Spring Boot 参考指南(安全)

头像
博弈
    阅读 6 分钟
    6

    28. 安全

    如果在类路径上有Spring Security,那么web应用程序默认是安全的,Spring Boot依赖Spring Security的内容协商策略来决定是使用httpBasic还是formLogin,要向web应用程序添加方法级安全性,还可以使用所需的设置添加@EnableGlobalMethodSecurity,其他信息可以在Spring Security参考指南中找到。

    默认的UserDetailsService只有一个用户,用户名是user,密码是随机的,在应用程序启动时在INFO级别打印,如下例所示:

    Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35
    如果你对日志配置进行了微调,请确保org.springframework.boot.autoconfigure.security类别设置为记录INFO级别的消息,否则,不会打印默认密码。

    你可以通过提供spring.security.user.namespring.security.user.password来更改用户名和密码。

    你在web应用程序中默认获得的基本特性是:

    • 使用内存存储的UserDetailsService(或WebFlux应用程序下的ReactiveUserDetailsService) bean和使用生成密码的单个用户(参见SecurityProperties.User)的属性。
    • 整个应用程序基于表单的登录或HTTP Basic Security(取决于内容类型)(如果执行器在类路径上,则包括执行器端点)。
    • 用于发布身份验证事件的DefaultAuthenticationEventPublisher

    你可以通过添加bean来提供不同的AuthenticationEventPublisher

    28.1 MVC Security

    默认的security配置在SecurityAutoConfigurationUserDetailsServiceAutoConfiguration中实现,SecurityAutoConfiguration导入SpringBootWebSecurityConfiguration用于web安全,UserDetailsServiceAutoConfiguration配置身份验证,这在非web应用程序中也是相关的,要完全关闭默认的web应用程序安全配置,可以添加WebSecurityConfigurerAdapter类型的bean(这样做不会禁用UserDetailsService配置或执行器的安全)。

    要关闭UserDetailsService配置,可以添加UserDetailsServiceAuthenticationProviderAuthenticationManager类型的bean,在Spring Boot示例中有几个安全的应用程序可以让你从常见的用例开始。

    可以通过添加自定义的WebSecurityConfigurerAdapter来覆盖访问规则,Spring Boot提供了方便的方法,可用于覆盖执行器端点和静态资源的访问规则,可以使用EndpointRequest创建一个基于management.endpoints.web.base-path属性的RequestMatcherPathRequest可用于为常用位置的资源创建RequestMatcher

    28.2 WebFlux Security

    与Spring MVC应用程序类似,你可以通过添加Spring-boot-starter-security依赖项来保护WebFlux应用程序,默认的security配置在ReactiveSecurityAutoConfigurationUserDetailsServiceAutoConfiguration中实现。ReactiveSecurityAutoConfiguration导入WebFluxSecurityConfiguration用于web安全,UserDetailsServiceAutoConfiguration配置身份验证,这在非web应用程序中也是相关的。要完全关闭默认的web应用程序安全配置,可以添加WebFilterChainProxy类型的bean(这样做不会禁用UserDetailsService配置或执行器的安全)。

    为了关闭UserDetailsService配置,你可以添加一个类型为ReactiveUserDetailsServiceReactiveAuthenticationManager的bean。

    可以通过添加自定义SecurityWebFilterChain来配置访问规则,Spring Boot提供了方便的方法,可用于覆盖执行器端点和静态资源的访问规则,可以使用EndpointRequest创建一个基于management.endpoints.web.base-path属性的ServerWebExchangeMatcher

    PathRequest可用于为常用位置的资源创建ServerWebExchangeMatcher

    例如,你可以通过添加以下内容来定制你的security配置:

    @Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
    return http
        .authorizeExchange()
            .matchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
            .pathMatchers("/foo", "/bar")
                .authenticated().and()
            .formLogin().and()
        .build();
}

    28.3 OAuth2

    OAuth2是Spring支持的广泛使用的授权框架。

    28.3.1 客户端

    如果你的类路径中有spring-security-oauth2-client,那么可以利用一些自动配置来轻松地设置OAuth2客户端,这个配置使用OAuth2ClientProperties下的属性。

