Java Configuration
Spring Framework 在 Spring 3.1 中增加了对 Java configuration 的通用支持。Spring Security 3.2 引入了 Java 配置,使用户可以配置 Spring Security 而无需使用任何 XML。 如果您熟悉 Security Namespace Configuration,您应该发现它与 Spring Security Java 配置之间有很多相似之处。
|
Spring Security 提供了 lots of sample applications 来演示 Spring Security Java 配置的使用。 |
Hello Web Security Java Configuration
第一步是创建我们的 Spring Security Java 配置。此配置创建一个名为 springSecurityFilterChain 的 Servlet 过滤器,此过滤器负责应用程序中的所有安全性(保护应用程序 URL、验证提交的用户名和密码、重定向到登录表单等)。以下示例展示了 Spring Security Java 配置最基本的示例:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.*;
import org.springframework.security.config.annotation.authentication.builders.*;
import org.springframework.security.config.annotation.web.configuration.*;
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withDefaultPasswordEncoder().username("user").password("password").roles("USER").build());
return manager;
}
}此配置不复杂或冗余,但它能完成大量工作:
-
要求对应用程序中每个 URL 身份验证
-
为您生成登录表单
-
让具有
user的 Username 和password的 Password 的用户通过基于表单的身份验证进行身份验证 -
Let the user logout
-
CSRF attack prevention
-
Session Fixation protection
-
Security Header integration:
-
X-Content-Type-Options integration
-
缓存控制(之后您可以在应用程序中覆盖它,以允许缓存静态资源)
-
X-XSS-Protection integration
-
X-Frame-Options 集成帮助防止 Clickjacking
-
与以下 Servlet API 方法集成:
AbstractSecurityWebApplicationInitializer
下一步是将 springSecurityFilterChain 注册到 WAR 文件。你可以在 Servlet 3.0+ 环境中的 Java 配置中使用 Spring’s WebApplicationInitializer support 来执行此操作。毫不奇怪,Spring Security 提供了一个基类 (AbstractSecurityWebApplicationInitializer) 以确保 springSecurityFilterChain 已为你注册。根据我们是否已使用 Spring 或者 Spring Security 是否是我们应用程序中唯一的 Spring 组件,我们使用 AbstractSecurityWebApplicationInitializer 的方式有所不同。
-
AbstractSecurityWebApplicationInitializer without Existing Spring - 如果你尚未使用 Spring,请使用这些说明
-
AbstractSecurityWebApplicationInitializer with Spring MVC- 如果您已经在使用 Spring,请使用这些说明
AbstractSecurityWebApplicationInitializer without Existing Spring
如果你没有使用 Spring 或 Spring MVC,则需要将 WebSecurityConfig 传递给超类,以确保选取配置:
import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
public SecurityWebApplicationInitializer() {
super(WebSecurityConfig.class);
}
}SecurityWebApplicationInitializer:
-
自动为应用程序中的每个 URL 注册 `springSecurityFilterChain`过滤器。
-
添加一个加载 WebSecurityConfig的
ContextLoaderListener。
AbstractSecurityWebApplicationInitializer with Spring MVC
如果我们在应用程序的其他位置使用 Spring,那么我们可能已经有了正在加载我们的 Spring 配置的 WebApplicationInitializer。如果我们使用之前的配置,我们会收到错误。相反,我们应该使用现有的 ApplicationContext 注册 Spring Security。例如,如果我们使用 Spring MVC,则我们的 SecurityWebApplicationInitializer 可能如下所示:
import org.springframework.security.web.context.*;
public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
}这只会为应用程序中的每个 URL 注册 springSecurityFilterChain。之后,我们需要确保在现有的 ApplicationInitializer 中加载了 WebSecurityConfig。例如,如果我们使用 Spring MVC,则将其添加到 getServletConfigClasses() 中:
public class MvcWebApplicationInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[] { WebSecurityConfig.class, WebMvcConfig.class };
}
// ... other overrides ...
}这样做的原因是 Spring Security 需要能够检查一些 Spring MVC 配置才能适当地配置 underlying request matchers,因此它们需要位于同一应用程序上下文中。将 Spring Security 放在 getRootConfigClasses 中会将其置于父级应用程序上下文中,该环境可能无法找到 Spring MVC 的 HandlerMappingIntrospector。
Configuring for Multiple Spring MVC Dispatchers
如果需要,可以将与 Spring MVC 无关的任何 Spring Security 配置放在不同的配置类中,如下所示:
public class MvcWebApplicationInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[] { NonWebSecurityConfig.class };
}
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[] { WebSecurityConfig.class, WebMvcConfig.class };
}
// ... other overrides ...
