Spring Security

什么是 Spring Security

定义

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,作为 Spring 生态系统的一部分,主要用于保护基于 Java 的企业应用程序。

主要功能

  • 身份验证:确认用户身份。
  • 授权:定义资源访问权限。
  • 保护安全漏洞:如 CSRF、会话固定攻击等。

为什么使用 Spring Security

安全性

提供了一套完整的安全解决方案,可以有效防止常见的 Web 攻击,如跨站请求伪造、点击劫持等。

灵活性

具有高度可配置性,能够与多种认证机制(如 LDAP、OAuth2、JWT 等)集成,并支持自定义安全规则。

集成性

与 Spring 生态系统无缝集成,能够利用 Spring 框架的其他特性(如 DI 容器、AOP 等)来增强应用程序的安全性。

如何使用 Spring Security

配置方式

XML 配置

虽然较旧,但仍然可以通过 XML 文件进行配置,包括声明式安全规则和过滤器设置。

Java 配置(推荐)

通过 Java 类使用注解进行配置,更现代且易于维护。例如:

1
2
3
4
5
6
7
8
9
10
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
            .and().formLogin();
    }
}

身份验证机制

基本身份验证

通过 HTTP 基本认证头进行简单的用户名和密码验证。

表单登录认证

使用 HTML 表单提交用户名和密码,支持重定向和自定义登录页面。

OAuth2/JWT 认证

支持 OAuth2 协议,实现单点登录和令牌验证,通过 JWT 实现无状态会话管理。

授权机制

基于角色的访问控制(RBAC)

通过角色定义用户对资源的访问权限,通常在方法级别或 URL 级别实施。

表达式语言支持

使用 SpEL 表达复杂的授权逻辑,例如在方法上应用 @PreAuthorize("hasRole('ADMIN')") 注解。

保护常见漏洞

CSRF 保护

默认启用 CSRF 防护,通过生成唯一令牌来防止跨站请求伪造攻击。

会话管理保护

提供会话固定保护机制,并允许设置会话失效策略以提高安全性。