06.06 「spring boot 系列」spring security 實踐 + 源碼分析

2018-06-06 13:16:51 JAVA技術程序員

前言

本文將從示例、原理、應用3個方面介紹 spring data jpa。

以下分析基於spring boot 2.0 + spring 5.0.4版本源碼

概述

Spring Security 是一個能夠為基於 Spring 的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在 Spring 應用上下文中配置的 Bean，充分利用了Spring IoC，DI（控制反轉Inversion of Control ,DI:Dependency Injection 依賴注入）和 AOP（面向切面編程）功能，為應用系統提供聲明式的安全訪問控制功能，減少了為企業系統安全控制編寫大量重複代碼的工作。當前版本為 5.0.5。

Spring Security 5 相比 4，主要有以下幾點升級：

支持 OAuth 2.0
支持 Spring WebFlux
可以使用 Reactor 的 StepVerifier 進行測試

示例

pom配置

 <dependency>
 <groupid>org.springframework.boot/<groupid>
 <artifactid>spring-boot-starter-security/<artifactid>
 /<dependency>
 <dependency>
 <groupid>org.springframework.boot/<groupid>
 <artifactid>spring-boot-starter-web/<artifactid>
 /<dependency>
 <dependency>
 <groupid>org.springframework.boot/<groupid>
 <artifactid>spring-boot-starter-thymeleaf/<artifactid>
 /<dependency>

配置非常簡單，和 spring security 有關的就是 spring-boot-starter-security，web 和 thymeleaf 的引入是為了構建頁面，便於演示

application.properties 配置

spring.thymeleaf.cache=false
spring.security.user.name=user
spring.security.user.password=password
spring.security.user.roles=USER

同樣很簡單，禁用thymeleaf的緩存功能，另外配置了一個角色為 USER 的用戶，用戶名/密碼：user/password

security config 配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 @Override
 protected void configure(HttpSecurity http) throws Exception {
 // @formatter:off
 http.authorizeRequests()
 .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
 .anyRequest().fullyAuthenticated()
 .and()
 .formLogin().loginPage("/login").failureUrl("/login?error").permitAll()
 .and()
 .logout().permitAll();
 // @formatter:on
 }
}

security 的配置很簡單，可以繼承WebSecurityConfigurerAdapter，WebSecurityConfigurerAdapter是默認情況下 spring security 的 http 配置。通常情況下，都會存在部分 url 請求不需要過安全驗證，此時可以通過configure()方法將不需要進行權限校驗的 url 排除掉。上面的例子，指定了靜態資源、login 鏈接不需要過安全驗證，其餘 url 均需要

至此，整個 security 最簡單的功能就已經實現了，是不是非常簡單。下面我們用一個例子來試驗下。定義一個 HomeController

@Controller
public class HomeController implements WebMvcConfigurer {
 @GetMapping("/")
 public String home(Map<string> model) {
 model.put("message", "Hello World");
 model.put("title", "Hello Home");
 model.put("date", new Date());
 return "home";
 }
 @Override
 public void addViewControllers(ViewControllerRegistry registry) {
 registry.addViewController("/login").setViewName("login");
 }
}
/<string>

Spring 的 WebMvcConfigurer 接口提供了很多方法讓我們來定製 SpringMVC 的配置，這裡通過 addViewControllers 將 /login 請求映射到了資源 login.html

附上 WebMvcConfigurer 提供的配置方法

「spring boot 系列」spring security 實踐 + 源碼分析

好了，啟動 web 應用，可以體驗安全驗證的效果了。

如何實現多個用戶呢

上面最簡單的示例，用戶權限信息是直接再配置文件中寫死的，那麼如何實現多個用戶呢？多個角色呢？

通過自定義 UserDetailsService 實現，這裡列舉使用內存存放用戶信息的方式。在上述的SecurityConfig中增加配置：

 @Bean
 public InMemoryUserDetailsManager inMemoryUserDetailsManager() throws Exception {
 return new InMemoryUserDetailsManager(
 User.withDefaultPasswordEncoder().username("admin").password("admin")
 .roles("ADMIN", "USER", "ACTUATOR").build(),
 User.withDefaultPasswordEncoder().username("user").password("user")
 .roles("USER").build());
 }

