本文主要是介绍Spring Security6.3.x的使用指南与注意事项,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
《SpringSecurity6.3.x的使用指南与注意事项》SpringSecurity6.3.1基于现代化架构,提供简洁配置、增强默认安全性和OAuth2.1/OIDC支持,采用Lambda...
介绍
Spring Security 6.3.1 是一个重要的版本更新,它建立在 Spring Security 6 的核心现代化架构之上,提供了更简洁的配置、更好的默认安全性以及对最新安全标准的支持。以下是一个 Spring Security 6.3.1 的使用指南,涵盖核心概念、配置和常见任务:
核心理念:
- Lambda DSL (推荐): Spring Security 6 开始大力推广基于 Lambda 的 DSL (领域特定语言) 配置方式,它更简洁、类型安全,并且避免了链式调用
.and()的繁琐。这是当前推荐的配置方式。 - 组件化: 安全配置被分解为更小、更专注的组件 (
SecurityFilterChain,UserDetailsService,PasswordEncoder,AuthenticationProvider等),提高了灵活性和可测试性。 - 默认安全性增强: 默认配置提供了更强的安全防护(例如,默认启用 CSRF 保护,更安全的会话管理)。
- Servlet 和 Reactive 分离: API 清晰区分了 Servlet (传统 Web) 和 Reactive (响应式 WebFlux) 应用的支持。
- OAuth2 和 OIDC 现代化: 对 OAuth 2.1 和 OpenID Connect 1.0 提供了更现代、更符合规范的支持。
基础配置 (Servlet 应用 - 使用 Lambda DSL)
添加依赖 (Maven):
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>3.2.0</version> <!-- Spring Boot 3.2.x 通常包含 Spring Security 6.3.x -->
</dependency>核心配置类 (SecurityConfig)
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity // 启用 Spring Security Web 支持
public class SecurityConfig {
// 核心配置:定义安全过滤器链 (SecurityFilterChain)
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
// 授权配置 (核心)
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/", "/home", "/public/**", js"/css/**", "/js/**", "/images/**").permitAll() // 允许所有人访问
.requestMatchers("/user/**").hasRole("USER") // 需要 USER 角色
.requestMatchers("/admin/**").hasRole("ADMIN") // 需要 ADMIN 角色
.anyRequest().authenticated() // 其他所有请求都需要认证
)
// 表单登录配置
.formLogin(formLogin -> formLogin
//.logjsinPage("/login") // 自定义登录页路径。不指定则使用默认登录页
.permitAll() // 允许所有人访问登录页
.defaultSuccessUrl("/dashboard") // 登录成功后的默认跳转页
)
// 退出登录配置
.logout(logout -> logout
.logoutUrl("/logout") // 退出登录的 URL (默认也是 /logout)
.logoutSuccessUrl("/login?logout") // 退出成功后的跳转页
.permitAll()
)
// 异常处理 (如访问拒绝)
.exceptionHandling(exceptionHandling -> exceptionHandling
.AccessDeniedPage("/access-denied") // 自定义访问拒绝页
)
// 启用 HTTP Basic 认证 (可选,常用于 API)
//.httpBasic(Customizer.withDefaults())
// 启用 CSRF 保护 (默认启用,对于 API 可能需要禁用)
//.csrf(csrf -> csrf.disable()); // 谨慎禁用!
return http.build();
}
// 配置内存用户存储 (仅用于演示/测试,生产环境用数据库)
@Bean
public UserDetailsService userDetailsService(PasswordEncoder passwordEncoder) {
UserDetails user = User.builder()
.username("user")
.password(passwordEncoder.encode("password")) // 必须加密!
.roles("USER")
.build();
UserDetails admin = User.builder()
.username("admin")
.password(passwordEncoder.encode("adminpass"))
.roles("USER", "ADMIN")
.build();
return new InMemoryUserDetailsManager(user, admin);
}
// 配置密码编码器 (强制要求,不能使用明文!)
