程序员最近都爱上了这个网站  程序员们快来瞅瞅吧!  it98k网:it98k.com

本站消息

站长简介/公众号

  出租广告位,需要合作请联系站长


+关注
已关注

分类  

暂无分类

标签  

暂无标签

日期归档  

Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter

发布于2023-06-19 22:22     阅读(1177)     评论(0)     点赞(1)     收藏(3)


一、背景

 

最近阿里云的项目迁回本地运行,数据库从阿里云的RDS(即Mysql5.6)换成了本地8.0,Redis也从古董级别的2.x换成了现在6,忍不住,手痒,把jdk升级到了17,用zgc垃圾回收器,源代码重新编译重新发布,结果碰到了古董的SpringBoot不支持jdk17,所以有了这篇日志。记录一下SpringBoot2+SpringSecurity+JWT升级成SpringBoot3+SpringSecurity+JWT,就像文章标题所说的,SpringSecurity已经废弃了继承WebSecurityConfigurerAdapter的配置方式,那就的从头来咯。

在Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。 

在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。

二、配置成功后根据配置的情况整理的类图

​​​​​​​

 

三、配置详情

3.1. 启用WebSecurity配置 

  1. @Configuration
  2. @EnableWebSecurity
  3. public class SecurityConfig {
  4. }

 以下的配置在SecurityConfig内完成。

3.1.1. 注册SecurityFilterChain Bean,并完成HttpSecurity配置

在HttpSecurity中注意使用了lambda写法,使用这种写法之后,每个设置都直接返回HttpSecurity对象,避免了多余的and()操作符。每一步具体的含义,请参考代码上的注释。

  1. @Bean
  2. public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  3. http
  4. // 禁用basic明文验证
  5. .httpBasic().disable()
  6. // 前后端分离架构不需要csrf保护
  7. .csrf().disable()
  8. // 禁用默认登录页
  9. .formLogin().disable()
  10. // 禁用默认登出页
  11. .logout().disable()
  12. // 设置异常的EntryPoint,如果不设置,默认使用Http403ForbiddenEntryPoint
  13. .exceptionHandling(exceptions -> exceptions.authenticationEntryPoint(invalidAuthenticationEntryPoint))
  14. // 前后端分离是无状态的,不需要session了,直接禁用。
  15. .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
  16. .authorizeHttpRequests(authorizeHttpRequests -> authorizeHttpRequests
  17. // 允许所有OPTIONS请求
  18. .requestMatchers(HttpMethod.OPTIONS, "/**").permitAll()
  19. // 允许直接访问授权登录接口
  20. .requestMatchers(HttpMethod.POST, "/web/authenticate").permitAll()
  21. // 允许 SpringMVC 的默认错误地址匿名访问
  22. .requestMatchers("/error").permitAll()
  23. // 其他所有接口必须有Authority信息,Authority在登录成功后的UserDetailsImpl对象中默认设置“ROLE_USER”
  24. //.requestMatchers("/**").hasAnyAuthority("ROLE_USER")
  25. // 允许任意请求被已登录用户访问,不检查Authority
  26. .anyRequest().authenticated())
  27. .authenticationProvider(authenticationProvider())
  28. // 加我们自定义的过滤器,替代UsernamePasswordAuthenticationFilter
  29. .addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
  30. return http.build();
  31. }

3.1.2. 注册自定义用户登录信息查询Bean

  1. @Autowired
  2. private UserDetailsService userDetailsService;
  3. @Bean
  4. public UserDetailsService userDetailsService() {
  5. // 调用 JwtUserDetailService实例执行实际校验
  6. return username -> userDetailsService.loadUserByUsername(username);
  7. }

 这里关联到一个自定义的子类UserDetailsService,代码逻辑如下,注意需要根据实际情况改造数据库查询逻辑:

  1. @Component
  2. public class SecurityUserDetailsService implements UserDetailsService {
  3. @Autowired
  4. private SqlSession sqlSession;
  5. @Override
  6. public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  7. try {
  8. // 查询数据库用户表,获得用户信息
  9. sqlSession.xxx
  10. // 使用获得的信息创建SecurityUserDetails
  11. SecurityUserDetails user = new SecurityUserDetails(username,
  12. password,
  13. // 以及其他org.springframework.security.core.userdetails.UserDetails接口要求的信息
  14. );
  15. logger.info("用户信息:{}", user);
  16. return user;
  17. } catch (Exception e) {
  18. String msg = "Username: " + username + " not found";
  19. logger.error(msg, e);
  20. throw new UsernameNotFoundException(msg);
  21. }
  22. }
  23. }