上述配置添加了2個用戶，admin 和 user

如何實現方法級別的權限控制呢？

答案是也很方便，只要加上一個註解配置即可。在SecurityConfig類上增加如下配置

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

開啟註解配置的方式，開啟方法執行前後的安全校驗

寫個簡單的 service 做測試：

@Service
public class SimpleSecureService {
 
 @Secured("ROLE_USER")
 public String secure() {
 return "Hello User Security";
 }
 @PreAuthorize("hasRole('ADMIN')")
 public String authorized() {
 return "Hello Admin Security";
 }
}

通過配置，即實現了方法級別的安全校驗，@Secured 和 @PreAuthorize 最大區別是後者支持 spring EL，前者不支持，故後者比前者功能更強大

如何實現權限集成呢？

像上面的例子 admin 只能訪問 admin 授權的接口，而不能訪問 user 的接口，而我們的業務場景往往是 admin 擁有最高權限，可訪問其他所有用戶的資源，故這裡涉及到一個權限繼承的問題（當然你可以在所有方法上都標記 admin 可訪問）。

spring 提供了 RoleHierarchy 接口來實現權限的級聯。

假設需要的級聯關係是

A > B
B > C
C > D
D > E
D > F

那麼對應的一級map配置

A --> [B]
B --> [C]
C --> [D]
D --> [E,F]

構造完之後的關係

A --> [B,C,D,E,F]
B --> [C,D,E,F]
C --> [D,E,F]
D --> [E,F]

關注我的微頭條：進群領取資料！

原理介紹

核心組件

SecurityContextHolder

SecurityContextHolder 用於存儲安全上下文（security context）的信息。當前操作的用戶是誰，該用戶是否已經被認證，他擁有哪些角色權限，這些都被保存在 SecurityContextHolder 中。SecurityContextHolder 默認使用ThreadLocal 策略來存儲認證信息。看到ThreadLocal 也就意味著，這是一種與線程綁定的策略。Spring Security 在用戶登錄時自動綁定認證信息到當前線程，在用戶退出時，自動清除當前線程的認證信息。

如何獲取當前用戶的信息？

因為身份信息是與線程綁定的，所以可以在程序的任何地方使用靜態方法獲取用戶信息。一個典型的獲取當前登錄用戶的姓名的例子如下所示：

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
String username = ((UserDetails)principal).getUsername();
} else {
String username = principal.toString();
}

getAuthentication()返回了認證信息，getPrincipal()返回了身份信息，UserDetails 便是 Spring 對身份信息封裝的一個接口。

Authentication

先看下接口定義

public interface Authentication extends Principal, Serializable {
 Collection extends GrantedAuthority> getAuthorities();
 Object getCredentials();
 Object getDetails();
 Object getPrincipal();
 boolean isAuthenticated();
 void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

Authentication 是 spring security 包中的接口，直接繼承自 Principal 類，而 Principal 是位於 java.security 包中的。可以見得，Authentication 在 spring security 中是最高級別的身份/認證的抽象。

由這個頂級接口，我們可以得到用戶擁有的權限信息列表，密碼，用戶細節信息，用戶身份信息，認證信息。接口詳細解讀如下：

getAuthorities()，權限信息列表，默認是 GrantedAuthority 接口的一些實現類，通常是代表權限信息的一系列字符串。
getCredentials()，密碼信息，用戶輸入的密碼字符串，在認證過後通常會被移除，用於保障安全。
getDetails()，細節信息，web 應用中的實現接口通常為 WebAuthenticationDetails，它記錄了訪問者的ip地址和sessionId的值。
getPrincipal()，最重要的身份信息，大部分情況下返回的是 UserDetails 接口的實現類，也是框架中的常用接口之一。

