Spring Boot 安全
目录
1.概述
2.token
2.1.理论
2.2.使用
3.JWT
3.1.理论
3.2.使用
4.oauth
5.Spring Security
5.1.概述
5.2.基本认证授权
5.3.加密
1.概述
在后端来说,安全主要就是控制用户访问,让对应权限的用户能访问到对应的资源,主要是两点:
- 认证
- 授权
认证,确定是谁。
授权,核实权限。
每个安全框架其实都是为了实现这两点。
目前常用的实现方式有如下几种:
- token
- JWT
- oauth
- spring security
前三种是理念,最后一种是开箱即食的框架。
2.token
2.1.理论
token ,也叫“令牌”,是验证用户身份的凭证。token的组成具有随意性,能标识用户身份即可。
token的工作流程:
客户端向服务器发送请求,服务器收到后生成token返回给客户端,此后客户端的任何鉴权都基于该token进行。
2.2.使用
以下是一个简单的在Spring Boot中用token检验用户是否合法的一个代码示例。当然实际工作中token里面可以放很多内容,比如可以放权限,后端解析后基于权限来进行鉴权,也可以给token里面加上时限等相关信息,用来控制token的有效期等。
token工具类:
controller:
3.JWT
3.1.理论
JWT,Json web token,即一种基于json的通用token标准,token本质上具有任意性,JWT规范了token的格式。
JWT 规定token由三部分组成:
-
header
头部,承载两块信息:
-
声明类型,即声明这是jwt
-
声明加密算法,默认使用 HMAC SHA256加密算法
-
-
payload
载荷,存放有效信息(数据信息)的地方。
-
signature
签证,可以用于验证整个token的完整性以及是否被篡改,由三部分组成:
-
header(base64之后的)
-
payload(base64之后的)
-
secret私钥
-
3.2.使用
JWT本质上就是个有标准报文格式的token,其实只要愿意的话我们可以自己手写一个,这个没什么难度,定义一个类罢了。JWT市面上也有很多开源实现,直接拿来用就行了,以下是使用Spring Boot+JJWT来实现鉴权的一个简单demo,不用深究,就是感受一下别人的实现。
工具类:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;import java.util.Date;
import java.util.function.Function;@Component
public class JwtUtil {// 读取配置文件中的JWT秘钥@Value("${jwt.secret}")private String secret;// JWT的过期时间,单位毫秒private final long JWT_EXPIRATION = 1000 * 60 * 60 * 24;/* 生成JWT* @param username 用户名* @return JWT*/public String generateToken(String username) {// 设置JWT的过期时间为当前时间 + JWT_EXPIRATIONDate expiration = new Date(System.currentTimeMillis() + JWT_EXPIRATION);// 使用JWT的Builder类构造JWTreturn Jwts.builder().setSubject(username) // 设置JWT的主题为用户名.setIssuedAt(new Date()) // 设置JWT的发行时间为当前时间.setExpiration(expiration) // 设置JWT的过期时间.signWith(SignatureAlgorithm.HS256, secret) // 使用HS256算法和秘钥对JWT进行签名.compact(); // 构造JWT并返回}/* 验证JWT是否有效* @param token JWT* @return JWT是否有效*/public boolean validateToken(String token) {try {// 使用JWT的parser类解析JWTClaims claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();// 如果JWT的过期时间早于当前时间,则JWT无效Date expiration = claims.getExpiration();if (expiration.before(new Date())) {return false;}// JWT有效return true;} catch (Exception e) {// 解析JWT失败,则JWT无效return false;}}/* 从JWT中获取主题* @param token JWT* @return 主题*/public String extractUsername(String token) {return extractClaim(token, Claims::getSubject);}/* 从JWT中获取指定claim的值* @param token JWT* @param claimsResolver 指定claim的解析器* @param <T> 指定claim的类型* @return 指定claim的值*/private <T> T extractClaim(String token, Function<Claims, T> claimsResolver) {final Claims claims = extractAllClaims(token);return claimsResolver.apply(claims);}/* 解析JWT中的所有claim* @param token JWT* @return 包含所有claim的Claims对象*/private Claims extractAllClaims(String token) {return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();}
}
控制器:
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;@RestController
@RequestMapping("/api/auth")
