Spring Security 4.1中文手册：入门与核心功能详解

5星 · 超过95%的资源需积分: 10 151 浏览量更新于2024-07-19 收藏 1.84MB PDF 举报

Spring Security参考手册中文版是一份详细的指南，涵盖了Spring Security框架的各个方面，由Ben Alex、Luke Taylor、Rob Winch和Gunnar Hillert编写。该手册于2017年1月14日发布，旨在帮助开发者理解和应用Spring Security，确保Web应用程序的安全性。 Spring Security是用于Java Web应用的安全解决方案，它提供了身份验证、授权、会话管理和资源保护等功能。随着版本4.1的更新，手册介绍了Java配置的提升，使得配置过程更加灵活和易于管理。新版本着重于提高Web应用程序的安全性，包括改进了密码模块，提升了测试工具，以及一般性的优化。手册首先从入门开始，引导读者了解Spring Security的基本概念，如什么是Spring Security，它的历史发展，以及不同版本的发布情况。接着，通过样品和指南部分，逐步展示了如何在Java环境中进行基础配置，如使用`HttpSecurity`进行HTTP层的安全设置，包括验证请求、处理登出、以及处理多个`HttpSecurity`实例。方法安全是另一个重要的主题，Spring Security允许对特定方法进行定制化的权限控制，这对于API或RESTful服务尤其有用。手册还介绍了如何处理已经配置好的对象，以及使用安全命名空间配置的高级功能，这简化了配置过程，特别适合大型项目。手册进一步深入到高级Web功能，如默认的`AccessDecisionManager`，它负责决定是否允许用户访问资源。验证管理器和命名空间的介绍帮助开发者更好地理解如何处理用户身份验证和验证流程。书中还包含了多个实际应用示例，如基于LDAP、OpenID、CAS、JAAS和预认证的案例，这些示例有助于读者在实际项目中应用所学知识。 Spring Security社区是一个活跃的地方，有问题可以追踪并参与到其中，获取更多关于框架的技术支持和最新资讯。手册还探讨了Spring Security的架构和实现，包括其运行环境、核心组件，如`AuthenticationManager`、`ProviderManager`和`AuthenticationProvider`，以及用户细节服务（`UserDetailsService`）的实现。此外，测试和本地化也是不可或缺的部分，确保了框架在多语言环境下的可用性。 Spring Security参考手册中文版是开发人员全面掌握和实践Spring Security框架的重要资源，无论你是初学者还是经验丰富的开发人员，都能从中找到所需的信息来提升应用程序的安全性。

2017/1/14 SpringSecurity参考手册|SpringSecurity中文版

https://springcloud.cc/springsecurityzhcn.htm l 16/141

LogoutSuccessHandler

LogoutSuccessHandler 被 LogoutFilter 在成功注销后调用，用来进行重定向或者转发相应的目的地。注意这个借口与 LogoutHandler 几乎一

样，但是可以抛出异常。

下面是提供的一些实现：

SimpleUrlLogoutSuccessHandler

(http://docs.spring.io/spring-

security/site/docs/current/apidocs/org/springframework/security/web/authentication/logout/SimpleUrlLogoutSuccessHandler.html)

HttpStatusReturningLogoutSuccessHandler

和前面提到的一样，你不需要直接指定 SimpleUrlLogoutSuccessHandler 。而使用流式API通过设置 logoutSuccessUrl() 快捷的进行设

置 SimpleUrlLogoutSuccessHandler 。注销成功后将重定向到设置的URL地址。默认的地址是 /login?logout .

在REST API场景中 HttpStatusReturningLogoutSuccessHandler 会进行一些有趣的改变。 LogoutSuccessHandler 允许你设置一个返回给客户端

的HTTP状态码（默认返回200）来替换重定向到URL这个动作。

进一步的注销相关的参考（TODO）

处理注销

测试注销

HttpServletRequest.logout()

章节"Remember-Me接口和实现"

注销的CSRF说明

点点注销（CAS协议）

注销的XML命名空间章节

验证

到现在为止我们只看了一下基本的验证配置，让我们看看一些稍微高级点的身份验证配置选项。

内存中的身份验证

我们已经看到了一个单用户配置到内存验证的示例，下面是配置多个用户的例子：

JDBC 验证

你可以找一些更新来支持JDBC的验证。下面的例子假设你已经在应用程序中定义好了 DataSource ， jdbc-javaconfig

(https://github.com/spring-projects/spring-security/tree/master/samples/javaconfig/jdbc) 示例提供了一个完整的基于JDBC的验证。