AuthenticationManager

初次接觸 Spring Securit y的朋友相信會被 AuthenticationManager，ProviderManager ，AuthenticationProvider，這麼多相似的 Spring 認證類搞得暈頭轉向，但只要稍微梳理一下就可以理解清楚它們的聯繫和設計者的用意。AuthenticationManager（接口）是認證相關的核心接口，也是發起認證的出發點，因為在實際需求中，我們可能會允許用戶使用用戶名+密碼登錄，同時允許用戶使用郵箱+密碼，手機號碼+密碼登錄，甚至，可能允許用戶使用指紋登錄），所以說 AuthenticationManager 一般不直接認證，AuthenticationManager 接口的常用實現類 ProviderManager 內部會維護一個 List<authenticationprovider> 列表，存放多種認證方式，實際上這是委託者模式的應用（Delegate）。/<authenticationprovider>

核心的認證入口始終只有一個：AuthenticationManager，不同的認證方式：用戶名+密碼（UsernamePasswordAuthenticationToken），郵箱+密碼，手機號碼+密碼登錄則對應了三個 AuthenticationProvider。在默認策略下，只需要通過一個 AuthenticationProvider 的認證，即可被認為是登錄成功。

ProviderManager 中的 List，會依照次序去認證，認證成功則立即返回，若認證失敗則返回 null，下一個AuthenticationProvider 會繼續嘗試認證，如果所有認證器都無法認證成功，則 ProviderManager 會拋出一個 ProviderNotFoundException 異常。

到這裡，如果不糾結於 AuthenticationProvider 的實現細節以及安全相關的過濾器，認證相關的核心類其實都已經介紹完畢了：身份信息的存放容器 SecurityContextHolder，身份信息的抽象 Authentication，身份認證器 AuthenticationManager 及其認證流程。姑且在這裡做一個分隔線。下面來介紹下 AuthenticationProvider 接口的具體實現。

DaoAuthenticationProvider

AuthenticationProvider 最最最常用的一個實現便是 DaoAuthenticationProvider。顧名思義，Dao 正是數據訪問層的縮寫，也暗示了這個身份認證器的實現思路。按照我們最直觀的思路，怎麼去認證一個用戶呢？用戶前臺提交了用戶名和密碼，而數據庫中保存了用戶名和密碼，認證便是負責比對同一個用戶名，提交的密碼和保存的密碼是否相同便是了。在 Spring Security 中。提交的用戶名和密碼，被封裝成了 UsernamePasswordAuthenticationToken，而根據用戶名加載用戶的任務則是交給了 UserDetailsService，在 DaoAuthenticationProvider 中，對應的方法便是 retrieveUser，返回一個 UserDetails。還需要完成 UsernamePasswordAuthenticationToken 和 UserDetails密碼的比對，這便是交給 additionalAuthenticationChecks 方法完成的，如果這個 void 方法沒有拋異常，則認為比對成功。比對密碼的過程，用到了 PasswordEncoder 和 SaltSource，密碼加密和鹽的概念相信不用我贅述了，它們為保障安全而設計，都是比較基礎的概念。

DaoAuthenticationProvider：它獲取用戶提交的用戶名和密碼，比對其正確性，如果正確，返回一個數據庫中的用戶信息（假設用戶信息被保存在數據庫中）。

UserDetails與UserDetailsService

上面不斷提到了 UserDetails 這個接口，它代表了最詳細的用戶信息，這個接口涵蓋了一些必要的用戶信息字段，具體的實現類對它進行了擴展。

它和 Authentication 接口很類似，比如它們都擁有 username，authorities，區分他們也是本文的重點內容之一。Authentication 的getCredentials()與 UserDetails 中的getPassword()需要被區分對待，前者是用戶提交的密碼憑證，後者是用戶正確的密碼，認證器其實就是對這兩者的比對。Authentication 中的getAuthorities()實際是由 UserDetails 的getAuthorities()傳遞而形成的。還記得Authentication 接口中的getUserDetails()方法嗎？其中的 UserDetails 用戶詳細信息便是經過了 AuthenticationProvider 之後被填充的。

UserDetailsService 只負責從特定的地方（通常是數據庫）加載用戶信息，僅此而已。UserDetailsService 常見的實現類有 JdbcDaoImpl，InMemoryUserDetailsManager，前者從數據庫加載用戶，後者從內存中加載用戶，也可以自己實現 UserDetailsService，通常這更加靈活。