public class AuthController {@Autowiredprivate JwtUtil jwtUtil;@PostMapping("/login")public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) {// TODO: 实现用户登录逻辑String username = "exampleUser";String token = jwtUtil.generateToken(username);return ResponseEntity.ok(new JwtResponse(token));}@GetMapping("/validateToken")public ResponseEntity<?> validateToken(@RequestParam("token") String token) {if (jwtUtil.validateToken(token)) {return ResponseEntity.ok().build();} else {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();}}private static class LoginRequest {private String username;private String password;// getters and setters}private static class JwtResponse {private String token;public JwtResponse(String token) {this.token = token;}// getter}
}
4.oauth
OAUTH,Open Authorization,开放授权协议,为用户资源的授权提供了一个安全的、开放而又简易的标准。目的是让第三方对用户的数据只有有限访问权,而无法触及到用户的核心信息。
例如,在第三方网站上使用微信或者QQ作为账号进行登录,就是使用的oauth协议,只返回给第三方注入用户名、头像等信息,而不会返回给第三方秘密等核心数据。
注意:oauth这里暂时不做展开,也不提供代码实现示例,因为展开的话篇幅会比较长,这里只是简单提一下这个概念,下一篇博文,博主会专门写oauth。
以下是一个用QQ在慕课网上做oauth的流程示例,大家感受一下:
5.Spring Security
5.1.概述
Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全服务和管理应用程序安全的能力。Spring Security的主要目标是保护应用程序,防止未经授权的访问,同时支持常见的认证和授权方案。
注意:由于本文只是介绍一下一些可以和Spring Boot结合起来使用的安全方案,Spring Security我们只限定于讲解基础使用,下下篇文章,作者会专门用一个大篇幅来详细写Spring Security。
5.2.基本认证授权
依赖:
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>配置:
配置一个基于内存的用户存储库,其中包含两个用户("user"和"admin"),并使用密码编码器"{noop}"指定它们的密码。该配置还指定了"/admin/"端点需要ADMIN角色才能访问,并且所有其他端点需要进行身份验证。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {// 配置内存中的用户存储库@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("user").password("{noop}password").roles("USER").and().withUser("admin").password("{noop}password").roles("USER", "ADMIN");// 创建两个用户: "user"和"admin",使用密码编码器"{noop}"指定密码}// 配置HTTP请求的安全性@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/").hasRole("ADMIN") // /admin/端点需要ADMIN角色.anyRequest().authenticated() // 其他端点需要进行身份验证.and().formLogin() // 启用基于表单的登录.and().httpBasic(); // 启用HTTP基本认证}
}
用户的角色除了可以放在内存中,还可以放在其它存储介质上,如果有需要的话可以存在数据库:
控制器:
@RestController
@RequestMapping("/admin")
public class AdminController {@GetMapping("/")public String adminHome() {return "Welcome to the admin page!";}
}
5.3.加密
Spring Security提供了多种加密方式,包括以下几种:
-
BCryptPasswordEncoder:这是最常用的加密算法之一,它使用哈希和随机盐来加密密码。
-
Pbkdf2PasswordEncoder:这也是一种密码加密算法,它使用基于密码的密钥导出函数(PBKDF2)来加密密码。
-
SCryptPasswordEncoder:这是一种基于内存的密码哈希算法,它使用大量的内存来防止散列碰撞攻击。
-
NoOpPasswordEncoder:这是一种不安全的加密算法,它仅仅是将明文密码作为加密后的密码。不建议在生产环境中使用。
使用Spring Security进行加密通常需要以下几个步骤:
-
在Spring Security配置中定义PasswordEncoder bean。
-
使用PasswordEncoder bean对用户密码进行加密,然后将其保存到数据库中。
-
在身份验证过程中,Spring Security会将用户输入的密码与加密后的密码进行比较,以确定用户是否有权访问该资源。
以下是一个使用BCryptPasswordEncoder加密密码的示例:
spring security对支持的不同加密算法提供了不同的Encoder。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}// ...其他配置
}
使用encoder进行加密:
@Autowired
private PasswordEncoder passwordEncoder;@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("user").password(passwordEncoder.encode("password")).roles("USER").and().withUser("admin").password(passwordEncoder.encode("password")).roles("USER", "ADMIN");
}
