重庆建设门户网站,建设二手网站的建设费用包括,ui设计培训晚班,个人网站建设视频教学SpringSecurity简介
Spring Security 的前身是Acegi Security#xff0c;在被收纳为Spring 子项目后正式更名为Spring Security。Spring Security目前已经到了6.x#xff0c;并且加入了原生OAuth2.0框架#xff0c;支持更加现代化的密码加密方式。可以预见#xff0c;在Ja…SpringSecurity简介
Spring Security 的前身是Acegi Security在被收纳为Spring 子项目后正式更名为Spring Security。Spring Security目前已经到了6.x并且加入了原生OAuth2.0框架支持更加现代化的密码加密方式。可以预见在Java应用安全领域Spring Security会成为被首先推崇的解决方案就像我们看到服务器就会联想到Linux一样顺理成章。
应用程序的安全性通常体现在两个方面认证和授权。
认证是确认某主体在某系统中是否合法、可用的过程。这里的主体既可以是登录系统的用户也可以是接入的设备或者其他系统。
授权是指当主体通过认证之后是否允许其执行某项操作的过程。
这些概念并非Spring Security独有而是应用安全的基本关注点。Spring Security可以帮助我们更便捷地完成认证和授权。
Spring Security 支持广泛的认证技术这些认证技术大多由第三方或相关标准组织开发。Spring Security已经集成的认证技术如下
◎ HTTP BASIC authentication headers一个基于IETF RFC的标准。
◎ HTTP Digest authentication headers一个基于IETF RFC的标准。
◎ HTTP X.509 client certificate exchange一个基于IETF RFC的标准。
◎ LDAP一种常见的跨平台身份验证方式。
◎ Form-based authentication用于简单的用户界面需求。
◎ OpenID authentication一种去中心化的身份认证方式。
◎ Authentication based on pre-established request headers类似于Computer Associates SiteMinder一种用户身份验证及授权的集中式安全基础方案。
◎ Jasig Central Authentication Service单点登录方案。
◎ Transparent authentication context propagation for Remote Method InvocationRMIand HttpInvoker一个Spring远程调用协议。
◎ Automatic remember-me authentication允许在指定到期时间前自行重新登录系统。
◎ Anonymous authentication允许匿名用户使用特定的身份安全访问资源。
◎ Run-as authentication允许在一个会话中变换用户身份的机制。
◎ Java Authentication and Authorization Service:JAAS,Java验证和授权API。
◎ Java EE container authentication允许系统继续使用容器管理这种身份验证方式。
◎ Kerberos一种使用对称密钥机制允许客户端与服务器相互确认身份的认证协议。
除此之外Spring Security还引入了一些第三方包用于支持更多的认证技术如JOSSO等。如果所有这些技术都无法满足需求则Spring Security允许我们编写自己的认证技术。因此在绝大部分情况下当我们有Java应用安全方面的需求时选择Spring Security往往是正确而有效的。
Internet工程任务组Internet Engineering Task Force,IETF是推动Internet标准规范制定的最主要的组织。请求注解Request For Comments,RFC包含大多数关于Internet的重要文字资料被称为“网络知识圣经”。
在授权上Spring Security不仅支持基于URL对Web的请求授权还支持方法访问授权、对象访问授权等基本涵盖常见的大部分授权场景。
很多时候一个系统的安全性完全取决于系统开发人员的安全意识。例如在我们从未听过SQL 注入时如何意识到要对SQL注入做防护关于Web系统安全的攻击方式非常多诸如XSS、CSRF 等未来还会暴露出更多的攻击方式我们只有在充分了解其攻击原理后才能提出完善而有效的防护策略。在笔者看来学习Spring Security并非局限于降低Java应用的安全开发成本通过Spring Security了解常见的安全攻击手段以及对应的防护方法也尤为重要这些是脱离具体开发语言而存在的。
创建一个简单的SpringSecurity项目
本节创建一个简单的Spring Security项目带领大家初步领略Spring Security带来的便利。下面我们就完整地“走”一遍创建项目的流程。
?xml version1.0 encodingUTF-8?
project xmlnshttp://maven.apache.org/POM/4.0.0 xmlns:xsihttp://www.w3.org/2001/XMLSchema-instancexsi:schemaLocationhttp://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsdmodelVersion4.0.0/modelVersionparentgroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-parent/artifactIdversion3.1.2/versionrelativePath/ !-- lookup parent from repository --/parentgroupIdcom.boot/groupIdartifactIdspring-security01-helloworld/artifactIdversion0.0.1-SNAPSHOT/versionnamespring-security01-helloworld/namedescriptionspring-security01-helloworld/descriptionpropertiesjava.version17/java.version/propertiesdependenciesdependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-security/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-web/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-devtools/artifactIdscoperuntime/scopeoptionaltrue/optional/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-test/artifactIdscopetest/scope/dependencydependencygroupIdorg.springframework.security/groupIdartifactIdspring-security-test/artifactIdscopetest/scope/dependency/dependenciesbuildpluginsplugingroupIdorg.springframework.boot/groupIdartifactIdspring-boot-maven-plugin/artifactId/plugin/plugins/build/project从代码中可以看到在选择Security之后Spring Initializr自动引入spring-security-web和spring- security-config两个核心模块这正是官方建议引入的Spring Security最小依赖。当需要引入更多的Spring Security特征时再编辑pom.xml文件即可。如果不通过Spring Initializr添加Spring Security的相关依赖则手动将依赖信息添加到pom.xml文件也是可以的。
申明一个hello控制器
package com.boot.controller;import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;RestController
public class HelloController {RequestMapping(/)public String hello(){return Hello SpringSecurity!;}
}启动SpringBoot
package com.boot;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;SpringBootApplication
public class App {public static void main(String[] args) {SpringApplication.run(App.class,args);}
}接着打开浏览器访问 http://localhost:8080浏览器将弹出一个需要进行身份验证的对话框如图所示。 在引入Spring Security项目之后虽然没有进行任何相关的配置或编码但Spring Security有一个默认的运行状态要求在经过HTTP基本认证后才能访问对应的URL资源其默认使用的用户名为user密码则是动态生成并打印到控制台的一串随机码。翻看控制台的打印信息可以看到如图所示的输出。 输入用户名和密码后单击“登录”按钮即可成功访问hello页面如图所示。 修改默认账号密码
当然在HTTP基本认证中用户名和密码都是可以配置的最常见的就是在resources下的配置文件中修改如下所示。打开application.yml输入以下配置信息
spring:security:user:name: adminpassword: 123456
重新启动程序发现控制台不再打印默认密码串了此时使用我们自定义的用户名和密码即可登录。
事实上绝大部分Web应用都不会选择HTTP基本认证这种认证方式除安全性差、无法携带cookie等因素外灵活性不足也是它的一个主要缺点。通常大家更愿意选择表单认证自己实现表单登录页和验证逻辑从而提高安全性。
