小菜鸟

Nginx配置状态检查地址

1
2
3

location /nginx_status {
    stub_status on;
}

springSecurity注解使用

在使用springboot的时候，大家更习惯于使用注解来进行配置，那么springSecurity注解怎么使用呢

首先开启注解

1
2
3
4

@EnableGlobalMethodSecurity(// Spring Security 开启注解
        securedEnabled=true, // 开启@Secured注解,会创建切点，代理@Secured注解的方法
        prePostEnabled = true // 开启@PreAuthorize和@PostAuthorize注解
)

springSecurity流程

认证流程

• 登录请求进入UsernamePasswordAuthenticationFilter，父类是AbstractAuthenticationProcessingFilter，执行AbstractAuthenticationProcessingFilter的doFilter方法

  1	authResult = attemptAuthentication(request, response);

• 确认该请求是否需要认证，如果需要认证且此时还没有进行认证，则尝试进行认证，调用UsernamePasswordAuthenticationFilter的attemptAuthentication方法，将从请求中获取的用户名和密码封装成UsernamePasswordAuthenticationToken对象(认证状态为未认证)

  1 2 3 4 5 6 7 8 9 10

  UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken( username, password); public UsernamePasswordAuthenticationToken(Object principal, Object credentials) { super(null); this.principal = principal; this.credentials = credentials; // 设置为未认证 setAuthenticated(false); }

• 通过AuthenticationManager(实现类是ProviderManager)委托AuthenticationProvider(实现类是DaoAuthenticationProvider)关联UserDetailsService进行认证过程

过滤web请求

在spring中存在一个DelegatingFilterProxy，是一种特殊的Filter，主要任务就是将工作委托给Filter实现类

使用@EnableWebSecurity注解时引入FilterChainProxy

1 2 3 4 5 6 7 8 9 10 11 12

@Bean(name = AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME) public Filter springSecurityFilterChain() throws Exception { boolean hasConfigurers = webSecurityConfigurers != null && !webSecurityConfigurers.isEmpty(); if (!hasConfigurers) { WebSecurityConfigurerAdapter adapter = objectObjectPostProcessor .postProcess(new WebSecurityConfigurerAdapter() { }); webSecurity.apply(adapter); } return webSecurity.build(); }

可以使用WebApplicationInitializer的方式来配置DelegatingFilterProxy，其会自动为每个url注册springSecurityFilterChain过滤器(也就是DelegatingFilterProxy)，添加一个ContextLoaderListener来载入WebSecurityConfig

1
2
3
4

// AbstractSecurityWebApplicationInitializer类实现了WebApplicationInitializer接口，spring会发现，并在web容器中注册DelegatingFilterProxy
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {

}

DelegatingFilterProxy会拦截发往应用中的请求，并将请求委托给springSecurityFilterChain，springSecurityFilterChain本身是另一种特殊的Filter，可以连接任意一个或多个其他的Filter

1
2
3
4
5
6
7
8
9
10
11

private void insertSpringSecurityFilterChain(ServletContext servletContext) {
  // DEFAULT_FILTER_NAME就是springSecurityFilterChain
   String filterName = DEFAULT_FILTER_NAME;
   DelegatingFilterProxy springSecurityFilterChain = new DelegatingFilterProxy(
         filterName);
   String contextAttribute = getWebApplicationContextAttribute();
   if (contextAttribute != null) {
      springSecurityFilterChain.setContextAttribute(contextAttribute);
   }
   registerFilter(servletContext, true, filterName, springSecurityFilterChain);
}

springSecurity简介

Spring Security 基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案，是一种基于Spring AOP和Servlet规范中的Filter实现的安全框架，其本质是一个过滤器链

名词解释

**主体(principal)**使用系统的用户或设备或从其他系统远程登录的用户等等，谁在使用该系统

**认证(authentication)**权限管理系统确认一个主体的身份，允许主体进入系统，“主体”证明自己是谁

**授权(authorization)**将操作系统的“权力”授予“主体”，这样主体就具备了操作系统中特定功能的能力，授权就是给用户分配权限

1
2
3
4

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>