Spring Security表达式介绍

2023/05/17

1. 简介

在本教程中,我们将重点介绍 Spring Security 表达式和使用这些表达式的实际示例。

在查看更复杂的实现(例如 ACL)之前,重要的是要牢牢掌握安全表达式,因为如果使用得当,它们会非常灵活和强大。

2.Maven依赖

为了使用 Spring Security,我们需要在pom.xml文件中包含以下部分:

<dependencies>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.6.0</version>
   </dependency>
</dependencies>
最新版本可以在[这里](https://search.maven.org/classic/#search ga 1 a%3A”spring-security-web”)找到。

请注意,此依赖项仅涵盖 Spring Security;我们需要为完整的 Web 应用程序添加 s pring-core和spring-context。

3.配置

首先,我们来看一个Java配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@ComponentScan("com.baeldung.security")
public class SecurityJavaConfig {
    ...
}

当然,我们也可以进行 XML 配置:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans ...>
    <global-method-security pre-post-annotations="enabled"/>
</beans:beans>

4. 网络安全表达式

现在让我们探索安全表达式:

  • hasRole , hasAnyRole
  • hasAuthority , hasAnyAuthority
  • 全部允许,全部拒绝
  • isAnonymous , isRememberMe , isAuthenticated , isFullyAuthenticated
  • 主体,认证
  • 有权限

4.1。hasRole, hasAnyRole

这些表达式负责定义对我们应用程序中特定 URL 和方法的访问控制或授权:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    ...
    .antMatchers("/auth/admin/").hasRole("ADMIN")
    .antMatchers("/auth/").hasAnyRole("ADMIN","USER")
    ...
}

在上面的示例中,我们指定了对以/auth/开头的所有链接的访问权限,将它们限制为使用角色USER或角色ADMIN登录的用户。此外,要访问以/auth/admin/开头的链接,我们需要在系统中具有ADMIN角色。

我们可以通过编写以下方式在 XML 文件中实现相同的配置:

<http>
    <intercept-url pattern="/auth/admin/" access="hasRole('ADMIN')"/>
    <intercept-url pattern="/auth/" access="hasAnyRole('ADMIN','USER')"/>
</http>

4.2. hasAuthority, hasAnyAuthority

Spring 中的角色和权限是相似的。

主要区别在于角色具有特殊的语义。从 Spring Security 4 开始,任何与角色相关的方法都会自动添加“ ROLE_ ”前缀(如果还没有的话)。

所以hasAuthority(‘ROLE_ADMIN’)类似于hasRole(‘ADMIN’)因为’ ROLE_ ‘前缀是自动添加的。

使用权限的好处是我们根本不必使用ROLE_前缀。

这是一个定义具有特定权限的用户的快速示例:

@Bean
public InMemoryUserDetailsManager userDetailsService() {
    UserDetails admin = User.withUsername("admin")
        .password(encoder().encode("adminPass"))
        .roles("ADMIN")
        .build();
    UserDetails user = User.withUsername("user")
        .password(encoder().encode("userPass"))
        .roles("USER")
        .build();
    return new InMemoryUserDetailsManager(admin, user);
}

然后我们可以使用这些权威表达:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    ...
    .antMatchers("/auth/admin/").hasAuthority("ADMIN")
    .antMatchers("/auth/").hasAnyAuthority("ADMIN", "USER")
    ...
}

正如我们所看到的,我们根本没有在这里提到角色。

此外,从 Spring 5 开始,我们需要一个PasswordEncoder bean:

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

最后,我们还可以选择使用 XML 配置实现相同的功能:

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="user1" password="user1Pass" authorities="ROLE_USER"/>
            <user name="admin" password="adminPass" authorities="ROLE_ADMIN"/>
        </user-service>
    </authentication-provider>
</authentication-manager>
<bean name="passwordEncoder" 
  class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

和:

<http>
    <intercept-url pattern="/auth/admin/" access="hasAuthority('ADMIN')"/>
    <intercept-url pattern="/auth/" access="hasAnyAuthority('ADMIN','USER')"/>
</http>

4.3. 全部允许,全部拒绝

这两个注解也很简单。我们可能允许或拒绝访问我们服务中的某些 URL。

让我们看一下这个例子:

...
.antMatchers("/").permitAll()
...

