Spring Security学习(一) Getting Started
---恢复内容开始---
翻译自GETTING STARTED
保护Web应用程序
本指南将引导您完成创建一个资源受Spring Security保护的简单Web应用程序的过程。
你将建立什么
您将构建一个Spring MVC应用程序,该应用程序使用由固定用户列表支持的登录表单来保护页面。
你需要什么
- About 15 minutes
- A favorite text editor or IDE
- JDK 1.8 or later
- Gradle 2.3+ or Maven 3.0+
- You can also import the code straight into your IDE: Spring Tool Suite (STS)
- IntelliJ IDEA
如何完成本指南
与大多数“入门指南”指南一样,您可以从头开始,完成每一步,也可以绕过已经熟悉的基本设置步骤。无论哪种方式,你都会得到工作代码。
To start from scratch, move on to Build with Gradle.
To 跳过基础, do the following:
Download and unzip the source repository for this guide, or clone it using Git:
git clone https://github.com/spring-guides/gs-securing-web.git
cd into gs-securing-web/initial
Jump ahead to Set up Spring Security.
通过IDE构建
这里官方提供了通过Grandle、Maven、IDE构建,选择性的翻译IDE构建,有需要的看原文吧。
- Read how to import this guide straight into Spring Tool Suite.
- Read how to work with this guide in IntelliJ IDEA.
我使用的IDEA,先将源码down下来,用IDEA打开gs-securing-web/initial 目录下,选择pom.xml。
准备工作结束了,开始学习吧O(∩_∩)O~~
创建一个不安全的Web应用程序
在将安全性应用于Web应用程序之前,您需要安装Web应用程序。本节中的步骤将引导您创建一个非常简单的Web应用程序。然后在下一节中使用Spring Security来保护它。
Web应用程序包含两个简单视图:主页和“Hello World”页面。主页定义在以下Thymeleaf模板中:
src/main/resources/templates/home.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Spring Security Example</title> </head> <body> <h1>Welcome!</h1> <p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p> </body> </html>
你可以看到,这个简单的视图包括一个“/ hello”页面的链接。这在以下的Thymeleaf模板中定义:
src/main/resources/templates/hello.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Hello World!</title> </head> <body> <h1>Hello world!</h1> </body> </html>
Web应用程序基于Spring MVC。因此,您需要配置Spring MVC并设置视图控制器来公开这些模板。这是一个用于在应用程序中配置Spring MVC的配置类。
src/main/java/hello/MvcConfig.java
package hello; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ViewControllerRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; @Configuration public class MvcConfig extends WebMvcConfigurerAdapter { @Override public void addViewControllers(ViewControllerRegistry registry) { registry.addViewController("/home").setViewName("home"); registry.addViewController("/").setViewName("home"); registry.addViewController("/hello").setViewName("hello"); registry.addViewController("/login").setViewName("login"); } }
addViewControllers()方法(覆盖WebMvcConfigurerAdapter中相同名称的方法)会添加四个视图控制器。两个视图控制器引用名称为“home”的视图(在home.html中定义),另一个引用名为“hello”的视图(在hello.html中定义)。第四个视图控制器引用另一个名为“login”的视图。您将在下一部分中创建该视图。
此时,您可以跳到使应用程序可执行一节,并试试运行应用程序,无需登录任何内容。
创建基本的简单Web应用程序后,您可以添加安全性。
