Spring Security FAQ
它使用灵活的配置模型,允许开发人员根据应用程序的特定需求定制安全设置。Spring Security 还提供了对各种安全机制的强大支持,例如 LDAP、JWT 和 OAuth2。
该框架集成了 Spring 生态系统,无缝地与其他 Spring 组件协作。此外,Spring Security 提供了全面的文档和示例,使开发人员能够轻松地集成和配置该框架。
使用 Spring Security 的主要优点包括:
-
可靠性:经过广泛的测试和使用,Spring Security 提供了一个稳定的安全基础。
-
灵活性:可定制的配置模型允许根据应用程序的需求进行全面配置。
-
可扩展性:Spring Security 支持各种安全机制,并可以轻松集成到现有的系统中。
-
用户友好:全面的文档和示例简化了集成和配置过程。
此常见问题解答有以下部分:
General Questions
此常见问题解答回答了以下一般性问题:
Can Spring Security take care of all my application security requirements?
Spring Security 为你的身份验证和授权需求提供了一个灵活的框架,但还有许多其他考虑因素在构建安全应用程序时超出其范围。Web 应用程序容易受到各种攻击,你应该熟悉这些攻击,最好在开始开发之前,以便你可以从一开始就考虑它们进行设计和编码。查看 OWASP website ,了解 Web 应用程序开发人员面临的主要问题以及你可以针对这些问题采取的对策。
Why Not Use web.xml Security?
假设您正在基于 Spring 开发企业应用程序。您通常需要解决四个安全问题:身份验证、Web 请求安全、服务层安全(实现业务逻辑的方法)和域对象实例安全(不同的域对象可以具有不同的权限)。考虑到这些典型要求,我们有以下注意事项:
-
Authentication:Servlet 规范提供了一种身份验证方法。但是,您需要配置容器来执行身份验证,这通常需要编辑容器特定的 "`realm`"设置。这将带来不可移植的配置。此外,如果您需要编写一个实际的 Java 类来实现容器的身份验证接口,那么将变得更加不可移植。使用 Spring Security,您可以在 WAR 级别实现完全可移植性。此外,Spring Security 提供多种经过实践验证的身份验证提供程序和机制,这意味着您可以在部署时切换身份验证方法。对于需要在未知目标环境中工作的产品的软件供应商而言,这尤其有价值。
-
_Web request security:_Servlet 规范提供了一种保护您的请求 URI 的方法。但是,只能以 Servlet 规范自身有限的 URI 路径格式来表达这些 URI。Spring Security 提供了一种更全面的方法。例如,您可以使用 Ant 路径或正则表达式,您可以考虑除请求页面以外的其他 URI 部分(例如,您可以考虑 HTTP GET 参数),并且您可以实施自己的运行时配置数据源。这意味着您可以在 Web 应用程序的实际执行过程中动态更改您的 Web 请求安全性。
-
_Service layer and domain object security:_Servlet 规范中缺少对服务层安全或域对象实例安全性的支持,这对多层应用程序来说是一项严重的限制。通常,开发人员会忽略这些要求或在 MVC 控制器代码(或者更糟的是,在视图内)中实现安全逻辑。这种方法存在严重缺点:
-
_Separation of concerns:_授权是一个横切关注点,应该按这种方式实施。实现授权代码的 MVC 控制器或视图会使得测试控制器和授权逻辑变得更加困难,调试更加困难,并且经常导致代码重复。
-
_Support for rich clients and web services:_如果最终必须支持其他客户端类型,则嵌入在 Web 层中的任何授权代码都是不可重复使用的。需要考虑以下事实:Spring 远程导出仅导出服务层 Bean(而不是 MVC 控制台)。因此,授权逻辑需要位于服务层中以支持大量客户端类型。
-
_Layering issues:_MVC 控制台或视图是错误的架构层,不适合在此其中实现有关服务层方法或域对象实例的授权决策。虽然可以将主体传递到服务层,以使其能够做出授权决策,但这样做将在每个服务层方法上引入一个其他参数。更优雅的方法是使用 `ThreadLocal`来保存主体,虽然此做法可能会增加开发时间,达到从成本效益角度来看使用专用安全框架变得更为经济的程度。
-
_Authorization code quality:_人们常说 Web 框架“非常灵活”。安全框架也是如此,因为它们是以抽象方式设计出来,以满足广泛的用途的。从头开始编写自己的授权代码无法提供框架提供的“灵活性”,而内部授权代码通常缺少来自广泛部署、同行评审和新版本的改进。
-
对于简单的应用程序,servlet 规范安全性可能就足够了。尽管在 Web 容器可移植性、配置要求、受限的 Web 请求安全性灵活性和不存在的服务层和域对象实例安全性的情况下,很明显,为什么开发人员经常寻找替代解决方案。
What Java and Spring Framework versions are required?
