Secured注释。从3.0开始,您还可以使用新的基于表达式(expression-based annotations.)的注释。您可以对单个bean应用安全性,使用intercept-methods元素来修饰bean声明,或者使用AspectJ风格的切入点来保护整个服务层中的多个bean。
5.8.1 EnableGlobalMethodSecurity(启用全局方法安全性)
我们可以在任何@Configuration实例上使用@EnableGlobalMethodSecurity注释来启用基于注释的安全性。例如,下面将启用Spring Security的@Secured注释。
向方法(在类或接口上)添加注释会相应地限制对该方法的访问。Spring Security的原生注释支持为该方法定义了一组属性。这些将被传递给AccessDecisionManager(访问决策管理器),以便它做出实际的决策:
使用如下代码启用JSR-250注解的支持
这些都是基于标准的,允许应用简单的基于角色的约束,但不具备Spring Security的原生注释。要使用新的基于表达式的语法,您应该使用
等效的Java代码是
5.8.2 GlobalMethodSecurityConfiguration(全局方法安全性配置)
有时您可能需要执行比@EnableGlobalMethodSecurity注释允许的操作更复杂的操作。对于这些实例,您可以扩展GlobalMethodsecurityConfiguration(全局方法安全性配置),确保您的子类中存在@EnableGlobalMethodSecurity注释。例如,如果您想提供一个自定义的MethodSecurityExpressionHandler(方法安全表达式处理程序),您可以使用以下配置:
关于可以被重写的方法的更多信息,请参考GlobalMethodSecurityConfiguration(全局方法安全性配置)的java文档。
5.9 Post Processing Configured Objects(后置处理配置的对象)
Spring Security的Java配置没有公开它配置的每个对象的每个属性。这简化了大多数用户的配置。毕竟,如果每个属性都公开了,用户可以使用标准的bean配置。
虽然有充分的理由不直接公开每个属性,但是用户可能仍然需要更高级的配置选项。为了解决这个问题,Spring Security引入了ObjectPostProcessor(后置对象处理器)的概念,它可以用来修改或替换许多由Java配置创建的对象实例。例如,如果您想在FilterSecurityInterceptor(安全过滤拦截器)上配置FilterSecurityPublishauthorizationSuccess(安全过滤发布授权成功)属性,可以使用以下方法:
您可以在Spring Security中提供自己的定制DSL。例如,你可能有这样的东西:
这实际上是像HttpSecurity.authorizeRequests()这样的方法是来实现的。
自定义DSL可以这样使用:
代码按以下顺序调用:
1、调用“配置”的配置方法中的代码
2、调用了“MyCustomDsl的初始化方法”中的代码
3、调用了“MyCustomDsl的配置方法”中的代码
如果需要,您可以使用SpringFactories让WebSecurityConfiguerAdapter默认添加MyCustomDsl。例如,您可以在类路径上创建一个名为META-INF/spring.factories的资源,其内容如下:
org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer = sample.MyCustomDsl
希望禁用默认值的用户可以明确地这样做。