首页 > 编程开发 > Java

Spring Security实现不同接口安全策略方法详解

来自:网络
时间:2020-10-14
阅读:

1. 前言

欢迎阅读 Spring Security 实战干货 系列文章 。最近有开发小伙伴提了一个有趣的问题。他正在做一个项目,涉及两种风格,一种是给小程序出接口,安全上使用无状态的JWT Token;另一种是管理后台使用的是Freemarker,也就是前后端不分离的Session机制。用Spring Security该怎么办?

2. 解决方案

我们可以通过多次继承WebSecurityConfigurerAdapter构建多个HttpSecurity。HttpSecurity 对象会告诉我们如何验证用户的身份,如何进行访问控制,采取的何种策略等等。

我们是这么配置的:

/**
 * 单策略配置
 *
 * @author felord.cn
 * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration
 * @since 14 :58 2019/10/15
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)
@EnableWebSecurity
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
public class CustomSpringBootWebSecurityConfiguration {

  /**
   * The type Default configurer adapter.
   */
  @Configuration
  @Order(SecurityProperties.BASIC_AUTH_ORDER)
  static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      super.configure(auth);
    }

    @Override
    public void configure(WebSecurity web) {
      super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 配置 httpSecurity

    }
  }
}

上面的配置了一个HttpSecurity,我们如法炮制再增加一个WebSecurityConfigurerAdapter的子类来配置另一个HttpSecurity。伴随而来的还有不少的问题要解决。

2.1 如何路由不同的安全配置
我们配置了两个HttpSecurity之后,程序如何让小程序接口和后台接口走对应的HttpSecurity?

HttpSecurity.antMatcher(String antPattern)可以提供过滤机制。比如我们配置:

   @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 配置 httpSecurity
      http.antMatcher("/admin/v1");

    }

那么该HttpSecurity将只提供给以/admin/v1开头的所有URL。这要求我们针对不同的客户端指定统一的URL前缀。

举一反三只要HttpSecurity提供的功能都可以进行个性化定制。比如登录方式,角色体系等。

2.2 如何指定默认的 HttpSecurity

我们可以通过在WebSecurityConfigurerAdapter实现上使用@Order注解来指定优先级,数值越大优先级越低,没有@Order注解将优先级最低。

2.3 如何配置不同的 UserDetailsService

很多情况下我们希望普通用户和管理用户完全隔离,我们就需要多个UserDetailsService,你可以在下面的方法中对AuthenticationManagerBuilder进行具体的设置来配置UserDetailsService,同时也可以配置不同的密码策略。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
  daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      // 自行实现
      return null ;
    }
  });
  // 也可以设计特定的密码策略
  BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
  daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);
  auth.authenticationProvider(daoAuthenticationProvider);
}

2.4 最终的配置模板

上面的几个问题解决之后,我们基本上掌握了在一个应用中执行多种安全策略。配置模板如下:

/**
 * 多个策略配置
 *
 * @author felord.cn
 * @see org.springframework.boot.autoconfigure.security.servlet.SpringBootWebSecurityConfiguration
 * @since 14 :58 2019/10/15
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, jsr250Enabled = true, securedEnabled = true)
@EnableWebSecurity
@ConditionalOnClass(WebSecurityConfigurerAdapter.class)
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
public class CustomSpringBootWebSecurityConfiguration {

  /**
   * 后台接口安全策略. 默认配置
   */
  @Configuration
  @Order(1)
  static class AdminConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
      //用户详情服务个性化
      daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
          // 自行实现
          return null;
        }
      });
      // 也可以设计特定的密码策略
      BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
      daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);
      auth.authenticationProvider(daoAuthenticationProvider);
    }

    @Override
    public void configure(WebSecurity web) {
      super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 根据需求自行定制
      http.antMatcher("/admin/v1")
          .sessionManagement(Customizer.withDefaults())
          .formLogin(Customizer.withDefaults());

    }
  }

  /**
   * app接口安全策略. 没有{@link Order}注解优先级比上面低
   */
  @Configuration
  static class AppConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
      //用户详情服务个性化
      daoAuthenticationProvider.setUserDetailsService(new UserDetailsService() {
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
          // 自行实现
          return null;
        }
      });
      // 也可以设计特定的密码策略
      BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
      daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder);
      auth.authenticationProvider(daoAuthenticationProvider);
    }

    @Override
    public void configure(WebSecurity web) {
      super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      // 根据需求自行定制
      http.antMatcher("/app/v1")
          .sessionManagement(Customizer.withDefaults())
          .formLogin(Customizer.withDefaults());

    }
  }
}

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持免费资源网。

最新文章 相关文章

Java 封装与继承的陷阱和最佳实践:避免常见的错误

過度封裝:過度限制資料和方法的存取會導致程式碼變得僵化和難以維護。應適度地提供存取,同時保持資料的完整性。 無效封裝:無效封裝會允許未經授權的存取,從而導致資料洩露和安

2024-03-17 01:53:54

Java 线程池实战:提升程序性能与效率

Java 线程池是一种管理线程的机制,有助于提升并发程序的性能和效率。通过集中管理线程资源,线程池可以避免线程创建和销毁的开销,减少内存消耗,并提高代码的可维护性。创建线程

2024-03-17 01:53:33

MapStructPlus 1.4.0 发布,体积更轻量!性能更强!