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(); // 推荐 BCrypt
// 其他选项: Pbkdf2PasswordEncoder, SCryptPasswordEncoder, Argon2PasswordEncoder, DelegatingPasswordEncoder
}
}关键配置详解(Lambda DSL)
authorizeHttpRequests(authorize -> authorize ...): 定义 URL 的访问规则。.requestMatchers(...).permitAll(): 匹配指定路径模式,允许所有访问(包括匿名)。.requestMatchers(...).hasRole("ROLE")/.hasAuthority("AUTHORITY"): 匹配路径,要求用户拥有指定角色或权限。注意hasRole会自动添加ROLE_前缀,所以配置里写USER对应数据库/用户详情中的ROLE_USER。hasAuthority则要求完全匹配字符串。.anyRequest().authenticated(): 匹配所有未在前面规则中匹配的请求,要求用户已认证(登录)。.anyRequest().denyAll(): 匹配所有未在前面规则中匹配的请求,拒绝所有访问。
formLogin(formLogin -> formLogin ...): 配置基于表单的登录。.loginPage("/login"): 指定自定义登录页面的 URL。不指定则使用Spring Security 默认提供一个简单登录页。.loginProcessingUrl("/login"): 指定处理登录表单提交的 URL(通常与登录页表单的action一致)。.defaultSuccessUrl("/dashboard", true): 登录成功后重定向的 URL。第二个参数true表示总是重定向到此 URL,忽略登录前访问的受保护页面。.usernameParameter("username")/.passwordParameter("password"): 自定义表单中用户名和密码字段的名称。.failureUrl("/login?error"): 登录失败后重定向的 URL。.permitAll(): 允许所有人访问登录相关的端点。- 默认登录页的注意事项
- 自动生成位置
- 当访问受保护资源时,会自动重定向到
/login - 无需创建控制器或视图,Spring Security 自动处理
- 当访问受保护资源时,会自动重定向到
- 样式限制
- 默认页面样式非常基础(无 CSS)
- 不适合生产环境,建议用于原型开发或内部工具
- 功能包含
- 包含 CSRF 令牌(默认启用)
- 显示错误消息(认证失败时)
- 提供 “Remember me” 选项(需额外启用)
- 启用 “Remember me”
.rememberMe(remember -> remember
.key("uniqueAndSecretKey")
.tokenValiditySeconds(86400) // 1天
)logout(logout -> logout ...): 配置退出登录。.logoutUrl("/logout"): 触发退出登录的 URL (默认是/logout)。.logoutSuccessUrl("/login?logout"): 退出成功后的重定向 URL。.invalidateHttpSession(true): 是否使 HTTP Session 失效 (默认true)。.deleteCookies("JSESSIONID"): 指定退出时要删除的 Cookie 名称。.permitAll(): 允许所有人访问退出端点 (通常不需要认证即可退出)。
exceptionHandling(exceptionHandling -> exceptionHandling ...): 处理安全异常。.accessDeniedPage("/access-denied"): 当已认证用户访问其没有权限的资源时,重定向到指定页面。.accessDeniedHandlejsr(accessDeniedHandler): 使用自定义的AccessDeniedHandler处理访问拒绝。.authenticationEntryPoint(authenticationEntryPoint): 当未认证用户尝试访问受保护资源时,使用自定义的AuthenticationEntryPoint处理 (如重定向到登录页或返回 401)。
httpBasic(Customizer.withDefaults()): 启用 HTTP Basic 认证。常用于 API。csrf(csrf -> csrf.disable()): 谨慎使用! 禁用 CSRF 保护。通常只在创建无状态 API (如 JWT) 时禁用。对于有 Session 的 Web 应用,强烈建议保持启用。
用户认证 (进阶)
UserDetailsService: 核心接口,用于根据用户名加载用户信息 (UserDetails)。你需要实现它来定义如何从你的数据源(数据库、LDAP、外部服务等)加载用户。
@Service
public class JpaUserDetailsService implements UserDetailsService {
private final UserRepository userRepository;
public JpaUserDetailsService(UserRepository userRepository) {
this.userRepository = userRepository;
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
return userRepository.findByUsername(username)
.map(SecurityUser::new) // 将你的领域用户转换为 UserDetails
.orElseThrow(() -> new UsernameNotFoundException("User not found: " + username));
}
}- 确保你的
SecurityUser类实现了UserDetails接口,或直接使用 Spring Security 的User类(或其构建器)来包装你的领域用户信息(用户名、密码、权限集合、是否启用/过期/锁定等)。 PasswordEncoder: 必须使用。负责密码的加密存储和验证。推荐BCryptPasswordEncoder。
@Bean
public PasswordEncoder passwordEncoder() {
return PasswordEncoderFactories.createDelegatingPasswordEncoder(); // 推荐:支持多种编码,默认 BCrypt
// 或 return new BCryptPasswordEncoder();
}AuthenticationProvider(可选): 如果你想自定义认证逻辑(例如,除了用户名密码还验证其他信息),可以实现AuthenticationProvider接口并注册它。通常DaoAuthenticationProvider(使用UserDetailsService和PasswordEncoder) 已足够。
方法级安全(Method Security)
- 启用: 在配置类上添加
@EnableMethodSecurity。
@Configuration
@EnableMethodSecurity
public class MethodSecurityConfig {
// ...
