Spring Security 概述,鸟瞰 Spring Security 及其功能

news2025/1/8 5:50:23

在本文中,我们将从鸟瞰的角度了解 Spring Security 的用途以及它能为我们提供什么。网络上的任何东西都可能是攻击的潜在受害者。不幸的是,在这个即使是最富有、最具创新性的技术公司也会受到黑客攻击的世界里,保护 Web 应用程序并实现授权和身份验证等功能并非易事。因此,当我们的老板给我们一个保护应用程序的任务时,我们应该坐等,害怕,不知道该做什么吗?当然不是。
在这里插入图片描述
无论您是否要使用 Auth0 来保护您的 Spring 应用程序,您都需要了解 Spring Security 的基础知识,以便快速保护您的应用程序,这使得它成为任何 Spring 开发人员都必须了解的框架。Spring Security 的问题在于:它很难。不是因为它设计得不好或可能更容易使用,而是因为它的领域很复杂:应用程序安全。复杂的问题需要技术复杂的解决方案,而安全就是其中之一。
在这里插入图片描述
如果你曾经看过 Spring Security 相关的文档或教程,你可能会害怕它看起来有多复杂。我的意思是,看看维基百科上的这张图片:
在这里插入图片描述感到不知所措是很自然的,特别是如果你也是 Spring 的新手。Spring Security 是一个庞大的框架,但一旦你掌握了基础知识,你就可以通过将其与 Auth0 等 IDaaS 服务集成来轻松完成保护应用程序的任务,而无需自己实现一切。

为什么是 Spring?

Spring 是开发 Web 服务最流行的 Java 框架。无论是企业项目还是初创企业,Spring 都拥有所有工具来帮助您快速开发并专注于应用程序逻辑。

  1. 非常可靠和成熟的平台(自 2003 年起),拥有庞大的生态系统。这意味着有大量现成的库和项目可以让您的生活更轻松。
  2. 几乎所有科技巨头都广泛使用它,例如亚马逊、谷歌和 Netflix。
  3. 它速度快且多线程(与 Node.js 不同),因此非常适合 CPU 密集型任务,例如视频编码、图像处理、财务计算。
  4. 让您通过 Spring Boot 的帮助以极少的配置专注于业务逻辑。
  5. 支持 Kotlin。
  6. JPA 会为您生成大多数基本查询。只有特殊情况,您才需要自己编写查询。
  7. 使用嵌入式 Web 服务器和 Spring Cloud 轻松开发微服务。
  8. 安全。Spring 通常用于银行和其他安全关键型应用程序,部分原因在于 Spring Security。

在这里插入图片描述

什么是 Spring Security?

Spring Security 是一个专注于为 Spring 应用程序提供身份验证和授权机制的框架。它于 2003 年作为一个名为“Acegi Security”的开源项目启动,之后正式被纳入Spring 项目。除了身份验证和授权之外,还可以配置 Spring Security 以保护您的应用程序免受许多常见攻击,包括但不限于 CSRF、XSS、暴力破解和 MITM(中间人),如果您想了解有关这些攻击的更多信息,您可以查看Holly Lloyd 的这篇文章。

为什么选择 Spring Security?

如果您没有保护应用程序的经验,那么最好的办法之一就是查明您使用的语言/平台是否具有安全框架。通过使用可靠的安全框架,我们将确定架构和实现核心安全功能的责任委托给在该特定框架上工作的该领域专家团队。如果您正在构建 Spring 应用程序,Spring Security 是一个可靠、经过广泛测试且开源的安全框架,它可能是所有语言和平台中最可靠的安全框架之一。

Spring Security主要特征

在本节中,我们将重点介绍 Spring Security 的功能以及它可以为我们提供什么或其用例。同时,我们还简要提到了“如何”这样做。

1. 密码编码

Spring Security 的好处不仅限于帮助我们进行身份验证和授权。它还可以帮助我们应用最佳实践来保存用户,即构建注册功能。

在构建注册功能的过程中,一些常见的错误可能会导致严重的安全问题。

其中一个错误是,以纯文本形式保存用户密码而不进行任何形式的哈希处理。这不仅允许可能访问您服务器的黑客直接查看密码,而且还会使您的用户面临其他帐户被破解的威胁,因为大多数人对所有帐户都使用相同的密码。

另一个常见的错误是尝试重新发明轮子并创建自己的加密/散列算法,而不是使用众所周知的、经过测试的、经过验证的算法。

Spring Security 允许我们为 UserDetails 对象分配一个安全密码编码器,以防止这些错误。默认情况下,它使用 BCrypt 来加密密码,这被认为是一种全面的密码编码算法。还可以设置散列轮数(或参数名称所暗示的强度)以及在此过程中要使用的安全随机算法实现。