MapStruct Plus 是 MapStruct 的增强工具,在 Mapstruct 的基础上,实现了自动生成 Mapper 接口的功能,并强化了部分功能,使 Java 类型转换更加便捷、优雅。MapStructPlus官网此次

2024-03-17 01:39:15

JVM内存结构

我们都知道,我们写的Java程序需要先经过编译,生成了.class文件(字节码文件)。然而,计算机并不能直接解释.class文件里面的内容,这时候就需要一个能加载、解释.class文件并且能按.c

2024-03-15 20:58:13

Spring状态机(FSM),让订单状态流转如丝般顺滑

引言在复杂的应用程序设计中,尤其是那些涉及多个状态变迁和业务流程控制的场景,有限状态机(Finite State Machine, FSM)是一种强大而有效的建模工具。Spring框架为此提供了Sprin

2024-03-12 12:05:41

『Java 语法基础』面向对象有哪些特性

面向对象编程(OOP) 是一个将现实世界抽象为一系列对象的编程范式,这些对象通过消息传递机制来互相交流和协作。OOP 的主要特性包括四个基本概念:封装(Encapsulation)、继承(Inherit

2024-03-11 18:44:45

Spring动态定时任务之ScheduledTaskRegistrar

前言​ 在做SpringBoot项目的过程中,有时客户会提出按照指定时间执行一次业务的需求。​ 如果客户需要改动业务的执行时间,即动态地调整定时任务的执行时间,那么可以采用Spring

2024-03-11 18:39:05

分享 Java 开发中常用到的设计模式

前言不知道大家在开发的时候,有没有想过(遇到)这些问题: 大家都是按需要开发,都是一个职级的同事,为什么有些人的思路就很清晰,代码也很整洁、易懂;而自己开发,往往不知道怎么下手设

2024-03-11 18:38:21

Java 实际开发中积累的几个小技巧

目录 前言 一、枚举类的注解 二、RESTful 接口 三、类属性转换 四、Stream 流 五、判空和断言 5.1判空部分 5.2断言部分 文章小结 前言笔者目前从事一线 Java 开发今年

2024-03-11 18:37:52

Java 互联网项目如何防止集合堆内存溢出(一)

目录 前言 一、代码优化 1.1Stream 流自分页 1.2数据库分页 1.3其它思考 二、硬件配置 2.1云服务器配置 三、文章小结 前言OOM 几乎是笔者工作中遇到的线上 bug 中

2024-03-11 18:37:25

日常工作中关于 JSON 转换的经验大全(Java)

目录 前言 一、JSON 回顾 1.1结构形式 二、其它类型 -> JSON相关 2.1 JavaBean 转 JsonObject 2.2 JavaBean 转 Json 字符串 2.3 List 转 JsonArray 2.4 List 转Jso

2024-03-11 18:36:19

从零开始学Spring Boot系列-集成mybatis

在Spring Boot的应用开发中,MyBatis是一个非常流行的持久层框架,它支持定制化SQL、存储过程以及高级映射。在本篇文章中,我们将学习如何在Spring Boot项目中集成MyBatis,以便通

2024-03-11 00:05:13

Jpackage-制作无需预装Java环境的Jar可执行程序

JAR 包要在预装 JRE 环境的系统上执行。如果没有预先安装 JRE 环境,又想直接运行 Java 程序,该怎么办呢?这篇文章我们会先学习如何将 Java 程序打包成一个可执行的 Java JAR 文

2024-03-08 22:43:01

Java 8 Supplier函数式接口介绍及代码样例

介绍供应商接口(Supplier Interface)是 Java 8 引入的 java.util.function 包的一部分,用于在 Java 中实现函数式编程。它表示一个函数,该函数不接收任何参数,但会产生一个类型为

2024-03-08 22:31:58

Java核心之细说泛型

泛型是什么?等你使用java逐渐深入以后会了解或逐步使用到Java泛型。Java 中的泛型是 JDK 5 中引入的功能之一。"Java 泛型 "是一个技术术语,表示一组与定义和使用泛型类型和方

2024-03-08 22:30:26

从零开始搭建Springboot开发环境(Java8+Git+Maven+MySQL+Idea)之一步到位

说明所谓万事开头难,对于初学Java和Springboot框架的小伙伴往往会花不少时间在开发环境搭建上面。究其原因其实还是不熟悉,作为在IT界摸爬滚打数年的老司机,对于各种开发环境搭

2024-03-07 01:02:41

接口 vs. 抽象类:揭开 Java 世界中的神秘面纱

小编带您揭开Java世界中的神秘面纱:接口与抽象类。面向对象编程中,接口与抽象类是常用的概念,但它们的区别与应用场景常让人困惑。通过本文,您将了解到接口与抽象类的定义、特点