3.1.3. 注册密码加密Bean

  1. @Bean
  2. public PasswordEncoder passwordEncoder() {
  3. return new BCryptPasswordEncoder();
  4. }

3.1.4. 注册用户授权检查执行Bean 

这里设定使用DaoAuthenticationProvider执行具体的校验检查,并且将自定义的用户登录查询服务Bean,和密码生成器都注入到该对象中

  1. /**
  2. * 调用loadUserByUsername获得UserDetail信息,在AbstractUserDetailsAuthenticationProvider里执行用户状态检查
  3. *
  4. * @return
  5. */
  6. @Bean
  7. public AuthenticationProvider authenticationProvider() {
  8. DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
  9. // DaoAuthenticationProvider 从自定义的 userDetailsService.loadUserByUsername 方法获取UserDetails
  10. authProvider.setUserDetailsService(userDetailsService());
  11. // 设置密码编辑器
  12. authProvider.setPasswordEncoder(passwordEncoder());
  13. return authProvider;
  14. }

3.1.5. 注册授权检查管理Bean 

  1. /**
  2. * 登录时需要调用AuthenticationManager.authenticate执行一次校验
  3. *
  4. * @param config
  5. * @return
  6. * @throws Exception
  7. */
  8. @Bean
  9. public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
  10. return config.getAuthenticationManager();
  11. }

3.1.6. 注册每次请求的jwt检查拦截器

在拦截器中检查jwt是否能够通过签名验证,是否还在有效期内。如果通过验证,使用jwt中的信息生成一个不含密码信息的SecurityUserDetails对象,并设置到SecurityContext中,确保后续的过滤器检查能够知晓本次请求是被授权过的。具体代码逻辑看3.2. jwt请求过滤器。

  1. @Bean
  2. public JwtTokenOncePerRequestFilter authenticationJwtTokenFilter() {
  3. return new JwtTokenOncePerRequestFilter();
  4. }

3.1.7.  SecurityConfig 对象完整内容

  1. @Configuration
  2. @EnableWebSecurity
  3. public class SecurityConfig {
  4. @Autowired
  5. private UserDetailsService userDetailsService;
  6. @Autowired
  7. private InvalidAuthenticationEntryPoint invalidAuthenticationEntryPoint;
  8. @Bean
  9. public PasswordEncoder passwordEncoder() {
  10. return new BCryptPasswordEncoder();
  11. }
  12. @Bean
  13. public JwtTokenOncePerRequestFilter authenticationJwtTokenFilter() {
  14. return new JwtTokenOncePerRequestFilter();
  15. }
  16. @Bean
  17. public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
  18. http
  19. // 禁用basic明文验证
  20. .httpBasic().disable()
  21. // 前后端分离架构不需要csrf保护
  22. .csrf().disable()
  23. // 禁用默认登录页
  24. .formLogin().disable()
  25. // 禁用默认登出页
  26. .logout().disable()
  27. // 设置异常的EntryPoint,如果不设置,默认使用Http403ForbiddenEntryPoint
  28. .exceptionHandling(exceptions -> exceptions.authenticationEntryPoint(invalidAuthenticationEntryPoint))
  29. // 前后端分离是无状态的,不需要session了,直接禁用。
  30. .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
  31. .authorizeHttpRequests(authorizeHttpRequests -> authorizeHttpRequests
  32. // 允许所有OPTIONS请求
  33. .requestMatchers(HttpMethod.OPTIONS, "/**").permitAll()
  34. // 允许直接访问授权登录接口
  35. .requestMatchers(HttpMethod.POST, "/web/authenticate").permitAll()
  36. // 允许 SpringMVC 的默认错误地址匿名访问
  37. .requestMatchers("/error").permitAll()
  38. // 其他所有接口必须有Authority信息,Authority在登录成功后的UserDetailsImpl对象中默认设置“ROLE_USER”
  39. //.requestMatchers("/**").hasAnyAuthority("ROLE_USER")
  40. // 允许任意请求被已登录用户访问,不检查Authority
  41. .anyRequest().authenticated())
  42. .authenticationProvider(authenticationProvider())
  43. // 加我们自定义的过滤器,替代UsernamePasswordAuthenticationFilter
  44. .addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
  45. return http.build();
  46. }
  47. @Bean
  48. public UserDetailsService userDetailsService() {
  49. // 调用 JwtUserDetailService实例执行实际校验
  50. return username -> userDetailsService.loadUserByUsername(username);
  51. }
  52. /**
  53. * 调用loadUserByUsername获得UserDetail信息,在AbstractUserDetailsAuthenticationProvider里执行用户状态检查
  54. *
  55. * @return
  56. */
  57. @Bean
  58. public AuthenticationProvider authenticationProvider() {
  59. DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
  60. // DaoAuthenticationProvider 从自定义的 userDetailsService.loadUserByUsername 方法获取UserDetails
  61. authProvider.setUserDetailsService(userDetailsService());
  62. // 设置密码编辑器
  63. authProvider.setPasswordEncoder(passwordEncoder());
  64. return authProvider;
  65. }
  66. /**
  67. * 登录时需要调用AuthenticationManager.authenticate执行一次校验
  68. *
  69. * @param config
  70. * @return
  71. * @throws Exception
  72. */
  73. @Bean
  74. public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
  75. return config.getAuthenticationManager();
  76. }
  77. }

