当前位置: 开发笔记 > 前端 > 正文

SpringBootSecurity配置教程

作者：cssic_630 | 来源：互联网 | 2022-03-15 11:38

在本文里我们给大家分享了关于SpringBootSecurity配置的相关步骤以及注意要点，需要的朋友们跟着操作下。

1.简介

在本文中，我们将了解Spring Boot对spring Security的支持。

简而言之，我们将专注于默认Security配置以及如何在需要时禁用或自定义它。

2.默认Security设置

为了增加Spring Boot应用程序的安全性，我们需要添加安全启动器依赖项：


  org.springframework.boot
  spring-boot-starter-security

这将包括SecurityAutoConfiguration类 - 包含初始/默认安全配置。

注意我们在这里没有指定版本，假设项目已经使用Boot作为父项。

简而言之，默认情况下，为应用程序启用身份验证。此外，内容协商用于确定是否应使用basic或formLogin。

有一些预定义的属性，例如：

spring.security.user.name
spring.security.user.password

如果我们不使用预定义属性spring.security.user.password配置密码并启动应用程序，我们会注意到随机生成默认密码并在控制台日志中打印：

Using default security password: c8be15de-4488-4490-9dc6-fab3f91435c6

3.禁用自动配置

要放弃安全性自动配置并添加我们自己的配置，我们需要排除SecurityAutoConfiguration类。

这可以通过简单的排除来完成：

@SpringBootApplication(exclude = { SecurityAutoConfiguration.class })
public class SpringBootSecurityApplication {
 
  public static void main(String[] args) {
    SpringApplication.run(SpringBootSecurityApplication.class, args);
  }
}

或者通过在application.properties文件中添加一些配置：

spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration

还有一些特殊情况，这种设置还不够。

例如，几乎每个Spring Boot应用程序都在类路径中使用Actuator启动。
这会导致问题，因为另一个自动配置类需要我们刚刚排除的那个，因此应用程序将无法启动。

为了解决这个问题，我们需要排除该类;并且，特定于Actuator情况，我们需要排除

ManagementWebSecurityAutoConfiguration。

3.1. 禁用和超越 Security Auto-Configuration
禁用自动配置和超越它之间存在显着差异。

通过禁用它，就像从头开始添加Spring Security依赖项和整个设置一样。这在以下几种情况下很有用：

将应用程序security与自定义security提供程序集成

将已有security设置的旧Spring应用程序迁移到Spring Boot

但是，大多数情况下我们不需要完全禁用安全自动配置。

Spring Boot的配置方式允许通过添加我们的新/自定义配置类来超越自动配置的安全性。这通常更容易，因为我们只是定制现有的安全设置以满足我们的需求。

4.配置Spring Boot Security
如果我们选择了禁用Security自动配置的路径，我们自然需要提供自己的配置。

正如我们之前讨论过的，这是默认的安全配置;我们可以通过修改属性文件来自定义它。

例如，我们可以通过添加我们自己的密码来覆盖默认密码：

security.user.password=password

如果我们想要一个更灵活的配置，例如多个用户和角色 - 您现在需要使用完整的@Configuration类：

@Configuration
@EnableWebSecurity
public class BasicConfiguration extends WebSecurityConfigurerAdapter {
 
  @Override
  protected void configure(AuthenticationManagerBuilder auth)
   throws Exception {
    auth
     .inMemoryAuthentication()
     .withUser("user")
      .password("password")
      .roles("USER")
      .and()
     .withUser("admin")
      .password("admin")
      .roles("USER", "ADMIN");
  }
 
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
     .authorizeRequests()
     .anyRequest()
     .authenticated()
     .and()
     .httpBasic();
  }
}

如果我们禁用默认安全配置，则@EnableWebSecurity注释至关重要。

如果丢失，应用程序将无法启动。只有在我们使用WebSecurityConfigurerAdapter覆盖默认行为时，注释才是可选的。

现在，我们应该通过几个快速实时测试验证我们的安全配置是否正确应用：

@RunWith(SpringRunner.class)
@SpringBootTest(webEnvirOnment= RANDOM_PORT)
public class BasicConfigurationIntegrationTest {
 
  TestRestTemplate restTemplate;
  URL base;
  @LocalServerPort int port;
 
  @Before
  public void setUp() throws MalformedURLException {
    restTemplate = new TestRestTemplate("user", "password");
    base = new URL("http://localhost:" + port);
  }
 