}如果你有多个 AbstractAnnotationConfigDispatcherServletInitializer 实例,并且不想同时对这两个实例进行重复的安全配置,这会很有帮助。
HttpSecurity
到目前为止,我们的 <<`WebSecurityConfig`,jc-hello-wsca>> 只包含有关如何对用户进行身份验证的信息。Spring Security 如何知道我们希望要求所有用户进行身份验证?Spring Security 如何知道我们希望支持基于表单的身份验证?实际上,有一个配置类(称为 SecurityFilterChain)正在幕后调用。它使用以下默认实现进行配置:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.formLogin(withDefaults())
.httpBasic(withDefaults());
return http.build();
}默认配置(在前面的示例中显示):
-
确保对应用程序的任何请求都需要用户进行身份验证
-
允许用户使用基于表单的登录进行身份验证
-
允许用户使用 HTTP 基本身份验证进行身份验证
请注意,此配置与 XML 命名空间配置并行:
<http>
<intercept-url pattern="/**" access="authenticated"/>
<form-login />
<http-basic />
</http>Multiple HttpSecurity Instances
我们可以配置多个 HttpSecurity 实例,就像我们在 XML 中可以有多个 <http> 块一样。关键是要注册多个 SecurityFilterChain @Bean。以下示例对以 /api/ 开头的 URL 有不同的配置。
@Configuration
@EnableWebSecurity
public class MultiHttpSecurityConfig {
@Bean 1
public UserDetailsService userDetailsService() throws Exception {
// ensure the passwords are encoded properly
UserBuilder users = User.withDefaultPasswordEncoder();
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(users.username("user").password("password").roles("USER").build());
manager.createUser(users.username("admin").password("password").roles("USER","ADMIN").build());
return manager;
}
@Bean
@Order(1) 2
public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
http
.securityMatcher("/api/**") 3
.authorizeHttpRequests(authorize -> authorize
.anyRequest().hasRole("ADMIN")
)
.httpBasic(withDefaults());
return http.build();
}
@Bean 4
public SecurityFilterChain formLoginFilterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.formLogin(withDefaults());
return http.build();
}
}<1> Configure Authentication as usual. <1> 创建一个包含 `@Order`的 `SecurityFilterChain`实例以指定应首先考虑的 `SecurityFilterChain`。 <1> `http.securityMatcher`指出此 `HttpSecurity`仅适用于以 `/api/`开头的 URL。 <1> 创建另一个 `SecurityFilterChain`实例。如果 URL 不是以 `/api/`开头,则将使用此配置。此配置在 `apiFilterChain`之后被考虑,因为它在 `1`之后具有 `@Order`值(没有 `@Order`默认值为最后一个)。
Custom DSLs
你可以在 Spring Security 中提供你自己的自定义 DSL:
-
Java
-
Kotlin
public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> {
private boolean flag;
@Override
public void init(HttpSecurity http) throws Exception {
// any method that adds another configurer
// must be done in the init method
http.csrf().disable();
}
@Override
public void configure(HttpSecurity http) throws Exception {
ApplicationContext context = http.getSharedObject(ApplicationContext.class);
// here we lookup from the ApplicationContext. You can also just create a new instance.
MyFilter myFilter = context.getBean(MyFilter.class);
myFilter.setFlag(flag);
http.addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter.class);
}
public MyCustomDsl flag(boolean value) {
this.flag = value;
return this;
}
public static MyCustomDsl customDsl() {
return new MyCustomDsl();
}
}class MyCustomDsl : AbstractHttpConfigurer<MyCustomDsl, HttpSecurity>() {
var flag: Boolean = false
override fun init(http: HttpSecurity) {
// any method that adds another configurer
// must be done in the init method
http.csrf().disable()
}
override fun configure(http: HttpSecurity) {
val context: ApplicationContext = http.getSharedObject(ApplicationContext::class.java)
// here we lookup from the ApplicationContext. You can also just create a new instance.
val myFilter: MyFilter = context.getBean(MyFilter::class.java)
myFilter.setFlag(flag)
http.addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter::class.java)
}
companion object {
@JvmStatic
fun customDsl(): MyCustomDsl {
return MyCustomDsl()
}
}
}|
这实际上是像 |
然后,你可以使用自定义 DSL:
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class Config {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.with(MyCustomDsl.customDsl(), (dsl) -> dsl
.flag(true)
)
// ...
return http.build();
}
}@Configuration
@EnableWebSecurity
class Config {
@Bean
fun filterChain(http: HttpSecurity): SecurityFilterChain {
http
.with(MyCustomDsl.customDsl()) {
flag = true
}
// ...
return http.build()
}
}代码按照以下顺序调用:
-
调用 `Config.filterChain`方法中的代码
-
调用 `MyCustomDsl.init`方法中的代码
-
调用 `MyCustomDsl.configure`方法中的代码
如果你愿意,你可以使用 SpringFactories 让 HttpSecurity 默认添加 MyCustomDsl。例如,你可以在类路径上创建一个名为 META-INF/spring.factories 的资源,内容如下:
org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer = sample.MyCustomDsl你还可以显式禁用默认值:
-
Java
-
Kotlin
@Configuration
@EnableWebSecurity
public class Config {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.with(MyCustomDsl.customDsl(), (dsl) -> dsl
.disable()
)
...;
return http.build();
}
}@Configuration
@EnableWebSecurity
class Config {
@Bean
fun filterChain(http: HttpSecurity): SecurityFilterChain {
http
.with(MyCustomDsl.customDsl()) {
disable()
}
// ...
return http.build()
}
}Post Processing Configured Objects
Spring Security 的 Java 配置不会公开所配置每个对象的每个属性。这会为大多数用户简化配置。毕竟,如果公开每个属性,用户可以使用标准 Bean 配置。
虽然有很多理由不直接公开每个属性,但用户仍然可能需要更高级的配置选项。为了解决此问题,Spring Security 引入了 ObjectPostProcessor 的概念,它可用于修改或替换 Java 配置创建的许多 Object 实例。例如,要配置 FilterSecurityInterceptor 上的 filterSecurityPublishAuthorizationSuccess 属性,可以使用以下内容:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
public <O extends FilterSecurityInterceptor> O postProcess(
O fsi) {
fsi.setPublishAuthorizationSuccess(true);
return fsi;
}
})
);
return http.build();
}