慢來比較快,虛心學技術
儘管Spring Security爲我們提供了Web層的安全保護,我們依舊有可能會疏忽而導致用戶通過正常訪問路徑訪問到不應該訪問的方法,所以除了在web層實施保護以外,我們還需要給底層的方法施加保護層。這樣就能保證如果用戶不具備權限的話,就無法執行相應的邏輯
Spring Security 提供了三種不同的安全註解:
- Spring Security 自帶的 @Secured 註解;
- JSR-250 的 @RolesAllowed 註解;
- 表達式驅動的註解,包括 @PreAuthorize 、 @PostAuthorize 、 @PreFilter 和 @PostFilter 。
其中,@Secured 和 @RolesAllowed 方案非常類似,能夠基於用戶所授予的權限限制對方法的訪問
基礎環境:(詳細配置解釋請參考第九章文章)
<!--定義spring版本信息-->
<properties>
<org.springframework.version>5.1.3.RELEASE</org.springframework.version>
<spring.security.version>5.1.3.RELEASE</spring.security.version>
</properties>
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>4.12</version>
<scope>test</scope>
</dependency>
<!-- servlet -->
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.1.0</version>
<scope>provided</scope>
</dependency>
<!-- jstl -->
<dependency>
<groupId>jstl</groupId>
<artifactId>jstl</artifactId>
<version>1.2</version>
</dependency>
<!--lombok引入,用於精簡代碼,bean類使用註解默認攜帶setter和getter方法等-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.4</version>
</dependency>
<!-- Spring基礎框架引入 -->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${org.springframework.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context</artifactId>
<version>${org.springframework.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-test</artifactId>
<version>${org.springframework.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-aop</artifactId>
<version>${org.springframework.version}</version>
</dependency>
<dependency>
<groupId>org.aspectj</groupId>
<artifactId>aspectjweaver</artifactId>
<version>1.8.13</version>
</dependency>
<!-- Spring MVC -->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${org.springframework.version}</version>
</dependency>
<!-- Spring Security依賴 -->
<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-core -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-core</artifactId>
<version>${spring.security.version}</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-web -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-com.my.spring.config -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
</dependencies>
配置web環境
- 配置SpringMVC默認DispatcherServlet類
public class WebAppInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
private final Logger logger = LoggerFactory.getLogger(this.getClass());
/*AbstractAnnotationConfigDispatcherServletInitializer 會同時創
建 DispatcherServlet 和 ContextLoaderListener 。 GetServlet-ConfigClasses() 方法返回的帶有 @Configuration 註解的
類將會用來定義 DispatcherServlet 應用上下文中的 bean 。 getRootConfigClasses() 方法返回的帶有 @Configuration 註解的類將
會用來配置 ContextLoaderListener 創建的應用上下文中的 bean 。*/
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[]{RootConfig.class};
}
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[]{WebConfig.class};
}
@Override
protected String[] getServletMappings() {
logger.debug("DispatcherServlet獲取匹配的前端控制器。。。。。。");
return new String[]{"/"};
}
}
- 創建Spring Security的DelegatingFilterProxy,自動加載springSecurityFilterChain
/**
* 攔截髮往應用中的請求,並將請求委託給 ID 爲 springSecurityFilterChain的bean
* springSecurityFilterChain 本身是另一個特殊的 Filter,它也被稱爲 FilterChainProxy.它可以鏈接任意一個或多個其他的 Filter。
* Spring Security 依賴一系列 Servlet Filter 來提供不同的安全特性。
**/
public class SpringSecurityInitializer extends AbstractSecurityWebApplicationInitializer {}
- 配置SpringMVC的根配置和Web配置
@Configuration
@ComponentScan(basePackages ={"com.my.spring"},excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = {EnableWebMvc.class})})
public class RootConfig {
}
@EnableWebMvc
@Configuration
@ComponentScan(basePackages = {"com.my.spring.controller"})
@Import(SecurityConfig.class)//引入Spring Security的配置
public class WebConfig extends WebMvcConfigurationSupport {
/**
* 定義一個視圖解析器
*
* @return org.springframework.web.servlet.ViewResolver