}- 使用注解:
@PreAuthorize("hasRole('ADMIN')")/@PreAuthorize("hasAuthority('DELETE_USER')"): 在方法执行前进行权限检查。支持 SpEL 表达式,非常灵活。@PostAuthorize: 在方法执行后进行权限检查(例如,检查返回值)。@Secured("ROLE_ADMIN"): 较旧的注解,只支持简单的角色列表,功能不如@PreAuthorize强大。@RolesAllowed("USER"): JSR-250 标准注解,类似于@Secured。
@Service
public class UserService {
@PreAuthorize("hasRole('ADMIN') or #id == authentication.principal.id") // SpEL 示例:允许管理员或用户自己访China编程问
public User getUserById(Long id) {
// ...
}
@PreAuthorize("hasAuthority('USER_DELETE')")
public void deleteUser(Long id) {
// ...
}
}OAuth2 / OIDC 资源服务器(保护 API)
Spring Security 6 对 OAuth2 资源服务器的配置进行了显著简化。
- 添加依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>- 配置 JWT 解码器 (最常见): 在
application.properties/application.yml中配置颁发者 URI (issuer-uri) 或 JWK Set URI (jwk-set-uri)。Spring Boot 会自动配置JwtDecoder。
spring.security.oauth2.resoChina编程urceserver.jwt.issuer-uri=https://your-auth-server.com/realms/your-realm
# 或者
# spring.security.oauth2.resourceserver.jwt.jwk-set-uri=https://your-auth-server.com/jwks- 配置资源服务器安全过滤器链:
@Bean
SecurityFilterChain resourceServerSecurityFilterChain(HttpSecurity http) throws Exception {
http
.securityMatcher("/api/**") // 只对 /api/** 路径应用此安全配置
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated() // API 端点都需要认证
)
.oauth2ResourceServer(oauth2 -> oauth2
.jwt(Customizer.withDefaults()) // 使用 JWT 作为承载令牌格式
// .opaqueToken(Customizer.withDefaults()) // 使用不透明令牌
);
return http.build();
}Spring Security 会自动使用配置的 JwtDecoder 验证 JWT 签名、过期时间等,并提取声明 (Claims) 构建 JwtAuthenticationToken。
- 访问令牌中的信息: 在控制器或服务中,可以通过
@AuthenticationPrincipal注入Jwt对象或JwtAuthenticationToken
@GetMapping("/api/userinfo")
public Map<String, Object> getUserInfo(@AuthenticationPrincipal Jwt jwt) {
return Map.of(
"username", jwt.getSubject(),
"email", jwt.getClaimAsString("email"),
"scopes", jwt.getClaimAsStringList("scope")
);
}
最佳实践与注意事项
- 始终使用
PasswordEncoder: 绝对不要存储明文密码。 - 最小权限原则: 只授予用户完成工作所必需的权限。
- 保持依赖更新: Spring Security 会修复漏洞,及时更新到最新稳定版。
- 理解 CSRF: 对于有状态 Web 应用(使用 Session 和 Cookie),保持 CSRF 保护启用。对于纯无状态 API(如只使用 JWT 的 API),可以禁用 CSRF (
csrf.disable())。 - HTTPS: 在生产环境中始终使用 HTTPS。
- 安全头: Spring Security 默认设置了许多安全相关的 HTTP 响应头 (如
X-Content-Type-Options,X-Frame-Options,Strict-Transport-Security,Content-Security-Policy等)。理解并根据需要配置它们 (http.headers(headers -> headers ...))。 - 日志与监控: 记录安全相关事件(登录成功/失败、访问拒绝等)并进行监控。
- 避免
WebSecurityConfigurerAdapter: 在 Spring Security 5.7 中已弃用,在 6.x 中移除。始终使用SecurityFilterChainBean 配置。 - 谨慎使用
permitAll(): 确保只对真正公开的资源使用它。 - 测试: 编写单元测试和集成测试来验证你的安全配置是否按预期工作。使用
@WithMockUser,@WithUserDetails,@WithAnonymousUser等注解进行模拟用户测试。
参考
- 官方文档: 这是最权威、最新的信息来源。Spring Security 6.3.x 文档(查看对应版本的 Reference 和 Servlet 部分)
- Spring Boot Security Auto-configuration(了解 Boot 为你自动配置了什么)
- Spring Security Samples: github 上的官方示例
到此这篇关于Spring Security6.3.x使用指南的文章就介绍到这了,更多相关Spring Security6.3.x使用内容请搜索编程China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持China编程(www.chinasem.cn)!
这篇关于Spring Security6.3.x的使用指南与注意事项的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