BCryptPasswordEncoder(BCryptPasswordEncoder.BCryptVersion version
   , int strength, java.security.SecureRandom random)

在扩展 WebSecurityConfigurerAdapter 的配置类中遇到这样的代码片段并不奇怪:

@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
    return new BCryptPasswordEncoder();
}

@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder);
}

2. 内存身份验证

内存身份验证意味着使用驻留在应用程序内存/RAM 中的数据库(一个例子是 h2 数据库)来保存用户并执行身份验证,而无需将其保存到持久数据库中。当您构建概念验证应用程序或为您的应用程序制作原型并且需要开始或测试您的身份验证代码而不必担心数据库时,此类数据库非常有用。如果您在没有模拟的情况下运行测试,内存数据库也很有用,这样您的真实数据库将保持不变,并且测试引起的更改将保留在临时内存中。

Spring Security 支持驻留在内存数据库中的用户身份验证。

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // Some other configuration code here...

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
      auth.inMemoryAuthentication().withUser("temporary").password("temp123").roles("ADMIN");
    }
}

3. LDAP 身份验证

LDAP 是轻量级目录访问协议的缩写,通常用于验证企业员工的用户帐户。它允许您在层次结构中指定用户/用户组并定义他们的权限。

dn: cn=John Doe,dc=example,dc=com
cn: John Doe
givenName: John
sn: Doe
telephoneNumber: +1 888 555 6789
telephoneNumber: +1 888 555 1232
mail: john@example.com
manager: cn=Barbara Doe,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top

Spring Security 有一个名为“spring-security-ldap”的项目,允许我们在 Spring 应用程序中使用 LDAP 身份验证。Spring Boot 还为嵌入式 LDAP 服务器提供自动配置,从而免去了设置 LDAP 身份验证服务器的艰巨任务。您可以查看此官方教程以获取更多信息。

4. 会话管理

在后端和前端紧密耦合的应用程序中,例如 Spring MVC 应用程序或任何其他 MVC 框架:每当用户登录时,服务器中都会存储一个会话,其中包含有关此用户的信息。检索、缓存、销毁此会话等操作称为会话管理。Spring Security 提供了控制此会话对象的机制。它将在用户登录时创建会话,在用户注销时销毁会话,并允许我们设置超时值。

Spring Security 还采取了额外措施来确保以安全的方式使用会话:

  1. 可以配置禁用 URL 重写来避免会话跟踪攻击。
  2. 当用户再次登录时,它会自动迁移会话以避免会话固定。
  3. 它允许我们在会话 cookie 上使用 httpOnly 和安全标志来保护我们的 cookie。

5. 记住我身份验证

记住我身份验证是在会话超时后识别用户的机制,因此用户无需在每次访问网站时都输入其凭据。Spring Security 支持多种方式来实现这种类型的身份验证。

实现“记住我”身份验证的典型方法是使用服务器上的密钥对用户详细信息进行散列,并将其与用户名和到期时间一起编码。

    base64(username + ":" + expirationTime + ":" +
             md5Hex(username + ":" + expirationTime + ":" password + ":" + key))

    username:          As identifiable to the UserDetailsService
    password:          That matches the one in the retrieved UserDetails
    expirationTime:    The date and time when the remember-me token expires,
                       expressed in milliseconds
    key:               A private key to prevent modification of the remember-me token

虽然这种方法有效,但也存在一些缺陷。如果攻击者以某种方式捕获了 cookie,则任何人都可以通过任何来源使用该 cookie,直到其过期为止。用户使令牌失效的唯一方法是更改​​密码。

实现“记住我”身份验证的更好方法是将持久令牌存储​​在数据库中,而不是“记住我”cookie。令牌的存储方式与会话对象类似,但不同之处在于它保存到数据库中,而不是临时应用程序内存中。

6. 使用 JWT(JSON Web 令牌)实现 API 安全

我们已经提到,服务器端会话可用于确认用户身份并跟踪其角色(允许他们做什么)。由于 REST 是一种无会话协议,因此建议不要在 RESTful API 中存储会话。我们可以改用另一种流行的方法来检查用户是否有权执行某些操作。

在使用 JWT 的应用中,用户登录成功后,服务端会使用秘钥生成一个访问令牌,该令牌通常包含用户身份信息和令牌生成时间戳。在前后端分离的架构中,前端会将该令牌存储在 cookie 中。