  @Test
  public void whenLoggedUserRequestsHomePage_ThenSuccess()
   throws IllegalStateException, IOException {
    ResponseEntity respOnse= restTemplate.getForEntity(base.toString(), String.class);
 
    assertEquals(HttpStatus.OK, response.getStatusCode());
    assertTrue(response
     .getBody()
     .contains("Baeldung"));
  }
 
  @Test
  public void whenUserWithWrongCredentials_thenUnauthorizedPage() 
   throws Exception {
 
    restTemplate = new TestRestTemplate("user", "wrongpassword");
    ResponseEntity respOnse= restTemplate.getForEntity(base.toString(), String.class);
 
    assertEquals(HttpStatus.UNAUTHORIZED, response.getStatusCode());
    assertTrue(response
     .getBody()
     .contains("Unauthorized"));
  }
}

实际上，Spring Boot Security的背后是Spring Security，所以任何可以用这个完成的安全配置，或者这个支持的任何集成都可以实现到Spring Boot中。

5. Spring Boot OAuth2自动配置
Spring Boot为OAuth2提供专用的自动配置支持。

在我们开始之前，让我们添加Maven依赖项来开始设置我们的应用程序：


  org.springframework.security.oauth
  spring-security-oauth2

此依赖项包括一组能够触发OAuth2AutoConfiguration类中定义的自动配置机制的类。

现在，我们有多种选择可以继续，具体取决于我们的应用范围。

5.1。 OAuth2授权服务器自动配置
如果我们希望我们的应用程序是OAuth2提供程序，我们可以使用@EnableAuthorizationServer。

在启动时，我们会在日志中注意到自动配置类将为我们的授权服务器生成客户端ID和客户端密钥，当然还有用于基本身份验证的随机密码。

Using default security password: a81cb256-f243-40c0-a585-81ce1b952a98
security.oauth2.client.client-id = 39d2835b-1f87-4a77-9798-e2975f36972e
security.oauth2.client.client-secret = f1463f8b-0791-46fe-9269-521b86c55b71

这些凭据可用于获取访问令牌：

curl -X POST -u 39d2835b-1f87-4a77-9798-e2975f36972e:f1463f8b-0791-46fe-9269-521b86c55b71 \
 -d grant_type=client_credentials -d username=user -d password=a81cb256-f243-40c0-a585-81ce1b952a98 \
 -d scope=write http://localhost:8080/oauth/token

5.2。其他Spring Boot OAuth2自动配置设置

Spring Boot OAuth2涵盖了一些其他用例，例如：

资源服务器 - @EnableResourceServer

客户端应用程序 - @ EnableOAuth2Sso或@ EnableOAuth2Client

如果我们需要将我们的应用程序作为上述类型之一，我们只需要为应用程序属性添加一些配置。

6. Spring Boot 2 security与Spring Boot 1 security

与Spring Boot 1相比，Spring Boot 2大大简化了自动配置。

在Spring Boot 2中，如果我们想要自己的安全配置，我们可以简单地添加一个自定义的WebSecurityConfigurerAdapter。这将禁用默认自动配置并启用我们的自定义安全配置。

Spring Boot 2使用Spring Security的大部分默认值。因此，默认情况下，Spring Boot 1中默认不安全的某些端点现在是安全的。

这些端点包括静态资源，如/ css / ，/ js / ，/ images / ，/ webjars / ，//favicon.ico和错误端点。如果我们需要允许对这些端点进行未经身份验证的访问，我们可以明确地配置它**。

为了简化与安全相关的配置，Spring Boot 2删除了以下Spring Boot 1属性：

security.basic.authorize-mode
security.basic.enabled
security.basic.path
security.basic.realm
security.enable-csrf
security.headers.cache
security.headers.content-security-policy
security.headers.content-security-policy-mode
security.headers.content-type
security.headers.frame
security.headers.hsts
security.headers.xss
security.ignored
security.require-ssl
security.sessions

7.结论

在本文中，我们重点介绍Spring Boot提供的默认安全配置。我们了解了如何禁用或覆盖安全性自动配置机制以及如何应用新的安全性配置。

附上源码：https://github.com/eugenp/tutorials/tree/master/spring-boot-security

推荐阅读

js
深入理解Cookie与Session会话管理

本文详细介绍了如何通过HTTP响应和请求处理浏览器的Cookie信息，以及如何创建、设置和管理Cookie。同时探讨了会话跟踪技术中的Session机制，解释其原理及应用场景。 ... [详细]

蜡笔小新 2024-12-27 18:20:43
html
新浪笔试题

1:有如下一段程序：packagea.b.c;publicclassTest{privatestaticinti0;publicintgetNext(){return ... [详细]