LDAP 验证

你可以找一些更新来支持LDAP的身份验证， ldap-javaconfig

(https://github.com/spring-projects/spring-security/tree/master/samples/javaconfig/ldap) 提供了一个完成的使用基于LDAP的身份验证的示

例。

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth

.inMemoryAuthentication()

.withUser("user").password("password").roles("USER").and()

.withUser("admin").password("password").roles("USER", "ADMIN");

}

JAVA

@Autowired

private DataSource dataSource;

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth

.jdbcAuthentication()

.dataSource(dataSource)

.withDefaultSchema()

.withUser("user").password("password").roles("USER").and()

.withUser("admin").password("password").roles("USER", "ADMIN");

}

JAVA

@Autowired

2017/1/14 SpringSecurity参考手册|SpringSecurity中文版

https://springcloud.cc/springsecurityzhcn.htm l 17/141

上面的例子中使用一下LDIF和前如何Apache DS LDAP示例。

users.ldif

AuthenticationProvider

您可以通过一个自定义的 AuthenticationProvider 为bean定义自定义身份验证。例如，下面这个例子假设自定义身份验证

SpringAuthenticationProvider 实现了 AuthenticationProvider :

NOTE:`AuthenticationManagerBuilder`如果还不密集这将仅被使用。

UserDetailsService

你可以通过一个自定义的 UserDetailsService 为bean定义自定义身份验证。例如，下面这个例子假设自定义身份验证

SpringDataUserDetailsService 实现了 UserDetailsService :

NOTE:`AuthenticationManagerBuilder`如果还不密集这将被仅被使用并且没有 AuthenticationProviderBean 申明。

@Autowired

private DataSource dataSource;

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth

.ldapAuthentication()

.userDnPatterns("uid={0},ou=people")

.groupSearchBase("ou=groups");

}

JAVA

dn: ou=groups,dc=springframework,dc=org

objectclass: top

objectclass: organizationalUnit

ou: groups

dn: ou=people,dc=springframework,dc=org

objectclass: top

objectclass: organizationalUnit

ou: people

dn: uid=admin,ou=people,dc=springframework,dc=org

objectclass: top

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

cn: Rod Johnson

sn: Johnson

uid: admin

userPassword: password

dn: uid=user,ou=people,dc=springframework,dc=org

objectclass: top

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

cn: Dianne Emu

sn: Emu

uid: user

userPassword: password

dn: cn=user,ou=groups,dc=springframework,dc=org

objectclass: top

objectclass: groupOfNames

cn: user

uniqueMember: uid=admin,ou=people,dc=springframework,dc=org

uniqueMember: uid=user,ou=people,dc=springframework,dc=org

dn: cn=admin,ou=groups,dc=springframework,dc=org

objectclass: top

objectclass: groupOfNames

cn: admin

uniqueMember: uid=admin,ou=people,dc=springframework,dc=org

@Bean

public SpringAuthenticationProvider springAuthenticationProvider() {

return new SpringAuthenticationProvider();

}

JAVA

@Bean

public SpringDataUserDetailsService springDataUserDetailsService() {

return new SpringDataUserDetailsService();

}

JAVA

2017/1/14 SpringSecurity参考手册|SpringSecurity中文版

https://springcloud.cc/springsecurityzhcn.htm l 18/141

你也可以通过让 passwordencoder 为bean自定义密码如何编码。例如，如果你使用BCrypt，你可以添加一个bean定义如下图所示：

LDAP 验证

多个HttpSecurity

我们可以配置多个HttpSecurity实例，就像我们可以有多个 <http> 块. 关键在于对 WebSecurityConfigurationAdapter 进行多次扩展。例如

下面是一个对 /api/ 开头的URL进行的不同的设置。

配置正常的验证。

创建一个 WebSecurityConfigurerAdapter ，包含一个 @Order 注解，用来指定个哪一个 WebSecurityConfigurerAdapter 更优先。

http.antMatcher 指出，这个 HttpSecurity 只应用到以 /api/ 开头的URL上。

创建另外一个 WebSecurityConfigurerAdapter 实例。用于不以 /api/ 开头的URL，这个配置的顺序

在 ApiWebSecurityConfigurationAdapter 之后，因为他没有指定 @Order 值为 1 (没有指定 @Order 默认会被放到最后).

