SpringSecurity学习笔记之四:拦截请求
来源:互联网 发布:mysql osx dmg 编辑:程序博客网 时间:2024/04/29 16:08
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。
对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:
@Overrideprotected void configure(HttpSecurity http) throws Exception{ http .authorizeRequests() .antMatchers("/spitters/me").authenticated() .antMatchers(HttpMethod.POST,"/spittles").authenticated() .anyRequest().permitAll();}
antMatchers()方法所设定的路径支持Ant风格的通配符。如下
.antMatchers("/spitters/**","spittles/mine").authenticated(); //Ant风格
antMatchers()方法所使用的路径可能会包括Ant风格的通配符,而regexMatchers()方法则能够接受正则表达式来定义请求路径。如下:
.regexMatchers("spitters/.*").authenticated(); //正则表达式风格
除了路径选择,我们还通过authenticated()和permitAll()来定义该如何保护路径。authenticated()要求在执行该请求时,必须已经登录了应用。如果用户没有认证,Spring Security的Filter将会捕获该请求,并将用户重定向到应用的登录界面。同时permitAll()方法允许请求没有任何的安全限制。除了authenticated()和permitAll()以外,authorizeRequests()方法返回的对象还有更多的方法用于细粒度地保护请求。如下所示:
我们可以将任意数量的antMatchers()、regexMatchers()和anyRequest()连接起来,以满足Web应用安全规则的需要。注意,将最不具体的路径(如anyRequest())放在最后面。如果不这样做,那不具体的路径配置将会覆盖掉更为具体的路径配置。
使用Spring表达式进行安全保护
上面的方法虽然满足了大多数应用场景,但并不是全部。如果我们希望限制某个角色只能在星期二进行访问的话,那么就比较困难了。同时,上面的大多数方法都是一维的,如hasRole()方法和hasIpAddress()方法没办法同时限制一个请求路径。
借助access()方法,我们可以将SpEL作为声明访问限制的一种方式。例如,如下就是使用SpEL表达式来声明具有“ROLE_SPITTER”角色才能访问“/spitter/me”URL:
.antMatchers("/spitters/me").access("hasRole('ROLE_SPITTER')");
让SpEL更强大的原因在于,hasRole()仅是Spring支持的安全相关表达式中的一种。下表列出了Spring Security支持的所有SpEL表达式。
现在,如果我们想限制“/spitter/me”URL的访问,不仅需要ROLE_SPITTER角色,还需要来自指定的IP地址,那么我们可以按照如下的方式调用access()方法:
.antMatchers("/spitter/me") .access("hasRole('SPITTER') and hasIpAddress('127.0.0.1')");
Spring Security拦截请求的另外一种方式:强制通道的安全性
通过HTTP发送的数据没有经过加密,黑客就有机会拦截请求并且能够看到他们想看的数据。这就是为什么敏感信息要通过HTTPS来加密发送的原因。传递到configure()方法中的HttpSecurity对象,除了具有authorizeRequests()方法以外,还有一个requiresChannel()方法,借助这个方法能够为各种URL模式声明所要求的通道(如HTTPS)。
在注册表单中,用户会希望敏感信息(用户不希望泄露的信息,如信用卡号等)是私密的。为了保证注册表单的数据通过HTTPS传送,我们可以在配置中添加requiresChannel()方法,如下所示:
@Overrideprotected void configure(HttpSecurity http) throws Exception{ http .authorizeRequests() .antMatchers("/spitter/me").hasRole("SPITTER") .antMatchers(HttpMethod.POST,"/spittles").hasRole("SPITTER") .anyRequest().permitAll(); .and() .requiresChannel() .antMatchers("spitter/form").requiresSecure(); //需要 }
不论何时,只要是对“/spitter/form”的请求,Spring Security都视为需要安全通道(通过调用requiresChannel()确定的)并自动将请求重定向到HTTPS上。
与之相反,有些页面并不需要通过HTTPS传送。例如,首页不包含任何敏感信息,因此并不需要通过HTTPS传送。我们可以使用requiresInsecure()代替requiresSecure()方法,将首页声明为始终通过HTTP传送:
.antMatchers("/").requiresInsecure();
防止跨站请求伪造
什么是跨站请求伪造?下面是一个简单的例子:
<form method="POST" action="http://www.spittr.com/Spittles"> <input type="hidden" name="massage" value="I'm a stupid" /> <input type="submit" value="Click here to win a new car!"/></form>
这是跨站请求伪造(cross-site request forgery,CRSF)的一个简单样例。简单来讲,入过一个站点欺骗用户提交请求到其他服务器的话,就会发生CSRF攻击,这可能会带来很严重的后果。
从Spring Security3.2开始,默认就会启用CSRF攻击。
Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。
Spring Security已经简化了将token放到请求的属性中这一任务。
使用Thymeleaf,只要标签的action属性添加了Thymeleaf命名空间前缀,那么就会自动生成一个“_csrf”隐藏域:
<form method="POST" th:action="@{/spittles}"> ... </form>
- 使用JSP作为页面模板的话,要做的事非常类似:
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
- 如果使用Spring表单绑定标签的话,标签会自动为我们添加隐藏的CSRF token标签。
上一篇:SpringSecurity学习笔记之三:配置用户存储
下一篇:SpringSecurity学习笔记之五:认证用户
- SpringSecurity学习笔记之四:拦截请求
- SpringSecurity学习笔记(四)——更改SpringSecurity加密方式
- SpringSecurity学习笔记之二:SpringSecurity结构及基本配置
- SpringSecurity学习四-自定义Login请求和返回的数据格式
- SpringSecurity学习笔记之五:认证用户
- SpringSecurity学习笔记之六:保护视图
- SpringSecurity学习笔记一
- SpringSecurity学习笔记之三:配置用户存储
- Spring学习笔记-C9-SpringSecurity
- SpringMVC学习笔记--拦截器拦截Request请求
- SpringSecurity学习笔记之一:SpringSecurity概述及Github项目克隆
- struts2学习笔记之拦截器(Interceptor)
- Struts2学习笔记之自定义拦截器
- Struts2学习笔记之自定义拦截器
- struts2学习笔记之拦截器(Interceptor)
- 安卓学习笔记之骚扰拦截
- SpringBoot学习笔记之拦截器使用
- jQuery学习之四---Ajax请求
- Main 方法的 string[] 形参
- 常见的正则表达式
- HTTP
- n个字符全排列
- jupyter 学习
- SpringSecurity学习笔记之四:拦截请求
- C++设计模式——观察者模式
- 利用 Android Systrace 做performance 分析
- GYM 100030 I.Prohibition(贪心)
- 【Linux Is Not Unix】Zabbix客户端安装
- 八皇后问题
- STL:set/multiset用法详解
- 修复Unity从4.x升级到5.x后部分脚本的编译错误
- ext4 struct ext4_group_desc