概覽圖

總結

用戶登陸，會被 AuthenticationProcessingFilter 攔截，調用 AuthenticationManager 的實現，AuthenticationManager 會調用ProviderManager來獲取用戶驗證信息（不同的 Provider 調用的服務不同，因為這些信息可以是在數據庫上，可以是xml配置文件上等），如果驗證通過後會將用戶的權限信息封裝一個User放到spring的全局緩存SecurityContextHolder中，以備後面訪問資源時使用。

訪問資源（即授權管理）時，會通過 AbstractSecurityInterceptor 攔截器攔截，其中會調用 FilterInvocationSecurityMetadataSource 的方法來獲取被攔截 url 所需的全部權限，在調用授權管理器 AccessDecisionManager，這個授權管理器會通過 spring 的全局緩存 SecurityContextHolder 獲取用戶的權限信息，還會獲取被攔截的url及所需的全部權限，然後根據所配的策略（有：一票決定，一票否定，少數服從多數等），如果權限足夠，則返回，權限不夠則報錯並調用權限不足頁面。

關注我的微頭條：進群領取資料！

分享到:

閱讀更多 JAVA技術程序員 的文章

關鍵字: 接口 Spring security

Spring Boot+Spring Security 實現自動登錄功能(實戰+源碼分析)

Spring Security+Spring Data Jpa 強強聯手，安全管理只有更簡單

奇怪，Spring Security 登錄成功後總是獲取不到登錄用戶信息？

鬆哥手把手教你定製 Spring Security 中的表單登錄

Spring Security 實戰乾貨： RBAC權限控制概念的理解

手把手帶你入門 Spring Security，別再問密碼怎麼解密了

鬆哥手把手帶你入門 Spring Security，別再問密碼怎麼解密了

看完這一篇，你就對 Spring Security 略窺門徑了

java乾貨系列—權限框架spring security

SpringBoot + Spring Security 基本使用及個性化登錄配置詳解

總部與分支機構之間建立點到點IPSec VPN（預共享密鑰認證）

Spring Security 過濾器鏈的機制和特性你真的瞭解嗎

安裝IBM Security Directory Suite

03.04 安裝IBM Security Directory Suite

03.01 spring Security 快速搭建

安裝IBM Security Directory Server

02.25 安裝IBM Security Directory Server

Spring Boot Security OAuth2 實現支持JWT令牌的授權服務器

Spring Boot Security 詳解

Spring Security 5.2.2、5.1.8 和 5.0.14 發佈

Spring Security簡介及SpringBoot整合Spring Security

01.13 IDEA中使用lombok插件真的很提高我的開發效率

一文帶你瞭解 OAuth2 協議與 Spring Security OAuth2 集成

01.08 一文帶你瞭解 OAuth2 協議與 Spring Security OAuth2 集成

12.29 一文詳解帶你瞭解強大的 Spring Security 架構原理

SpringBoot+Security+oAuth2+Jpa+AntDesign+Quartz的批處理系統

11.24 一分鐘帶你瞭解下Spring Security

「001」dream-security 基於Spring Boot 權限管理系統

Spring Security 5.2.1 與 5.1.7 發佈

Spring Security 實戰乾貨：實現自定義退出登錄

Spring Security 前後端分離登錄，非法請求直接返回 JSON

Light Security 1.0.1發佈

一個案例學會Spring Security 中使用 JWT

軟體更新丨Spring Security 5.1 GA 正式發布！

OWASP，Open Web Application Security Project

IBM Security Access Manager Appliance信息洩露漏洞

04.11 Spring Boot + Spring Security + RESTful API的使用方法

spring security 系列四：實現手機號+驗證碼驗證

Parrot Security OS 3.10 更新了大量的強大黑客工作

04.27 Spring Security CSRF防禦之道（2）

第二章 IoC容器和Bean配置

bean是一個對象，它是由Spring

運算裡不得不說的python模塊—math

Help

Devops度量--DevOps 現狀快速檢查表

今天主要分享一個DevOps

SOP是什麼（解讀）

SOP不是單個的，是一個體系，雖然我們可以單獨地定義每一個SOP，但真正從企業管理來看，SOP不可能只是單個的，必然是一個整體和體系，也是企業不可或缺的。

還不知道交換機上如何配置DHCP，趕緊過來圍觀吧，一分鐘包你學會

隨著終端設備的越來越多，人工干預配置IP地址，不僅工作效率低，而且，還很容易導致IP衝突，影響正常的網絡訪問。到此已經完成了，DHCP服務的配置了，我們可以在終端驗證。

