Spring Security 实战干货:如何实现不同的接口不同的安全策略
2020-08-23 22:57
1141 查看
1. 前言
欢迎阅读 Spring Security 实战干货 系列文章 。最近有开发小伙伴提了一个有趣的问题。他正在做一个项目,涉及两种风格,一种是给小程序出接口,安全上使用无状态的JWT Token;另一种是管理后台使用的是Freemarker,也就是前后端不分离的Session机制。用Spring Security该怎么办?
2. 解决方案
我们可以通过多次继承WebSecurityConfigurerAdapter构建多个
HttpSecurity。
HttpSecurity对象会告诉我们如何验证用户的身份,如何进行访问控制,采取的何种策略等等。
如果你看过之前的教程,我们是这么配置的:
/** * 单策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */ @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true) @EnableWebSecurity @ConditionalOnClass(WebSecurityConfigurerAdapter.class) @ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET) public class CustomSpringBootWebSecurityConfiguration { /** * The type Default configurer adapter. */ @Configuration @Order(SecurityProperties.BASIC_AUTH_ORDER) static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { super.configure(auth); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 配置 httpSecurity } } }
上面的配置了一个
HttpSecurity,我们如法炮制再增加一个
WebSecurityConfigurerAdapter的子类来配置另一个
HttpSecurity。伴随而来的还有不少的问题要解决。
2.1 如何路由不同的安全配置
我们配置了两个
HttpSecurity之后,程序如何让小程序接口和后台接口走对应的
HttpSecurity?
HttpSecurity.antMatcher(String antPattern)可以提供过滤机制。比如我们配置:
@Override protected void configure(HttpSecurity http) throws Exception { // 配置 httpSecurity http.antMatcher("/admin/v1"); }
那么该
HttpSecurity将只提供给以
/admin/v1开头的所有URL。这要求我们针对不同的客户端指定统一的URL前缀。
举一反三只要
HttpSecurity提供的功能都可以进行个性化定制。比如登录方式,角色体系等。
2.2 如何指定默认的 HttpSecurity
我们可以通过在
WebSecurityConfigurerAdapter实现上使用
@Order注解来指定优先级,数值越大优先级越低,没有
@Order注解将优先级最低。
2.3 如何配置不同的 UserDetailsService
很多情况下我们希望普通用户和管理用户完全隔离,我们就需要多个
UserDetailsService,你可以在下面的方法中对
AuthenticationManagerBuilder进行具体的设置来配置
UserDetailsService,同时也可以配置不同的密码策略。
@Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行实现 return null ; } }); // 也可以设计特定的密码策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider); }
2.4 最终的配置模板
上面的几个问题解决之后,我们基本上掌握了在一个应用中执行多种安全策略。配置模板如下:
/** * 多个策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */ @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true) @EnableWebSecurity @ConditionalOnClass(WebSecurityConfigurerAdapter.class) @ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET) public class CustomSpringBootWebSecurityConfiguration { /** * 后台接口安全策略. 默认配置 */ @Configuration @Order(1) static class AdminConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); //用户详情服务个性化 daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行实现 return null; } }); // 也可以设计特定的密码策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 根据需求自行定制 http.antMatcher("/admin/v1") .sessionManagement(Customizer.withDefaults()) .formLogin(Customizer.withDefaults()); } } /** * app接口安全策略. 没有{@link Order}注解优先级比上面低 */ @Configuration static class AppConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); //用户详情服务个性化 daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行实现 return null; } }); // 也可以设计特定的密码策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 根据需求自行定制 http.antMatcher("/app/v1") .sessionManagement(Customizer.withDefaults()) .formLogin(Customizer.withDefaults()); } } }
3. 总结
今天我们解决了如何针对不同类型接口采取不同的安全策略的方法,希望对你有用,如果你有什么问题可以留言。多多关注:码农小胖哥,更多干货奉上。
相关文章推荐
- Spring Security 实战干货:如何实现不同的接口不同的安全策略
- SQLServer 差异备份如何还原、维护计划实现数据库备份(策略实战)、SQL Server 尾日志备份
- 如何避免大段if之活用HashMap(二) - 同接口的不同实现类赋值
- 一个类如何实现两个接口中同名同参数不同返回值的函数
- 【干货】如何通过OPC自定义接口来实现客户端数据的读取?
- Juniper防火墙基于策略NAT实现与接口不同网段公网IP对内网地址的映射
- Api接口通用安全策略及实现-OSS.Core
- 一个类如何实现两个接口中同名同参数不同返回值的函数
- 如何避免不同的用户调用接口时出现多个服务程序实例
- ASP.NET安全架构--如何实现.NET安全
- 安全接口 interface --显示实现接口
- 如何实现填报表不同单元格的自动关联填充
- 如何正确实现多线程安全的singleton patterns
- Oracle数据库安全策略与实现方法(三)
- 如何:实现接口事件(C# 编程指南)
- 用全局接口表实现COM接口在不同线程中的传递
- .net企业级架构实战之5——基于接口的访问层实现
- 通过实现Cloneable接口和覆盖clone()方法实现深度克隆,以及如何通过ByteArrayIOStream实现克隆
- Jdk如何实现Iterator接口?