摘要:用于發布身份驗證事件的��。導入用于安全��,配置身份驗證�����,這在非應用程序中也是相關的。安全出于安全考慮��,除和之外的所有默認禁用���,屬性可用于啟用��。有關保護的其他信息可以在參考指南中找到���。
28. 安全
如果在類路徑上有Spring Security�,那么web應用程序默認是安全的�����,Spring Boot依賴Spring Security的內容協商策略來決定是使用httpBasic還是formLogin����,要向web應用程序添加方法級安全性����,還可以使用所需的設置添加@EnableGlobalMethodSecurity��,其他信息可以在Spring Security參考指南中找到����。
默認的UserDetailsService只有一個用戶�����,用戶名是user���,密碼是隨機的��,在應用程序啟動時在INFO級別打印,如下例所示:
Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35
如果你對日志配置進行了微調����,請確保org.springframework.boot.autoconfigure.security類別設置為記錄INFO級別的消息����,否則�����,不會打印默認密碼�。
你可以通過提供spring.security.user.name和spring.security.user.password來更改用戶名和密碼�����。
你在web應用程序中默認獲得的基本特性是:
使用內存存儲的UserDetailsService(或WebFlux應用程序下的ReactiveUserDetailsService) bean和使用生成密碼的單個用戶(參見SecurityProperties.User)的屬性�����。
整個應用程序基于表單的登錄或HTTP Basic Security(取決于內容類型)(如果執行器在類路徑上�����,則包括執行器端點)�����。
用于發布身份驗證事件的DefaultAuthenticationEventPublisher。
你可以通過添加bean來提供不同的AuthenticationEventPublisher����。
28.1 MVC Security
默認的security配置在SecurityAutoConfiguration和UserDetailsServiceAutoConfiguration中實現�����,SecurityAutoConfiguration導入SpringBootWebSecurityConfiguration用于web安全����,UserDetailsServiceAutoConfiguration配置身份驗證��,這在非web應用程序中也是相關的�,要完全關閉默認的web應用程序安全配置����,可以添加WebSecurityConfigurerAdapter類型的bean(這樣做不會禁用UserDetailsService配置或執行器的安全)。
要關閉UserDetailsService配置���,可以添加UserDetailsService、AuthenticationProvider或AuthenticationManager類型的bean�,在Spring Boot示例中有幾個安全的應用程序可以讓你從常見的用例開始���。
可以通過添加自定義的WebSecurityConfigurerAdapter來覆蓋訪問規則���,Spring Boot提供了方便的方法,可用于覆蓋執行器端點和靜態資源的訪問規則���,可以使用EndpointRequest創建一個基于management.endpoints.web.base-path屬性的RequestMatcher,PathRequest可用于為常用位置的資源創建RequestMatcher����。
28.2 WebFlux Security
與Spring MVC應用程序類似�����,你可以通過添加Spring-boot-starter-security依賴項來保護WebFlux應用程序,默認的security配置在ReactiveSecurityAutoConfiguration和UserDetailsServiceAutoConfiguration中實現。ReactiveSecurityAutoConfiguration導入WebFluxSecurityConfiguration用于web安全,UserDetailsServiceAutoConfiguration配置身份驗證��,這在非web應用程序中也是相關的����。要完全關閉默認的web應用程序安全配置,可以添加WebFilterChainProxy類型的bean(這樣做不會禁用UserDetailsService配置或執行器的安全)。
為了關閉UserDetailsService配置����,你可以添加一個類型為ReactiveUserDetailsService或ReactiveAuthenticationManager的bean����。
可以通過添加自定義SecurityWebFilterChain來配置訪問規則����,Spring Boot提供了方便的方法,可用于覆蓋執行器端點和靜態資源的訪問規則���,可以使用EndpointRequest創建一個基于management.endpoints.web.base-path屬性的ServerWebExchangeMatcher。
PathRequest可用于為常用位置的資源創建ServerWebExchangeMatcher���。
例如,你可以通過添加以下內容來定制你的security配置:
@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
return http
.authorizeExchange()
.matchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
.pathMatchers("/foo", "/bar")
.authenticated().and()
.formLogin().and()
.build();
}
28.3 OAuth2
OAuth2是Spring支持的廣泛使用的授權框架���。
28.3.1 客戶端
如果你的類路徑中有spring-security-oauth2-client����,那么可以利用一些自動配置來輕松地設置OAuth2客戶端,這個配置使用OAuth2ClientProperties下的屬性�����。
你可以在spring.security.oauth2.client前綴下注冊多個OAuth2客戶端和提供者��,如下例所示:
spring.security.oauth2.client.registration.my-client-1.client-id=abcd
spring.security.oauth2.client.registration.my-client-1.client-secret=password
spring.security.oauth2.client.registration.my-client-1.client-name=Client for user scope
spring.security.oauth2.client.registration.my-client-1.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-1.scope=user