還在手動配置IP地址嗎？太Low了，一分鐘教會您如何配置DHCP

Python爬蟲自學筆記：分析頭條文章網頁源文件

這兩天分析了一下頭條文章網頁的源文件，現在將分析的結果分享給大家。首先以一篇文章為例，其網址如下：https://www.toutiao.com/i6822245428176617998/如上圖網頁所示，文章中包含文字和圖片。

DNS偵查工具

我們只需要打開瀏覽器輸入例如:www.baidu.com就可以解析到該網站.為了便於記住不需要輸入長長的IP地址去訪問這就是DNS域名解析.關於域名域名的層次劃分用點來分割這時DNS把相對應的域名解析成IP地址高的在右邊.例如:www. NS簡介訪問某網站的時候最低在左邊

國人開源的異步 Python ORM：GINO

程序測評：Create React App 3.3中有哪些酷炫新功能？

Create

“明學”的魅力？我只要我覺得：駕馭終端，提高生產力

最後一個要介紹的命令是

（必收藏系列）Linux面試題——命令集

關注，後臺私信【Linux】分享Linux入門到進階電子書、Linux入門到精通視頻教程（免費）。文件管理命令cat

五分鐘學會如何在 IPFS 上部署網站

原文標題:五分鐘學會如何在

「正點原子NANO STM32F103開發板資料連載」第29章內存管理實驗

1）實驗平臺：【正點原子】

小白怎麼學Web前端開發如何成為技術達人

Web前端開發工程師已經成為了很多年輕人心中的理想工作，不僅入行門檻低、而且薪資待遇和發展前景都不錯，自然吸引了大批人加入行業。

如何開發一個web靜態服務器

我們都知道如今的web服務器有很多，比如著名的有apache，有nginx，有tomcat，有resin服務器，有sphere，有iis服務器等等，這些服務器都能提供web服務，並且幾乎都能和多種語言進行搭配使用，那麼一個web服務器都需要那些功能，開發一個web服務器都需要那些

學Java編程還有前景嗎如何才能拿到高薪

需求大、薪資高似乎是Java開發人員的標籤，不過學Java編程還有前景嗎？它架構在操作系統之上，屏蔽了底層的差異，真正實現了“Writeonce run

Python網絡爬蟲之配置篇（一）

pip

SpringBoot 整合SpringSecurity示例實現前後分離權限註解+JWT登錄認證

serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertTo&useSSL=falseusername:rootpassword:

Python的運行效率太低？幾行代碼快速提升！

return的就是是你所需要的結果2.3、運行這一步就是最後一步了，只要像下面一樣輸入上述函數名，賦予參數值，點擊運行Run，就能得到你想要的結果arg1=5

python的優點是什麼？最新Python400集視頻（附教程）

2020，最新Python零基礎到精通資料教材，乾貨分享，新基礎Python教材，穩穩找到過萬工作，看這裡，這裡有你想要的所有資源哦，最強筆記，教你怎麼入門提升！獲取方式：私信小編“

MySQL中OOM故障應如何下手-愛可生

作者：孫祚龍愛可生南區分公司交付服務部成員，實習工程師。負責公司產品問題排查及日常運維工作。本文來源：原創投稿*愛可生開源社區出品，原創內容未經授權不得隨意使用，轉載請聯繫小編並註明來源。

