Spring Security实现不同接口安全策略方法详解

Spring Security实现不同接口安全策略方法详解

1. 前言

欢迎阅读 Spring Security 实战干货 系列文章 。最近有开发小伙伴提了一个有趣的问题。他正在做一个项目，涉及两种风格，一种是给小程序出接口，安全上使用无状态的JWT Token；另一种是管理后台使用的是Freemarker，也就是前后端不分离的Session机制。用Spring Security该怎么办？

2. 解决方案

我们可以通过多次继承WebSecurityConfigurerAdapter构建多个HttpSecurity。HttpSecurity 对象会告诉我们如何http://验证用户的身份，如何进行访问控制，采取的何种策略等等。

我们是这么配置的：

/**

* 单策略配置

*

* @author felord.cn

* @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration

* @since 14 :58 2019/10/15

*/

@Configuration

@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)

@EnableWebSecurity

@ConditionalOnClass(WebSecurityConfigurerAdapter.class)

@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)

public class CustomSpringBootWebSecurityConfiguration {

/**

* The type Default configurer adapter.

*/

@Configuration

@Order(SecurityProperties.BASIC_AUTH_ORDER)

static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

super.configure(auth);

}

@Override

public void configure(WebSecurity web) {

super.configure(web);

}

@Override

protected void configure(HttpSecurity http) throws Exception {

// 配置 httpSecurity

}

}

}

上面的配置了一个HttpSecurity，我们如法炮制再增加一个WebSecurityConfigurerAdapter的子类来配置另一个HttpSecurity。伴随而来的还有不少的问题要解决。

2.1 如何路由不同的安全配置

我们配置了两个HttpSecurity之后，程序如何让小程序接口和后台接口走对应的HttpSecurity？

HttpSecurity.antMatcher(String antPattern)可以提供过滤机制。比如我们配置：

@Override

protected void configure(HttpSecurity http) throws Exception {

// 配置 httpSecurity

http.antMatcher("/admin/v1");

}

那么该HttpSecurity将只提供给以/admin/v1开头的所有URL。这要求我们针对不同的客户端指定统一的URL前缀。

举一反三只要HttpSecurity提供的功能都可以进行个性化定制。比如登录方式，角色体系等。

2.2 如何指定默认的 HttpSecurity

我们可以通过在WebSecurityConfigurerAdapter实现上使用@Order注解来指定优先级，数值越大优先级越低，没有@Order注解将优先级最低。

2.3 如何配置不同的 UserDetailsService

很多情况下我们希望普通用户和管理用户完全隔离，我们就需要多个UserDetailsService，你可以在下面的方法中对AuthenticationManagerBuilder进行具体的设置来配置UserDetailsService，同时也可以配置不同的密码策略。

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();

daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

// 自行实现

return null ;

}

});

// 也可以设计特定的密码策略

BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();

daoAuthenticationProvider.setPaQNhrVvAsswordEncoder(bCryptPasswordEncoder);

auth.authenticationProvider(daoAuthenticationProvider);

}

2.4 最终的配置模板

上面的几个问题解决之后，我们基本上掌握了在一个应用中执行多种安全策略。配置模板如下：

/**

* 多个策略配置

*

* @author felord.cn

* @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration

* @since 14 :58 2019/10/15

*/

@Configuration

@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)

@EnableWebSecurity

@ConditionalOnClass(WebSecurityConfigurerAdapter.class)

@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)

public class CustomSpringBootWebSecurityConfiguration {

/**

* 后台接口安全策略. 默认配置

*/

@Configuration

@Order(1)

static class AdminConfigurerAdapter extends WebSecurityConfigurerAdapter {

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();

//用户详情服务个性化

daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

// 自行实现

return null;

}

});

// 也可以设计特定的密码策略

BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();

daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);

auth.authenticationProvider(daoAuthenticationProvider);

}

@Override

public void configure(WebSecurity web) {

super.configure(web);

}

@Override

protected void configure(HttpSecurity http) throws Exception {

// 根据需求自行定制

http.antMatcher("/admin/v1")

.sessionManagement(Customizer.withDefaults())

.formLogin(Customizer.withDefaults());

}

}

/**

* app接口安全策略. 没有{@link Order}注解优先级比上面低

*/

@Configuration

static class AppConfigurerAdapter extends WebSecurityConfigurerAdapter {

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();

//用户详情服务个性化

daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

// 自行实现

return null;

}

});

// 也可以设计特定的密码策略

BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();

daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);

auth.authenticationProvider(daoAuthenticationProvider);

}

@Override

public void configure(WebSecurity web) {

super.configure(web);

}

@Override

protected void configure(HttpSecurity http) throws Exception {

// 根据需求自行定http://制

http.antMatcher("/app/v1")

.sessionManagement(Customizer.withDefaults())

.formLogin(Customizer.withDefaults());

}

}

}

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。