spring.security.oauth2.client.registration.my-client-1.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-1.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-1.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.my-client-2.client-id=abcd
spring.security.oauth2.client.registration.my-client-2.client-secret=password
spring.security.oauth2.client.registration.my-client-2.client-name=Client for email scope
spring.security.oauth2.client.registration.my-client-2.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-2.scope=email
spring.security.oauth2.client.registration.my-client-2.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-2.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-2.authorization-grant-type=authorization_code
spring.security.oauth2.client.provider.my-oauth-provider.authorization-uri=http://my-auth-server/oauth/authorize
spring.security.oauth2.client.provider.my-oauth-provider.token-uri=http://my-auth-server/oauth/token
spring.security.oauth2.client.provider.my-oauth-provider.user-info-uri=http://my-auth-server/userinfo
spring.security.oauth2.client.provider.my-oauth-provider.jwk-set-uri=http://my-auth-server/token_keys
spring.security.oauth2.client.provider.my-oauth-provider.user-name-attribute=name
默認情況下���,Spring Security的OAuth2LoginAuthenticationFilter只處理匹配/login/oauth2/code/*的url��,如果你想定制redirect-uri-template來使用不同的模式,你需要提供配置來處理定制模式�����,例如,你可以添加類似于以下內容的WebSecurityConfigurerAdapter:
public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.oauth2Login()
.redirectionEndpoint()
.baseUri("/custom-callback");
}
}
對于普通的OAuth2和OpenID提供者���,包括谷歌、Github����、Facebook和Okta���,我們提供了一組提供者默認值(google����、github�、facebook和Okta)。
如果你不需要定制這些提供者���,你可以將提供者屬性設置為你需要推斷默認值的提供者屬性��,另外�����,如果客戶端的ID與默認支持的提供程序匹配,Spring Boot也會推斷出這一點�。
換句話說�,下面示例中的兩個配置使用谷歌提供程序:
spring.security.oauth2.client.registration.my-client.client-id=abcd
spring.security.oauth2.client.registration.my-client.client-secret=password
spring.security.oauth2.client.registration.my-client.provider=google
spring.security.oauth2.client.registration.google.client-id=abcd
spring.security.oauth2.client.registration.google.client-secret=password
28.3.2 服務器
目前��,Spring Security不支持實現OAuth 2.0授權服務器或資源服務器��,但是,這個功能可以從Spring Security OAuth項目中獲得����,該項目最終將被Spring Security完全取代���,在此之前�����,你可以使用spring-security-oauth2-autoconfigure模塊輕松設置OAuth 2.0服務器,有關說明�,請參閱其文檔����。
28.4 Actuator安全
出于安全考慮����,除/health和/info之外的所有Actuator默認禁用,management.endpoints.web.exposure.include屬性可用于啟用actuator。
如果在類路徑上有Spring Security��,并且沒有其他WebSecurityConfigurerAdapter存在��,actuator是通過Spring Boot自動配置來保護的,如果你定義了一個自定義的WebSecurityConfigurerAdapter,Spring Boot自動配置將退出����,你將完全控制actuator訪問規則��。
在設置management.endpoints.web.exposure.include之前,確保暴露的actuator不包含敏感信息和/或通過將它們置于防火墻后或通過類似Spring Security的方式進行安全保護。
28.4.1 跨站請求偽造保護
由于Spring Boot依賴于Spring Security的默認值,所以CSRF保護默認打開�����,這意味著��,當使用默認安全配置時��,需要POST(關閉和日志記錄器端點)、PUT或DELETE的actuator端點將收到403禁止錯誤。
我們建議����,只有在創建非瀏覽器客戶端使用的服務時�����,才完全禁用CSRF保護。
有關CSRF保護的其他信息可以在Spring Security參考指南中找到。
上一篇:開發Web應用程序
文章版權歸作者所有��,未經允許請勿轉載,若此文章存在違規行為�����,您可以聯系管理員刪除��。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/77372.html
