|
对于最新的稳定版本,请使用 Spring Security 7.0.4! |
你好,Spring Security
本节介绍如何将 Spring Security 与 Spring Boot 结合使用的最低配置,然后为你指出后续步骤。
|
完整的入门应用程序可以在我们的示例仓库中找到。 为方便起见,您可以下载一个由 Spring Initializr 准备好的最小化 Spring Boot + Spring Security 应用程序。 |
开始 Hello Spring Security Boot
当 Spring Security 位于类路径上时,你现在可以运行 Spring Boot 应用程序。 以下代码片段展示了一些输出内容,表明 Spring Security 已在你的应用程序中启用:
-
Maven
-
Gradle
-
Jar
$ ./mvnw spring-boot:run
...
INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration :
Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336
...$ ./gradlew :bootRun
...
INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration :
Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336
...$ java -jar target/myapplication-0.0.1.jar
...
INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration :
Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336
...现在应用已经运行起来了,你可以尝试访问一个端点,看看会发生什么。 例如,如果你在没有提供凭证的情况下访问一个端点,如下所示:
$ curl -i http://localhost:8080/some/path
HTTP/1.1 401
...那么 Spring Security 将以 401 Unauthorized 拒绝访问。
| 如果你在浏览器中提供相同的 URL,它将重定向到默认的登录页面。 |
然后,如果你使用凭证(可在控制台输出中找到)访问一个端点,如下所示:
$ curl -i -u user:8e557245-73e2-4286-969a-ff57fe326336 http://localhost:8080/some/path
HTTP/1.1 404
...那么 Spring Boot 将处理该请求,在此例中由于 404 Not Found 不存在,会返回一个 /some/path。
从这里,您可以:
运行时期望
Spring Boot 与 Spring Security 的默认配置在运行时提供以下行为:
-
要求所有端点(包括 Boot 的
xref page端点)都必须由经过身份验证的用户访问。 -
注册一个默认用户,并在启动时生成密码(该密码会记录到控制台;在前面的示例中,密码为
8e557245-73e2-4286-969a-ff57fe326336) -
通过 BCrypt 等方式保护密码存储
-
对基于表单的登录以及HTTP Basic进行身份验证
-
提供内容协商;对于 Web 请求,重定向到登录页面;对于服务请求,返回
401 Unauthorized -
缓解 CSRF 攻击
-
缓解会话固定攻击
-
写入 X-Content-Type-Options 以缓解 嗅探攻击
-
写入缓存控制头(Cache Control headers),以保护经过身份验证的资源
了解 Spring Boot 如何与 Spring Security 协同工作以实现这一点会很有帮助。 查看Boot 的安全自动配置,它执行了以下操作(为便于说明已简化):
@EnableWebSecurity (1)
@Configuration
public class DefaultSecurityConfig {
@Bean
@ConditionalOnMissingBean(UserDetailsService.class)
InMemoryUserDetailsManager inMemoryUserDetailsManager() { (2)
String generatedPassword = // ...;
return new InMemoryUserDetailsManager(User.withUsername("user")
.password(generatedPassword).roles("USER").build());
}
@Bean
@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
DefaultAuthenticationEventPublisher defaultAuthenticationEventPublisher(ApplicationEventPublisher delegate) { (3)
return new DefaultAuthenticationEventPublisher(delegate);
}
}-
添加
@EnableWebSecurity注解。(除其他功能外,这会将 Spring Security 的默认Filter链发布为@Bean) -
发布一个
UserDetailsService@Bean,用户名设为user,并生成一个随机密码输出到控制台 -
发布一个用于发布认证事件的
AuthenticationEventPublisher@Bean
Spring Boot 会将任何以 Filter 形式发布的 @Bean 添加到应用程序的过滤器链中。
这意味着,在 Spring Boot 中结合使用 @EnableWebSecurity 会自动为每个请求注册 Spring Security 的过滤器链。 |
安全使用场景
从这里出发,你可能有多个方向可以选择。 为了确定你和你的应用程序接下来该做什么,请考虑以下 Spring Security 旨在解决的常见使用场景:
-
我正在构建一个 REST API,需要验证 JWT 或其他 Bearer Token
-
我正在构建一个 Web 应用程序、API 网关或 BFF,并且
-
我需要管理
-
用户来自 LDAP 或 Active Directory,使用 Spring Data,或使用 JDBC
-
如果以上内容都不符合您的需求,请按照以下顺序思考您的应用程序:
-
协议:首先,考虑您的应用程序将用于通信的协议。 对于基于 Servlet 的应用程序,Spring Security 支持 HTTP 以及WebSocket。
-
认证:接下来,考虑用户将如何进行身份验证,以及该身份验证是有状态的还是无状态的。
-
授权:然后,考虑你将如何确定用户被授权执行的操作
-
防御:最后,集成 Spring Security 的默认保护机制,并考虑你需要哪些额外的保护措施