springboot2.0之安全

mmss發表於2018-01-04
Spring Boot

簡介

如果在classpath上設定了spring 安全,預設的話其web 也是安全的。springboot依賴於spring 的安全宣告策略決定是使用httpBasic 或者 formLogin,新增web應用的安全等級方法,可以使用@EnableGlobalMethodSecurity 新增你想要的配置。

預設的認證管理是擁有一個單獨的使用者。如下所示:

Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

可以通過提供spring.security.user.name 與spring.security.user.password改變其使用者和密碼。

預設的安全配置是通過SecurityAutoConfiguration 實現(同時也包括非web應用程式)。關閉預設的安全配置,可以通過新增一個WebSecurityConfigurerAdapter 型別的bean實現。

關閉認證管理配置,可以通過新增 UserDetailsServiceAuthenticationProvider 與 AuthenticationManager的型別。

在一個web應用程式中,你預設得到的一個基礎特性是:

  • 一個UserDetailsService bean(在記憶體中儲存以及一個產生密碼的word)
  • 基於表格的登入或者是基於整個http的安全認證要求(包括執行者的點)。
可以通過新增一個自定義的WebSecurityConfigurerAdapter去覆蓋其規則。spring boot對actuator endpoints於靜態資源提供了便利的方法去處理。EndpointRequest 能夠建立一個基於management.endpoints.web.base-path 的屬性。StaticResourceRequest 能夠給建立一個指定靜態資源位置的 RequestMatcher 。

OAuth2

其是一種被spring廣泛支援的授權框架。

客戶端

如果你有spring-security-oauth2-client ,你就可以充分利用其自動配置簡化安裝oauth2的客戶端。這充分利用其 OAuth2ClientProperties的配置屬性,你可以通過使用 spring.security.oauth2.client 字首註冊客戶端:程式碼如下
 
spring.security.oauth2.client.registration.my-client-1.client-id=abcd
spring.security.oauth2.client.registration.my-client-1.client-secret=password
spring.security.oauth2.client.registration.my-client-1.client-name=Client for user scope
spring.security.oauth2.client.registration.my-client-1.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-1.scope=user
spring.security.oauth2.client.registration.my-client-1.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-1.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-1.authorization-grant-type=authorization_code

spring.security.oauth2.client.registration.my-client-2.client-id=abcd
spring.security.oauth2.client.registration.my-client-2.client-secret=password
spring.security.oauth2.client.registration.my-client-2.client-name=Client for email scope
spring.security.oauth2.client.registration.my-client-2.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-2.scope=email
spring.security.oauth2.client.registration.my-client-2.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-2.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-2.authorization-grant-type=authorization_code

spring.security.oauth2.client.provider.my-oauth-provider.authorization-uri=http://my-auth-server/oauth/authorize
spring.security.oauth2.client.provider.my-oauth-provider.token-uri=http://my-auth-server/oauth/token
spring.security.oauth2.client.provider.my-oauth-provider.user-info-uri=http://my-auth-server/userinfo
spring.security.oauth2.client.provider.my-oauth-provider.jwk-set-uri=http://my-auth-server/token_keys
spring.security.oauth2.client.provider.my-oauth-provider.user-name-attribute=name

預設情況下,spring security 的OAuth2LoginAuthenticationFilter 是僅僅處理與 /login/oauth2/code/*.匹配的URI。如果想要自定義話一個不同的redirect-uri-template ,需要提供自定義模式的處理配置,如下程式碼

public class OAuth2LoginSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
			.authorizeRequests()
				.anyRequest().authenticated()
				.and()
			.oauth2Login()
				.redirectionEndpoint()
					.baseUri("/custom-callback");
	}
}

對於一些通用的OAuth2 ( Google, Github, Facebook,  與Okta),我們提供了許多預設的提供者。

執行者安全

如果執行者也是在使用中,你可以看到:
  • 管理終端也是安全的,即使應用終端不是安全的。
  • 安全事件被轉換為審計例項並且被儲存到審計儲存庫中。
  • 預設使用者在擁有ACTUATOR 角色的同時也擁有user的角色
其ACTUATOR的安全特性可以通過外部檔案進行修改。覆蓋應用程式的連結規則,但是不是actuator 的連結規則,新增一個WebSecurityConfigurerAdapter 型別的bean和使用@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)。當確實想要覆蓋應用程式的規則以及ACTUATOR 的連結規則,使用@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)


相關文章