Spring Security 3.0 和 3.1 至少需要 JDK 1.5,并且至少需要 Spring 3.0.3。理想情况下,您应该使用最新版本以避免出现问题。
Spring Security 2.0.x 至少需要 JDK 版本 1.4,并且针对 Spring 2.0.x 构建。它还应与使用 Spring 2.5.x 的应用程序兼容。
I have a complex scenario. What could be wrong?
(此答案通过解决特定情况来一般性地解决复杂场景。)
假设您不熟悉 Spring Security,并且需要构建一个应用程序,该应用程序支持通过 HTTPS 进行 CAS 单点登录,同时允许对某些 URL 本地进行基本身份验证,针对多个后端用户信息源(LDAP 和 JDBC)进行身份验证。您已复制了一些配置文件,但发现无法正常工作。出了什么问题?
在您可以成功使用它们构建应用程序之前,您需要了解您打算使用的技术。安全性很复杂。使用登录表单和一些 Spring Security 命名空间的硬编码用户设置一个简单的配置是相当直接的。转换到使用支持的 JDBC 数据库也足够简单。但是,如果您尝试直接跳到此类情况的复杂部署场景,您几乎肯定会感到沮丧。设置诸如 CAS、配置 LDAP 服务器和正确安装 SSL 证书之类的系统需要进行大幅的学习曲线飞跃。因此,您需要一步一步进行。
从 Spring Security 的角度来看,您应该做的第一件事是遵循网站上的“入门”指南。这将引导您完成一系列步骤以启动并运行,并了解框架如何操作。如果您使用其他不熟悉的技术,您应该进行一些研究并尝试确保您可以在将它们组合到复杂系统中之前单独使用它们。
Common Problems
本部分讨论了人们在使用 Spring Security 时遇到的最常见问题:
-
Authentication
-
When I try to log in, I get an error message that says, “Bad Credentials”. What is wrong?
-
My application goes into an “endless loop” when I try to log in. What is going on?
-
I get an exception with the message "Access is denied (user is anonymous);". What’s wrong?
-
Why can I still see a secured page even after I have logged out of my application?
-
I can’t get LDAP authentication to work. What’s wrong with my configuration?
-
-
Session Management
-
Miscellaneous
When I try to log in, I get an error message that says, “Bad Credentials”. What is wrong?
这意味着身份验证失败。它没有说明原因,因为它是一种避免提供可能帮助攻击者猜出帐户名或密码的详细信息的良好做法。
这也意味着如果您在线提出此问题,除非提供其他信息,否则不应期望得到答复。与任何问题一样,您应该检查调试日志的输出并注意任何异常堆栈跟踪和相关消息。您应该在调试器中逐步检查代码以查看身份验证失败的位置以及原因。您还应该编写一个测试用例在应用程序外部演练您的身份验证配置。如果您使用哈希密码,请确保存储在数据库中的值与应用程序中配置的 PasswordEncoder 生成的值完全相同。
My application goes into an “endless loop” when I try to log in. What is going on?
使用无限循环并重定向到登录页面时,会发生常见的用户问题,这个的原因是意外地配置了登录页面为“安全”资源。确保你的配置允许以匿名方式访问登录页面,可以通过从安全过滤器链中排除登录页面或标记为需要 ROLE_ANONYMOUS 来做到这一点。
如果你的 AccessDecisionManager 包含一个 AuthenticatedVoter,则可以使用 IS_AUTHENTICATED_ANONYMOUSLY 属性。如果你使用标准的命名空间配置设置,它会自动可用。
从 Spring Security 2.0.1 开始,当你使用基于命名空间的配置时,会在加载应用程序上下文时执行检查,如果你的登录页面似乎受到保护,则会记录一条警告消息。
I get an exception with the message "Access is denied (user is anonymous);". What’s wrong?
