你好 Spring Security
本节介绍了如何将 Spring Security 与 Spring Boot 一起使用的最低配置,并指出了后续步骤。
|
完整的入门应用可在我们的示例仓库中找到。为了方便起见,您可以从Spring Initializr下载一个最小化的 Spring Boot + Spring Security 应用。 |
启动 你好 Spring Security Boot 应用
将 Spring Security 添加到 classpath 后,您现在可以运行 Spring Boot 应用。以下片段显示了部分输出,表明您的应用中已启用 Spring Security
-
Maven
-
Gradle
-
Jar
$ ./mvnw spring-boot:run
...
INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration :
Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336
...$ ./gradlew :bootRun
...
INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration :
Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336
...$ java -jar target/myapplication-0.0.1.jar
...
INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration :
Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336
...现在它已经运行起来了,您可以尝试访问一个端点,看看会发生什么。如果您在没有凭据的情况下访问一个端点,像这样
$ curl -i http://localhost:8080/some/path
HTTP/1.1 401
...那么 Spring Security 会拒绝访问,并返回 401 Unauthorized。
| 如果您在浏览器中提供相同的 URL,它将重定向到默认的登录页面。 |
如果您使用凭据(在控制台输出中找到)访问一个端点,如下所示
$ curl -i -u user:8e557245-73e2-4286-969a-ff57fe326336 http://localhost:8080/some/path
HTTP/1.1 404
...那么 Spring Boot 将处理请求,在这种情况下返回 404 Not Found,因为 /some/path 不存在。
接下来,您可以
运行时预期行为
Spring Boot 和 Spring Security 的默认配置在运行时提供了以下行为
-
要求认证用户访问任何端点(包括 Boot 的
/error端点) -
在启动时注册一个默认用户,并生成一个密码(密码会记录到控制台;在前面的示例中,密码是
8e557245-73e2-4286-969a-ff57fe326336) -
使用 BCrypt 及其他方式保护密码存储
-
认证基于表单的登录以及HTTP Basic
-
提供内容协商;对于 web 请求,重定向到登录页面;对于服务请求,返回
401 Unauthorized -
缓解 CSRF 攻击
-
写入 X-Content-Type-Options 以缓解嗅探攻击
-
写入 Cache Control 头,用于保护已认证资源
了解 Spring Boot 如何与 Spring Security 协同工作以实现这些功能会很有帮助。查看Boot 的安全自动配置,它会执行以下操作(为便于说明而简化)
@EnableWebSecurity (1)
@Configuration
public class DefaultSecurityConfig {
@Bean
@ConditionalOnMissingBean(UserDetailsService.class)
InMemoryUserDetailsManager inMemoryUserDetailsManager() { (2)
String generatedPassword = // ...;
return new InMemoryUserDetailsManager(User.withUsername("user")
.password(generatedPassword).roles("USER").build());
}
@Bean
@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
DefaultAuthenticationEventPublisher defaultAuthenticationEventPublisher(ApplicationEventPublisher delegate) { (3)
return new DefaultAuthenticationEventPublisher(delegate);
}
}-
添加
@EnableWebSecurity注解。(除其他功能外,这会将Spring Security 的默认Filter链发布为一个@Bean) -
发布一个
UserDetailsService@Bean,其用户名为user,并生成一个记录到控制台的随机密码 -
发布一个
AuthenticationEventPublisher@Bean,用于发布认证事件
Spring Boot 会将任何作为 @Bean 发布的 Filter 添加到应用程序的过滤器链中。这意味着结合使用 @EnableWebSecurity 和 Spring Boot 会自动为每个请求注册 Spring Security 的过滤器链。 |
安全用例
接下来您可能会想了解许多方面。要弄清楚您和您的应用程序接下来要做什么,请考虑 Spring Security 旨在解决的这些常见用例
-
我正在构建一个 REST API,并且需要认证一个 JWT 或其他 Bearer 令牌
-
我正在构建一个 Web 应用、API 网关或 BFF,并且
-
我需要管理
-
LDAP 或 Active Directory 中的用户,使用 Spring Data,或使用 JDBC
-
如果以上用例都不符合您的需求,请考虑按以下顺序思考您的应用程序
-
协议:首先,考虑您的应用程序将使用哪种协议进行通信。对于基于 Servlet 的应用程序,Spring Security 支持 HTTP 和 Websockets。
-
认证:接下来,考虑用户将如何认证,以及认证是带状态的还是无状态的
-
授权:然后,考虑如何确定用户被授权执行哪些操作
-
防御:最后,集成 Spring Security 的默认保护措施,并考虑您需要哪些额外的保护措施