3.2. JWT请求过滤检查

  1. /**
  2. * 每次请求的 Security 过滤类。执行jwt有效性检查,如果失败,不会设置 SecurityContextHolder 信息,会进入 AuthenticationEntryPoint
  3. */
  4. public class JwtTokenOncePerRequestFilter extends OncePerRequestFilter {
  5. @Autowired
  6. private JwtTokenProvider jwtTokenProvider;
  7. @Override
  8. protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
  9. throws ServletException, IOException {
  10. try {
  11. String token = jwtTokenProvider.resolveToken(request);
  12. if (token != null && jwtTokenProvider.validateToken(token)) {
  13. Authentication auth = jwtTokenProvider.getAuthentication(token);
  14. if (auth != null) {
  15. SecurityContextHolder.getContext().setAuthentication(auth);
  16. }
  17. }
  18. } catch (Exception e) {
  19. logger.error("Cannot set user authentication!", e);
  20. }
  21. filterChain.doFilter(request, response);
  22. }
  23. }

3.3. 登录校验

 考虑到jwt签名验签的可靠性,以及jwt的有效载荷并未被加密,所以jwt中放置了UserDetails接口除密码字段外其他所有字段以及项目所需的业务字段。两个目的,1. 浏览器端可以解码jwt的有效载荷部分的内容用于业务处理,由于不涉及到敏感信息,不担心泄密;2.服务端可以通过jwt的信息重新生成UserDetails对象,并设置到SecurityContext中,用于请求拦截的授权校验。

代码如下:

  1. @RestController
  2. @RequestMapping("/web")
  3. public class AuthController {
  4. @PostMapping(value="/authenticate")
  5. public ResponseEntity<?> authenticate(@RequestBody Map<String, String> param) {
  6. logger.debug("登录请求参数:{}", param);
  7. try {
  8. String username = param.get("username");
  9. String password = param.get("password");
  10. String reqType = param.get("type");
  11. // 传递用户密码给到SpringSecurity执行校验,如果校验失败,会进入BadCredentialsException
  12. Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
  13. // 验证通过,设置授权信息至SecurityContextHolder
  14. SecurityContextHolder.getContext().setAuthentication(authentication);
  15. // 如果验证通过了,从返回的authentication里获得完整的UserDetails信息
  16. SecurityUserDetails userDetails = (SecurityUserDetails) authentication.getPrincipal();
  17. // 将用户的ID、名称等信息保存在jwt的token中
  18. String token = jwtTokenProvider.createToken(userDetails.getUsername(), userDetails.getCustname(), new ArrayList<>());
  19. // 设置cookie,本项目中非必需,因以要求必须传head的Authorization: Bearer 参数
  20. ResponseCookie jwtCookie = jwtTokenProvider.generateJwtCookie(token);
  21. Map<String, Object> model = new HashMap<>();
  22. model.put("username", username);
  23. model.put("token", token);
  24. return ok().body(RespBody.build().ok("登录成功", model));
  25. } catch (BadCredentialsException e) {
  26. return ok(RespBody.build().fail("账号或密码错误!"));
  27. }
  28. }
  29. }

4. 总结 

经过以上步骤,对SpringSecurity6结合jwt机制进行校验的过程就全部完成了,jwt的工具类可以按照项目自己的情况进行编码。近期会修改我位于github的示例工程,提供完整的SpringBoot3+SpringSecurity6+jwt的示例工程。目前有一个SpringBoot2的老版本在这里。jwt的工具类也可以参考老版本的这个。

原文链接:https://blog.csdn.net/xieshaohu/article/details/129780439



所属网站分类: 技术文章 > 博客

作者:我是小豆丁

链接:http://www.javaheidong.com/blog/article/674483/9e8e07a83dcb6b1e86c3/

来源:java黑洞网

任何形式的转载都请注明出处,如有侵权 一经发现 必将追究其法律责任

1 0
收藏该文
已收藏

评论内容:(最多支持255个字符)