官方文档:
https://docs.spring.io/spring-security/reference/index.html
功能:

  • 身份认证(authentication)
  • 授权(authorization)
  • 防御常见攻击(protection against common attacks)
    身份认证:
  • 身份认证是验证谁正在访问系统资源,判断用户是否为合法用户。认证用户的常见方式是要求用户输入用户名和密码。
    授权:
  • 用户进行身份认证后,系统会控制谁能访问哪些资源,这个过程叫做授权。用户无法访问没有权限的资源。
    防御常见攻击:
  • CSRF
  • HTTP Headers
  • HTTP Requests

1.快速入门

1.1身份认证

官方代码示例:https://github.com/spring-projects/spring-security-samples/tree/main
项目名:security-demo

  • JDK:17
  • SpringBoot:3.2.0(依赖了Spring Security 6.2.0)
  • Dependencies:Spring Web、Spring Security、Thymeleaf
    创建IndexController
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    package com.atguigu.securitydemo.controller;

    @Controller
    public class IndexController {

        @GetMapping("/")
        public String index() {
            return "index";
        }
    }
    在路径resources/templates中创建index.html
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    <html xmlns:th="https://www.thymeleaf.org">
    <head>
      <title>Hello Security!</title>
    </head>
    <body>
    <h1>Hello Security</h1>
    <!--通过使用@{/logout},Thymeleaf将自动处理生成正确的URL,以适应当前的上下文路径。
    这样,无论应用程序部署在哪个上下文路径下,生成的URL都能正确地指向注销功能。-->
    <a th:href="@{/logout}">Log Out</a>
    </body>
    </html>
    浏览器中访问:http://localhost:8080/
    浏览器自动跳转到登录页面:http://localhost:8080/login
    code
    输入用户名:user
    输入密码:在控制台的启动日志中查找初始的默认密码
    点击”Sign in”进行登录,浏览器就跳转到了index页面

Spring Security默认做了什么

  • 保护应用程序URL,要求对应用程序的任何交互进行身份验证。
  • 程序启动时生成一个默认用户“user”。
  • 生成一个默认的随机密码,并将此密码记录在控制台上。
  • 生成默认的登录表单和注销页面。
  • 提供基于表单的登录和注销流程。
  • 对于Web请求,重定向到登录页面;
  • 对于服务请求,返回401未经授权。
  • 处理跨站请求伪造(CSRF)攻击。
  • 处理会话劫持攻击。
  • 写入Strict-Transport-Security以确保HTTPS。
  • 写入X-Content-Type-Options以处理嗅探攻击。
  • 写入Cache Control头来保护经过身份验证的资源。
  • 写入X-Frame-Options以处理点击劫持攻击。

1.2Spring Security的底层原理

官方文档:Spring Security的底层原理
Spring Security之所以默认帮助我们做了那么多事情,它的底层原理是传统的Servlet过滤器

DelegatingFilterProxy 是 Spring Security 提供的一个 Filter 实现,可以在 Servlet 容器和 Spring 容器之间建立桥梁。通过使用 DelegatingFilterProxy,这样就可以将Servlet容器中的 Filter 实例放在 Spring 容器中管理。

复杂的业务中不可能只有一个过滤器。因此FilterChainProxy是Spring Security提供的一个特殊的Filter,它允许通过SecurityFilterChain将过滤器的工作委托给多个Bean Filter实例。

SecurityFilterChain 被 FilterChainProxy 使用,负责查找当前的请求需要执行的Security Filter列表。

可以有多个SecurityFilterChain的配置,FilterChainProxy决定使用哪个SecurityFilterChain。如果请求的URL是/api/messages/,它首先匹配SecurityFilterChain0的模式/api/**,因此只调用SecurityFilterChain 0。假设没有其他SecurityFilterChain实例匹配,那么将调用SecurityFilterChainn。
code