这是一条调试级别消息,当匿名用户首次尝试访问受保护的资源时发生。
DEBUG [ExceptionTranslationFilter] - Access is denied (user is anonymous); redirecting to authentication entry point
org.springframework.security.AccessDeniedException: Access is denied
at org.springframework.security.vote.AffirmativeBased.decide(AffirmativeBased.java:68)
at org.springframework.security.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:262)这是正常的,不应感到担心。
Why can I still see a secured page even after I have logged out of my application?
最常见的原因是你的浏览器已缓存该页面,你看到的是从浏览器缓存中检索的副本。通过检查浏览器是否实际发送请求(检查你的服务器访问日志和调试日志或使用合适的浏览器调试插件,例如为 Firefox 使用“Tamper Data”)来验证这一点。这与 Spring Security 无关,你应该配置应用程序或服务器来设置合适的 Cache-Control 响应标头。请注意,SSL 请求绝不会被缓存。
I get an exception with a message of "An Authentication object was not found in the SecurityContext". What is wrong?
以下清单显示了匿名用户第一次尝试访问受保护时发生的另一个调试级别消息。然而,此清单展示了当过滤器链配置中没有 AnonymousAuthenticationFilter 时的处理。
DEBUG [ExceptionTranslationFilter] - Authentication exception occurred; redirecting to authentication entry point
org.springframework.security.AuthenticationCredentialsNotFoundException:
An Authentication object was not found in the SecurityContext
at org.springframework.security.intercept.AbstractSecurityInterceptor.credentialsNotFound(AbstractSecurityInterceptor.java:342)
at org.springframework.security.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:254)这是正常的,不必为此感到担心。
I can’t get LDAP authentication to work. What’s wrong with my configuration?
请注意,LDAP 目录的权限通常不允许你读取用户的密码。因此,通常无法在 Spring Security 将存储的密码与用户提交的密码进行比较时使用 What is a UserDetailsService and do I need one? 。最常见的方法是使用 LDAP “bind” ,这是 the LDAP protocol 支持的操作之一。通过这种方法,Spring Security 通过尝试以用户身份对目录进行身份验证来验证密码。
LDAP 认证最常见的问题是对目录服务器树结构和配置缺乏了解。这在不同公司之间有所不同,所以你必须自己找出答案。在向应用程序添加 Spring Security LDAP 配置之前,你应该使用标准的 Java LDAP 代码(不涉及 Spring Security)编写一个简单的测试,并确保首先让它正常运行。例如,要对用户进行身份验证,可以使用以下代码:
-
Java
-
Kotlin
@Test
public void ldapAuthenticationIsSuccessful() throws Exception {
Hashtable<String,String> env = new Hashtable<String,String>();
env.put(Context.SECURITY_AUTHENTICATION, "simple");
env.put(Context.SECURITY_PRINCIPAL, "cn=joe,ou=users,dc=mycompany,dc=com");
env.put(Context.PROVIDER_URL, "ldap://mycompany.com:389/dc=mycompany,dc=com");
env.put(Context.SECURITY_CREDENTIALS, "joespassword");
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
InitialLdapContext ctx = new InitialLdapContext(env, null);
}@Test
fun ldapAuthenticationIsSuccessful() {
val env = Hashtable<String, String>()
env[Context.SECURITY_AUTHENTICATION] = "simple"
env[Context.SECURITY_PRINCIPAL] = "cn=joe,ou=users,dc=mycompany,dc=com"
env[Context.PROVIDER_URL] = "ldap://mycompany.com:389/dc=mycompany,dc=com"
env[Context.SECURITY_CREDENTIALS] = "joespassword"
env[Context.INITIAL_CONTEXT_FACTORY] = "com.sun.jndi.ldap.LdapCtxFactory"
val ctx = InitialLdapContext(env, null)
}Session Management
会话管理问题是一个常见的问题来源。如果你正在开发 Java Web 应用程序,你应该了解会话是如何在 servlet 容器和用户的浏览器之间保持的。你应该还了解安全和非安全 cookie 之间的差异,以及使用 HTTP、HTTPS 和在这两者之间切换的影响。Spring Security 与维护会话或提供会话标识符无关。这完全由 servlet 容器处理。
I am using Spring Security’s concurrent session control to prevent users from logging in more than once at the same time. When I open another browser window after logging in, it does not stop me from logging in again. Why can I log in more than once?
