Spring Security安全框架教程:入门到实战案例详解
Spring Security 提供了在 Web 应用程序中执行身份验证和授权的方法。我们可以在任何基于 Servlet 的 Web 应用程序中使用 Spring Security。
春天的安全使用Spring Security的一些好处包括:
-
传统技术已经被证明有效,与其重新发明轮子,不如使用它。安全是我们需要特别留意的事情,否则我们的应用程序会容易受到攻击者的攻击。
- 传统技术已经被证明有效,与其重新发明轮子,不如使用它。安全是我们需要特别留意的事情,否则我们的应用程序会容易受到攻击者的攻击。
-
- 可以防止一些常见的攻击,例如CSRF攻击、会话固定攻击。
-
- 易于集成到任何网络应用中。我们不需要修改网络应用的配置,Spring会自动注入安全过滤器到网络应用中。
-
- 提供支持各种身份验证方式的功能——内存验证、DAO验证、JDBC验证、LDAP验证等等。
-
- 提供忽略特定URL模式的选项,适用于提供静态HTML、图像文件。
- 支持组和角色的功能。
Spring Security 示例我们将创建一个Web应用程序,并将其与Spring Security集成。在Eclipse中使用“Dynamic Web Project”选项创建一个Web应用程序,以便我们的骨架Web应用程序就绪。确保将其转为Maven项目,因为我们正在使用Maven进行构建和部署。如果您对这些步骤不熟悉,请参考Java Web Application教程。一旦我们的应用程序得到了安全保护,最终的项目结构将如下图所示。我们将研究三种Spring Security身份验证方法。
-
在内存中
- 在内存中
-
- 数据访问对象
- Java数据库连接
对于JDBC,我正在使用MySQL数据库,并执行以下脚本来创建用户详情表。
JDBC中,我使用MySQL数据库,并执行以下脚本以创建用户详情表。
CREATE TABLE `Employees` (
`username` varchar(20) NOT NULL DEFAULT '',
`password` varchar(20) NOT NULL DEFAULT '',
`enabled` tinyint(1) NOT NULL DEFAULT '1',
PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `Roles` (
`username` varchar(20) NOT NULL DEFAULT '',
`role` varchar(20) NOT NULL DEFAULT '',
PRIMARY KEY (`username`,`role`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
INSERT INTO `Employees` (`username`, `password`, `enabled`)
VALUES
('scdev', 'scdev123', 1);
INSERT INTO `Roles` (`username`, `role`)
VALUES
('scdev', 'Admin'),
('scdev', 'CEO');
commit;
我们还需要将JDBC数据源配置为JNDI在我们的Servlet容器中,要了解更多信息,请阅读Tomcat JNDI数据源示例。
春季安全 Maven 依赖
这是文章《Spring安全示例教程》的第2部分(共4部分)。
这是我们最终的pom.xml文件。
<project xmlns="https://maven.apache.org/POM/4.0.0" xmlns:xsi="https://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="https://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>WebappSpringSecurity</groupId>
<artifactId>WebappSpringSecurity</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>war</packaging>
<dependencies>
<!-- Spring Security 组件 - 开始 -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>3.2.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>3.2.3.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>3.0.5.RELEASE</version>
</dependency>
<!-- Spring Security 组件 - 结束 -->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
<scope>compile</scope>
</dependency>
<dependency>
<groupId>javax.servlet.jsp</groupId>
<artifactId>jsp-api</artifactId>
<version>2.1</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.0.1</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>commons-logging</groupId>
<artifactId>commons-logging</artifactId>
<version>1.1.1</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-jdbc</artifactId>
<version>4.0.2.RELEASE</version>
</dependency>
</dependencies>
<build>
<sourceDirectory>src</sourceDirectory>
<plugins>
<plugin>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.1</version>
<configuration>
<source>1.7</source>
<target>1.7</target>
</configuration>
</plugin>
<plugin>
<artifactId>maven-war-plugin</artifactId>
<version>2.3</version>
<configuration>
<warSourceDirectory>WebContent</warSourceDirectory>
<failOnMissingWebXml>false</failOnMissingWebXml>
</configuration>
</plugin>
</plugins>
</build>
</project>
我们有与Spring Framework相关的以下依赖关系:
- spring-jdbc:这是由JDBC认证方法使用的用于JDBC操作的库。它需要将DataSource设置为JNDI。有关其用法的完整示例,请参考Spring DataSource JNDI示例。
- spring-security-taglibs:Spring Security标签库,我使用它在JSP页面中显示用户角色。大多数情况下,您可能不需要它。
- spring-security-config:用于配置身份验证提供程序,可以使用JDBC、DAO、LDAP等。
- spring-security-web:该组件将Spring Security集成到Servlet API中。我们需要它来插入我们的安全配置到Web应用程序中。
请注意,我们将使用Servlet API 3.0功能以编程方式添加监听器和过滤器,这就是为什么依赖项中的servlet api版本应为3.0或更高的原因。
Spring Security示例查看页面
Spring安全示例教程 – 第3部分(共4部分)
我们的应用程序中有JSP和HTML页面。除了HTML页面外,我们希望在所有页面上应用身份验证。
health.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>健康检查</title>
</head>
<body>
<h3>服务已启动并运行中!!</h3>
</body>
</html>
首页.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<%@ taglib uri="https://java.sun.com/jsp/jstl/core" prefix="c" %>
<%@ taglib uri="https://www.springframework.org/security/tags" prefix="sec" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "https://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首页</title>
</head>
<body>
<h3>首页</h3>
<p>
你好 <b><c:out value="${pageContext.request.remoteUser}"/></b><br>
角色: <b><sec:authentication property="principal.authorities" /></b>
</p>
<form action="logout" method="post">
<input type="submit" value="注销" />