1.3程序的启动和运行

  1. DefaultSecurityFilterChain
    • SecurityFilterChain接口的实现,加载了默认的16个Filter
      code
  2. SecurityProperties
    默认情况下Spring Security将初始的用户名和密码存在了SecurityProperties类中。这个类中有一个静态内部类User,配置了默认的用户名(name = “user”)和密码(password = uuid)
    code
    我们也可以将用户名、密码配置在SpringBoot的配置文件中:在application.properties中配置自定义用户名和密码
    1
    2
    spring.security.user.name=user
    spring.security.user.password=123

2.Spring Security自定义配置

2.1基于内存的用户认证

  1. 基于内存的用户认证流程
  • 程序启动时:
    • 创建InMemoryUserDetailsManager对象
    • 创建User对象,封装用户名密码
    • 使用InMemoryUserDetailsManager将User存入内存
  • 校验用户时:
    • SpringSecurity自动使用InMemoryUserDetailsManagerloadUserByUsername方法从内存中获取User对象
    • UsernamePasswordAuthenticationFilter过滤器中的attemptAuthentication方法中将用户输入的用户名密码和从内存中获取到的用户信息进行比较,进行用户认证
  1. 创建自定义配置
    官方文档:https://docs.spring.io/spring-security/reference/servlet/configuration/java.html

UserDetailsService用来管理用户信息,InMemoryUserDetailsManager是UserDetailsService的一个实现,用来管理基于内存的用户信息。
创建一个WebSecurityConfig文件:
定义一个@Bean,类型是UserDetailsService,实现是InMemoryUserDetailsManager

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
package com.atguigu.securitydemo.config;

@Configuration
@EnableWebSecurity//Spring项目总需要添加此注解,SpringBoot项目中不需要
public class WebSecurityConfig {

    @Bean
    public UserDetailsService userDetailsService() {
        //创建基于内存的用户信息管理器
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser( //使用manager管理UserDetails对象,用于管理用户名,密码,角色,权限等内容
            User
            .withDefaultPasswordEncoder()
            .username("huan") //自定义用户名
            .password("password") //自定义密码
            .roles("USER") //自定义角色
            .build()
        );
        return manager;
    }
}
测试:**使用用户名huan,密码password登录

2.2基于数据库的数据源

  1. 导入数据库
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    -- 创建数据库
    CREATE DATABASE `security-demo`;
    USE `security-demo`;

    -- 创建用户表
    CREATE TABLE `user`(
        `id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY,
        `username` VARCHAR(50) DEFAULT NULL ,
        `password` VARCHAR(500) DEFAULT NULL,
        `enabled` BOOLEAN NOT NULL
    );
    -- 唯一索引
    CREATE UNIQUE INDEX `user_username_uindex` ON `user`(`username`); 

    -- 插入用户数据(密码是 "abc" )
    INSERT INTO `user` (`username`, `password`, `enabled`) VALUES
    ('admin', '{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW', TRUE),
    ('Helen', '{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW', TRUE),
    ('Tom', '{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW', TRUE);
  2. 导入依赖
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
        <version>8.0.30</version>
    </dependency>

    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.5.4.1</version>
        <exclusions>
            <exclusion>
                <groupId>org.mybatis</groupId>
                <artifactId>mybatis-spring</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

    <dependency>
        <groupId>org.mybatis</groupId>
        <artifactId>mybatis-spring</artifactId>
        <version>3.0.3</version>
    </dependency>

    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
    </dependency>
  3. 配置mybatis配置
    1
    2
    3
    4
    5
    6
    7
    #MySQL数据源
    spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
    spring.datasource.url=jdbc:mysql://localhost:3306/security-demo
    spring.datasource.username=root
    spring.datasource.password=123456
    #SQL日志
    mybatis-plus.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl
  4. 实体类
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    package com.atguigu.securitydemo.entity;