浏览器通常为每个浏览器实例维护一个会话。你不能同时有两个独立的会话。因此,如果你在另一个窗口或标签中重新登录,你只是在同一会话中重新进行身份验证。因此,如果你在另一个窗口或标签中重新登录,你是在同一会话中重新进行身份验证。服务器不了解标签、窗口或浏览器实例。它看到的只是 HTTP 请求,并且根据它们包含的 JSESSIONID cookie 的值将这些请求绑定到特定会话。当用户在会话期间进行身份验证时,Spring Security 的并发会话控制检查他们有多少个其他经过身份验证的会话。如果他们已经使用相同的会话进行身份验证,则重新进行身份验证不会产生影响。
Why does the session ID change when I authenticate through Spring Security?
在默认配置中,Spring Security 会在用户进行身份验证时更改会话 ID。如果你使用 Servlet 3.1 或更新的容器,会话 ID 只会被更改。如果你使用较旧的容器,Spring Security 会使现有会话失效,创建一个新会话,并将会话数据传输到新会话。以这种方式更改会话标识符可以防止“会话固定”攻击。你可以在网上和参考手册中找到更多这方面的信息。
I use Tomcat (or some other servlet container) and have enabled HTTPS for my login page, switching back to HTTP afterward. It does not work. I end up back at the login page after authenticating.
不起作用 - 我在认证后刚刚回到登录页面。
这是因为在 HTTPS 下创建的会话(其中会话 Cookie 被标记为 “secure” )随后无法在 HTTP 下使用。浏览器不会将 Cookie 发送回服务器,任何会话状态(包括安全上下文信息)都将丢失。首先在 HTTP 中启动会话应该可以工作,因为会话 Cookie 未标记为安全。但是,Spring Security 的 Session Fixation Protection 会干扰此操作,因为它导致向用户的浏览器发送新的会话 ID Cookie,通常带有安全标志。为了解决这个问题,你可以禁用会话固定保护。但是,在较新的 Servlet 容器中,你还可以配置会话 Cookie 永远不使用安全标志。
在 HTTP 和 HTTPS 之间切换通常不是一个好主意,因为任何使用 HTTP 的应用程序都容易受到中间人攻击。为了真正安全,用户应开始以 HTTPS 方式访问你的网站,并继续使用它,直到他们注销。甚至从通过 HTTP 访问的页面单击 HTTPS 链接都可能存在风险。如果你需要更有说服力的证据,可以查阅如 sslstrip 这样的工具。
I am not switching between HTTP and HTTPS, but my session is still lost. What happened?
会话的维护是通过交换会话 cookie 或将 jsessionid 参数添加到 URL 来进行的(如果你使用 JSTL 输出 URL,或者在你对 URL 调用 HttpServletResponse.encodeUrl(例如在重定向之前)),则会自动发生这种情况。如果客户端禁用了 cookie,并且你没有重写 URL 以包含 jsessionid,则会话会丢失。请注意,出于安全原因,建议使用 cookie,因为它不会在 URL 中暴露会话信息。
I am trying to use the concurrent session-control support, but it does not let me log back in, even if I am sure I have logged out and have not exceeded the allowed sessions. What is wrong?
确保你在 web.xml 文件中添加了侦听器。确保在会话被销毁时通知 Spring Security 会话注册表至关重要。如果没有它,会话信息将不会从注册表中删除。以下示例在 web.xml 文件中添加一个侦听器:
<listener>
<listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
</listener>Spring Security creates a session somewhere, even though I have configured it not to, by setting the create-session attribute to never. What is wrong?
这通常意味着用户的应用程序在某个地方创建了一个会话,但他们不知道它。最常见的罪魁祸首是 JSP。许多人不知道 JSP 默认创建会话。为了防止 JSP 创建会话,请在页面的顶部添加 <%@ page session="false" %> 指令。
如果你难以弄清楚会话是在哪里创建的,则可以添加一些调试代码来跟踪位置。实现此目的的一种方法是向应用程序添加一个 javax.servlet.http.HttpSessionListener,它在 sessionCreated 方法中调用 Thread.dumpStack()。
I get a 403 Forbidden when performing a POST. What is wrong?
