Spring Boot 訪問安全之認證和鑒權詳解
在web應用中有大量場景需要對用戶進行安全校,一般人的做法就是硬編碼的方式直接埋到到業務代碼中,但可曾想過這樣做法會導致代碼不夠簡潔(大量重復代碼)、有個性化時難維護(每個業務邏輯訪問控制策略都不相同甚至差異很大)、容易發生安全泄露(有些業務可能不需要當前登錄信息,但被訪問的數據可能是敏感數據由於遺忘而沒有受到保護)。
為瞭更安全、更方便的進行訪問安全控制,我們可以想到的就是使用springmvc的攔截器(HandlerInterceptor),但其實更推薦使用更為成熟的spring security來完成認證和鑒權。
攔截器
攔截器HandlerInterceptor確實可以幫我們完成登錄攔截、或是權限校驗、或是防重復提交等需求。其實基於它也可以實現基於url或方法級的安全控制。
如果你對spring mvc的請求處理流程相對的瞭解,它的原理容易理解,具體可以參閱我之前的分享。
public interface HandlerInterceptor {
/**
* Intercept the execution of a handler. Called after HandlerMapping determined
* an appropriate handler object, but before HandlerAdapter invokes the handler.
*
* 在業務處理器處理請求之前被調用。預處理,可以進行編碼、安全控制、權限校驗等處理
*
* handler:controller內的方法,可以通過HandlerMethod method= ((HandlerMethod)handler);獲取到@RequestMapping
*/
boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception;
/**
* Intercept the execution of a handler. Called after HandlerAdapter actually
* invoked the handler, but before the DispatcherServlet renders the view.
*
* 在業務處理器處理請求執行完成後,生成視圖之前執行。後處理(調用瞭Service並返回ModelAndView,但未進行頁面渲染),有機會修改ModelAndView
*/
void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception;
/**
* Callback after completion of request processing, that is, after rendering
* the view. Will be called on any outcome of handler execution, thus allows
* for proper resource cleanup.
*
* 在DispatcherServlet完全處理完請求後被調用,可用於清理資源等。返回處理(已經渲染瞭頁面)
*
*/
void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception;
}
//你可以基於有些url進行攔截
@Configuration
public class UserSecurityInterceptor extends WebMvcConfigurerAdapter {
@Override
public void addInterceptors(InterceptorRegistry registry) {
String[] securityUrls = new String[]{"/**"};
String[] excludeUrls = new String[]{"/**/esb/**", "/**/dictionary/**"};
registry.addInterceptor(userLoginInterceptor()).excludePathPatterns(excludeUrls).addPathPatterns(securityUrls);
super.addInterceptors(registry);
}
/** fixed: url中包含// 報錯
* org.springframework.security.web.firewall.RequestRejectedException: The request was rejected because the URL was not normalized.
* @return
*/
@Bean
public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
DefaultHttpFirewall firewall = new DefaultHttpFirewall();
firewall.setAllowUrlEncodedSlash(true);
return firewall;
}
@Bean
public AuthInterceptor userLoginInterceptor() {
return new AuthInterceptor();
}
public class AuthInterceptor implements HandlerInterceptor {
public Logger logger = LoggerFactory.getLogger(AuthInterceptor.class);
@Autowired
private ApplicationContext applicationContext;
public AuthInterceptor() {
}
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
LoginUserInfo user = null;
try {
user = (LoginUserInfo) SSOUserUtils.getCurrentLoginUser();
} catch (Exception e) {
logger.error("從SSO登錄信息中獲取用戶信息失敗! 詳細錯誤信息:%s", e);
throw new ServletException("從SSO登錄信息中獲取用戶信息失敗!", e);
}
String[] profiles = applicationContext.getEnvironment().getActiveProfiles();
if (!Arrays.isNullOrEmpty(profiles)) {
if ("dev".equals(profiles[0])) {
return true;
}
}
if (user == null || UserUtils.ANONYMOUS_ROLE_ID.equals(user.getRoleId())) {
throw new ServletException("獲取登錄用戶信息失敗!");
}
return true;
}
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
}
}
}
認證
確認一個訪問請求發起的時候背後的用戶是誰,他的用戶信息是怎樣的。在spring security 裡面認證支持很多種方式,最簡單的就是用戶名密碼,還有LDAP、OpenID、CAS等等。
而在我們的系統裡面,用戶信息需要通過kxtx-sso模塊進行獲取。通過sso認證比較簡單,就是要確認用戶是否通過會員系統登錄,並把登錄信息包裝成授權對象放到SecurityContext中,通過一個filter來完成:
@Data
@EqualsAndHashCode(callSuper = false)
public class SsoAuthentication extends AbstractAuthenticationToken {
private static final long serialVersionUID = -1799455508626725119L;
private LoginUserInfo user;