    @Data
    public class User {

        @TableId(value = "id", type = IdType.AUTO)
        private Integer id;

        private String username;

        private String password;

        private Boolean enabled;

    }
  5. Mapper
    接口
    1
    2
    3
    4
    5
    package com.atguigu.securitydemo.mapper;

    @Mapper
    public interface UserMapper extends BaseMapper<User> {
    }
    resources/mapper/UserMapper.xml
    1
    2
    3
    4
    5
    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
    <mapper namespace="com.atguigu.securitydemo.mapper.UserMapper">

    </mapper>
  6. Service
    接口
    1
    2
    3
    4
    package com.atguigu.securitydemo.service;

    public interface UserService extends IService<User> {
    }

实现

1
2
3
4
5
package com.atguigu.securitydemo.service.impl;

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {
}

  1. Controller
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    package com.atguigu.securitydemo.controller;

    @RestController
    @RequestMapping("/user")
    public class UserController {

        @Resource
        public UserService userService;

        @GetMapping("/list")
        public List<User> getList(){
            return userService.list();
        }
    }
    测试:http://localhost:8080/demo/user/list

2.3基于数据库的用户认证

  1. 基于数据库的用户认证流程
  • 程序启动时:
    • 创建DBUserDetailsManager类,实现接口 UserDetailsManager, UserDetailsPasswordService
    • 在应用程序中初始化这个类的对象
  • 校验用户时:
    • SpringSecurity自动使用DBUserDetailsManagerloadUserByUsername方法从数据库中获取User对象
    • UsernamePasswordAuthenticationFilter过滤器中的attemptAuthentication方法中将用户输入的用户名密码和从数据库中获取到的用户信息进行比较,进行用户认证

  1. 定义DBUserDetailsManager

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    package com.atguigu.securitydemo.config;

    public class DBUserDetailsManager implements UserDetailsManager, UserDetailsPasswordService {

        @Resource
        private UserMapper userMapper;

        // 从数据库中获取用户信息
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

            QueryWrapper<User> queryWrapper = new QueryWrapper<>();
            queryWrapper.eq("username", username);
            User user = userMapper.selectOne(queryWrapper);
            if (user == null) {
                throw new UsernameNotFoundException(username);
            } else {
                Collection<GrantedAuthority> authorities = new ArrayList<>();
                return new org.springframework.security.core.userdetails.User(
                        user.getUsername(),
                        user.getPassword(),
                        user.getEnabled(),
                        true, //用户账号是否过期
                        true, //用户凭证是否过期
                        true, //用户是否未被锁定
                        authorities); //权限列表
            }
        }

        @Override
        public UserDetails updatePassword(UserDetails user, String newPassword) {
            return null;
        }

        @Override
        public void createUser(UserDetails user) {

        }

        @Override
        public void updateUser(UserDetails user) {

        }

        @Override
        public void deleteUser(String username) {

        }

        @Override
        public void changePassword(String oldPassword, String newPassword) {

        }

        @Override
        public boolean userExists(String username) {
            return false;
        }
    }

  2. 初始化UserDetailsService
    修改WebSecurityConfig中的userDetailsService方法如下

    1
    2
    3
    4
    5
    @Bean
    public UserDetailsService userDetailsService() {
        DBUserDetailsManager manager = new DBUserDetailsManager();
        return manager;
    }

    或者直接在DBUserDetailsManager类上添加@Component注解
    测试:使用数据库中配置的用户名和密码进行登录

2.4SpringSecurity的默认配置

在WebSecurityConfig中添加如下配置

1
2
3
4
5
6
7
8
9
10
11
12
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    //authorizeRequests():开启授权保护
    //anyRequest():对所有请求开启授权保护
    //authenticated():已认证请求会自动被授权
    http
        .authorizeRequests(authorize -> authorize.anyRequest().authenticated())
        .formLogin(withDefaults())//表单授权方式
        .httpBasic(withDefaults());//基本授权方式

    return http.build();
}