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
</form>
</body>
</html>
我已经在应用部署描述符中将index.jsp作为欢迎文件包含进去。Spring Security负责防范CSRF(跨站请求伪造)攻击,因此当我们提交注销表单时,我们会将CSRF令牌发送回服务器以删除它。由Spring Security组件设置的CSRF对象被命名为_csrf,我们会在注销请求中使用它的属性名称和令牌值进行传递。现在让我们来看一下Spring Security的配置。
Spring安全示例:UserDetailsService DAO实现
由于我们将使用基于DAO的身份验证,因此我们需要实现UserDetailsService接口,并提供loadUserByUsername()方法的实现。理想情况下,我们应该使用一些资源来验证用户,但为了简单起见,我只做基本验证。
AppUserDetailsServiceDAO.java
package com.Olivia.webapp.spring.dao;
import java.util.Collection;
import java.util.List;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
public class AppUserDetailsServiceDAO implements UserDetailsService {
protected final Log logger = LogFactory.getLog(getClass());
@Override
public UserDetails loadUserByUsername(final String username)
throws UsernameNotFoundException {
logger.info("loadUserByUsername username="+username);
if(!username.equals("scdev")){
throw new UsernameNotFoundException(username + " not found");
}
//创建虚拟用户详情,实际应用中应该进行JDBC操作
return new UserDetails() {
private static final long serialVersionUID = 2059202961588104658L;
@Override
public boolean isEnabled() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public String getUsername() {
return username;
}
@Override
public String getPassword() {
return "scdev123";
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
List<SimpleGrantedAuthority> auths = new java.util.ArrayList<SimpleGrantedAuthority>();
auths.add(new SimpleGrantedAuthority("admin"));
return auths;
}
};
}
}
请注意,我正在创建一个UserDetails的匿名内部类并返回它。你可以为它创建一个实现类,然后实例化并返回它。通常在实际应用中,这是常见的做法。
实例WebSecurityConfigurer的春季安全性示例实现
这是文章《Spring安全示例教程》的第4部分(共4部分)。
内容片段:我们可以实现WebSecurityConfigurer接口,或者我们可以继承基本实现类WebSecurityConfigurerAdapter并重写其中的方法。SecurityConfig.java
package com.Olivia.webapp.spring.security;
import javax.naming.Context;
import javax.naming.InitialContext;
import javax.sql.DataSource;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import com.Olivia.webapp.spring.dao.AppUserDetailsServiceDAO;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(AuthenticationManagerBuilder auth)
throws Exception {
// in-memory authentication
// auth.inMemoryAuthentication().withUser("scdev").password("scdev123").roles("USER");
// using custom UserDetailsService DAO
// auth.userDetailsService(new AppUserDetailsServiceDAO());
// using JDBC
Context ctx = new InitialContext();
DataSource ds = (DataSource) ctx
.lookup("java:/comp/env/jdbc/MyLocalDB");
final String findUserQuery = "select username,password,enabled "
+ "from Employees " + "where username = ?";
final String findRoles = "select username,role " + "from Roles "
+ "where username = ?";
auth.jdbcAuthentication().dataSource(ds)
.usersByUsernameQuery(findUserQuery)
.authoritiesByUsernameQuery(findRoles);
}
@Override
public void configure(WebSecurity web) throws Exception {
web
.ignoring()
// Spring Security should completely ignore URLs ending with .html
.antMatchers("/*.html");
}
}
请注意,我们通过覆盖configure(WebSecurity web)方法来忽略所有的HTML文件。这段代码展示了如何配置JDBC身份验证。我们需要通过提供数据源来配置它。由于我们使用的是自定义表,还需要提供选择查询以获取用户详细信息及其角色的功能。配置基于内存和DAO的身份验证很容易,在上述代码中已经进行了注释。您可以取消注释以使用它们,但请确保一次只有一个配置。需要@Configuration和@EnableWebSecurity注解,这样Spring框架才知道此类将用于Spring安全配置。Spring安全配置使用构建器模式,并基于authenticate方法,有些方法将来将不可用。例如,auth.userDetailsService()返回UserDetailsService的实例,然后我们不能有其他选项,比如在此之后我们不能设置数据源。
将Spring Security Web与Servlet API集成
最后一部分是将我们的Spring Security配置类集成到Servlet API中。通过扩展AbstractSecurityWebApplicationInitializer类,并将安全配置类传递给超类构造函数,可以轻松地完成这个任务。SecurityWebApplicationInitializer.java
package com.Olivia.webapp.spring.security;
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;
public class SecurityWebApplicationInitializer extends
AbstractSecurityWebApplicationInitializer {
public SecurityWebApplicationInitializer() {
super(SecurityConfig.class);
}
}
当我们的上下文启动时,它使用ServletContext来添加ContextLoaderListener监听器并将我们的配置类注册为Servlet过滤器。请注意,这仅适用于Servlet-3兼容的Servlet容器。因此,如果您使用的是Apache Tomcat,请确保其版本为7.0或更高。我们的项目已经准备就绪,只需将其部署到您喜欢的Servlet容器中。我正在使用Apache Tomcat-7来运行此应用程序。以下图像显示了各种情况下的响应。
在没有安全性保护的情况下访问HTML页面
认证失败,凭证错误
具有Spring Security JDBC身份验证的主页
具有Spring Security UserDetailsService DAO身份验证的主页
使用Spring Security内存认证的主页
退出页面
如果您想使用不支持Servlet规范3的Servlet容器,那么您需要通过部署描述符来注册DispatcherServlet。有关更多详细信息,请查看WebApplicationInitializer的JavaDoc。这就是关于Spring Security示例教程以及它在基于Servlet的Web应用程序中的集成的全部内容。请从以下链接下载示例项目并随意尝试学习。
下载Spring Servlet Security项目