如果是 HTTP POST 则返回 HTTP 403 禁用错误,但对于 HTTP GET 则有效,问题很可能是与 CSRF 相关。提供 CSRF 令牌或禁用 CSRF 保护(不推荐后者)。
I am forwarding a request to another URL by using the RequestDispatcher, but my security constraints are not being applied.
默认情况下,过滤器不会应用于转发或包含。如果你真的希望安全过滤器应用于转发或包含,则必须使用 <dispatcher> 元素(这是 <filter-mapping> 元素的子元素)在你自己的 web.xml 文件中明确配置这些过滤器。
I have added Spring Security’s <global-method-security> element to my application context, but, if I add security annotations to my Spring MVC controller beans (Struts actions etc.), they do not seem to have an effect. Why not?
在 Spring web 应用程序中,容纳调度程序servlet的 Spring MVC bean 的应用程序上下文通常独立于主应用程序上下文,它通常在名为 myapp-servlet.xml 的文件中定义,其中 myapp 是在 web.xml 文件中分配给 Spring DispatcherServlet 的名称。一个应用程序可以有多个 DispatcherServlet 实例,每个实例都有自己独立的应用程序上下文,这些“子代”上下文中的 bean 对应用程序的其他部分是不可见的。通过在 web.xml 文件中定义的 ContextLoaderListener 加载“父代”应用程序上下文,并且它对所有子代上下文可见,此父上下文通常是你定义安全配置(包括 <global-method-security> 元素)的位置,因此,应用于这些 Web bean 中的方法的任何安全约束都不会得到实施,因为从 DispatcherServlet 上下文无法看到这些 bean,你需要将 <global-method-security> 声明移到 Web 上下文或将你想要保护的 bean 移到主应用程序上下文中。
我们通常建议在服务层而不是各个 web 控制器上应用方法安全性。
I have a user who has definitely been authenticated, but, when I try to access the SecurityContextHolder during some requests, the Authentication is null. Why can I not see the user information?
为什么我看不到用户信息?
如果你已使用与 URL 模式匹配的 intercept-url 元素中的 filters='none' 属性将请求排除在安全过滤器链之外,那么 SecurityContextHolder 并未为此请求填充,查看调试日志以查看请求是否通过了过滤器链(你正在阅读调试日志,对吧?)。
Spring Security Architecture Questions
本节解决了常见的 Spring Security 架构问题:
How do I know which package class X is in?
查找类的最佳方式是在你的 IDE 中安装 Spring Security 源,该发行版包含项目划分的每个模块的源 jar,将这些添加到你的项目源路径,然后你可以直接导航到 Spring Security 类(在 Eclipse 中为 Ctrl-Shift-T),这也使得调试变得更容易,允许你通过直接查看引发异常的代码来进行故障排除,以查看那里发生了什么。
How do the namespace elements map to conventional bean configurations?
参考指南的命名空间附录中概述了命名空间创建的 bean。在 blog.springsource.com 上还有一篇名为“Spring Security 命名空间的背后”的详细博客文章。如果你想了解全部详细信息,Spring Security 3.0 发行版中的 spring-security-config 模块中包含此代码。你可能应该首先阅读 Spring Framework 参考文档中有关命名空间解析的章节。
What does "ROLE_" mean and why do I need it on my role names?
Spring Security 具有基于投票者的架构,这意味着访问决策通过一系列 AccessDecisionVoter 实例来做的,投票者根据为受保护资源(如方法调用)指定“配置属性”进行投票,通过这种方法,并非所有属性都可能对所有投票者都相关,而且投票者需要知道何时应该忽略属性(弃权)以及何时应该基于属性值投票授予或拒绝访问,最常见的投票者是 RoleVoter,它在默认情况下每当找到具有 ROLE_ 前缀的属性时都会投票,它将属性(如 ROLE_USER)与分配给当前用户的权限名称进行简单的比较,如果找到匹配项(他们有一个称为 ROLE_USER 的权限),它会投票授予访问权限,否则,它会投票拒绝访问。
你可以通过设置 RoleVoter 的 rolePrefix 属性来更改前缀,如果你只需要在你的应用程序中使用角色,并且不需要其他自定义投票者,则可以将前缀设置为一个空字符串,在这种情况下,RoleVoter 将所有属性视为角色。
How do I know which dependencies to add to my application to work with Spring Security?
