spring security 关闭自动生成密码开启spring security

转载

mob64ca13f96cda 2024-07-27 13:32:07

文章标签 java spring spring boot spring security 表单 文章分类 架构后端开发

Spring Security🔊是一款基于Spring的安全框架，主要包含认证和授权两大安全模块，和另外一款流行的安全框架Apache Shiro相比，它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求，并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring，那么在安全方面Spring Security会是一个不错的选择。

这里我们使用Spring Boot来集成Spring Security，Spring Boot版本为2.3.3.RELEASE，Spring Security版本为5.3.4.RELEASE。

开启Spring Security

创建一个Spring Boot项目，然后引入spring-boot-starter-security：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

接下来我们创建一个TestController，对外提供一个/hello服务：

@RestController
public class TestController {
    @GetMapping("hello")
    public String hello() {
        return "hello spring security";
    }
}

这时候我们直接启动项目，访问http://localhost:8080/hello，可看登录页面（老版本登录页如第二张图片）：

spring security 关闭自动生成密码开启spring security_spring

spring security 关闭自动生成密码开启spring security_spring boot_02

当Spring项目中引入了Spring Security依赖的时候，项目会默认开启如下配置：

security:
  basic:
    enabled: true

这个配置开启了一个HTTP basic类型的认证，所有服务的访问都必须先过这个认证，默认的用户名为user，密码由Sping Security自动生成，回到IDE的控制台，可以找到密码信息：

Using default security password: 1d072a5e-d06e-4cab-9e32-4706bc1c4322

输入用户名user，密码1d072a5e-d06e-4cab-9e32-4706bc1c4322后，我们便可以成功访问/hello接口。

当然除了登录Spring Security还为我们提供登出功能http://localhost:8080/logout

spring security 关闭自动生成密码开启spring security_spring boot_03

基于HTTP Basic认证

我们可以通过一些配置将基于表单（新版本默认认证方式）认证修改为HTTP Basic的认证方式。

创建一个配置类WebSecurityConfig继承org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter这个抽象类并重写configure(HttpSecurity http)方法。WebSecurityConfigurerAdapter是由Spring Security提供的Web应用安全配置的适配器：

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
            // http.formLogin() // 表单方式
		    http.httpBasic() // HTTP Basic方式
		            .and()
		            .authorizeRequests() // 授权配置
		            .anyRequest()  // 所有请求
		            .authenticated(); // 都需要认证
    }
}

spring security 关闭自动生成密码开启spring security_spring_04

基本原理

上面我们开启了一个最简单的Spring Security安全配置，下面我们来了解下Spring Security的基本原理。通过上面的的配置，代码的执行过程可以简化为下图表示：

spring security 关闭自动生成密码开启spring security_java_05

如上图所示，Spring Security包含了众多的过滤器，这些过滤器形成了一条链，所有请求都必须通过这些过滤器后才能成功访问到资源。其中UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录认证，而BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证，后面还可能包含一系列别的过滤器（可以通过相应配置开启）。
在过滤器链的末尾是一个名为FilterSecurityInterceptor的拦截器，用于判断当前请求身份认证是否成功，是否有相应的权限，当身份认证失败或者权限不足的时候便会抛出相应的异常。
ExceptionTranslateFilter捕获并处理，所以我们在ExceptionTranslateFilter过滤器用于处理了FilterSecurityInterceptor抛出的异常并进行处理，比如需要身份认证时将请求重定向到相应的认证页面，当认证失败或者权限不足时返回相应的提示信息。

下面我们通过debug来验证这个过程（登录方式改回表单的方式）。

我们在/hello服务上打个断点：

spring security 关闭自动生成密码开启spring security_spring boot_06

在FilterSecurityInterceptor的invoke方法的super.beforeInvocation上打个断点：

spring security 关闭自动生成密码开启spring security_spring_07

当这行代码执行通过后，便可以调用下一行的doFilter方法来真正调用/hello服务，否则将抛出相应的异常。

当FilterSecurityInterceptor抛出异常时，异常将由ExceptionTranslateFilter捕获并处理，所以我们在ExceptionTranslateFilter的doFilter方法catch代码块第一行打个断点：

spring security 关闭自动生成密码开启spring security_表单_08

我们待会模拟的是用户未登录直接访问`/hello`

一开始经过FilterSecurityInterceptor 断点，认证用户
发现未发现登录状态，抛出异常到ExceptionTranslateFilter
ExceptionTranslateFilter 在重定向到登录页
用户输入密码登录
所以接下来应该跳转到UsernamePasswordAuthenticationFilter处理表单方式的用户认证。在UsernamePasswordAuthenticationFilter的attemptAuthentication方法上打个断点：

spring security 关闭自动生成密码开启spring security_java_09