public SsoAuthentication(LoginUserInfo user) {
super(null);
this.user = user;
}
@Override
public Object getCredentials() {
return "kxsso";
}
@Override
public Object getPrincipal() {
return user;
}
@Override
public String getName() {
return user.getName();
}
}
public class SsoAuthenticationProcessingFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
LoginUserInfo user = (LoginUserInfo) SSOUserUtils.getCurrentLoginUser();
SsoAuthentication auth = new SsoAuthentication(user );
SecurityContextHolder.getContext().setAuthentication(auth);
filterChain.doFilter(request, response);
}
}
@Component
public class SsoAuthenticationProvider implements AuthenticationProvider {
@Value("${env}")
String env;
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
LoginUserInfo loginUserInfo = (LoginUserInfo) authentication.getPrincipal();
/*
* DEV環境允許匿名用戶訪問,方便調試,其他環境必須登錄。
*/
if (!UserUtils.ANONYMOUS_ROLE_ID.equals(loginUserInfo.getRoleId()) || "dev".equals(env)) {
authentication.setAuthenticated(true);
} else {
throw new BadCredentialsException("請登錄");
}
return authentication;
}
@Override
public boolean supports(Class<?> authentication) {
return SsoAuthentication.class.equals(authentication);
}
}
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
protected void configure(HttpSecurity http) throws Exception {
// 關閉session
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and();
// 允許訪問所有URL,通過方法保護的形式來限制訪問。
http.authorizeRequests().anyRequest().permitAll();
// 註冊sso filter
http.addFilterBefore(ssoAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
}
@Bean
SsoAuthenticationProcessingFilter ssoAuthenticationProcessingFilter() {
return new SsoAuthenticationProcessingFilter();
}
}
鑒權
控制一個功能是否能被當前用戶訪問,對不符合要求的用戶予以拒絕。spring security 主要有兩種控制點:
- 基於請求路徑的:控制某一URL模式必須符合某種要求;
- 基於方法的:控制某一方法必須符合某種要求;
而控制形式就比較多樣化瞭:
- 代碼配置;
- xml配置;
- 註解控制;
- el表達式;
- 自定義訪問控制器;
目前鑒權的需求比較簡單:登錄允許訪問,未登錄禁止訪問。因此可以定義瞭一個切面,控制所有需要安全控制的Controller。
spring security 提供瞭一些註解:
| @PreAuthorize |
控制一個方法是否能夠被調用,業務方法(HandlerMethod )的前置處理,比如: @PreAuthorize(“#id<10”)限制隻能查詢Id小於10的用戶 @PreAuthorize(“principal.username.equals(#username)”)限制隻能查詢自己的信息 @PreAuthorize(“#user.name.equals(‘abc’)”)限制隻能新增用戶名稱為abc的用戶 |
| @PostAuthorize |
業務方法調用完之後進行權限檢查,後置處理,比如: @PostAuthorize(“returnObject.id%2==0”) public User find(int id) {} 返回值的id是偶數則表示校驗通過,否則表示校驗失敗,將拋出AccessDeniedException |
| @PreFilter |
對集合類型的參數進行過濾,比如: 對集合ids中id不為偶數的進行移除 @PreFilter(filterTarget=”ids”, value=”filterObject%2==0″) public void delete(List<Integer> ids, List<String> usernames) {} |
| @PostFilter |
對集合類型的返回值進行過濾,比如: 將對返回結果中id不為偶數的list中的對象進行移除 @PostFilter(“filterObject.id%2==0″) public List<User> findAll() {} |
| @AuthenticationPrincipal | 解決在業務方法內對當前用戶信息的方法 |
@Aspect
@Component
public class InControllerAspect {
@Autowired
BeforeInControllerMethods beforeInMethods;
@Pointcut("execution(public * com.kxtx.oms.portal.controller.in.*.*(..)) && @annotation(org.springframework.web.bind.annotation.RequestMapping)")
public void hp() {
};
@Before("hp()")
public void befor() {
beforeInMethods.before();
}
}
@Component
public class BeforeInControllerMethods {
//@PreAuthorize("authenticated")要求所有訪問此方法的用戶必須登錄
@PreAuthorize("authenticated")
public void before() {
}
}
//用戶信息獲取
@RequestMapping("/order/submit")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal CustomUser customUser) {
// .. find messages for this user and return them ...
}
是不是有點復雜,復雜的是表現形式,實際上需要真正理解它的目的(為瞭要解決什麼問題)。
參考資料
mvc-authentication-principal
以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。
推薦閱讀:
- springboot過濾器和攔截器的實例代碼
- 詳解SpringMVC的攔截器鏈實現及攔截器鏈配置
- Spring中自定義攔截器的使用
- Java Spring攔截器案例詳解
- 詳解Spring 攔截器流程及多個攔截器的執行順序