方法安全

从2.0 开始Spring Security对服务层的方法的安全有了实质性的改善。他提供对JSR-250的注解安全支持像框架原生 @Secured 注解一样好。

从3.0开始你也可以使用新的基于表达式的注解 expression-based annotations。你可以应用安全到单独的bean，使用拦截方法元素去修饰

Bean声明，或者你可以在整个服务层使用 AspectJ风格的切入点保护多个bean。

EnableGlobalMethodSecurity

我们可以在任何使用 @Configuration 的实例上，使用 @EnableGlobalMethodSecurity 注解来启用基于注解的安全性。例如下面会启用Spring

的 @Secured 注解。

添加一个注解到一个方法（或者一个类或者接机）会限制对相应方法的访问。Spring Security的原生注解支持定义了一套用于该方法的属

性。这些将被传递 AccessDecisionManager 到来做实际的决定：

@Bean

public BCryptPasswordEncoder passwordEncoder() {

return new BCryptPasswordEncoder();

}

JAVA

@EnableWebSecurity

public class MultiHttpSecurityConfig {

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) {

auth

.inMemoryAuthentication()

.withUser("user").password("password").roles("USER").and()

.withUser("admin").password("password").roles("USER", "ADMIN");

}

@Configuration

@Order(1)

public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {

protected void configure(HttpSecurity http) throws Exception {

http

.antMatcher("/api/**")

.authorizeRequests()

.anyRequest().hasRole("ADMIN")

.and()

.httpBasic();

}

@Configuration

public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.anyRequest().authenticated()

.and()

.formLogin();

}

JAVA

@EnableGlobalMethodSecurity(securedEnabled = true)

public class MethodSecurityConfig {

// ...

}

JAVA

public interface BankService {

2017/1/14 SpringSecurity参考手册|SpringSecurity中文版

https://springcloud.cc/springsecurityzhcn.htm l 19/141

使用如下代码启用JSR-250注解的支持

这些都是基于标准的，并允许应有个你简单的基于角色的约束，但是没有Spring Security的本地注解的能力。要使用基于表达书的语法，

你可以使用：

和响应Java代码如下：

GlobalMethodSecurityConfiguration

有时候你可能需要执行一些比 @EnableGlobalMethodSecurity 注解允许的更复杂的操作。对于这些情况，你可以扩

展 GlobalMethodSecurityConfiguration 确保 @EnableGlobalMethodSecurity 注解出现在你的子类。例如如果你想提供一个定制的

MethodSecurityExpressionHandler ，你可以使用下面的配置：

关于可以被重写的方法的更多信息，请参考 GlobalMethodSecurityConfiguration 的java文档。

已配置对象的后续处理

Spring Security的Java配置没有公开每个配置对象的每一个属性，这简化了广大用户的配置。毕竟如果要配置每一个属性，用户可以使用

标准的Bean配置。

虽然有一些很好的理由不直接暴露所有属性，用户可能仍然需要更多高级配置，为了解决这个Spring Security引入了 ObjectPostProcessor

概念，用来替换java配置的对象实例。例如：如果你想在 filterSecurityPublishAuthorizationSuccess 里配置 FilterSecurityInterceptor 属

性，你可以想下面一样：

public interface BankService {

@Secured("IS_AUTHENTICATED_ANONYMOUSLY")

public Account readAccount(Long id);

@Secured("IS_AUTHENTICATED_ANONYMOUSLY")

public Account[] findAccounts();

@Secured("ROLE_TELLER")

public Account post(Account account, double amount);

}

JAVA

@EnableGlobalMethodSecurity(jsr250Enabled = true)

public class MethodSecurityConfig {

// ...

}

JAVA

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class MethodSecurityConfig {

// ...

