Spring Security實(shí)現(xiàn)不同接口安全策略方法詳解
1. 前言
歡迎閱讀 Spring Security 實(shí)戰(zhàn)干貨 系列文章 。最近有開發(fā)小伙伴提了一個有趣的問題。他正在做一個項(xiàng)目,涉及兩種風(fēng)格,一種是給小程序出接口,安全上使用無狀態(tài)的JWT Token;另一種是管理后臺使用的是Freemarker,也就是前后端不分離的Session機(jī)制。用Spring Security該怎么辦?
2. 解決方案
我們可以通過多次繼承WebSecurityConfigurerAdapter構(gòu)建多個HttpSecurity。HttpSecurity 對象會告訴我們?nèi)绾悟?yàn)證用戶的身份,如何進(jìn)行訪問控制,采取的何種策略等等。
我們是這么配置的:
/** * 單策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)@EnableWebSecurity@ConditionalOnClass(WebSecurityConfigurerAdapter.class)@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)public class CustomSpringBootWebSecurityConfiguration { /** * The type Default configurer adapter. */ @Configuration @Order(SecurityProperties.BASIC_AUTH_ORDER) static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { super.configure(auth); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 配置 httpSecurity } }}
上面的配置了一個HttpSecurity,我們?nèi)绶ㄅ谥圃僭黾右粋€WebSecurityConfigurerAdapter的子類來配置另一個HttpSecurity。伴隨而來的還有不少的問題要解決。
2.1 如何路由不同的安全配置我們配置了兩個HttpSecurity之后,程序如何讓小程序接口和后臺接口走對應(yīng)的HttpSecurity?
HttpSecurity.antMatcher(String antPattern)可以提供過濾機(jī)制。比如我們配置:
@Override protected void configure(HttpSecurity http) throws Exception { // 配置 httpSecurity http.antMatcher('/admin/v1'); }
那么該HttpSecurity將只提供給以/admin/v1開頭的所有URL。這要求我們針對不同的客戶端指定統(tǒng)一的URL前綴。
舉一反三只要HttpSecurity提供的功能都可以進(jìn)行個性化定制。比如登錄方式,角色體系等。
2.2 如何指定默認(rèn)的 HttpSecurity
我們可以通過在WebSecurityConfigurerAdapter實(shí)現(xiàn)上使用@Order注解來指定優(yōu)先級,數(shù)值越大優(yōu)先級越低,沒有@Order注解將優(yōu)先級最低。
2.3 如何配置不同的 UserDetailsService
很多情況下我們希望普通用戶和管理用戶完全隔離,我們就需要多個UserDetailsService,你可以在下面的方法中對AuthenticationManagerBuilder進(jìn)行具體的設(shè)置來配置UserDetailsService,同時也可以配置不同的密碼策略。
@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行實(shí)現(xiàn) return null ; } }); // 也可以設(shè)計(jì)特定的密碼策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider);}
2.4 最終的配置模板
上面的幾個問題解決之后,我們基本上掌握了在一個應(yīng)用中執(zhí)行多種安全策略。配置模板如下:
/** * 多個策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)@EnableWebSecurity@ConditionalOnClass(WebSecurityConfigurerAdapter.class)@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)public class CustomSpringBootWebSecurityConfiguration { /** * 后臺接口安全策略. 默認(rèn)配置 */ @Configuration @Order(1) static class AdminConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); //用戶詳情服務(wù)個性化 daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行實(shí)現(xiàn) return null;} }); // 也可以設(shè)計(jì)特定的密碼策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 根據(jù)需求自行定制 http.antMatcher('/admin/v1') .sessionManagement(Customizer.withDefaults()) .formLogin(Customizer.withDefaults()); } } /** * app接口安全策略. 沒有{@link Order}注解優(yōu)先級比上面低 */ @Configuration static class AppConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); //用戶詳情服務(wù)個性化 daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行實(shí)現(xiàn) return null;} }); // 也可以設(shè)計(jì)特定的密碼策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 根據(jù)需求自行定制 http.antMatcher('/app/v1') .sessionManagement(Customizer.withDefaults()) .formLogin(Customizer.withDefaults()); } }}
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持好吧啦網(wǎng)。
相關(guān)文章:
1. idea刪除項(xiàng)目的操作方法2. Intellij Idea 多模塊Maven工程中模塊之間無法相互引用問題3. docker /var/lib/docker/aufs/mnt 目錄清理方法4. idea自定義快捷鍵的方法步驟5. IntelliJ IDEA刪除類的方法步驟6. Intellij IDEA 關(guān)閉和開啟自動更新的提示?7. 刪除docker里建立容器的操作方法8. IntelliJ IDEA創(chuàng)建web項(xiàng)目的方法9. IntelliJ IDEA導(dǎo)入項(xiàng)目的方法10. IntelliJ IDEA設(shè)置默認(rèn)瀏覽器的方法
網(wǎng)公網(wǎng)安備