可以使用Auth0 JWT库对令牌进行编码/解码,从而为您的应用程序实现 JWT 授权。除此之外,Spring Security 还可用于过滤请求并检查用户的角色,仅允许授权用户通过过滤器。

7. OAuth 2.0

Open Authorization 2.0 是一个开放标准,用于在授权服务器的帮助下检查用户对服务的权限。使用 OpenID Connect 确认用户身份并不罕见,然后 OAuth 可以提供包含此用户权限列表的令牌。用户收到 OAuth 2 访问令牌后,他们将使用它来访问服务器上受保护的资源。OAuth 是一个非常流行的标准,它也用于实现 Facebook 登录或 Google 帐户登录等功能,因此即使您没有意识到它是什么,您也可能曾经在不知情的情况下使用过它。

设置授权服务器并实施 OAuth 和 OpenID Connect 本身就存在风险,而且可能非常耗时。很容易出错并错误地造成漏洞。

与其尝试从头开始构建一切,不如将 Spring Security 与 Auth0 集成,将宝贵的时间花在改进业务逻辑上。您可以查看 Tadej 编写的这篇精彩教程,了解如何在 Auth0 的帮助下保护您的 RESTful API,以快速保护您的 API。

Spring Security 的构建模块

在本节中,我们将介绍 Spring Security 中大量应用的几个概念。关于这些主题的基本知识将作为我们的基础,因为所有这些主题或多或少都是相互联系的。

1. 责任链

在这里插入图片描述责任链是 GoF 的行为设计模式,旨在减少请求处理程序和发送者之间的紧密耦合。“链”指的是有序的请求处理程序列表,就像一个LinkedList结构,请求处理程序可以是方法或实现某个Handler接口的类。责任只是回答请求的一个花哨的词,链上的每个处理程序都可以返回响应(通过承担责任)或将请求传递给链上的下一个处理程序(委托责任)。

2. 筛选器

在开始讨论过滤器之前,熟悉拦截器会很有帮助:拦截器是一个实现接口HandlerInterceptor并在 Web 请求到达控制器之前对其进行拦截的类。它的名称非常清楚地描述了它的实际功能,过滤器可以被认为是拦截器的更专业版本。

Filter 方法在请求到达 Tomcat(或任何其他)Web 服务器之后、到达 servlet 之前运行。这使得 Filter 甚至可以阻止请求到达实际的 servlet,这也解释了它们被称为 Filter 的原因。Spring FilterSecurity 中有许多接口可以实现,以创建自定义过滤器类。然后,我们可以告诉 Spring Security 将我们创建的这些 Filter 添加到其“过滤器链”中。

在这里插入图片描述如果您已经想知道这个“过滤器链”是否与我们的职责链模式有关,那么恭喜您!这就是我们开始学习职责链模式的原因。在我们添加单个自定义过滤器之前,Spring Security 通常默认有大约六个过滤器链(源),并且只要我们将 Spring Security 添加为依赖项,它们就会开始过滤掉请求。

以下是 JWT 授权过滤器的示例代码:

public class JWTAuthorizationFilter extends BasicAuthenticationFilter {
    public JWTAuthorizationFilter(AuthenticationManager authManager) {
        super(authManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest req,
                                    HttpServletResponse res,
                                    FilterChain chain) throws IOException,ServletException 
{
        String header = req.getHeader(HEADER_STRING);

        if (header == null || !header.startsWith(TOKEN_PREFIX)) {
            chain.doFilter(req, res);
            return;
        }

        UsernamePasswordAuthenticationToken authentication = getAuthentication(req);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        chain.doFilter(req, res);
    }
}

您不需要理解所有这些,只需浏览一下此方法即可。它以 a作为参数,其作用是:从请求中获取标头,检查它是否具有令牌,如果没有,则通过调用将其传递到过滤器链:doFilterInternal() FilterChain

chain.doFilter(req, res);

这是一个你经常会遇到的模式。请注意,此方法的最后一行也是一样的。

3. 匹配器

您可能会问:“过滤器很不错,但是一旦我将它们添加到我的安全配置中,它们就会应用于每个请求,如果我只想将过滤器应用于单个 REST 资源怎么办?” 这时 URL 匹配器就应该派上用场了。Spring Security 中的 URL 匹配器称为 Ant 匹配器,历史上以 Apache Ant 构建系统命名,它们允许我们指定类似正则表达式的匹配器来确定哪些端点应该接受过滤。
示例配置:

  @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers(HttpMethod.GET, "/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .addFilter(new CustomFilter(authenticationManager())
                .addFilter(new JWTAuthorizationFilter(authenticationManager()))
    }

此代码片段允许所有以“/public/”开头的 URL 的 GET 请求绕过过滤器。对于任何其他请求,API 使用者都应经过身份验证,并且自定义过滤器也将适用。可以在 Configuration 类中找到类似的代码。

4. 用户角色(基于角色的授权)

现在我们了解了 Ant Matchers,我们可以指定过滤器将应用到的路径,但我们仍然缺乏定义特定于角色的权限的灵活性。例如,我们可能希望只有具有角色 ADMIN 或任意角色集的用户才能访问端点。通过使用基于角色的授权/身份验证,我们可以实现这种行为。我不会提供实现基于角色的安全性的完整代码或教程,因为这本身就是一篇全新文章的主题,但您应该知道 Spring Security 允许您为用户定义角色并根据这些角色应用过滤器,如下所示:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/").permitAll
            .antMatchers("/new-blog-post").hasAnyAuthority("ADMIN", "AUTH0 EMPLOYEE", "GUEST_WRITER")
            .antMatchers("/edit/**").hasAnyAuthority("ADMIN", "EDITOR")
            .antMatchers("/delete/**").hasAuthority("ADMIN")
            .and()
            .formLogin().permitAll()
            .and()
            .logout().permitAll();
    }

如果使用 Spring Security 构建,这可能是 Auth0 博客权限的配置。

结论

在本文中,我们首先定义了 Spring Security,并尝试提供有关安全框架提供哪些功能的见解。我希望在阅读功能部分并查看 Spring Security 的示例用例后,会更加清楚。

在了解了它的用途之后,我们了解了一些可以帮助我们更好地理解 Spring Security 的重要概念。

将来,我们还计划在此介绍中添加更多高级教程,例如:

  1. 更详细的 Spring Security 教程
  2. Spring Boot 身份验证教程:Web 应用程序
  3. 保护 Spring 微服务
  4. 安全的 Spring Serverless 开发

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1969466.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LLM:并行化训练

llama3.1论文称使用了:张量并行(TP)、流水线并行(PP)、上下文并行(CP)和数据并行(DP)。 并行化可以先粗分为: 1.数据并行 2.模型并行:张量并行&…

多模态多智能体,在实现系统2(深思熟虑)方面的探索

多模态和多智能体,在系统2(深思熟虑)方面的探索 提出背景理性的定义为什么理性定义是四大基本原则,而不是其他数量,又为何是这四个,而不是其他?理性 不等于 推理 通过多模态多智能体系统增强理性…

el-table 表格序号列前端实现递增,切换分页不从头开始

<el-table-column type"index" width"55" label"序号" :index"hIndex"> </el-table-column> 分页 <el-pagination size-change"handleSizeChange" current-change"handleCurrentChange"> <…

【Linux】动态库|静态库|创建使用|动态库加载过程

目录 ​编辑 前言 静态库 为什么要使用库(形成原理 ) 生成一个静态库 静态库的使用 动态库 生成一个动态库 动态库的使用 解决方法 动态库加载过程 ​编辑 前言 库&#xff08;Library&#xff09;是一种方式&#xff0c;可以将代码打包成可重用的格式&#xff08;站…

OrionX:革新GPU资源管理,助力AI开发团队高效运作

您的AI开发团队是否经常陷入这样的窘境&#xff1a; 人多卡少&#xff0c;GPU资源难以满足每个成员的需求&#xff1f; 当开发环境中需要变更GPU卡配置时&#xff0c;流程繁琐不堪&#xff0c;不得不关闭容器、重新配置再重启&#xff1f; 是否曾因GPU卡分配后未被充分利用而…

简单好用的DX修复工具下载|修复丢失损坏的DLL文件

DirectX是被广泛运用于游戏和多媒体应用程序的一种重要组件&#xff0c;它可以提供优良的视觉效果和音频体验。很多用户在使用计算机时或多或少会遇到因为DirectX缺失而导致相关问题。例如&#xff1a;系统故障、图形渲染错误、音频失真等问题。 今天小编将深入浅出地为大家讲…

在循环语句里面element重复提示最后一条的解决办法

做项目时遇到了个问题&#xff0c;要求把时间重叠的每个阶段都提示出来 但是发现$message的提示框不仅都重合在一起 并且数据内容只是最后一次循环出来的信息如下图 首先解决样式重合问题 这里我就用的是简单粗暴的方法加个定时器 这样重合问题就可以解决其次是提示内容只是最后…

