Spring Security权限控制系列(一)

开发 架构
这里我们通过Postman访问默认的登录/login接口先进行登录,登录完成后我们在访问这个post接口。

环境:Springboot2.4.12 + Spring Security 5.4.9

本篇主要内容是基于内存的配置

引入依赖

<dependency>  <groupId>org.springframework.boot</groupId>  <artifactId>spring-boot-starter-security</artifactId></dependency>

自定义用户配置

spring:  security:    user:      name: admin        password: 123456

定义Controller接口

@RestController@RequestMapping("/demos")public class DemoController {  @GetMapping("home")  public Object home() {    return "demos home" ;  }}

访问:

http://localhost:8080/demos/home。

将会自动跳转到默认地登录页面:

使用配置文件中配置的admin/123123进行登录。

没有任何问题

再定义一个POST接口。

@PostMapping("post")public Object post() {  return "demos post" ;}

注意:这里我们通过Postman访问默认的登录/login接口先进行登录,登录完成后我们在访问这个post接口。(记住我们在上面访问的GET /demos/home接口只要登录后就可以继续访问该接口)。

首次登录时注意返回的登录页面的html内容,表单信息中多了一个隐藏域_csrf字段,如果我们通过Postman模拟登录时如果不带上该字段将无法登录。

修改登录信息添加上_csrf表单字段,再进行登录。

这里返回404状态码是由于我们没有配置默认登录成功页

到此在Postman中就登录成功了,接下来咱们继续通过Postman访问GET /demos/home接口。

直接访问没有任何问题

接着访问上面定义的POST /demos/post接口。

服务端返回403拒绝访问,上面GET方式正常,POST出现该异常,接着将上面我们登录时候的_csrf字段一起进行提交。

针对POST请求必须携带正确的_csrf信息才能继续方法。

实现原理

在默认情况下Security会添加CsrfFilter过滤器。

public final class CsrfFilter extends OncePerRequestFilter {  protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {    // 从默认的HttpSessionCsrfTokenRepository中获取token,默认是从session中    CsrfToken csrfToken = this.tokenRepository.loadToken(request);    boolean missingToken = (csrfToken == null);    if (missingToken) {      // 如果当前session不存在则生成token      csrfToken = this.tokenRepository.generateToken(request);      // 如果csrfToken不为null,则这里什么都不做(不会保存)      this.tokenRepository.saveToken(csrfToken, request, response);    }    // ...    // 判断当前的请求方法是否是("GET", "HEAD", "TRACE", "OPTIONS")    // 如果是上面的Method则直接放行,否则继续往下执行    if (!this.requireCsrfProtectionMatcher.matches(request)) {      filterChain.doFilter(request, response);      return;    }    // 从请求header中获取_csrf值,headerName = X-CSRF-TOKEN    String actualToken = request.getHeader(csrfToken.getHeaderName());    if (actualToken == null) {      // 如果header中不存在,则从请求参数中获取 parameterName = _csrf      actualToken = request.getParameter(csrfToken.getParameterName());    }    // 判断当前参数中的token值与保存到当前session中的是否想到,不等则返回403错误    if (!equalsConstantTime(csrfToken.getToken(), actualToken)) {      AccessDeniedException exception = (!missingToken) ? new InvalidCsrfTokenException(csrfToken, actualToken) : new MissingCsrfTokenException(actualToken);      this.accessDeniedHandler.handle(request, response, exception);      return;    }    filterChain.doFilter(request, response);  }}

一般我们都会关闭csrf功能。

@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter {  @Override  protected void configure(HttpSecurity http) throws Exception {    // 关闭csrf,就是删除CsrfFilter过滤器。    http.csrf().disable() ;    // 拦截任意请求    http.authorizeRequests().anyRequest().authenticated() ;    // 这里需要加上该句,否则不会出现登录页面    http.formLogin() ;  }}

以上是关于Spring Security默认配置的情况下csrf相关问题。接下来通过自定义类配置来设定用户的用户信息。

自定义配置

@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter {  @SuppressWarnings("deprecation")  @Override  protected void configure(AuthenticationManagerBuilder auth) throws Exception {    // 这在后续的文章中会介绍该方法的具体使用    // super.configure(auth);    // 配置用户名密码角色,及密码编码方式    auth.inMemoryAuthentication().passwordEncoder(NoOpPasswordEncoder.getInstance()).withUser("guest").password("123456").roles("ADMIN") ;  }  @Override  protected void configure(HttpSecurity http) throws Exception {    http.csrf().disable() ;    http.authorizeRequests().anyRequest().authenticated() ;    http.formLogin() ;  }}

通过上面配置后,在进行授权的时候就需要使用这里的配置信息。

本篇介绍到这里,下篇将介绍具体的请求拦截配置及自定义登录页面等功能更。

责任编辑:姜华 来源: 今日头条
相关推荐

2022-08-30 08:36:13

Spring权限控制

2022-08-30 08:43:11

Spring权限控制

2022-08-15 08:45:21

Spring权限控制

2022-08-30 08:55:49

Spring权限控制

2022-08-30 08:50:07

Spring权限控制

2024-02-18 12:44:22

2020-06-17 08:31:10

权限控制Spring Secu

2021-07-27 10:49:10

SpringSecurity权限

2023-01-13 08:11:24

2022-06-16 10:38:24

URL权限源代码

2020-09-16 08:07:54

权限粒度Spring Secu

2023-05-26 01:05:10

2022-05-05 10:40:36

Spring权限对象

2017-04-25 10:46:57

Spring BootRESRful API权限

2022-06-27 14:21:09

Spring语言

2022-01-07 07:29:08

Rbac权限模型

2021-04-23 07:33:10

SpringSecurity单元

2021-08-29 18:36:57

项目

2019-11-22 09:40:40

SpringJava编程语言

2020-09-09 09:19:00

SpringSecurity权限
点赞
收藏

51CTO技术栈公众号