前言

基本的Java知识推荐阅读:

  1. java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
  2. 【Java项目】实战CRUD的功能整理(持续更新)

1. 基本知识

HttpSecurity 是 Spring Security 的核心类之一,负责配置基于 HTTP 的安全性,提供了用于定义安全规则、身份验证、授权、会话管理、跨站请求伪造(CSRF)保护等一系列功能的 API

HttpSecurity 主要知识点

功能方法说明
认证机制配置.authorizeRequests()用于定义请求的访问权限规则。例如,哪些 URL 需要认证,哪些允许匿名访问
禁用 CSRF 保护.csrf().disable()CSRF 是跨站请求伪造,默认启用。可以使用此方法禁用它
跨域资源共享(CORS).cors()允许配置跨域请求处理。通常用于解决跨域资源共享问题
表单登录.formLogin()使用表单认证方式,配置登录页面、登录处理 URL 等
HTTP Basic 认证.httpBasic()使用 HTTP Basic 认证方式,在每个请求的 Authorization 头中传递凭据
会话管理.sessionManagement()定义会话的管理方式,比如会话超时、是否创建新会话、并发会话控制等
记住我功能.rememberMe()允许用户通过“记住我”功能进行持久化登录
异常处理.exceptionHandling()配置访问被拒绝时的处理器或未登录时的处理行为
用户登出.logout()配置登出功能,包括登出 URL、清除 Cookie、登出成功后的跳转页面等
自定义过滤器.addFilter() / .addFilterBefore() / .addFilterAfter()添加自定义过滤器,可以在指定的过滤器链中插入额外的处理逻辑
禁用默认的头部配置.headers().disable()禁用默认的安全头部配置,例如 X-Content-Type-Options、X-Frame-Options 等
强制 HTTPS.requiresChannel()配置强制 HTTPS 的通道安全

基本的一个配置过程如下:

  1. 身份验证和授权:通过 .authorizeRequests() 设置每个 URL 的访问权限
  2. 会话管理:使用 .sessionManagement() 管理会话行为,包括并发会话和超时
  3. 异常处理:通过 .exceptionHandling() 定义未授权请求的处理逻辑
  4. 跨域配置:使用 .cors() 和 .csrf() 设置跨域和跨站请求伪造保护
  5. 自定义过滤器:通过 .addFilter() 方法插入自定义过滤器,以实现更多灵活的安全控制

2. Demo

给一个基本的Demo复杂场景示例:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // 1. 禁用 CSRF 保护(根据需要禁用)
            .csrf().disable()
            
            // 2. 开启 CORS 支持
            .cors().and()
            
            // 3. 配置授权规则
            .authorizeRequests()
                // 允许静态资源和主页访问
                .antMatchers("/", "/home", "/css/**", "/js/**").permitAll()
                // 需要用户登录的请求
                .antMatchers("/user/**").authenticated()
                // 只允许 ADMIN 角色访问的请求
                .antMatchers("/admin/**").hasRole("ADMIN")
                // 所有其他请求需要认证
                .anyRequest().authenticated()
                
            // 4. 表单登录配置
            .and()
                .formLogin()
                    .loginPage("/login")               // 自定义登录页面
                    .loginProcessingUrl("/perform_login") // 登录表单提交 URL
                    .defaultSuccessUrl("/home", true)    // 登录成功后跳转的默认页面
                    .failureUrl("/login?error=true")    // 登录失败后跳转的页面
                    .permitAll()                        // 允许所有人访问登录页面
            
            // 5. 记住我功能
            .and()
                .rememberMe()
                    .key("uniqueAndSecret")             // rememberMe 的密钥
                    .tokenValiditySeconds(86400)        // token 有效期 1 天
            
            // 6. HTTP Basic 认证
            .and()
                .httpBasic()                             // 启用 HTTP Basic 验证
            
            // 7. 配置登出功能
            .and()
                .logout()
                    .logoutUrl("/perform_logout")        // 自定义登出 URL
                    .deleteCookies("JSESSIONID")         // 删除 session ID 的 cookie
                    .logoutSuccessUrl("/login?logout")   // 登出成功后跳转页面
                    .permitAll()
            
            // 8. 配置异常处理
            .and()
                .exceptionHandling()
                    .accessDeniedPage("/403")            // 无权限时跳转到 403 页面
            
            // 9. 会话管理
            .and()
                .sessionManagement()
                    .maximumSessions(1)                  // 限制最多 1 个并发会话
                    .maxSessionsPreventsLogin(true);     // 超过限制时不允许再次登录
    }
}

3. 实战

为更好的展示案例,以JimuReport报表为例

在这里插入图片描述

详细分析其代码含义:

@Configuration
@EnableWebSecurity // 启用 Spring Security 的Web安全功能
public class SpringSecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 禁用 CSRF 保护
        http.csrf().disable()
                .authorizeRequests() // 开始定义请求的授权规则
                // 允许所有人访问登录相关的请求
                .antMatchers("/login/**").permitAll()
                