*
* @author lai.guanfu 2019/3/5
* @version 1.0
**/
@Bean
public ViewResolver viewResolver(){
InternalResourceViewResolver resourceViewResolver = new InternalResourceViewResolver();
resourceViewResolver.setPrefix("/WEB-INF/view/");
resourceViewResolver.setSuffix(".jsp");
resourceViewResolver.setExposeContextBeansAsAttributes(true);
resourceViewResolver.setViewClass(JstlView.class);
return resourceViewResolver;
}
@Override
protected void configureDefaultServletHandling(DefaultServletHandlerConfigurer configurer) {
configurer.enable();
}
}
- SecurityConfig.java:開啓Spring Security並配置基本攔截和用戶信息,增加兩個用戶
@Configuration
@EnableWebSecurity//啓用Spring Security
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 設置攔截路徑
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
//配置攔截路徑以及認證通過的身份,此處指定訪問/user/**的請求會被攔截認證,必須以DBA或者ADMIN的身份登錄
.antMatchers("/user/**").access("hasAnyRole('ROLE_DBA','ROLE_ADMIN')")
//表明除了上述路徑需要攔截認證外,其餘路徑全部不進行認證
.anyRequest().permitAll()
//add()方法用於連接各種配置指令
.and()
//當重寫configure(HttpSecurity http)方法後,將失去Spring Security的默認登錄頁,可以使用formLogin()重新啓用
.formLogin();
}
/**
* 使用內存設置基本人物信息
* @param auth
* @throws Exception
*/
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
//使用內存添加用戶名及登陸密碼和身份,使用指定編碼器對密碼進行編碼
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("ADMIN");
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("dba").password(new BCryptPasswordEncoder().encode("123456")).roles("DBA");
//Spring Security 5.0之前的寫法,5.0之後,如果沒有指定密碼編碼器,將會報There is no PasswordEncoder mapped for the id "null"的錯
/*auth.inMemoryAuthentication().withUser("admin").password("123456").roles("ADMIN");
auth.inMemoryAuthentication().withUser("dba").password("123456").roles("DBA");*/
}
}
- 編寫基本類
@Data//lombok註解,默認編譯生成setter和getter方法
public class User {
/**
* 用戶名
**/
private String userName;
/**
* 密碼
**/
private String password;
/**
* 年齡
**/
private Integer age;
}
- 編寫基本dao,此處爲方便起見,不實現jdbc
@Repository
public class BaseDao {
/**
* 根據用戶名獲取用戶
* @param userName
* @return
*/
public User get(String userName) {
System.out.println("獲取用戶");
User user = new User();
user.setUserName(userName);
return user;
}
/**
* 根據用戶名刪除用戶
* @return
*/
public void delete() {
System.out.println("刪除用戶!!!");
}
/**
* 保存用戶
* @param user
* @return
*/
public User save(User user) {
return user;
}
}
- 編寫基本Service接口和實現類
public interface BaseService {
/**
* 獲取管理員信息
* @return
*/
User getAdmin();
/**
* 獲取DBA用戶信息
* @return
*/
User getDBA();
/**
* 刪除用戶
*/
void deleteUser();
/**
* 添加用戶
* @param user
* @return
*/
User addUser(User user);
}
@Component
public class BaseServiceImpl implements BaseService {
@Autowired
private BaseDao baseDao;
@Override
public User getAdmin() {
return this.baseDao.get("admin");
}
@Override
public User getDBA() {
return this.baseDao.get("dba");
}
@Override
public void deleteUser() {
this.baseDao.delete();
}
@Override
public User addUser(User user) {
return this.baseDao.save(user);
}
}
- 編寫基本controller
@Controller
public class MyController{
@Autowired
private BaseService baseService;
@RequestMapping(value = {"/user/getAdmin"},method = RequestMethod.GET)
public ModelAndView getAdmin(){
ModelAndView model = new ModelAndView();
User admin = this.baseService.getAdmin();
model.addObject("user",admin);
model.setViewName("showUserMessage");
return model;
}
@RequestMapping(value = {"/user/getDBA"},method = RequestMethod.GET)
public ModelAndView getDBA(){
ModelAndView model = new ModelAndView();
User dba = this.baseService.getDBA();
model.addObject("user",dba);
model.setViewName("showUserMessage");
return model;
}
@RequestMapping("/user/userForm")
public String login(){
return "userForm";
}
@RequestMapping(value = {"/user/addUser"})
public ModelAndView addUser(User user){
