Java 中的 Spring Security
4.44/5 (9投票s)
在本文中,我将讨论应用程序中的安全是什么,Spring Security 是什么,以及如何将 Spring Security 集成到您的应用程序中。
目录
- 应用程序中的安全是什么?
- Spring Security 是什么?
- 如何在您的应用程序中集成 Spring Security
- Spring Security 设置
- Spring Security 配置
- 在 Spring MVC 控制器中编写 RequestMapping 方法
- 在 Login.jsp 中编写登录表单
- 结论
引言
本文主要介绍如何在您的 Spring MVC Web 应用程序中实现 Spring Security。阅读本文后,您将对 Spring Security 的工作原理以及如何轻松地将其集成到您的 Spring 应用程序中有大致的了解。
背景
阅读本文的任何人应具备核心 Java、J2EE 和 Spring MVC 的知识。
应用程序中的安全是什么?
这是关于通过向应用程序的特权用户进行身份验证来保护应用程序的资源。
Spring Security 是什么?
这是一个基于 Java 的安全解决方案。它主要适用于基于 Spring 框架构建的 Java Web 应用程序。它为 J2EE 企业级软件应用程序提供了全面的安全服务。它功能强大且非常灵活。您可以轻松地将 Spring Security 服务插入到您的应用程序中。
身份验证和授权是 Spring Security 中包含的两个主要操作。
- 身份验证是要求用户提供有效凭据以登录应用程序的操作。
- 授权是指根据登录用户对该应用程序拥有的角色或特权进行验证,据此允许用户访问应用程序中的不同控件或功能。
因此,总的来说,身份验证验证用户的身份,如果身份已通过身份验证,则用于决定用户的授权。
将 Spring Security 集成到您的应用程序中
在此之前,让我们简要了解一下 Web 应用程序是如何工作的。
在 Web 应用程序中,通常的执行过程如下:
- 客户端在浏览器中点击一个 URL 来打开一个 Web 应用程序。
- 然后到达 Servlet 容器(例如 Tomcat)。
- Servlet 容器在此处会检查 web.xml 文件以查看一些 Web 配置,并找到需要去的位置。
- Servlet 然后将请求发送给 Servlet。
- Servlet 处理请求并将响应发送给 Servlet 容器。
- 然后 Servlet 容器将该响应发送给客户端 Web 浏览器。
之后,J2EE 中引入了拦截器的概念。您可以在 Servlet 容器和 Servlet 之间拦截或过滤请求,这样在请求到达 Servlet 之前,您可以执行一些预处理和后处理工作。
例如,您可以进行一些安全操作、日志记录,或者根据请求的类型或请求来自的客户端类型执行任何逻辑,将请求重定向到特定的 URI。
现在,让我们看看如何将 Spring Security 集成到您的解决方案中以构建用户登录门户。
例如,假设一个 Web 应用程序,用户只要在 Web 浏览器中输入并执行该 Web 应用程序的 URL,就会首先打开一个登录页面,用户必须在该页面输入登录凭据并提交以进行身份验证。如果身份验证成功,用户将被带到应用程序的主页。如果身份验证失败,用户将被带回登录页面。
注意:在此,我将重点介绍通过 Spring Security 配置中定义的硬编码用户名进行身份验证。然后,我将向您展示如何通过 Spring Security 实现数据库身份验证。
现在让我们看看如何使用 Spring Security 实现此应用程序逻辑。
Spring Security 设置
首先,您需要下载 Spring Security 依赖的 Jar 包。以下是需要下载的 3 个基本 Jar 包,它们可以执行 Spring Security 的基本身份验证和 Web 应用程序身份验证。
- spring-security-config-3.2.7-RELEASE.jar
- spring-security-core-3.2-RELEASE .jar
- spring-security-web-3.2-RELEASE .jar
Spring Security 中还有其他 Jar 包提供其他高级身份验证技术,例如:LDAP 身份验证、OpenID 身份验证、在身份验证中实现“记住我”选项等。但在这里,我将重点关注 Web 应用程序身份验证。
在 Servlet 配置 XML 文件或应用程序上下文 XML 文件中,您需要在 `<beans .. >` 标签的 `xsi:schemaLocation` 中指定以下 URL。
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.1.xsd">
....