蜡笔小新 2024-12-27 19:32:17
html
数据库内核开发入门 | 搭建研发环境的初步指南

本课程将带你从零开始，逐步掌握数据库内核开发的基础知识和实践技能，重点介绍如何搭建OceanBase的开发环境。 ... [详细]

蜡笔小新 2024-12-27 16:38:48
正则
Java面试题解析

本文详细介绍了Java编程语言中的核心概念和常见面试问题，包括集合类、数据结构、线程处理、Java虚拟机（JVM）、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题，帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]

蜡笔小新 2024-12-27 13:55:14
正则
如何配置Unturned服务器及其消息设置

本文详细介绍了Unturned服务器的配置方法和消息设置技巧，帮助用户了解并优化服务器管理。同时，提供了关于云服务资源操作记录、远程登录设置以及文件传输的相关补充信息。 ... [详细]

蜡笔小新 2024-12-27 13:47:38
js
QUIC协议：快速UDP互联网连接

QUIC（Quick UDP Internet Connections）是谷歌开发的一种旨在提高网络性能和安全性的传输层协议。它基于UDP，并结合了TLS级别的安全性，提供了更高效、更可靠的互联网通信方式。 ... [详细]

蜡笔小新 2024-12-28 12:33:18
js
优化联通光猫DNS服务器设置

本文详细介绍了如何为联通光猫配置DNS服务器地址，以提高网络解析效率和访问体验。通过智能线路解析功能，域名解析可以根据访问者的IP来源和类型进行差异化处理，从而实现更优的网络性能。 ... [详细]

蜡笔小新 2024-12-28 11:28:18
js
资源推荐 | TensorFlow官方中文教程助力英语非母语者学习

来源：机器之心。本文详细介绍了TensorFlow官方提供的中文版教程和指南，帮助开发者更好地理解和应用这一强大的开源机器学习平台。 ... [详细]

蜡笔小新 2024-12-28 09:00:51
js
四载相伴，与51CTO学院共成长

在计算机技术的学习道路上，51CTO学院以其专业性和专注度给我留下了深刻印象。从2012年接触计算机到2014年开始系统学习网络技术和安全领域，51CTO学院始终是我信赖的学习平台。 ... [详细]

蜡笔小新 2024-12-28 08:20:07
html
信息安全小组第一周工作总结

本周信息安全小组主要进行了CTF竞赛相关技能的学习，包括HTML和CSS的基础知识、逆向工程的初步探索以及整数溢出漏洞的学习。此外，还掌握了Linux命令行操作及互联网工作原理的基本概念。 ... [详细]

蜡笔小新 2024-12-28 05:52:22
js
技术分享：从动态网站提取站点密钥的解决方案

本文探讨了如何从动态网站中提取站点密钥，特别是针对验证码（reCAPTCHA）的处理方法。通过结合Selenium和requests库，提供了详细的代码示例和优化建议。 ... [详细]

蜡笔小新 2024-12-28 04:11:47
js
路由器配置与网络地址转换

本文介绍了如何在具备多个IP地址的FTP服务器环境中，通过动态地址端口复用和地址转换技术优化网络配置。重点讨论了2Mb/s DDN专线连接、Cisco 2611路由器及内部网络地址规划。 ... [详细]

蜡笔小新 2024-12-27 18:25:35
js
深入理解 SQL 视图、存储过程与事务

本文详细介绍了SQL中的视图、存储过程和事务的概念及应用。视图为用户提供了一种灵活的数据查询方式，存储过程则封装了复杂的SQL逻辑，而事务确保了数据库操作的完整性和一致性。 ... [详细]

蜡笔小新 2024-12-27 17:40:42
js
构建基于BERT的中文NL2SQL模型：一个简明的基准

本文探讨了将自然语言转换为SQL语句（NL2SQL）的任务，这是人工智能领域中一项非常实用的研究方向。文章介绍了笔者在公司举办的首届中文NL2SQL挑战赛中的实践，该比赛提供了金融和通用领域的表格数据，并标注了对应的自然语言与SQL语句对，旨在训练准确的NL2SQL模型。 ... [详细]

蜡笔小新 2024-12-27 17:36:19
html
Python爬虫实战：豆瓣电影Top250数据抓取

本文详细介绍了如何使用Python编写爬虫程序，从豆瓣电影Top250页面抓取电影信息。文章涵盖了从基础的网页请求到处理反爬虫机制，再到多页数据抓取的全过程，并提供了完整的代码示例。 ... [详细]

蜡笔小新 2024-12-27 16:55:07

cssic_630

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章