2. 程式人生 > 程式設計 >Spring Security實現不同介面安全策略方法詳解

Spring Security實現不同介面安全策略方法詳解

阿新 發佈:2020-09-04

1. 前言

歡迎閱讀 Spring Security 實戰乾貨 系列文章 。最近有開發小夥伴提了一個有趣的問題。他正在做一個專案,涉及兩種風格,一種是給小程式出介面,安全上使用無狀態的JWT Token;另一種是管理後臺使用的是Freemarker,也就是前後端不分離的Session機制。用Spring Security該怎麼辦?

2. 解決方案

我們可以通過多次繼承WebSecurityConfigurerAdapter構建多個HttpSecurity。HttpSecurity 物件會告訴我們如何驗證使用者的身份,如何進行訪問控制,採取的何種策略等等。

我們是這麼配置的:

/**
 * 單策略配置
 *
 * @author felord.cn
 * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration
 * @since 14 :58 2019/10/15
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true,jsr250Enabled = true,securedEnabled = true)
@EnableWebSecurity
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
public class CustomSpringBootWebSecurityConfiguration {

  /**
   * The type Default configurer adapter.
   */
  @Configuration
  @Order(SecurityProperties.BASIC_AUTH_ORDER)
  static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      super.configure(auth);
    }

    @Override
    public void configure(WebSecurity web) {
      super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 配置 httpSecurity

    }
  }
}

上面的配置了一個HttpSecurity,我們如法炮製再增加一個WebSecurityConfigurerAdapter的子類來配置另一個HttpSecurity。伴隨而來的還有不少的問題要解決。

2.1 如何路由不同的安全配置
我們配置了兩個HttpSecurity之後,程式如何讓小程式介面和後臺介面走對應的HttpSecurity?

HttpSecurity.antMatcher(String antPattern)可以提供過濾機制。比如我們配置:

   @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 配置 httpSecurity
      http.antMatcher("/admin/v1");

    }

那麼該HttpSecurity將只提供給以/admin/v1開頭的所有URL。這要求我們針對不同的客戶端指定統一的URL字首。

舉一反三隻要HttpSecurity提供的功能都可以進行個性化定製。比如登入方式,角色體系等。

2.2 如何指定預設的 HttpSecurity

我們可以通過在WebSecurityConfigurerAdapter實現上使用@Order註解來指定優先順序,數值越大優先順序越低,沒有@Order註解將優先順序最低。

2.3 如何配置不同的 UserDetailsService

很多情況下我們希望普通使用者和管理使用者完全隔離,我們就需要多個UserDetailsService,你可以在下面的方法中對AuthenticationManagerBuilder進行具體的設定來配置UserDetailsService,同時也可以配置不同的密碼策略。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
  daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      // 自行實現
      return null ;
    }
  });
  // 也可以設計特定的密碼策略
  BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
  daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);
  auth.authenticationProvider(daoAuthenticationProvider);
}

2.4 最終的配置模板

上面的幾個問題解決之後,我們基本上掌握了在一個應用中執行多種安全策略。配置模板如下:

/**
 * 多個策略配置
 *
 * @author felord.cn
 * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration
 * @since 14 :58 2019/10/15
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
@EnableWebSecurity
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
public class CustomSpringBootWebSecurityConfiguration {

  /**
   * 後臺介面安全策略. 預設配置
   */
  @Configuration
  @Order(1)
  static class AdminConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
      //使用者詳情服務個性化
      daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
          // 自行實現
          return null;
        }
      });
      // 也可以設計特定的密碼策略
      BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
      daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);
      auth.authenticationProvider(daoAuthenticationProvider);
    }

    @Override
    public void configure(WebSecurity web) {
      super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 根據需求自行定製
      http.antMatcher("/admin/v1")
          .sessionManagement(Customizer.withDefaults())
          .formLogin(Customizer.withDefaults());

    }
  }

  /**
   * app介面安全策略. 沒有{@link Order}註解優先順序比上面低
   */
  @Configuration
  static class AppConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
      //使用者詳情服務個性化
      daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
          // 自行實現
          return null;
        }
      });
      // 也可以設計特定的密碼策略
      BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
      daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);
      auth.authenticationProvider(daoAuthenticationProvider);
    }

    @Override
    public void configure(WebSecurity web) {
      super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 根據需求自行定製
      http.antMatcher("/app/v1")
          .sessionManagement(Customizer.withDefaults())
          .formLogin(Customizer.withDefaults());