这取决于你使用什么功能以及你正在开发的应用程序类型,使用 Spring Security 3.0,项目 jar 被划分为清晰不同的功能区域,因此可以直接找出你的应用程序需求所需的 Spring Security jar,所有应用程序都需要 spring-security-core jar,如果你正在开发一个 web 应用程序,则需要 spring-security-web jar,如果你正在使用安全命名空间配置,则需要 spring-security-config jar,对于 LDAP 支持,你需要 spring-security-ldap jar,依此类推。
对于第三方 jar,情况并不总是那么明显,一个好的起点是从某个预构建的示例应用程序 WEB-INF/lib 目录中复制那些 jar,对于一个基本的应用程序,你可以从教程示例开始,对于一个基本应用程序,你可以从教程示例开始,如果你想要使用具有嵌入式测试服务器的 LDAP,则使用 LDAP 示例作为起点,参考手册还包括 appendix-namespace,其中列出了每个 Spring Security 模块的一级依赖项,并包含有关它们是可选的还是必需的的一些信息。
如果你使用 Maven 构建项目,那么将相应的 Spring Security 模块作为依赖项添加到你的 pom.xml 文件会自动提取框架所需的 core jar,任何在 Spring Security pom.xml 文件中标记为“optional”的 jar 都必须添加到你自己的 pom.xml 文件(如果你需要它们)。
What dependencies are needed to run an embedded ApacheDS LDAP server?
如果你使用 Maven,则需要将以下内容添加到 pom.xml 文件依赖项:
<dependency>
<groupId>org.apache.directory.server</groupId>
<artifactId>apacheds-core</artifactId>
<version>1.5.5</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.apache.directory.server</groupId>
<artifactId>apacheds-server-jndi</artifactId>
<version>1.5.5</version>
<scope>runtime</scope>
</dependency>其他必需的 jar 应该被传递地提取。
What is a UserDetailsService and do I need one?
UserDetailsService 是用于加载特定于用户帐户的 DAO 接口,它没有其他功能,只是为框架内的其他组件加载数据,它不负责对用户进行身份验证,使用用户名和密码组合对用户进行身份验证通常由 DaoAuthenticationProvider 执行,其中注入了一个 UserDetailsService 以允许它为用户加载密码(和其他数据),以便与提交的值进行比较,请注意,如果你使用 LDAP,[这种方法可能不起作用,appendix-faq-ldap-authentication]。
如果你想自定义认证流程,则应该自己实现 AuthenticationProvider。请参阅 blog article 以获取一个将 Spring Security 认证与 Google App Engine 相集成的示例。
Common How-to Questions
本节解决了有关 Spring Security 的常见操作问题:
I need to log in with more information than just the username. How do I add support for extra login fields (such as a company name)?
这个问题一再出现,因此您可以在线搜索以查找更多信息。
提交的登录信息由 UsernamePasswordAuthenticationFilter 实例处理。您需要自定义此类以处理额外的数据字段。一种方法是使用自己自定义的身份验证令牌类(而不是标准的 UsernamePasswordAuthenticationToken)。另一种方法是将额外字段与用户名连接(例如,使用 : 字符作为分隔符),然后将它们传递到 UsernamePasswordAuthenticationToken 的用户名属性中。
您还需要自定义实际的身份验证过程。例如,如果您使用自定义的身份验证令牌类,那么您将必须编写一个 AuthenticationProvider(或扩展标准的 DaoAuthenticationProvider)来处理它。如果您已连接各个字段,那么您可以实现自己的 UserDetailsService 以拆分这些字段并加载用于身份验证的适当用户数据。
How do I apply different intercept-url constraints where only the fragment value of the requested URLs differs (such as /thing1#thing2 and /thing1#thing3)?
您无法执行此操作,因为片段不会从浏览器传输到服务器。从服务器的角度来看,URL 是相同的。这是 GWT 用户的一个常见问题。
How do I access the user’s IP Address (or other web-request data) in a UserDetailsService?
您无法执行此操作(不用求助于诸如线程局部变量之类的内容),因为提供给接口的唯一信息是用户名。不要实现 UserDetailsService,应该直接实现 AuthenticationProvider 并从提供的 Authentication 令牌中提取信息。
在标准的 Web 设置中,Authentication 对象上的 getDetails() 方法将返回 WebAuthenticationDetails 实例。如果您需要更多信息,可以将自定义 AuthenticationDetailsSource 注入您正在使用的身份验证过滤器中。如果您正在使用命名空间,例如使用 <form-login> 元素,那么您应该删除此元素,并用指向显式配置的 UsernamePasswordAuthenticationFilter 的 <custom-filter> 声明替换它。
How do I access the HttpSession from a UserDetailsService?