2024-03-05 23:25:48

解密MyBatis操作过程:深入探讨ORM框架的关键原理

ORM(Object-Relational Mapping)是一种将对象模型和关系数据库之间的映射的技术,它让我们可以通过面向对象的方式操作数据库,避免了繁琐的SQL语句编写,提高了开发效率。MyBatis是

2024-03-05 23:25:29

Java Lambda 表达式与传统编程范式的比较:函数式编程的优势与劣势

Java Lambda 表达式简介Java Lambda表达式是Java 8引入的函数式编程特性,与传统编程范式相比,具有独特的优势和劣势。通过Lambda表达式,Java可以更简洁地实现函数式编程,提高代

2024-03-05 23:25:10

Lambda表达式在Java中的奇妙之旅:函数式编程的实践指南!

php小编西瓜带你探索Lambda表达式在Java中的奇妙之旅!本文将为您提供函数式编程的实践指南,深入剖析Lambda表达式在Java中的应用场景和优势,帮助您更好地理解和运用这一强大的

2024-03-05 23:24:50

Java JNDI 性能优化技巧:如何提高 Java JNDI 的性能和效率

1. 使用连接池Java JNDI(Java Naming and Directory Interface)是Java中用于访问命名和目录服务的API。在实际开发中,优化Java JNDI性能是非常重要的,可以提高系统的效率和响应

2024-03-05 23:24:31

Java JNDI 与 Spring 集成的秘诀:揭秘 Java JNDI 与 Spring 框架的无缝协作

Java JNDI 与 spring 集成的优势php小编西瓜带你揭秘Java JNDI与Spring框架的无缝协作。Java Naming and Directory Interface(JNDI)是Java平台提供的一种API,可用于访问各种命

2024-03-05 23:24:12

深度探究MyBatis的一对多查询配置:灵活运用关联查询

MyBatis是一个优秀的持久层框架,它不仅简化了数据库操作,还提供了强大的查询功能。在实际开发中,经常会涉及到多表关联查询的情况,而MyBatis通过配置一对多查询可以轻松实现这种

2024-03-05 23:23:51

深入解析MyBatis一对多查询配置:提升SQL语句执行效率

MyBatis是一款非常流行的持久层框架,其灵活的SQL映射和强大的查询功能使得开发人员可以轻松地处理复杂的数据操作。在实际开发中,经常会遇到一对多查询的场景,即一个主体对象对

2024-03-05 23:23:34

一文讲明白Java中线程与进程、并发与并行、同步与异步

写在开头ok,everybody,在过去的两周内,我们大体上讲完了Java的集合,在最后我们探讨了关于HashMap线程不安全的原因,又提出了ConcurrentHashMap这个线程安全的集合解决方案,那么在

2024-03-05 23:09:48

从零开始学Spring Boot系列-前言

在数字化和信息化的时代,Java作为一种成熟、稳定且广泛应用的编程语言,已经成为构建企业级应用的首选。而在Java生态系统中,Spring框架无疑是其中最为耀眼的一颗明星。它提供了

2024-03-03 22:52:19

在 Spring Boot 3.x 中使用 SpringDoc 2 / Swagger V3

SpringDoc V1 只支持到 Spring Boot 2.xspringdoc-openapi v1.7.0 is the latest Open Source release supporting Spring Boot 2.x and 1.x.Spring Boot 3.x 要用 SpringDo

2024-03-01 20:25:28

Java HashMap 详解

HashMapHashMap 继承自 AbstractMap,实现了 Map 接口,基于哈希表实现,元素以键值对的方式存储,允许键和值为 null。因为 key 不允许重复,因此只能有一个键为 null。HashMap 不能

2024-03-01 00:00:17

Java异常处理的20个最佳实践:告别系统崩溃

引言在Java编程中,异常处理是一个至关重要的环节,它不仅涉及到程序的稳定性和安全性,还关系到用户体验和系统资源的合理利用。合理的异常处理能够使得程序在面对不可预知错误时

2024-02-29 23:57:29

阿里面试:Java开发中,应如何避免OOM

Java内存管理:避免OOM的10个实用小技巧引言在Java开发中,OutOfMemoryError(OOM)错误一直是令开发者头疼的问题,也是Java面试中出现核心频率很高的问题。
那么我们究竟怎么样才能

2024-02-29 23:56:58

热点内容

IDEA 2020.3最新永久激活码(免费激活到 2099 年,亲测有效)
2021-02-06
IDEA2020.2.2激活与IntelliJ IDEA2020注册码及IntelliJ全家桶激活码的详细教程(有你足
2020-09-18
解决IDEA 2020.3 lombok失效问题
2020-12-12
springboot yml定义属性,下文中${} 引用说明
2020-05-05
java怎么判断两个集合之间是否有交集
2020-11-20
Java8使用stream实现list中对象属性的合并(去重并求和)
2021-01-09
mybatis-plus 版本不兼容问题的解决
2020-09-25
基于redis setIfAbsent的使用说明
2021-02-06
关于IDEA中spring-cloud-starter-alibaba-nacos-discovery 无法引入问题
2021-03-07
java简短表白代码是什么
2020-09-27
返回顶部
顶部