设置Spring Security
假设您希望防止未经授权的用户在“/hello”上查看问候页面。现在,如果用户点击主页上的链接,他们会看到问候语,没有阻碍他们的障碍。您需要添加一个屏障,强制用户在看到该页面之前登录。
您可以通过在应用程序中配置Spring Security来实现。如果Spring Security位于类路径上,则Spring Boot会自动使用“基本”身份验证来保护所有HTTP端点。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径中。
您可以通过在应用程序中配置Spring Security来实现。如果Spring Security位于类路径上,则Spring Boot会自动使用“基本”身份验证来保护所有HTTP端点。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径中。
使用Gradle的话,这将是依赖中的一行:
build.gradle
dependencies { ... compile("org.springframework.boot:spring-boot-starter-security") ... }
使用Maven,这将是添加到
pom.xml
<dependencies> ... <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ... </dependencies>
这是一种安全配置,可确保只有身份验证的用户才能看到秘密问候语:
src/main/java/hello/WebSecurityConfig.java
package hello; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } }
WebSecurityConfig类用@EnableWebSecurity注释,以启用Spring Security的Web安全支持,并提供Spring MVC集成。它还扩展了WebSecurityConfigurerAdapter并覆盖了一些方法来设置Web安全配置的一些细节。
configure(HttpSecurity)方法定义哪些URL路径应该被保护,哪些不应该。具体来说,“/”和“/home”路径被配置为不需要任何身份验证。所有其他路径必须经过身份验证。
当用户成功登录时,它们将被重定向到先前请求的需要身份验证的页面。 loginPage()指定了“/login”到一个自定义的页面,每个人都可以查看它。
对于configureGlobal(AuthenticationManagerBuilder)方法,它设置内存中的用户存储使用单个用户。该用户的用户名为“user”,密码为“password”,角色为“USER”。
现在我们需要创建登录页面。已经有“登录”视图的视图控制器,因此您只需要创建登录视图本身:
src/main/resources/templates/login.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Spring Security Example </title> </head> <body> <div th:if="${param.error}"> Invalid username and password. </div> <div th:if="${param.logout}"> You have been logged out. </div> <form th:action="@{/login}" method="post"> <div><label> User Name : <input type="text" name="username"/> </label></div> <div><label> Password: <input type="password" name="password"/> </label></div> <div><input type="submit" value="Sign In"/></div> </form> </body> </html>
您可以看到,这个Thymeleaf模板只是提供了一个表单,用于捕获用户名和密码,并将其发布到“/login”。根据配置,Spring Security提供了拦截该请求并验证用户的过滤器。如果用户无法验证,则页面将重定向到“/login?error”,我们的页面显示相应的错误消息。成功注销后,我们的应用程序将发送到“/login?logout”,我们的页面显示相应的成功消息。
最后,我们需要为用户提供一种显示当前用户名和登出的方法。更新hello.html以向当前用户打个招呼,并包含一个“注销”表单,如下所示
src/main/resources/templates/hello.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Hello World!</title> </head> <body> <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1> <form th:action="@{/logout}" method="post"> <input type="submit" value="Sign Out"/> </form> </body> </html>
我们使用Spring Security与HttpServletRequest#getRemoteUser()的集成来显示用户名。 “登出”表单提交POST请求到“/logout”。成功注销后,会将用户重定向到“/login?logout”。
使应用程序可执行