}

JAVA

public interface BankService {

@PreAuthorize("isAnonymous()")

public Account readAccount(Long id);

@PreAuthorize("isAnonymous()")

public Account[] findAccounts();

@PreAuthorize("hasAuthority('ROLE_TELLER')")

public Account post(Account account, double amount);

}

JAVA

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

@Override

protected MethodSecurityExpressionHandler createExpressionHandler() {

// ... create and return custom MethodSecurityExpressionHandler ...

return expressionHandler;

}

JAVA

@Override

2017/1/14 SpringSecurity参考手册|SpringSecurity中文版

https://springcloud.cc/springsecurityzhcn.htm l 20/141

安全命名空间配置

简介

命名空间配置在Spring框架的2.0版本就可以使用了，他允许你通过额外的XML架构元素补充传统的Spring bean应用程序上下文。你可以从

Spring的参考文档找到更多信息 Reference Documentation

(http://docs.spring.io/spring/docs/current/spring-framework-reference/htmlsingle/).。命名空间元素可以简单的允许配置单个bean，或者更强

大的，定义一个可选的配置语法，这样更贴近问题域并且对用户隐藏背后的复杂性。一个简单的元素可以隐藏多个bean和添加到应用程序上

下文的多个处理步骤。例如：从安全命名空间添加后面的元素到应用程序上下文将开始一个LDAP服务到应用程序内用于测试：

这比配置一个Apache木服务器bean简单的多。最常见的替代配置需求是 ldap-server 元素的属性支持，用户不用担心他们要创建的bean属名

称:[你可以从:specialcharacters,macros[LDAP 身份验证]找到如何使用 ldap-server 元素的更多的信息. ] 。当编译应用的Context文件时

良好的XML编译器应该可以提供您可用的属性和元素的信息。我们建议你尝试使用 Spring Tool Suite (http://spring.io/tools/sts)，它具有

与标准Spring命名空间工作的特别的功能。

为了在你的应用程序上下文中使用安全命名空间，你需要将 spring-security-config 包含到你的classpath中。然后在你的上下文文件中加

入以下的结构声明：

在很多示例（包括示例应用程序）中你将会看到，我们经常使用security作为默认的命名空间而不是使用beans，这样我们可以在所有安全

命名空间中忽略前缀，使得内容更加容易阅读。如果你的应用程序上下文被分割成单独的文件，大部分的安全配置被放到一个文件中，你可

能也想这样做。你的安全应用上下文文件应该像下面的一样：

我们假设在这一章节我们都使用这种语法。

命名空间的设计

命名空间是设计用来捕捉框架最常见用途和提供一个简化和简介的语法用来在应用程序中打开他们。设计师基于框架中的大规模依赖，并且

可以划分为以下几个方面：

Web/HTTP

安

全

- 最复杂的部分，设置过滤器和应用框架验证机制的相关服务bean，渲染登录和错误页面等等。

业

务

对

象

（

方

法

）

安

全

- 业务层安全选项。

AuthenticationManager

- 处理来自框架其他部分的认证请求。

AccessDecisionManager

- 为网页和方法安全提供访问决策，会注册一个默认的但是你可以使用一个定制的来取代他，使用一般的

Spring bean语法即可定义。

@Override

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.anyRequest().authenticated()

.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

public <O extends FilterSecurityInterceptor> O postProcess(

O fsi) {

fsi.setPublishAuthorizationSuccess(true);

return fsi;

}

});

}

JAVA

<security:ldap-server />

XML

<beans xmlns="http://www.springframework.org/schema/beans"

xmlns:security="http://www.springframework.org/schema/security"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans

http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

http://www.springframework.org/schema/security

http://www.springframework.org/schema/security/spring-security.xsd">

...

</beans>

XML

<beans:beans xmlns="http://www.springframework.org/schema/security"

xmlns:beans="http://www.springframework.org/schema/beans"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans

http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

http://www.springframework.org/schema/security

http://www.springframework.org/schema/security/spring-security.xsd">

...

</beans:beans>

XML

剩余140页未读，继续阅读

灰灰熊的宝藏

粉丝: 3
资源: 13

Spring Security 4.1中文手册：入门与核心功能详解

Spring Security 5.1 中文 参考手册 中文文档

Spring security4.0中文版参考手册

spring security 参考手册中文版

Spring Security 参考手册 中文版

Spring Security 参考手册Spring Security中文版

Spring Security 参考手册_Spring Security中文版

Spring Security 参考手册_Spring Security中文版.pdf

spring-security-reference:Spring Security 参考手册

Spring Security 2 参考手册 中文版 (html格式)

spring官网查找springsecurity参考手册

最新资源

Spring Security 5.1 中文参考手册中文文档

Spring Security 参考手册中文版

Spring Security 2 参考手册中文版 (html格式)