您无法完成此操作,因为 UserDetailsService 不了解 servlet API。如果您要存储自定义用户数据,则应自定义返回的 UserDetails 对象。然后可以通过线程局部 SecurityContextHolder 随时进行访问。调用 SecurityContextHolder.getContext().getAuthentication().getPrincipal() 会返回此自定义对象。
如果您确实需要访问会话,则必须通过自定义 Web 层来执行此操作。
How do I access the user’s password in a UserDetailsService?
您不能(而且不应该,即使您找到了执行此操作的方法)。您可能误解了它的目的。请参见本文档前面《“什么是 UserDetailsService?”,附录常见问答 - 什么是 UserDetailsService》中的相关内容。
How do I dynamically define the secured URLs within an application?
人们经常询问如何将受保护的 URL 与安全元数据属性之间的映射存储在数据库中,而不是存储在应用程序上下文中。
您应该首先问问自己是否真的需要这样做。如果应用程序需要安全,那么它还要求基于已定义的策略对安全性进行全面测试。在将其推广到生产环境中之前,可能需要进行审计和验收测试。注重安全性的组织应该意识到其严格的测试过程带来的好处可能因为改变配置数据库中的一两行而导致安全设置在运行时被修改而立即消失。如果您已考虑到这一点(也许通过在您的应用程序中使用多层安全),那么 Spring Security 会让您可以完全自定义安全元数据的来源。如果您选择,可以使其完全动态。
方法和 Web 安全性均受 AbstractSecurityInterceptor 的子类的保护,其配置了一个 SecurityMetadataSource,它从中获取特定方法或过滤器调用所需元数据。对于 Web 安全性,拦截器类是 FilterSecurityInterceptor,它使用 FilterInvocationSecurityMetadataSource 标记接口。它操作的“安全对象”类型是 FilterInvocation。默认实现(在命名空间 <http> 和显式配置拦截器时均使用)在内存映射中存储 URL 模式列表及其相对应的“配置属性”(ConfigAttribute 实例)列表。
要从备用来源加载数据,您必须使用显式声明的安全过滤器链(通常情况下是 Spring Security 的 FilterChainProxy)来自定义 FilterSecurityInterceptor Bean。您无法使用命名空间。然后,您将实现 FilterInvocationSecurityMetadataSource 来加载您想要用于特定 FilterInvocation 的数据。FilterInvocation 对象包含 HttpServletRequest,因此您可以基于其对返回的属性列表中包含的内容做出决策而获取 URL 或其他任何相关信息。基本提纲类似于以下示例:
-
Java
-
Kotlin
public class MyFilterSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
public List<ConfigAttribute> getAttributes(Object object) {
FilterInvocation fi = (FilterInvocation) object;
String url = fi.getRequestUrl();
String httpMethod = fi.getRequest().getMethod();
List<ConfigAttribute> attributes = new ArrayList<ConfigAttribute>();
// Lookup your database (or other source) using this information and populate the
// list of attributes
return attributes;
}
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
public boolean supports(Class<?> clazz) {
return FilterInvocation.class.isAssignableFrom(clazz);
}
}class MyFilterSecurityMetadataSource : FilterInvocationSecurityMetadataSource {
override fun getAttributes(securedObject: Any): List<ConfigAttribute> {
val fi = securedObject as FilterInvocation
val url = fi.requestUrl
val httpMethod = fi.request.method
// Lookup your database (or other source) using this information and populate the
// list of attributes
return ArrayList()
}
override fun getAllConfigAttributes(): Collection<ConfigAttribute>? {
return null
}
override fun supports(clazz: Class<*>): Boolean {
return FilterInvocation::class.java.isAssignableFrom(clazz)
}
}有关更多信息,请查看 DefaultFilterInvocationSecurityMetadataSource 的代码。
How do I authenticate against LDAP but load user roles from a database?