ModelAndView model = new ModelAndView();
User temp = this.baseService.addUser(user);
model.addObject("user",temp);
model.setViewName("showUserMessage");
return model;
}
@RequestMapping(value = {"/user/deleteUser"})
public ModelAndView deleteUser(){
ModelAndView model = new ModelAndView();
this.baseService.deleteUser();
model.addObject("message","刪除成功!!!");
model.setViewName("showUserMessage");
return model;
}
}
- 編寫基本視圖
/userForm.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>新增用戶</title>
</head>
<body>
<form method="get" action="./user/addUser">
<label>用戶名:</label><input type="text" name="userName">
<label>密碼:</label><input type="password" name="password">
<label>年齡:</label><input type="text" name="age">
<button type="submit">提交</button>
</form>
</body>
</html>
/showUserMessage.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ page isELIgnored="false" %>
<html>
<head>
<title>用戶信息頁</title>
</head>
<body>
<c:if test="${user != null}">
<label>您獲取到的用戶名字爲:</label><span style="font-size: large">${user.userName}</span>
</c:if>
<c:if test="${user == null}">
<span>${message}</span>
</c:if>
</body>
</html>
其基本目錄結構如下:
執行簡單測試:
訪問/user/getAdmin,使用dba進行登錄
訪問/user/getDBA,使用admin進行登錄
可以看到,無論是amdin還是dba用戶,只要具備/user/**的訪問權限,就可以對路徑內的方法擁有暢通的訪問,這顯然不是我們所允許的。
Ⅰ、@Secured註解實現方法訪問權限限制
要使用@Secured之前,我們需要先開啓Security的方法權限配置:@EnableGlobalMethodSecurity(securedEnabled = true)&GlobalMethodSecurityConfiguration
如果 securedEnabled 屬性的值爲 true 的話,將會創建一個切點,這樣的話 Spring Security 切面就會包裝帶有 @Secured 註解的方法
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)//開啓全局方法權限控制
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
}
接下來,爲Service添加方法權限控制-@Secured(value = {})
@Secured 註解會使用一個 String 數組作爲參數。每個 String 值是一個權限,調用這個方法至少需要具備其中的一個權限:
如下面的getAdmin方法只允許具備ROLE_ADMIN身份的用戶訪問,也就是admin
而getDBA方法則允許具備ROLE_ADMIN或者ROLE_DBA身份的用戶訪問,依此類推
@Component
public class BaseServiceImpl implements BaseService {
@Autowired
private BaseDao baseDao;
@Override
@Secured(value = {"ROLE_ADMIN"})
public User getAdmin() {
return this.baseDao.get("admin");
}
@Override
@Secured(value = {"ROLE_ADMIN","ROLE_DBA"})
public User getDBA() {
return this.baseDao.get("dba");
}
@Override
@Secured(value = {"ROLE_ADMIN"})
public void deleteUser() {
this.baseDao.delete();
}
@Override
@Secured(value = {"ROLE_ADMIN","ROLE_DBA"})
public User addUser(User user) {
return this.baseDao.save(user);
}
}
測試結果:
使用admin身份訪問/user/getAdmin,允許訪問
使用admin身份訪問/user/deleteUser,允許訪問
使用dba身份訪問/user/getAdmin,權限不足
使用dba身份訪問/user/deleteUser,權限不足
可以看到,即便dba擁有對/user/**路徑的完全訪問權限,依舊無法訪問受限方法,方法保護成功
Ⅱ、 @RolesAllowed 註解實現方法訪問權限限制
@RolesAllowed 註解和 @Secured 註解在各個方面基本上都是一致的。唯一顯著的區別在於 @RolesAllowed 是 JSR-250 定義的 Java 標準註解
兩者使用上的區別在於註解名稱和@EnableGlobalMethodSecurity()開啓的方式
①引入maven依賴
<dependency>
<groupId>javax.annotation</groupId>
<artifactId>jsr250-api</artifactId>
<version>1.0</version>
</dependency>
②更改MethodSecurityConfig,開啓jsr250Enabled 支持,值得注意的是,此處實際上可以同時使用securedEnabled和jsr250Enabled,兩者並不衝突
@Configuration
@EnableGlobalMethodSecurity(jsr250Enabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
}
③更改目標方法使用的註解
@Component
public class BaseServiceImpl implements BaseService {
@Autowired
private BaseDao baseDao;
@Override
@RolesAllowed(value = {"ROLE_ADMIN"})
public User getAdmin() {
return this.baseDao.get("admin");
}
@Override
@RolesAllowed(value = {"ROLE_ADMIN","ROLE_DBA"})
public User getDBA() {
return this.baseDao.get("dba");
}
@Override
@RolesAllowed(value = {"ROLE_ADMIN"})
public void deleteUser() {
this.baseDao.delete();
}
@Override
@RolesAllowed(value = {"ROLE_ADMIN","ROLE_DBA"})
public User addUser(User user) {
return this.baseDao.save(user);
}
}
④執行測試
使用admin登錄,訪問/user/getAdmin,允許訪問
使用admin登錄,訪問/user/deleteUser,允許訪問
使用dba登錄,訪問/user/getAdmin,訪問受限
使用dba登錄,訪問/user/deleteUser,訪問受限