....
....
</beans>
要启用 Spring Security,您需要在 /WEB-INF/web.xml 中添加以下过滤器。
<!-- Enable Spring Security -->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
因此,在这里的 `<filter>` 标签中,您需要像定义应用程序的 `servlet-name` 和 `servlet-class` 一样,定义 `filter-name` 和 `filter-class`。但在这里,`filter-name` 和 `filter-class` 是固定的或预定义的,如上所示。
在 `<filter-mapping>` 标签中,您定义了应该通过 Spring Security 检查的路径。
`springSecurityFilterChain` 过滤器,即 `DelegatingFilterProxy` Servlet,将请求委托给应用程序上下文中 Spring Security 配置中定义的一组过滤器和拦截器。例如,通过定义的拦截器进行身份验证和授权。
Spring Security 配置
您需要在应用程序上下文 XML 文件(或 Servlet 配置 XML 文件)的 `<beans...>....</beans>` 标签下定义以下标签。
<security:http auto-config="true" use-expressions="true">
<!-- Interceptor urls -->
<security:intercept-url pattern="/login**" access="permitAll" />
<security:intercept-url pattern="/resources/**" access="permitAll" />
<security:intercept-url pattern="/**" access="hasRole('USER')" />
<security:intercept-url pattern="/admin**" access="hasRole('ADMIN')" />
<security:form-login />
<!-- Logout -->
<security:logout logout-success-url="/logout" />
</security:http>
在 `<security:http ... >` 标签内,您需要提及您想要保护的资源。如您所见,我使用 `<security:intercept-url>` 标签定义了四个拦截器。
在这里,我提到了哪些 URL 或 URL 模式允许所有用户(包括匿名用户)访问,哪些 URL 或区域仅限于某些用户角色访问。
例如,在上面的代码片段中,我提到了“login”页面,以及“/resources/”路径下的任何页面都可以被包括匿名用户在内的所有人访问。
由于每个用户都应该访问登录表单页面,并且我允许“/resources/**”路径被匿名用户访问是因为我将所有应用程序的 CSS、JavaScript 和图像都放在了“/resources/”路径下。
您还可以注意到,我限制了“/admin”路径,即 /admin 路径下的任何页面只能由拥有 ADMIN 角色的用户访问,而根路径 i.e.,“/”下的任何页面都可以被拥有 USER 权限/角色的已验证用户访问。
Spring Security 提供了一个默认的内置登录页面,该页面有两个文本框用于输入用户名和密码,以及一个提交按钮用于提交凭据进行验证。您不必为您的应用程序设计登录表单。一旦用户在浏览器中打开应用程序 URL,Spring Security 就会检查用户是否未登录,然后将其重定向到 Spring Security 提供的默认登录表单。
如果您想为您的应用程序使用自定义登录页面,则可以在 `<security:http> … </security:http>` 标签内的 `<security:form-login>` 标签中配置 Spring Security 来使用您的自定义登录页面。以下是配置示例。
<security:http auto-config="true" use-expressions="true">
<security:intercept-url pattern="/login**" access="permitAll" />
<security:intercept-url pattern="/resources/**" access="permitAll" />
<security:intercept-url pattern="/**" access="hasRole('USER')" />
<security:intercept-url pattern="/admin**" access="hasRole('ADMIN')" />
<!-- Login Form -->
<security:form-login
login-page="/login"
default-target-url="/"
authentication-failure-url="/login?error=1"
username-parameter="username"
password-parameter="password" />
<!-- Logout -->
<security:logout logout-success-url="/logout" />
</security:http>
在 `<security:form-login ...>` 标签中,
- 在“
login-page”中,您可以指定自定义登录页面的 URL 路径。 - 在“
default-target-url”中,您可以指定用户成功登录后应导航到的 URL。 - 在“
authentication-failure-url”中,您可以指定用户登录失败后应导航到的 URL。 - “