删除分区 全局索引 drop partition global index Statistics变化

1.不一定unusable&#xff0c;可以先删除data (index 再删除过程中会更新结构)再drop/truncate. ---------------------- CREATE TABLE interval_sale ( prod_id NUMBER(6) , cust_id NUMBER , time_id DATE ) PARTITION BY RANGE (time_i…

前端面试宝典【HTML篇】【4】

欢迎来到《前端面试宝典》,这里是你通往互联网大厂的专属通道,专为渴望在前端领域大放异彩的你量身定制。通过本专栏的学习,无论是一线大厂还是初创企业的面试,都能自信满满地展现你的实力。 核心特色: 独家实战案例:每一期专栏都将深入剖析真实的前端面试案例,从基础知…

C++回顾——虚析构

一、示例代码 #include<iostream> using namespace std;class Weapon { public:virtual void getWeapon() 0;//virtual ~Weapon() default; };class bow :public Weapon { public:void getWeapon() override{cout << "弓箭 " << ends;}~bow(){c…

支持对接OpenAI、Ollama和本地向量模型,MaxKB开源知识库问答系统发布v1.4.0版本

2024年8月1日&#xff0c;MaxKB开源知识库问答系统正式发布v1.4.0版本。在这一版本中&#xff0c;MaxKB的社区版支持对接OpenAI、Ollama和本地的向量模型&#xff0c;并且支持设置模型的使用权限&#xff0c;同时MaxKB还支持知识库自定义向量模型。 自v1.4.0版本开始&#xff…

坐牢第二十一天 20240801(IO)

一.作业 1、使用两个线程完成两个文件的拷贝&#xff0c;分支线程1拷贝前一半&#xff0c;分支线程2拷贝后一半&#xff0c;主线程回收两个分支线程的资源 #include <myhead.h> struct Node {char *src;char *dest;int start;int len; }; //定义求源文件大小的函数 int…

python爬虫初识

一、什么互联网 互联网&#xff08;Internet&#xff09;是全球范围内最大的计算机网络&#xff0c;它将数以百万计的私人、公共、学术、商业和政府网络通过一系列标准通信协议&#xff08;如TCP/IP&#xff09;连接起来形成的一个庞大的国际网络。 互联网的起源可以追溯到196…

【C++】1.C++入门(1)

文章目录 1.C关键字2.命名空间2.1 命名空间定义2.2 命名空间使用 3.C输入&输出4.缺省参数4.1 缺省参数概念4.2 缺省参数分类 5.函数重载5.1 函数重载概念5.2 C支持函数重载的原理--名字修饰(name Mangling) 1.C关键字 C总计63个关键字&#xff0c;C语言32个关键字 2.命名空…

0206创建场景状态的基础接口

一、创建一个类 二、写一个类&#xff0c;作为接口类的作用&#xff08;不一定是interface&#xff09;

ctfshow 大赛原题 web689--web695

web689 <?php error_reporting(0); if(isset($_GET) && !empty($_GET)){$url $_GET[file];$path "upload/".$_GET[path];}else{show_source(__FILE__);exit(); }if(strpos($path,..) > -1){ //检查 $path 是否包含 ..&#xff0c;以防止路径注…

Podman 发布 v5.2.0-RC3

这是 v5.2.0 的最终候选版本。以下是初步的发布说明。 功能 Podman 现在支持使用 libkrun 作为在 MacOS 上创建虚拟机的后端。libkrun 后端的优势在于允许将 GPU 挂载到虚拟机中以加速任务。默认后端仍然是 applehv。Quadlet 现在支持.build 文件&#xff0c;这使得可以由 Quad…

2024PDF编辑工具新趋势:从基础到高级的全方位方案

随着数字化办公的发展&#xff0c;我们对PDF编辑的需求也日益增长。从最开始对文字的修改到现在可以插入音频、视频文件。这些都离不开PDF编辑软件的功劳&#xff0c;那有什么好用的PDF编辑工具呢&#xff0c;听我娓娓道来。 1.福昕PDF编辑器 直达链接&#xff1a;https://e…

【轨物方案】分布式光伏电站运维智能化升级方案

分布式光伏电站从2010年开始在国内推广&#xff0c;到2022年底&#xff0c;全国工商业分布式光伏电站装机容量为157.62GW&#xff0c;并且新增装机量逐年递增。以1MW/电站计算&#xff0c;保守估计全国至少已有十几万个工商业分布式光伏电站。 这些电站的运维工作是往往交给专业…