    你可以在spring.security.oauth2.client前缀下注册多个OAuth2客户端和提供者,如下例所示:

    spring.security.oauth2.client.registration.my-client-1.client-id=abcd
spring.security.oauth2.client.registration.my-client-1.client-secret=password
spring.security.oauth2.client.registration.my-client-1.client-name=Client for user scope
spring.security.oauth2.client.registration.my-client-1.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-1.scope=user
spring.security.oauth2.client.registration.my-client-1.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-1.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-1.authorization-grant-type=authorization_code

spring.security.oauth2.client.registration.my-client-2.client-id=abcd
spring.security.oauth2.client.registration.my-client-2.client-secret=password
spring.security.oauth2.client.registration.my-client-2.client-name=Client for email scope
spring.security.oauth2.client.registration.my-client-2.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-2.scope=email
spring.security.oauth2.client.registration.my-client-2.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-2.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-2.authorization-grant-type=authorization_code

spring.security.oauth2.client.provider.my-oauth-provider.authorization-uri=http://my-auth-server/oauth/authorize
spring.security.oauth2.client.provider.my-oauth-provider.token-uri=http://my-auth-server/oauth/token
spring.security.oauth2.client.provider.my-oauth-provider.user-info-uri=http://my-auth-server/userinfo
spring.security.oauth2.client.provider.my-oauth-provider.jwk-set-uri=http://my-auth-server/token_keys
spring.security.oauth2.client.provider.my-oauth-provider.user-name-attribute=name

    默认情况下,Spring Security的OAuth2LoginAuthenticationFilter只处理匹配/login/oauth2/code/*的url,如果你想定制redirect-uri-template来使用不同的模式,你需要提供配置来处理定制模式,例如,你可以添加类似于以下内容的WebSecurityConfigurerAdapter

    public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .oauth2Login()
                .redirectionEndpoint()
                    .baseUri("/custom-callback");
    }
}

    对于普通的OAuth2和OpenID提供者,包括谷歌、Github、Facebook和Okta,我们提供了一组提供者默认值(google、github、facebookOkta)。

    如果你不需要定制这些提供者,你可以将提供者属性设置为你需要推断默认值的提供者属性,另外,如果客户端的ID与默认支持的提供程序匹配,Spring Boot也会推断出这一点。

    换句话说,下面示例中的两个配置使用谷歌提供程序:

    spring.security.oauth2.client.registration.my-client.client-id=abcd
spring.security.oauth2.client.registration.my-client.client-secret=password
spring.security.oauth2.client.registration.my-client.provider=google

spring.security.oauth2.client.registration.google.client-id=abcd
spring.security.oauth2.client.registration.google.client-secret=password

    28.3.2 服务器

    目前,Spring Security不支持实现OAuth 2.0授权服务器或资源服务器,但是,这个功能可以从Spring Security OAuth项目中获得,该项目最终将被Spring Security完全取代,在此之前,你可以使用spring-security-oauth2-autoconfigure模块轻松设置OAuth 2.0服务器,有关说明,请参阅其文档

    28.4 Actuator安全

    出于安全考虑,除/health/info之外的所有Actuator默认禁用,management.endpoints.web.exposure.include属性可用于启用actuator。

    如果在类路径上有Spring Security,并且没有其他WebSecurityConfigurerAdapter存在,actuator是通过Spring Boot自动配置来保护的,如果你定义了一个自定义的WebSecurityConfigurerAdapter,Spring Boot自动配置将退出,你将完全控制actuator访问规则。

    在设置management.endpoints.web.exposure.include之前,确保暴露的actuator不包含敏感信息和/或通过将它们置于防火墙后或通过类似Spring Security的方式进行安全保护。

    28.4.1 跨站请求伪造保护

    由于Spring Boot依赖于Spring Security的默认值,所以CSRF保护默认打开,这意味着,当使用默认安全配置时,需要POST(关闭和日志记录器端点)、PUTDELETE的actuator端点将收到403禁止错误。

    我们建议,只有在创建非浏览器客户端使用的服务时,才完全禁用CSRF保护。

    有关CSRF保护的其他信息可以在Spring Security参考指南中找到。

    上一篇:开发Web应用程序
    javaspringspringboot
    博弈
    2.5k 声望1.5k 粉丝

    态度决定一切

    « 上一篇
    Spring Boot 参考指南(开发Web应用程序)
    下一篇 »
    Spring Boot 参考指南(使用NoSQL技术)

    引用和评论

    1 篇内容引用
    推荐阅读
    头像
    Activiti 用户指南(网关)

    博弈阅读 3.5k

    头像
    在Java程序中监听mysql的binlog

    huan199311阅读 2k

    头像
    Jerry和您聊聊Chrome开发者工具

    注销9阅读 4.5k评论 3

    头像
    Bitmap 和 布隆过滤器傻傻分不清?你这不应该啊

    程序员小富8阅读 1.6k评论 1

    头像
    Spring和idea为什么不推荐使用@Autowired注入

    kexb8阅读 1.5k评论 1

    头像
    Just for fun——迅速写完快速排序

    ufdf3阅读 2.6k

    头像
    Spring 实现 3 种异步流式接口,干掉接口超时烦恼

    程序员小富5阅读 1.7k

    0 条评论
    得票最新