虽然可以将此服务打包成传统的Web应用程序存档或WAR文件以部署到外部应用程序服务器,但下面演示的更简单的方法创建了一个独立的应用程序。您可以在一个可执行的JAR文件中打包所有内容,由一个好的Java main()方法驱动。一路上,您可以使用Spring的支持将Tomcat servlet容器嵌入HTTP运行时,而不是部署到外部实例。
src/main/java/hello/Application.java
package hello; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class Application { public static void main(String[] args) throws Throwable { SpringApplication.run(Application.class, args); } }
@SpringBootApplication是一个方便的注释,它添加以下所有内容:
- @Configuration将该类标记为应用程序上下文的bean定义的源。
- @EnableAutoConfiguration指示Spring Boot根据类路径设置,其他bean和各种属性设置开始添加bean。
- 通常,您将为Spring MVC应用程序添加@EnableWebMvc,但是当Spring类在类路径中看到spring-webmvc时,Spring Boot会自动添加它。这将应用程序标记为Web应用程序,并激活诸如设置DispatcherServlet等关键行为。
- @ComponentScan告诉Spring在hello包中查找其他组件,配置和服务,让它找到控制器。
main()方法使用Spring Boot的SpringApplication.run()方法启动应用程序。你注意到没有一行XML吗?没有web.xml文件。这个Web应用程序是100%纯Java,您无需处理配置任何管道或基础架构。
构建可执行的JAR
您可以使用Gradle或Maven从命令行运行应用程序。或者,您可以构建一个包含所有必需依赖项,类和资源的单个可执行JAR文件,并运行该文件。这使得在整个开发生命周期,跨不同环境等方面,可以轻松地将服务作为应用程序进行发布,版本和部署。
如果您使用Gradle,您可以使用./gradlew bootRun运行应用程序。或者您可以使用./gradlew build构建来构建JAR文件。然后可以运行JAR文件:
java -jar build/libs/gs-securing-web-0.1.0.jar
如果您使用Maven,则可以使用./mvnw spring-boot:run运行应用程序。或者您可以使用./mvnw clean package来构建JAR文件。然后可以运行JAR文件:
java -jar target/gs-securing-web-0.1.0.jar
上面的过程将创建一个可运行的JAR。您也可以选择构建一个经典的WAR文件。
应用程序启动后,将浏览器指向 http://localhost:8080,你应该看到主页:
当您点击链接时,它会尝试将您带到/hello 的问候页面。但是因为该页面是安全的,而且您尚未登录,那么您将进入登录页面:
如果您使用不安全的版本跳到这里,那么您将看不到此登录页面。请记得备份和编写其余的基于安全的代码。
在登录页面,分别输入用户名和密码字段的“用户”和“密码”作为测试用户登录。提交登录表单后,您将进行身份验证,然后转到问候页面:
如果您点击“注销”按钮,您的身份验证将被撤销,并返回到登录页面,并显示一条消息,指示您已注销。
所有指南都将发布ASLv2许可证Attribution, NoDerivatives creative commons license创作共用许可证的写作。
---恢复内容结束---
翻译自GETTING STARTED
保护Web应用程序
本指南将引导您完成创建一个资源受Spring Security保护的简单Web应用程序的过程。
你将建立什么
您将构建一个Spring MVC应用程序,该应用程序使用由固定用户列表支持的登录表单来保护页面。
你需要什么
- About 15 minutes
- A favorite text editor or IDE
- JDK 1.8 or later
- Gradle 2.3+ or Maven 3.0+
- You can also import the code straight into your IDE: Spring Tool Suite (STS)
- IntelliJ IDEA
如何完成本指南
与大多数“入门指南”指南一样,您可以从头开始,完成每一步,也可以绕过已经熟悉的基本设置步骤。无论哪种方式,你都会得到工作代码。
To start from scratch, move on to Build with Gradle.
To 跳过基础, do the following:
Download and unzip the source repository for this guide, or clone it using Git:
git clone https://github.com/spring-guides/gs-securing-web.git
cd into gs-securing-web/initial
Jump ahead to Set up Spring Security.
通过IDE构建
这里官方提供了通过Grandle、Maven、IDE构建,选择性的翻译IDE构建,有需要的看原文吧。
- Read how to import this guide straight into Spring Tool Suite.
- Read how to work with this guide in IntelliJ IDEA.