username-parameter”和“password-parameter” - 这两个是可选的。默认情况下,Spring Security 在登录表单中接受“j_username”和“j_password”作为用户名和密码参数。如果您想在登录表单的用户名和密码输入字段中指定其他名称,则可以在 `<security:form-login ...>` 标签的这两个属性中指定自定义参数名称。
在 `<security:logout ...>` 标签中
- 在“
logout-success-url”中,您可以指定当用户使用 Spring Security 注销过程时应该执行的页面 URL 路径。
在 `</security:http>` 标签结束之后,您需要添加下面的标签,即 `<security:authentication-manager>`。这用于身份验证管理器。
<security:authentication-manager>
<security:authentication-provider>
<security:user-service>
<security:user name="stitis" password="mindfire" authorities="USER" />
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
如我在本文前面提到的,在用户请求到达 Servlet 之前,即对于基于 Spring 框架构建的应用程序,我们可以说在请求到达 Spring Dispatcher Servlet 之前,它会经过 Spring Security 过滤器链,并在过滤过程中执行某些预处理和后处理。这些预处理和后处理就是身份验证和授权(或者我们可以称之为安全检查)过程。
在上面的代码片段中,`<security:authentication-manager>`、`<security:authentication-provider>` 和 `<security:user-service>` 用于身份验证。`authentication-manager` 将用户凭据委托给 `UserDetailServices`,即用户存储库,以检查和获取用户身份和授予的权限。而 `<security:http>` 则用于安全检查或授权。
以上就是 Spring Security 设置和配置部分的内容。
<security:authentication-manager> 中的高级设置技巧
在上面的示例 Spring Security 设置中,我设置了 `authentication-manager` 来使用 `<user-service>` 标签中定义的纯文本用户来检查登录用户的凭据。您可以在此处为您的应用程序定义多个用户,如下所示。
<security:user-service>
<security:user name="stiti" password="mindfire" authorities="USER" />
<security:user name="ram" password="pass1234" authorities="ADMIN" />
.
.
and so on...
</security:user-service>
如果您想针对数据库中的 Users 表进行身份验证,则可以用 `<security:jdbc-user-service>` 替换 `<security:user-service> ... </security:user-service>` 标签,如下所示。
<security:authentication-manager>
<security:authentication-provider>
<security:jdbc-user-service
data-source-ref="dataSource"
users-by-username-query=
"SELECT username, password FROM users WHERE username=? AND active=1"
authorities-by-username-query=
"SELECT US.username, UR.authority
FROM users US, user_roles UR
WHERE US.user_id = UR.user_id and US.username =?"
/>
</security:authentication-provider>
</security:authentication-manager>
在这里,您正在执行 SQL 查询以从数据库的“users”表中获取用户名和密码。
类似地,用户名的授权权限也从“user_roles”数据库表中获取。
在这里,您会注意到我在“data-source-ref”属性中提到了 `datasource` 引用。它就是“dataSource”。
因此,您需要在应用程序的 Context XML 文件中定义一个 `id="dataSource"` 的 Bean,如下所示。
<beans ....>
...
...
...
<!-- Datasource Config -->
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName" value="${jdbc.driverClassName}"></property>
<property name="url" value="${jdbc.databaseurl}"></property>
<property name="username" value="${jdbc.username}"></property>
<property name="password" value="${jdbc.password}"></property>
</bean>
...
...
