av一区二区在线观看_亚洲男人的天堂网站_日韩亚洲视频_在线成人免费_欧美日韩精品免费观看视频_久草视

您的位置:首頁技術文章
文章詳情頁

Spring Security實現不同接口安全策略方法詳解

瀏覽:20日期:2023-08-16 08:00:28

1. 前言

歡迎閱讀 Spring Security 實戰干貨 系列文章 。最近有開發小伙伴提了一個有趣的問題。他正在做一個項目,涉及兩種風格,一種是給小程序出接口,安全上使用無狀態的JWT Token;另一種是管理后臺使用的是Freemarker,也就是前后端不分離的Session機制。用Spring Security該怎么辦?

2. 解決方案

我們可以通過多次繼承WebSecurityConfigurerAdapter構建多個HttpSecurity。HttpSecurity 對象會告訴我們如何驗證用戶的身份,如何進行訪問控制,采取的何種策略等等。

我們是這么配置的:

/** * 單策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)@EnableWebSecurity@ConditionalOnClass(WebSecurityConfigurerAdapter.class)@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)public class CustomSpringBootWebSecurityConfiguration { /** * The type Default configurer adapter. */ @Configuration @Order(SecurityProperties.BASIC_AUTH_ORDER) static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { super.configure(auth); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 配置 httpSecurity } }}

上面的配置了一個HttpSecurity,我們如法炮制再增加一個WebSecurityConfigurerAdapter的子類來配置另一個HttpSecurity。伴隨而來的還有不少的問題要解決。

2.1 如何路由不同的安全配置我們配置了兩個HttpSecurity之后,程序如何讓小程序接口和后臺接口走對應的HttpSecurity?

HttpSecurity.antMatcher(String antPattern)可以提供過濾機制。比如我們配置:

@Override protected void configure(HttpSecurity http) throws Exception { // 配置 httpSecurity http.antMatcher('/admin/v1'); }

那么該HttpSecurity將只提供給以/admin/v1開頭的所有URL。這要求我們針對不同的客戶端指定統一的URL前綴。

舉一反三只要HttpSecurity提供的功能都可以進行個性化定制。比如登錄方式,角色體系等。

2.2 如何指定默認的 HttpSecurity

我們可以通過在WebSecurityConfigurerAdapter實現上使用@Order注解來指定優先級,數值越大優先級越低,沒有@Order注解將優先級最低。

2.3 如何配置不同的 UserDetailsService

很多情況下我們希望普通用戶和管理用戶完全隔離,我們就需要多個UserDetailsService,你可以在下面的方法中對AuthenticationManagerBuilder進行具體的設置來配置UserDetailsService,同時也可以配置不同的密碼策略。

@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行實現 return null ; } }); // 也可以設計特定的密碼策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider);}

2.4 最終的配置模板

上面的幾個問題解決之后,我們基本上掌握了在一個應用中執行多種安全策略。配置模板如下:

/** * 多個策略配置 * * @author felord.cn * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration * @since 14 :58 2019/10/15 */@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)@EnableWebSecurity@ConditionalOnClass(WebSecurityConfigurerAdapter.class)@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)public class CustomSpringBootWebSecurityConfiguration { /** * 后臺接口安全策略. 默認配置 */ @Configuration @Order(1) static class AdminConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); //用戶詳情服務個性化 daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行實現 return null;} }); // 也可以設計特定的密碼策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 根據需求自行定制 http.antMatcher('/admin/v1') .sessionManagement(Customizer.withDefaults()) .formLogin(Customizer.withDefaults()); } } /** * app接口安全策略. 沒有{@link Order}注解優先級比上面低 */ @Configuration static class AppConfigurerAdapter extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider(); //用戶詳情服務個性化 daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 自行實現 return null;} }); // 也可以設計特定的密碼策略 BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder); auth.authenticationProvider(daoAuthenticationProvider); } @Override public void configure(WebSecurity web) { super.configure(web); } @Override protected void configure(HttpSecurity http) throws Exception { // 根據需求自行定制 http.antMatcher('/app/v1') .sessionManagement(Customizer.withDefaults()) .formLogin(Customizer.withDefaults()); } }}

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持好吧啦網。

標簽: Spring
相關文章:
主站蜘蛛池模板: 特级黄一级播放 | 一区二区三区久久 | 国产在线精品一区二区 | 国产一区二区中文字幕 | 97人人澡人人爽91综合色 | 一区二区三区视频在线 | 亚洲欧美日韩国产 | 色99视频 | 午夜精品一区 | 一区精品视频在线观看 | 在线免费小视频 | 色综合久 | 神马久久av | 国产精品视频免费观看 | 日本一区二区三区免费观看 | 国产精品久久久久久久久污网站 | 亚洲成av人片在线观看 | 国产精品美女www爽爽爽视频 | 中文字幕综合 | 亚洲第一区国产精品 | 国产精品日韩 | 中文字幕一区二区三区在线乱码 | 免费看黄色视屏 | 狠狠久 | 日本一区二区三区免费观看 | 国产精品毛片无码 | 日韩欧美在线播放 | 国产高清在线视频 | 91色视频在线观看 | 亚洲成人高清 | 毛片黄 | 国产日韩欧美一区二区 | 欧美精品一区二区在线观看 | 成人欧美一区二区三区白人 | 毛片a级毛片免费播放100 | 91在线精品一区二区 | 日韩久久综合 | 久久久久久久久久久91 | 国产成人免费一区二区60岁 | 免费观看一级特黄欧美大片 | 中文天堂在线一区 |