    }
  }
}

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支援我們。

相關推薦

Spring Security實現不同介面安全策略方法

1. 前言 歡迎閱讀 Spring Security 實戰乾貨 系列文章 。最近有開發小夥伴提了一個有趣的問題。他正在做一個專案,涉及兩種風格,一種是給小程式出介面安全上使用無狀態的JWT Token;另一種是管理後臺使用的是Fre

Python中import匯入不同目錄的模組方法

測試的目錄如下: root    ├── module_root.py    ├── package_a    │   ├── child

Android中實現ping功能的多種方法

使用java來實現ping功能。 並寫入檔案。為了使用java來實現ping的功能,有人推薦使用java的 Runtime.exec()方法來直接呼叫系統的Ping命令,也有人完成了純Java實現Ping的程式,使用的是Java的NIO包(native io,高效IO包

利用C#實現SSLSocket加密通訊的方法

前言 SSL Socket通訊是對socket的擴充套件,增加Socket通訊的資料安全性,SSL認證分為單向和雙向認證。單向認證只認證伺服器端的合法性而不認證客戶端的合法性。雙向認證是同時認證服務端和客戶端。下面我分別說說使

Python利用Faiss庫實現ANN近鄰搜尋的方法

Embedding的近鄰搜尋是當前圖推薦系統非常重要的一種召回方式,通過item2vec、矩陣分解、雙塔DNN等方式都能夠產出訓練好的user embedding、item embedding,對於embedding的使用非常的靈活:

JavaScript實現與web通訊的方法

web通訊,一個特別大的topic,涉及面也是很廣的。因最近學習了 javascript 中一些 web 通訊知識,在這裡總結下。文中應該會有理解錯誤或者表述不清晰的地方,還望斧正!

Spring Boot自定義錯誤檢視的方法

Spring Boot預設錯誤檢視解析器   Web應用在處理請求的過程中發生錯誤是非常常見的情況,SpringBoot中為我們實現了一個錯誤檢視解析器(DefaultErrorViewResolver)。它基於一些常見的約定,嘗試根據HTTP錯誤狀態碼

不同的模式匹配方法(暴力、KMP、Rabin-Karp演算法)

1 概述 單模式匹配是處理字串的經典問題,指在給定字串中尋找是否含有某一給定的字串。比較形象的是CPP中的strStr()函式,Java的String類下的indexOf()函式都實現了這個功能,本文討論幾種實現單模式匹配的方法,包

Python實現matplotlib顯示中文的方法

文例項講述了Python實現matplotlib顯示中文的方法。分享給大家供大家參考,具體如下:

Spring Security 基礎教程 -- 密碼加密和方法安全

密碼加密 一般來說,密碼是需要加密再存入資料庫的,常用雜湊函式進行加密。

Spring Security實現禁止使用者重複登陸的配置原理

這篇文章主要介紹了Spring Security實現禁止使用者重複登陸的配置原理,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

spring security實現下次自動登入功能過程解析

這篇文章主要介紹了spring security實現記住我下次自動登入功能,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Security實現兩週內自動登入"記住我"功能

本文是Spring Security系列中的一篇。在上一篇文章中,我們通過實現UserDetailsService和UserDetails介面實現了動態的從資料庫載入使用者、角色、許可權相關資訊,從而實現了登入及授權相關的功能。這一節就在此基

Spring Security實現多次登入失敗後賬戶鎖定功能

在上一次寫的文章中,為大家說到了如何動態的從資料庫載入使用者、角色、許可權資訊,從而實現登入驗證及授權。在實際的開發過程中,我們通常會有這樣的一個需求:當用戶多次登入失敗的時候,我們應該將賬戶鎖定,等

spring boot 防止重複提交實現方法

本文例項講述了spring boot 防止重複提交實現方法。分享給大家供大家參考,具體如下:

python執行緒安全及多程序多執行緒實現方法

程序和執行緒的區別 程序是對執行時程式的封裝,是系統資源排程和分配的基本單位

Spring Security實現驗證碼登入功能

這篇文章主要介紹了Spring Security實現驗證碼登入功能,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

基於spring security實現登入登出功能過程解析

這篇文章主要介紹了基於spring security實現登入登出功能過程解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Boot實現熱部署的例項方法

Spring Boot怎麼實現熱部署 在Spring Boot實現程式碼熱部署是一件很簡單的事情,程式碼的修改可以自動部署並重新熱啟動專案。

Spring security實現對賬戶進行加密

一、原理分析1.1加密原理 首先前端頁面傳送註冊的賬戶資訊到controller層,然後依次經過service層和dao層,最後入庫。其中對密碼的加密應該放在service層進行,加密後再入庫。