                // 允许访问静态资源,放行相关路径
                .antMatchers("/jmreport/**/cdn/**", // CDN 资源
                        "/jmreport/desreport_/**/*.js", // JavaScript 文件
                        "/jmreport/desreport_/**/*.css", // CSS 文件
                        "/jmreport/desreport_/**/*.png") // PNG 图片
                .permitAll()
                
                // 允许访问无需登录的接口
                .antMatchers("/jmreport/excelQueryByTemplate", // 模板查询接口
                        "/jmreport/img/**", // 图片接口
                        "/jmreport/download/image", // 下载图片接口
                        "/jmreport/verificationToken", // 验证令牌接口
                        "/jmreport/link/queryByIds", // 查询链接的接口
                        "/jmreport/test/getUserMsg", // 获取用户信息接口
                        "/jmreport/test/getOrder", // 获取订单接口
                        "/jmreport/auto/export/download/**") // 导出下载接口
                .permitAll()
                
                // 允许访问分享页面相关接口
                .antMatchers("/jmreport/shareView/**", // 分享视图
                        "/jmreport/checkParam/**", // 检查参数
                        "/jmreport/share/verification", // 分享验证
                        "/jmreport/getQueryInfo", // 获取查询信息
                        "/jmreport/show", // 显示接口
                        "/jmreport/addViewCount/**") // 增加访问量接口
                .permitAll()
                
                // 允许访问 view 页面,使用自定义访问控制逻辑
                .antMatchers("/jmreport/view/**").access("@viewPageCustomAccess.check(request,authentication)")
                
                // 任何其他请求必须经过身份验证
                .anyRequest().authenticated()
                .and()
                
                // 配置表单登录
                .formLogin()
                .loginPage("/login/login.html") // 自定义登录页面
                .loginProcessingUrl("/login") // 登录请求处理的 URL
                .successHandler(new CustomLoginSuccessHandler()) // 登录成功处理器
                .permitAll() // 允许所有人访问登录页面
                .and()
                
                // 配置登出
                .logout()
                .invalidateHttpSession(true) // 登出时无效化 HTTP 会话
                .clearAuthentication(true) // 清除认证信息
                .permitAll(); // 允许所有人访问登出功能

        return http.build(); // 构建 SecurityFilterChain
    }
}

另外一个实战代码示例:

@Bean
protected SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
    // 开启跨域保护
    httpSecurity
            // 开启跨域资源共享(CORS)
            .cors().and()
            // 禁用 CSRF(因为不使用 Session 机制,使用 Token 验证)
            .csrf().disable()
            // 配置 Session 管理为无状态,因为基于 Token 机制,不需要会话
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            // 关闭浏览器框架选项(防止点击劫持)
            .headers().frameOptions().disable().and()
            // 配置自定义的异常处理器
            .exceptionHandling()
            .authenticationEntryPoint(authenticationEntryPoint) // 处理未认证用户的访问异常
            .accessDeniedHandler(accessDeniedHandler); // 处理已认证用户的访问权限异常

    // 使用自定义的登录机制,不依赖 Spring Security 自带的登录逻辑
    // 登录暂时不使用 Spring Security 的扩展点,以减少复杂度和用户学习成本

    // 获取 @PermitAll 注解标注的 URL 列表,这些 URL 免登录
    Multimap<HttpMethod, String> permitAllUrls = getPermitAllUrlsFromAnnotations();
    
    // 配置请求权限
    httpSecurity
            // 定义授权规则
            .authorizeRequests()
            // ① 全局共享规则
            // 1.1 静态资源可以匿名访问
            .antMatchers(HttpMethod.GET, "/*.html", "/**/*.html", "/**/*.css", "/**/*.js").permitAll()
            // 1.2 设置 @PermitAll 标注的接口无需认证
            .antMatchers(HttpMethod.GET, permitAllUrls.get(HttpMethod.GET).toArray(new String[0])).permitAll()
            .antMatchers(HttpMethod.POST, permitAllUrls.get(HttpMethod.POST).toArray(new String[0])).permitAll()
            .antMatchers(HttpMethod.PUT, permitAllUrls.get(HttpMethod.PUT).toArray(new String[0])).permitAll()
            .antMatchers(HttpMethod.DELETE, permitAllUrls.get(HttpMethod.DELETE).toArray(new String[0])).permitAll()
            // 1.3 基于配置文件中的 permit-all-urls,无需认证
            .antMatchers(securityProperties.getPermitAllUrls().toArray(new String[0])).permitAll()
            // 1.4 设置应用 API(如 `/app/api/**`),无需认证
            .antMatchers(buildAppApi("/**")).permitAll()
            // 1.5 验证码接口允许匿名访问
            .antMatchers("/captcha/get", "/captcha/check").permitAll()
            // ② 各个模块的自定义规则(通过 registry 定制)
            .and().authorizeRequests(registry -> 
                    authorizeRequestsCustomizers.forEach(customizer -> customizer.customize(registry)))
            // ③ 兜底规则,其他请求必须认证
            .authorizeRequests()
            .anyRequest().authenticated();

    // 在 UsernamePasswordAuthenticationFilter 前添加 Token 过滤器,用于 Token 验证
    httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    
    // 返回配置好的 SecurityFilterChain
    return httpSecurity.build();
}

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部