在我们前面的文章Spring Security 初识(一)中,我们看到了一个最简单的
Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问.
Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigurerAdapter 的 configure() 方法.
我们使用最简单的基于内训的用户存储来演示Spring Security 的请求拦截,首先 就是 SecurotyConfigure 的实现.如下:
@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { //基于内存的用户存储 @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("itguang").password("123456").roles("USER").and() .withUser("admin").password("123456").roles("ADMIN"); } //请求拦截 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/shop/hello").authenticated() .antMatchers(HttpMethod.POST,"/shop/order").authenticated() .anyRequest().permitAll(); } }
接下来再看看我们的实现: 我们只是配置了 “/shop/hello” 和 “/shop/order” 这两个路径必须进过认证,并且 “/shop/order” 必须是 post 请求的方式.对于其他的请求,
我们都是 .anyRequest().permitAll() ;都放行。
另外:antMatchers()方法所使用的路径可能会包括Ant风格的通配符,而regexMatchers()方法则能够接受正则表达式来定义请求路径。
除了路径选择,我们还通过authenticated()和permitAll()来定义该如何保护路径。authenticated()要求在执行该请求时,
必须已经登录了应用。如果用户没有认证的话,Spring Security的Filter将会捕获该请求,并将用户重定向到应用的登录页面。
同时,permitAll()方法允许请求没有任何的安全限制。
除了authenticated()方法和permitAll()方法外,还有一些其他方法用来定义该如何保护请求.
- access(String) 如果给定的SpEL表达式计算结果为true,就允许访问
- anonymous() 允许匿名用户访问
- authenticated() 允许认证的用户进行访问
- denyAll() 无条件拒绝所有访问
- fullyAuthenticated() 如果用户是完整认证的话(不是通过Remember-me功能认证的),就允许访问
- hasAuthority(String) 如果用户具备给定权限的话就允许访问
- hasAnyAuthority(String…)如果用户具备给定权限中的某一个的话,就允许访问
- hasRole(String) 如果用户具备给定角色(用户组)的话,就允许访问/
- hasAnyRole(String…) 如果用户具有给定角色(用户组)中的一个的话,允许访问.
- hasIpAddress(String 如果请求来自给定ip地址的话,就允许访问.
- not() 对其他访问结果求反.
- permitAll() 无条件允许访问
- rememberMe() 如果用户是通过Remember-me功能认证的,就允许访问
通过上面的方法,我们可以修改 configure 方法,要求用户不仅需要认证,还需要具备相应的权限
/** * 请求拦截 * @param http * @throws Exception */ @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/hello").hasAnyAuthority("ROLE_DELETE") .antMatchers(HttpMethod.POST,"/order").hasAnyAuthority("ROLE_UPDATE") .anyRequest().permitAll(); }
作为代替方案,我们还可以使用 hasRole() ,它会自动使用 “ROLE_” 前缀.
/** * 请求拦截 * @param http * @throws Exception */ @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/hello").hasRole("DELETE") .antMatchers(HttpMethod.POST,"/order").hasRole("UPDATE") .anyRequest().permitAll(); }
注意:这些规则会按照给定的顺序发挥作用。所以,很重要的一点就是将最为具体的请求路径放在前面,
而最不具体的路径(如anyRequest())放在最后面。如果不这样做的话,那不具体的路径配置将会覆盖掉更为具体的路径配置。
使用Spring表达式进行安全保护
上面的方法中,我们看到一个 access() 方法,此方法可以接收一个Spel表达式让我们对请求进行拦截.
如下就是使用SpEL表达式来声明具有“HELLO”角色才能访问“/shop/hello”URL:
- antMatchers("/shop/hello").access("hasRole('HELLO')");
这个对“/shop/hello”的安全限制与开始时的效果是等价的,只不过这里使用了SpEL来描述安全规则。
如果当前用户被授予了给定角色的话,那hasRole()表达式的计算结果就为true。
下面列出了Spring Security 支持的所有SPEL表达式:
- authentication 用户的认证对象
- denyAll 结果始终为false
- hasAnyRole(list of roles) 如果用户被授予了列表中任意的指定角色,结果为true
- hasRole(role) 如果用户被授予了指定的角色,结果为true
- hasIpAddress(IPAddress) 如果请求来自指定IP的话,结果为true
- isAnonymous() 如果当前用户为匿名用户,结果为true
- isAuthenticated() 如果当前用户进行了认证的话,结果为true
- isFullyAuthenticated() 如果当前用户进行了完整认证的话(不是通过Remember-me功能进行的认证),结果为true
- isRememberMe() 如果当前用户是通过Remember-me自动认证的,结果为true
- permitAll() 结果始终为true
- principal() 用户的principal对象