我使用的IDEA,先将源码down下来,用IDEA打开gs-securing-web/initial 目录下,选择pom.xml。
准备工作结束了,开始学习吧O(∩_∩)O~~
创建一个不安全的Web应用程序
在将安全性应用于Web应用程序之前,您需要安装Web应用程序。本节中的步骤将引导您创建一个非常简单的Web应用程序。然后在下一节中使用Spring Security来保护它。
Web应用程序包含两个简单视图:主页和“Hello World”页面。主页定义在以下Thymeleaf模板中:
src/main/resources/templates/home.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Spring Security Example</title> </head> <body> <h1>Welcome!</h1> <p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p> </body> </html>
你可以看到,这个简单的视图包括一个“/ hello”页面的链接。这在以下的Thymeleaf模板中定义:
src/main/resources/templates/hello.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Hello World!</title> </head> <body> <h1>Hello world!</h1> </body> </html>
Web应用程序基于Spring MVC。因此,您需要配置Spring MVC并设置视图控制器来公开这些模板。这是一个用于在应用程序中配置Spring MVC的配置类。
src/main/java/hello/MvcConfig.java
package hello; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ViewControllerRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; @Configuration public class MvcConfig extends WebMvcConfigurerAdapter { @Override public void addViewControllers(ViewControllerRegistry registry) { registry.addViewController("/home").setViewName("home"); registry.addViewController("/").setViewName("home"); registry.addViewController("/hello").setViewName("hello"); registry.addViewController("/login").setViewName("login"); } }
addViewControllers()方法(覆盖WebMvcConfigurerAdapter中相同名称的方法)会添加四个视图控制器。两个视图控制器引用名称为“home”的视图(在home.html中定义),另一个引用名为“hello”的视图(在hello.html中定义)。第四个视图控制器引用另一个名为“login”的视图。您将在下一部分中创建该视图。
此时,您可以跳到使应用程序可执行一节,并试试运行应用程序,无需登录任何内容。
创建基本的简单Web应用程序后,您可以添加安全性。
设置Spring Security
假设您希望防止未经授权的用户在“/hello”上查看问候页面。现在,如果用户点击主页上的链接,他们会看到问候语,没有阻碍他们的障碍。您需要添加一个屏障,强制用户在看到该页面之前登录。
您可以通过在应用程序中配置Spring Security来实现。如果Spring Security位于类路径上,则Spring Boot会自动使用“基本”身份验证来保护所有HTTP端点。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径中。
您可以通过在应用程序中配置Spring Security来实现。如果Spring Security位于类路径上,则Spring Boot会自动使用“基本”身份验证来保护所有HTTP端点。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径中。
使用Gradle的话,这将是依赖中的一行:
build.gradle
dependencies { ... compile("org.springframework.boot:spring-boot-starter-security") ... }
使用Maven,这将是添加到
pom.xml
<dependencies> ... <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ... </dependencies>
这是一种安全配置,可确保只有身份验证的用户才能看到秘密问候语:
src/main/java/hello/WebSecurityConfig.java
package hello; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } }
WebSecurityConfig类用@EnableWebSecurity注释,以启用Spring Security的Web安全支持,并提供Spring MVC集成。它还扩展了WebSecurityConfigurerAdapter并覆盖了一些方法来设置Web安全配置的一些细节。
configure(HttpSecurity)方法定义哪些URL路径应该被保护,哪些不应该。具体来说,“/”和“/home”路径被配置为不需要任何身份验证。所有其他路径必须经过身份验证。
当用户成功登录时,它们将被重定向到先前请求的需要身份验证的页面。 loginPage()指定了“/login”到一个自定义的页面,每个人都可以查看它。
对于configureGlobal(AuthenticationManagerBuilder)方法,它设置内存中的用户存储使用单个用户。该用户的用户名为“user”,密码为“password”,角色为“USER”。
现在我们需要创建登录页面。已经有“登录”视图的视图控制器,因此您只需要创建登录视图本身:
src/main/resources/templates/login.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Spring Security Example </title> </head> <body> <div th:if="${param.error}"> Invalid username and password. </div> <div th:if="${param.logout}"> You have been logged out. </div> <form th:action="@{/login}" method="post"> <div><label> User Name : <input type="text" name="username"/> </label></div> <div><label> Password: <input type="password" name="password"/> </label></div> <div><input type="submit" value="Sign In"/></div> </form> </body> </html>
您可以看到,这个Thymeleaf模板只是提供了一个表单,用于捕获用户名和密码,并将其发布到“/login”。根据配置,Spring Security提供了拦截该请求并验证用户的过滤器。如果用户无法验证,则页面将重定向到“/login?error”,我们的页面显示相应的错误消息。成功注销后,我们的应用程序将发送到“/login?logout”,我们的页面显示相应的成功消息。
最后,我们需要为用户提供一种显示当前用户名和登出的方法。更新hello.html以向当前用户打个招呼,并包含一个“注销”表单,如下所示
src/main/resources/templates/hello.html
<!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3"> <head> <title>Hello World!</title> </head> <body> <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1> <form th:action="@{/logout}" method="post"> <input type="submit" value="Sign Out"/> </form> </body> </html>
我们使用Spring Security与HttpServletRequest#getRemoteUser()的集成来显示用户名。 “登出”表单提交POST请求到“/logout”。成功注销后,会将用户重定向到“/login?logout”。
使应用程序可执行
虽然可以将此服务打包成传统的Web应用程序存档或WAR文件以部署到外部应用程序服务器,但下面演示的更简单的方法创建了一个独立的应用程序。您可以在一个可执行的JAR文件中打包所有内容,由一个好的Java main()方法驱动。一路上,您可以使用Spring的支持将Tomcat servlet容器嵌入HTTP运行时,而不是部署到外部实例。
src/main/java/hello/Application.java
package hello; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class Application { public static void main(String[] args) throws Throwable { SpringApplication.run(Application.class, args); } }
@SpringBootApplication是一个方便的注释,它添加以下所有内容:
- @Configuration将该类标记为应用程序上下文的bean定义的源。
- @EnableAutoConfiguration指示Spring Boot根据类路径设置,其他bean和各种属性设置开始添加bean。
- 通常,您将为Spring MVC应用程序添加@EnableWebMvc,但是当Spring类在类路径中看到spring-webmvc时,Spring Boot会自动添加它。这将应用程序标记为Web应用程序,并激活诸如设置DispatcherServlet等关键行为。
- @ComponentScan告诉Spring在hello包中查找其他组件,配置和服务,让它找到控制器。
main()方法使用Spring Boot的SpringApplication.run()方法启动应用程序。你注意到没有一行XML吗?没有web.xml文件。这个Web应用程序是100%纯Java,您无需处理配置任何管道或基础架构。
构建可执行的JAR
您可以使用Gradle或Maven从命令行运行应用程序。或者,您可以构建一个包含所有必需依赖项,类和资源的单个可执行JAR文件,并运行该文件。这使得在整个开发生命周期,跨不同环境等方面,可以轻松地将服务作为应用程序进行发布,版本和部署。
如果您使用Gradle,您可以使用./gradlew bootRun运行应用程序。或者您可以使用./gradlew build构建来构建JAR文件。然后可以运行JAR文件:
java -jar build/libs/gs-securing-web-0.1.0.jar
如果您使用Maven,则可以使用./mvnw spring-boot:run运行应用程序。或者您可以使用./mvnw clean package来构建JAR文件。然后可以运行JAR文件:
java -jar target/gs-securing-web-0.1.0.jar
上面的过程将创建一个可运行的JAR。您也可以选择构建一个经典的WAR文件。
应用程序启动后,将浏览器指向 http://localhost:8080,你应该看到主页:
当您点击链接时,它会尝试将您带到/hello 的问候页面。但是因为该页面是安全的,而且您尚未登录,那么您将进入登录页面:
如果您使用不安全的版本跳到这里,那么您将看不到此登录页面。请记得备份和编写其余的基于安全的代码。
在登录页面,分别输入用户名和密码字段的“用户”和“密码”作为测试用户登录。提交登录表单后,您将进行身份验证,然后转到问候页面:
如果您点击“注销”按钮,您的身份验证将被撤销,并返回到登录页面,并显示一条消息,指示您已注销。
所有指南都将发布ASLv2许可证Attribution, NoDerivatives creative commons license创作共用许可证的写作。