使用此配置,我们将授权所有用户(包括匿名用户和登录用户)访问以“/”开头的页面(例如,我们的主页)。

我们还可以拒绝访问我们的整个 URL 空间:

...
.antMatchers("/").denyAll()
...

同样,我们也可以对 XML 进行相同的配置:

<http auto-config="true" use-expressions="true">
    <intercept-url access="permitAll" pattern="/" /> <!-- Choose only one -->
    <intercept-url access="denyAll" pattern="/" /> <!-- Choose only one -->
</http>

4.4. isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated

在本小节中,我们将重点关注与用户登录状态相关的表达式。让我们从一个没有登录到我们页面的用户开始。通过在Java配置中指定以下内容,我们将允许所有未经授权的用户访问我们的主页:

...
.antMatchers("/").anonymous()
...

在 XML 配置中也是如此:

<http>
    <intercept-url pattern="/" access="isAnonymous()"/>
</http>

如果我们想保护网站,以便使用它的每个人都需要登录,我们需要使用isAuthenticated()方法:

...
.antMatchers("/").authenticated()
...

或者我们可以使用 XML 版本:

<http>
    <intercept-url pattern="/" access="isAuthenticated()"/>
</http>

我们还有两个额外的表达式,isRememberMe()和isFullyAuthenticated()。通过使用 cookie,Spring 启用了 remember-me 功能,因此无需每次都登录系统。我们可以在这里阅读更多关于记住我的信息。

为了向通过记住我功能登录的用户授予访问权限,我们可以使用:

...
.antMatchers("/").rememberMe()
...

我们也可以使用 XML 版本:

<http>
    <intercept-url pattern="" access="isRememberMe()"/>
</http>

最后,我们服务的某些部分要求用户再次进行身份验证,即使用户已经登录。例如,假设用户想要更改设置或支付信息;在系统的更敏感区域请求手动身份验证是一种很好的做法。

为此,我们可以指定isFullyAuthenticated() ,如果用户不是匿名用户或记住我的用户,则返回true :

...
.antMatchers("/").fullyAuthenticated()
...

这是 XML 版本:

<http>
    <intercept-url pattern="" access="isFullyAuthenticated()"/>
</http>

4.5. 主体,身份验证

这些表达式允许我们分别从SecurityContext访问代表当前授权(或匿名)用户和当前Authentication对象的主体对象。

例如,我们可以使用principal来加载用户的电子邮件、头像或任何其他可从登录用户访问的数据。

身份验证提供有关完整身份验证对象及其授予权限的信息。

在 Spring Security 中检索用户信息一文中更详细地描述了这两个表达式。

4.6. hasPermission API

此表达式已记录在案,旨在成为表达式系统和 Spring Security 的 ACL 系统之间的桥梁,允许我们基于抽象权限指定单个域对象的授权约束。

让我们看一个例子。想象一下,我们有一项允许合作撰写文章的服务,由一位主编辑决定应该发表作者提出的哪些文章。

为了允许使用这样的服务,我们可以使用访问控制方法创建以下方法:

@PreAuthorize("hasPermission(#articleId, 'isEditor')")
public void acceptArticle(Article article) {
   
}

只有授权用户才能调用该方法,并且需要在服务中拥有isEditor权限。

我们还需要记住在应用程序上下文中显式配置PermissionEvaluator ,其中customInterfaceImplementation将是实现PermissionEvaluator的类:

<global-method-security pre-post-annotations="enabled">
    <expression-handler ref="expressionHandler"/>
</global-method-security>

<bean id="expressionHandler"
    class="org.springframework.security.access.expression
      .method.DefaultMethodSecurityExpressionHandler">
    <property name="permissionEvaluator" ref="customInterfaceImplementation"/>
</bean>

当然,我们也可以通过Java配置来做到这一点:

@Override
protected MethodSecurityExpressionHandler expressionHandler() {
    DefaultMethodSecurityExpressionHandler expressionHandler = 
      new DefaultMethodSecurityExpressionHandler();
    expressionHandler.setPermissionEvaluator(new CustomInterfaceImplementation());
    return expressionHandler;
}

5. 总结

本文是对 Spring Security Expressions 的全面介绍和指南。

与往常一样,本教程的完整源代码可在GitHub上获得。

Show Disqus Comments

Post Directory

扫码关注公众号:Taketoday
发送 290992
即可立即永久解锁本站全部文章