八、【spring】web应用安全设计

标签：如何   编码   ipa   提交   计算   接口   模式   集成   head   

内容

• Spring Security
• 使用Servlet规范中的Filter保护Web应用
• 基于数据库和LDAP进行认证

关键词

8.1 理解Spring Security模块

Spring Security:是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案，它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架，所以Spring Security充分利用了依赖注入(DI)和面向切面的技术。

通过两种角度解决安全问题

1. 使用Servlet规范中的Filter保护Web请求并限制URL级别的访问。
2. 使用Spring AOP保护方法调用——借助于对象代理和使用通知，能够确保只有具备适当权限的用户才能访问安全保护的方法。

8.1.1 理解模块

Security被分成以下11个模块

应用程序的类路径下至少要包含Core和Configuration两个模块

9.1.2 简单的安全配置

Spring Security借助Spring Filter来提高各种安全性功能
Spring Security配置

package test
import .......Configuration;
import .......EnableWebSecurity;
import .......WebSecurityConfigureAdapter;

@Configuration
// 启用Web安全性
@EnableWebSecurity
// 启用Web MVC安全性
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigureAdapter {

}

以上只是写了一个类扩展了WebSecurityConfigureAdapter类，但是要是启用还需要重载WebSecurityConfigureAdapter的三个方法。

虽然重载了以上的方法，但是问题依然存在，我们需要

• 配置用户存储
• 指定那些请求需要认证，哪些不需要，以及提供什么样的权限
• 提供一个自定义的登陆页面，替代原来简单的默认登录页

8.2 选择查询用户详细信息的服务

Spring Security提供了基于数据存储来认证用户，它内置了多种常见的用户存储场景，如内存，关系型数据库以及LDAP，也可以编写并插入自定义的用户存储实现。

8.2.1 使用基于内存的用户存储

扩展了WebSecurityConfigureAdapter，所以重载Configure方法，并以AuthenticationManageBuilder作为传入参数

package test.config

import org.springframework.context.annotation.Configuration;
import org.springframework.beans.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.servlet.configuration.EnableWebMvcSecurity;
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
  	protected void configure(AuthenticationManageBuilder auth) throws Exception {
		auth.inMemoryAuthentication().withUser("user").password("password").roles("USER").and().withUser("admin").password("password").roles(""USER","ADMIN");
	}
}

代码解析：

• configure()方法中使用类使用构造者风格的接口来构建认证配置。
• 调用withUser()方法为内存用户存储添加新的用户，该方法的UserDetailsManagerConfigurer.UserDetailsBuilder,
• 添加两个用户，user具有USER角色，admin具有USER和ADMIN角色。
• roles方法是authorities方法的简写形式。

配置用户详细信息的方法

8.3 拦截请求

请求不是不拦截，也不是都拦截，而是需要适度的拦截

@Override
protected void configure(HttpSecurity http) throws Exception {
	http.authorizeRequests().antMatchers("/spitters/me").authenticated().antMatchers(HttpMethod.POST,"/spittles").authenticated().anyRequest().permitAll();
}

保护路径配置方法列表

8.3.1 强制通道安全性

使用requireChannel()方法，借助这个方法可以为各种URL模式声明所请求的通道

```java
@Override
protected void configure(HttpSecurity http) throws Exception {
	http.authorizeRequests().antMatchers("/spitters/me").authenticated().antMatchers(HttpMethod.POST,"/spittles").authenticated().anyRequest().permitAll().and().requiresChannel().antMatchers("/spitters/form").requireSecure();

8.3.2 防止跨站请求伪造

跨站请求伪造（cross-site request forgery,CSRF）

Spring Security通过一个同步token的方式来实现CSRF防护的功能。它将会拦截状态变化的请求（非GET、HEAD等的请求）并检查CSRF_token。如果请求中不包含CSRF token或者与服务器的token不符合则会失败，并抛出csrfException异常。意味着在所有表单中必须在一个"_csrf"的域中提交token

...

当然也可以在代码中取消该功能
.csrf.disable();即可

八、【spring】web应用安全设计

标签：如何   编码   ipa   提交   计算   接口   模式   集成   head   

原文地址：https://www.cnblogs.com/hasz/p/13034640.html