像專家一樣使用 panic

|go

30種不同的編程語言怎麼寫“Hello, World”

printfn

percona QAN 介紹

一、背景QAN慢查詢日誌分析工具是PMM

面試官：你可以用純CSS判斷鼠標進入的方向嗎？

雖然沒什麼軟用，但是對付面試官應該是夠用了。感謝面試官提出的問題，讓我實現了這個功能，對CSS

網絡工程師職業生涯中，哪兩點是最重要的？

網絡工程師最重要的技能是紮實的基礎和非常開放的思維，微觀知識紮實、宏觀能力突出。項目經驗也會讓網絡工程師基礎更牢靠，網絡工程師是要實戰的，要避免紙上談兵，我認為對基礎理論的理解，比你清楚配置更重要。

交換機中相關術語代表什麼意思，有必要弄清楚

由淺入深瞭解以太坊 2.0：最常見問題和最全學習清單

有關以太坊2.0

【Linux簡單實用小命令001】CentOS 7、8的防火牆端口開放

yuminstall

吃透這些IPFS硬核知識點，日後搶頭礦隨時“彎道超車”

今天的你捉住IPFS機遇了嗎？我們都知道在Filecoin網絡中作為一名存儲礦工，信譽對於我們是非常重要的——信譽越高，爆塊幾率越大。那麼信譽系統現在怎麼樣了呢？

Hive分桶表

fieldsterminated

Spring中資源的加載原來是這麼一回事啊！

自己動手搭建郵件系統：怎樣讓Exchange Server 發出第一封郵件？

編輯Exchange

$【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫$

【MySQL】RDS物理備份文件(.idb\.frm)恢復到MySQL自建數據庫

在阿里雲控制檯，我們能下載的文件是一個壓縮包，解壓之後，是.idb和.frm文件，你可能要問了，我可以直接把解壓好的問題件覆蓋到MySQL的data目錄下嗎？

NLP算法入門系列：隱含馬爾可夫鏈(HMM)模型的簡單介紹

即，最大化

第一章 Spring Framework概述

您可以在任何web

opencv人工智能深度學習這樣實現人臉的年齡檢測

前期的文章我們分享了人臉的識別以及如何進行人臉數據的訓練，本期文章我們結合人臉識別的模型進行人臉年齡的檢測人臉年齡的檢測步驟1、首先需要進行人臉的檢測2、把檢測到的人臉數據給年齡檢測模型去檢測3、把檢測結果呈現到圖片上人臉年齡檢測import

嵌入式linux網絡編程之——5年程序員給你深度講解socket套接字

圖8-1

深入瞭解ProcessFunction的狀態操作(Flink-1.10)

先反思為何會有上述疑惑上述疑惑產生的原因，應該是受到平時使用HashMap的影響，HashMap獲取值就是在調用get方法時指定key，設置值也是在put時指定key，所以看到state.value，看懂了這些，其實也是在瞭解DataStream/DataSetAPI的設計思路：

Redis內存分析工具--rdr安裝與使用

分析Redis

資深架構師教你源碼講解zookeeper實現分佈式鎖以及集群搭建步驟

//getData發現前一個子節點被刪除，拋出異常

一行代碼提升遷移性能

論文原址：https://arxiv.org/pdf/2003.12237.pdf開源地址：https://github.com/cuishuhao/BNM在發表在CVPR2020

利用相似幾何信息，做可泛化3D形狀分割模型

更具體的有以下三種典型的分割方案：FullyConvolutional-Like

這麼好用的開源計算器SpeedCrunch，沒有不嘗試一下的道理

介紹SpeedCrunch是一款高精度科學計算器，具有快速，鍵盤驅動的用戶界面。獲取方式在GitHub上搜索SpeedCrunch，就可以去到

分佈式緩存，真香

他是前易寶支付架構師、阿里雲MVP、騰訊雲

特徵工程的力量

在本文中，我希望教給您一些有關特徵工程的知識，以及如何使用它來對非線性決策邊界進行建模。為了說明這一點，假設恢復時間與身高和體重具有以下關係：Y=β₀+β₁+β2+β₃+noise從第三項來看，我們可以看到Y與身高和體重沒有線性關係。

java架構：天天寫面向接口編程，你考慮過性能嗎？大神都是這麼寫

public

SpringBoot如何優雅的使用RocketMQ

源碼編譯需要Maven3.2x，JDK8在根目錄進行打包:Copymvn-Prelease-all

css代碼規範工具stylelint

"mixin"