</beans>
我在上面数据库属性标签的“value”中提供了占位符。您可以将它们替换为实际值。
如果您想通过 DAO (Data Access Object) 层(@Service)针对数据库中的 Users 表进行身份验证,则可以按如下方式配置。
<security:authentication-manager>
<security:authentication-provider user-service-ref="loginService">
</security:authentication-provider>
</security:authentication-manager>
在这里,您正在执行 SQL 查询以从数据库的“users”表中获取用户名和密码。
类似地,用户名的授权权限也从“user_roles”数据库表中获取。
在这里,您会注意到我在 `<security:authentication-provider>` 标签中提到了 `user-service-ref="loginService"`。
Spring Security 将使用一个名为“loginService”的存储库服务来获取身份验证信息。
我们可以为我们的登录服务创建一个 Data Access Object 接口和实现。让我们创建一个名为“LoginDAO.java”的接口 Java 类。
package com.stiti.dao;
import com.stiti.model.AppUser;
public interface LoginDAO {
Object findUserByUsername(String username);
}
让我们创建一个名为“LoginDAOImpl.java”的实现 Java 类,并将其定义为 Repository。将该类注释为 @Transactional,以便 Service 类可以调用该类中的所有方法。
com.stiti.model.AppUser 和 AppUserRole 是 Model 类。我使用 Hibernate 来执行数据库操作,您可以使用自己的方法来获取数据库中的 Users 和 User Roles 表,并定义 findUserByUsername( String username ) 函数体。
findUserByUsername( String username ) 返回一个 AppUser 类型的对象。
package com.stiti.dao.impl;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import org.hibernate.Session;
import org.hibernate.SessionFactory;
import org.hibernate.HibernateException;
import org.springframework.stereotype.Repository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.transaction.annotation.Transactional;
import com.stiti.dao.LoginDAO;
import com.stiti.model.AppUser;
import com.stiti.model.AppUserRole;
/**
* @author Stiti Samantray
*/
@Repository("loginDao")
@Transactional
public class LoginDAOImpl implements LoginDAO {
@Autowired
SessionFactory sessionFactory;
/**
* Finds the AppUser which has a matching username
* @param username
* @return
*/
@Override
public AppUser findUserByUsername( String username )
{
Session session = sessionFactory.getCurrentSession();
List<AppUser> users = new ArrayList<AppUser>();
List<Object> userData = new ArrayList<Object>();
Set<AppUserRole> userRoles = new HashSet<AppUserRole>(0);
try {
String hql = "FROM AppUser U WHERE U.username = :username";
org.hibernate.Query query = session.createQuery(hql)
.setParameter("username", username);
users = query.list();
} catch (HibernateException e) {
System.err.println("ERROR: "+ e.getMessage());
}
AppUser user = null;
if(users.size() > 0) {
user = (AppUser) users.get(0);
// Get the user roles
try {
String hql = "FROM AppUserRole R WHERE R.username = :username";
org.hibernate.Query query = session.createQuery(hql)
.setParameter("username", username);
userRoles = new HashSet<AppUserRole>(query.list());
} catch (HibernateException e) {
// You can log the error here. Or print to console
}
user.setUserRole(userRoles);
}
return user;
}
}
findUserByUsername( String username ) 返回一个 AppUser 类型的对象。
package com.stiti.service;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import com.stiti.model.AppUser;
import com.stiti.model.AppUserRole;
import com.stiti.dao.LoginDAO;
/**
* This class gets the appuser information from the database and
* populates the "org.springframework.security.core.userdetails.User" type object for appuser.