LdapAuthenticationProvider bean(它处理 Spring Security 中的正常 LDAP 身份验证)配置了两个单独的策略接口,一个执行身份验证,另一个加载用户权限,它们分别称为 LdapAuthenticator 和 LdapAuthoritiesPopulator。DefaultLdapAuthoritiesPopulator 从 LDAP 目录中加载用户权限,并具有可用于指定如何检索这些用户权限的各种配置参数。
相反,要使用 JDBC,您可以使用适用于您架构的任何 SQL 自行实现接口:
-
Java
-
Kotlin
public class MyAuthoritiesPopulator implements LdapAuthoritiesPopulator {
@Autowired
JdbcTemplate template;
List<GrantedAuthority> getGrantedAuthorities(DirContextOperations userData, String username) {
return template.query("select role from roles where username = ?",
new String[] {username},
new RowMapper<GrantedAuthority>() {
/**
* We're assuming here that you're using the standard convention of using the role
* prefix "ROLE_" to mark attributes which are supported by Spring Security's RoleVoter.
*/
@Override
public GrantedAuthority mapRow(ResultSet rs, int rowNum) throws SQLException {
return new SimpleGrantedAuthority("ROLE_" + rs.getString(1));
}
});
}
}class MyAuthoritiesPopulator : LdapAuthoritiesPopulator {
@Autowired
lateinit var template: JdbcTemplate
override fun getGrantedAuthorities(userData: DirContextOperations, username: String): MutableList<GrantedAuthority?> {
return template.query("select role from roles where username = ?",
arrayOf(username)
) { rs, _ ->
/**
* We're assuming here that you're using the standard convention of using the role
* prefix "ROLE_" to mark attributes which are supported by Spring Security's RoleVoter.
*/
SimpleGrantedAuthority("ROLE_" + rs.getString(1))
}
}
}然后,可以向应用程序上下文添加此类型的 bean,并将其注入到 LdapAuthenticationProvider 中。参考手册的 LDAP 章节中关于使用明确 Spring bean 配置 LDAP 的部分介绍了这一点。请注意,在这种情况下,不能将命名空间用于配置。你還應查閱 security-api-url[Javadoc],以獲取相關的類別和介面。
I want to modify the property of a bean that is created by the namespace, but there is nothing in the schema to support it. What can I do short of abandoning namespace use?
命名空间功能是有意限定的,因此它不能涵盖你可以用纯 bean 做的所有事情。如果你想做一些简单的事情,比如修改 bean 或注入不同的依赖关系,则可以通过向配置添加 BeanPostProcessor 来实现。你可以在 Spring Reference Manual 中找到更多信息。为此,你需要了解创建哪些 bean,因此你也应该阅读前面问题中的博客文章 how the namespace maps to Spring beans。
通常,您将所需功能添加到 BeanPostProcessor 的 postProcessBeforeInitialization 方法。假设您想自定义 UsernamePasswordAuthenticationFilter(由 form-login 元素创建)使用的 AuthenticationDetailsSource。您想从请求中提取一个名为 CUSTOM_HEADER 的特定标头,并在此标头验证用户身份时使用它。处理器类如下列清单所示:
-
Java
-
Kotlin
public class CustomBeanPostProcessor implements BeanPostProcessor {
public Object postProcessAfterInitialization(Object bean, String name) {
if (bean instanceof UsernamePasswordAuthenticationFilter) {
System.out.println("********* Post-processing " + name);
((UsernamePasswordAuthenticationFilter)bean).setAuthenticationDetailsSource(
new AuthenticationDetailsSource() {
public Object buildDetails(Object context) {
return ((HttpServletRequest)context).getHeader("CUSTOM_HEADER");
}
});
}
return bean;
}
public Object postProcessBeforeInitialization(Object bean, String name) {
return bean;
}
}class CustomBeanPostProcessor : BeanPostProcessor {
override fun postProcessAfterInitialization(bean: Any, name: String): Any {
if (bean is UsernamePasswordAuthenticationFilter) {
println("********* Post-processing $name")
bean.setAuthenticationDetailsSource(
AuthenticationDetailsSource<HttpServletRequest, Any?> { context -> context.getHeader("CUSTOM_HEADER") })
}
return bean
}
override fun postProcessBeforeInitialization(bean: Any, name: String?): Any {
return bean
}
}然后,您将在应用程序上下文中注册此 Bean。Spring 将自动在应用程序上下文中定义的 Bean 上调用它。