Spring Boot 参考指南(安全)

28. 安全

如果在类路径上有Spring Security,那么web应用程序默认是安全的,Spring Boot依赖Spring Security的内容协商策略来决定是使用httpBasic还是formLogin,要向web应用程序添加方法级安全性,还可以使用所需的设置添加@EnableGlobalMethodSecurity,其他信息可以在Spring Security参考指南中找到。

默认的UserDetailsService只有一个用户,用户名是user,密码是随机的,在应用程序启动时在INFO级别打印,如下例所示:

Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

如果你对日志配置进行了微调,请确保
org.springframework.boot.autoconfigure.security类别设置为记录
INFO级别的消息,否则,不会打印默认密码。

你可以通过提供spring.security.user.namespring.security.user.password来更改用户名和密码。

你在web应用程序中默认获得的基本特性是:

  • 使用内存存储的UserDetailsService(或WebFlux应用程序下的ReactiveUserDetailsService) bean和使用生成密码的单个用户(参见SecurityProperties.User)的属性。
  • 整个应用程序基于表单的登录或HTTP Basic Security(取决于内容类型)(如果执行器在类路径上,则包括执行器端点)。
  • 用于发布身份验证事件的DefaultAuthenticationEventPublisher

你可以通过添加bean来提供不同的AuthenticationEventPublisher

28.1 MVC Security

默认的security配置在SecurityAutoConfigurationUserDetailsServiceAutoConfiguration中实现,SecurityAutoConfiguration导入SpringBootWebSecurityConfiguration用于web安全,UserDetailsServiceAutoConfiguration配置身份验证,这在非web应用程序中也是相关的,要完全关闭默认的web应用程序安全配置,可以添加WebSecurityConfigurerAdapter类型的bean(这样做不会禁用UserDetailsService配置或执行器的安全)。

要关闭UserDetailsService配置,可以添加UserDetailsServiceAuthenticationProviderAuthenticationManager类型的bean,在Spring Boot示例中有几个安全的应用程序可以让你从常见的用例开始。

可以通过添加自定义的WebSecurityConfigurerAdapter来覆盖访问规则,Spring Boot提供了方便的方法,可用于覆盖执行器端点和静态资源的访问规则,可以使用EndpointRequest创建一个基于management.endpoints.web.base-path属性的RequestMatcherPathRequest可用于为常用位置的资源创建RequestMatcher

28.2 WebFlux Security

与Spring MVC应用程序类似,你可以通过添加Spring-boot-starter-security依赖项来保护WebFlux应用程序,默认的security配置在ReactiveSecurityAutoConfigurationUserDetailsServiceAutoConfiguration中实现。ReactiveSecurityAutoConfiguration导入WebFluxSecurityConfiguration用于web安全,UserDetailsServiceAutoConfiguration配置身份验证,这在非web应用程序中也是相关的。要完全关闭默认的web应用程序安全配置,可以添加WebFilterChainProxy类型的bean(这样做不会禁用UserDetailsService配置或执行器的安全)。

为了关闭UserDetailsService配置,你可以添加一个类型为ReactiveUserDetailsServiceReactiveAuthenticationManager的bean。

可以通过添加自定义SecurityWebFilterChain来配置访问规则,Spring Boot提供了方便的方法,可用于覆盖执行器端点和静态资源的访问规则,可以使用EndpointRequest创建一个基于management.endpoints.web.base-path属性的ServerWebExchangeMatcher

PathRequest可用于为常用位置的资源创建ServerWebExchangeMatcher

例如,你可以通过添加以下内容来定制你的security配置:

@Bean
public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
    return http
        .authorizeExchange()
            .matchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
            .pathMatchers("/foo", "/bar")
                .authenticated().and()
            .formLogin().and()
        .build();
}

28.3 OAuth2

OAuth2是Spring支持的广泛使用的授权框架。

28.3.1 客户端

如果你的类路径中有spring-security-oauth2-client,那么可以利用一些自动配置来轻松地设置OAuth2客户端,这个配置使用OAuth2ClientProperties下的属性。

