Spring Security学习：05.初识Web应用安全的Java配置，3.x升级到4.x【云图智联】

新的安全问题不断出现，Spring Security也必须不断升级。作为一个主版本号修改的发行版本，Spring Security团队有机会来做一些主动的改变：

• Spring Security支持更多的默认安全行为

• 最小化信息泄露

• 移除不建议使用的API

要更详细的查看如果从3.x升级到4.x，请参考：

• Migrating from Spring Security 3.x to 4.x (XML Configuration)

• Migrating from Spring Security 3.x to 4.x (Java Configuration)

笔者注：跟传统情况下，我们在做过滤器中做权限验证类似，Spring Secuirty也是在Filter中进行权限验证。因此使用Java代码配置Spring Security主要是这两个步骤：

1、创建过滤器

2、注册过滤器。

关于创建过滤器与注册过滤器过程中内部都做了什么，我们在后面会详细解释，目前我们只是要知道如何配置。

第一步：创建过滤器

第一步，是使用Java代码创建Spring Security的配置。这段配置创建一个Servlet Filter：springSecurityFilterChain，其负责应用中的所有安全，包括：保护应用的URLS，验证提交的username和password，重定向到登录页面等。

编写一个类，名字随意，这里为起名为SecurityConfig，源码如下所示： 

1. import org.springframework.beans.factory.annotation.Autowired;
2. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
3. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
4. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
5. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
6.  
7. @EnableWebSecurity
8. public class SecurityConfig extends WebSecurityConfigurerAdapter{
9. @Autowired
10. public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
11. auth
12. .inMemoryAuthentication()
13. .withUser("user").password("password").roles("USER");
14. }
15.  
16. }

方法名 configureGlobal是无关紧要的，重要的是在一个添加了 @EnableWebSecurity, @EnableGlobalMethodSecurity或者 @EnableGlobalAuthentication注解的类里面，注入 AuthenticationManagerBuilder。

这段代码内容很少，但事实上已经做了很多的默认安全验证，包括：

1、访问应用中的每个URL都需要进行验证

2、生成一个登陆表单

3、允许用户使用username和password来登陆

4、允许用户注销

5、CSRF攻击拦截

6、 Session Fixation攻击

7、 安全Header集成

* HTTP Strict Transport Security for secure requests

* X-Content-Type-Options integration

* 缓存控制 (can be overridden later by your application to allow caching of your static resources)

* X-XSS-Protection integration

* X-Frame-Options integration to help prevent Clickjacking

Integrate with the following Servlet API methods

* HttpServletRequest#getRemoteUser()

* HttpServletRequest.html#getUserPrincipal()

* HttpServletRequest.html#isUserInRole(java.lang.String)

* HttpServletRequest.html#login(java.lang.String, java.lang.String)

* HttpServletRequest.html#logout()

 

第二步：注册过滤器

下一步是注册springSecurityFilterChain。这个可以借助Spring3.1引入的WebApplicationInitializer完成。SpringSecurity提供了一个基类 AbstractSecurityWebApplicationInitializer来确保 springSecurityFilterChain被注册。对于如何使用AbstractSecurityWebApplicationInitializer， 这要依据Spring Secuirty是否项目中的唯一的Spring组件而有所不同。

项目中没有使用Spring

如果你没有使用Spring或者SpringMvc，你需要传递我们的 SecurityConfig类到父类中，从而确保我们的配置会被加载。可以参照一下的代码：

1. import org.springframework.security.web.context.*;
2.  
3. public class SecurityWebApplicationInitializer
4.         extends AbstractSecurityWebApplicationInitializer {
5.  
6.         public SecurityWebApplicationInitializer() {
7.                 super(SecurityConfig.class);
8.         }
9. }

SecurityWebApplicationInitializer将会做以下的事情:

• 自动注册 springSecurityFilterChain 过滤器，并作用于应用中的每个URL。

• 添加一个 ContextLoaderListener 来加载 SecurityConfig类。

项目中已经使用了SpringMvc

如果在我们的应用程序中已经使用了Spring，那么在我们的应用中可能已经有了一个 WebApplicationInitializer来加载我们的配置，如果我们还使用之前的代码，将会出现一个错误。此时我们应该在已经存在的ApplicationContext中注册Spring Security。例如，如果我们已经使用SpringMvc，那么我们的代码应该是如下所示：

1. import org.springframework.security.web.context.*;
2.  
3. public class SecurityWebApplicationInitializer
4.         extends AbstractSecurityWebApplicationInitializer {
5.  
6. }

这段代码仅仅会将 springSecurityFilterChain 注册到应用中，并作用于每个url。此时我们的SecurityConfig类依然会被已经存在的 ApplicationInitializer 加载。例如，我们使用SpringMvc，它将会被添加到 getRootConfigClasses()。

1. public class MvcWebApplicationInitializer extends
2.                 AbstractAnnotationConfigDispatcherServletInitializer {
3. //Specify @Configuration and/or @Component classes to be provided to the root application context.
4.         @Override
5.         protected Class[] getRootConfigClasses() {
6.                 return new Class[] { SecurityConfig.class };
7.         }
8.  
9.         // ... other overrides ...
10. }

运行项目

将以上代码部署到Tomcat中运行，通过浏览器访问任何页面都会被重新定位到一个登陆页面，截图如下：

这个页面是Spring Security自动帮我们生成的。我们可以使用之前配置的用户名和密码进行登录。自动生成这个页面的代码位于类DefaultLoginPageGeneratingFilter的generateLoginPageHtml方法中。

免费学习视频欢迎关注云图智联：https://e.yuntuzhilian.com/