*
* @author Stiti Samantray
*/
@Service("loginService")
public class LoginServiceImpl implements UserDetailsService {
@Autowired
private LoginDAO loginDao;
/**
* @see UserDetailsService#loadUserByUsername(String)
*/
@Override
public UserDetails loadUserByUsername( String username ) throws UsernameNotFoundException
{
AppUser user = (AppUser) loginDao.findUserByUsername(username);
List<GrantedAuthority> authorities = buildUserAuthority(user.getUserRole());
return buildUserForAuthentication(user, authorities);
}
private List<GrantedAuthority> buildUserAuthority(Set<AppUserRole> appUserRole) {
Set<GrantedAuthority> setAuths = new HashSet<GrantedAuthority>();
// Build user's authorities
for (AppUserRole userRole : appUserRole) {
System.out.println("****" + userRole.getUserRole());
setAuths.add(new SimpleGrantedAuthority(userRole.getUserRole()));
}
List<GrantedAuthority> Result = new ArrayList<GrantedAuthority>(setAuths);
return Result;
}
private User buildUserForAuthentication(AppUser user, List<GrantedAuthority> authorities) {
return new User(user.getUsername(), user.getPassword(),
true, true, true, true, authorities);
}
}
编写 Spring MVC 应用程序的控制器
现在我们需要编写 Spring MVC 应用程序的控制器。
我们需要在我们的 Controller 类中为应用程序的主路径定义一个 `RequestMapping` 方法,在本例中是“/”。当用户打开应用程序 URL,例如“http://www.example.com/”时,下面为该请求映射定义的“loadHomePage()”方法将被执行。在此方法中,它首先获取用户的身份验证和对该 URL 的授权。
Spring Security 将首先检查 Spring 配置中的 `<security:intercept_url>`,以查找允许访问此 URL 路径的角色。在本例中,它发现拥有“USER”角色的用户被允许访问此 URL 路径。如果用户拥有 role = USER,则加载主页。
否则,如果是一个匿名用户,Spring Security 将把他们重定向到登录页面。
package com.stiti.controller;
import java.util.HashSet;
import java.util.Set;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.ModelAttribute;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.SessionAttributes;
@Controller
@SessionAttributes(value={"accountname"}, types={String.class})
public class HomeController {
@SuppressWarnings("unchecked")
@RequestMapping(value="/", method = RequestMethod.GET)
public String executeSecurityAndLoadHomePage(ModelMap model) {
String name = null;
Set<GrantedAuthority> role = new HashSet<GrantedAuthority>();
//check if user is login
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (!(auth instanceof AnonymousAuthenticationToken)) {
// Get the user details
UserDetails userDetail = (UserDetails) auth.getPrincipal();
name = userDetail.getUsername();
role = (Set<GrantedAuthority>) userDetail.getAuthorities();
}
// set the model attributes
model.addAttribute("accountname", name);
model.addAttribute("userRole", role);
// go to Home page
return "Home";
}
}
在我们的 Controller 类中为“登录页面”定义一个 `RequestMapping` 方法,前提是您已在 Spring <security:http><security:form-login … > 标签中指定了自定义登录页面 URL。否则,无需为登录页面定义任何控制器方法,Spring 会自动将用户带到 Spring Security 的默认登录表单页面,这是一个由 Spring Security 本身编写的简单 JSP 页面。
// Show Login Form
@RequestMapping(value="/login", method = RequestMethod.GET)
public String login(ModelMap model,
@RequestParam(value="error",defaultValue="") String error) {
// If fails to login
if (!error.isEmpty()){
model.addAttribute("error", "true");
}
return "Login";
}
在 Spring Security 配置的 `<security:logout>` 标签中定义的“logout-success-url”在我们的 Controller 类中定义一个方法。对于本例,我已将“logout-success-url”定义为“/logout”。
// Logout page
@RequestMapping(value="/logout", method = RequestMethod.GET)
public String logout(ModelMap model) {
return "Login";
}
在 Login.jsp 中编写登录表单
现在让我们看看 Login.jsp 登录表单应该包含什么。
<form name='login_form' action="<c:url value='j_spring_security_check' />" method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value=''></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit" value="submit" /></td>
</tr>
<tr>
<td colspan='2'><input name="reset" type="reset" /></td>
</tr>
</table>
</form>
这里,`Form` 的 action 提交到“/j_spring_security_check”。
“j_spring_security_check”是一个 Servlet,实际的身份验证在此处进行,并且您必须将登录表单的 action 映射到此 Servlet。
“/j_spring_security_check”URL 必须由 web.xml 中的 springSecurityFilterChain 过滤器处理。
结论
为了在应用程序中实现安全性,开发人员必须在应用程序中做很多事情。Spring Security 通过简化方法来替代所有这些开销。它易于插入到应用程序中,Spring Security 本身会处理您应用程序的所有安全方面,并为您的应用程序提供严格的安全。
历史
- 2015年4月2日:初始版本