你可以在spring.security.oauth2.client前缀下注册多个OAuth2客户端和提供者,如下例所示:

spring.security.oauth2.client.registration.my-client-1.client-id=abcd
spring.security.oauth2.client.registration.my-client-1.client-secret=password
spring.security.oauth2.client.registration.my-client-1.client-name=Client for user scope
spring.security.oauth2.client.registration.my-client-1.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-1.scope=user
spring.security.oauth2.client.registration.my-client-1.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-1.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-1.authorization-grant-type=authorization_code

spring.security.oauth2.client.registration.my-client-2.client-id=abcd
spring.security.oauth2.client.registration.my-client-2.client-secret=password
spring.security.oauth2.client.registration.my-client-2.client-name=Client for email scope
spring.security.oauth2.client.registration.my-client-2.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-2.scope=email
spring.security.oauth2.client.registration.my-client-2.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-2.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-2.authorization-grant-type=authorization_code

spring.security.oauth2.client.provider.my-oauth-provider.authorization-uri=http://my-auth-server/oauth/authorize
spring.security.oauth2.client.provider.my-oauth-provider.token-uri=http://my-auth-server/oauth/token
spring.security.oauth2.client.provider.my-oauth-provider.user-info-uri=http://my-auth-server/userinfo
spring.security.oauth2.client.provider.my-oauth-provider.jwk-set-uri=http://my-auth-server/token_keys
spring.security.oauth2.client.provider.my-oauth-provider.user-name-attribute=name

默认情况下,Spring Security的OAuth2LoginAuthenticationFilter只处理匹配/login/oauth2/code/*的url,如果你想定制redirect-uri-template来使用不同的模式,你需要提供配置来处理定制模式,例如,你可以添加类似于以下内容的WebSecurityConfigurerAdapter

public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .oauth2Login()
                .redirectionEndpoint()
                    .baseUri("/custom-callback");
    }
}

对于普通的OAuth2和OpenID提供者,包括谷歌、Github、Facebook和Okta,我们提供了一组提供者默认值(google、github、facebookOkta)。

如果你不需要定制这些提供者,你可以将提供者属性设置为你需要推断默认值的提供者属性,另外,如果客户端的ID与默认支持的提供程序匹配,Spring Boot也会推断出这一点。

换句话说,下面示例中的两个配置使用谷歌提供程序:

spring.security.oauth2.client.registration.my-client.client-id=abcd
spring.security.oauth2.client.registration.my-client.client-secret=password
spring.security.oauth2.client.registration.my-client.provider=google

spring.security.oauth2.client.registration.google.client-id=abcd
spring.security.oauth2.client.registration.google.client-secret=password

28.3.2 服务器

目前,Spring Security不支持实现OAuth 2.0授权服务器或资源服务器,但是,这个功能可以从Spring Security OAuth项目中获得,该项目最终将被Spring Security完全取代,在此之前,你可以使用spring-security-oauth2-autoconfigure模块轻松设置OAuth 2.0服务器,有关说明,请参阅其文档

28.4 Actuator安全

出于安全考虑,除/health/info之外的所有Actuator默认禁用,management.endpoints.web.exposure.include属性可用于启用actuator。

如果在类路径上有Spring Security,并且没有其他WebSecurityConfigurerAdapter存在,actuator是通过Spring Boot自动配置来保护的,如果你定义了一个自定义的WebSecurityConfigurerAdapter,Spring Boot自动配置将退出,你将完全控制actuator访问规则。

在设置
management.endpoints.web.exposure.include之前,确保暴露的actuator不包含敏感信息和/或通过将它们置于防火墙后或通过类似Spring Security的方式进行安全保护。

28.4.1 跨站请求伪造保护

由于Spring Boot依赖于Spring Security的默认值,所以CSRF保护默认打开,这意味着,当使用默认安全配置时,需要POST(关闭和日志记录器端点)、PUTDELETE的actuator端点将收到403禁止错误。

我们建议,只有在创建非浏览器客户端使用的服务时,才完全禁用CSRF保护。

有关CSRF保护的其他信息可以在Spring Security参考指南中找到。

上一篇:开发Web应用程序

    原文作者:博弈
    原文地址: https://segmentfault.com/a/1190000016584598
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