八、【spring】web應用安全設計

• 2020 年 6 月 2 日
• 筆記
• JAVA, spring

內容

• Spring Security
• 使用Servlet規範中的Filter保護Web應用
• 基於資料庫和LDAP進行認證

關鍵詞

8.1 理解Spring Security模組

Spring Security:是為基於Spring的應用程式提供聲明式安全保護的安全性框架。Spring Security提供了完整的安全性解決方案，它能夠在Web請求級別和方法調用級別處理身份認證和授權。因為基於Spring框架，所以Spring Security充分利用了依賴注入(DI)和面向切面的技術。

通過兩種角度解決安全問題

1. 使用Servlet規範中的Filter保護Web請求並限制URL級別的訪問。
2. 使用Spring AOP保護方法調用——藉助於對象代理和使用通知，能夠確保只有具備適當許可權的用戶才能訪問安全保護的方法。

8.1.1 理解模組

Security被分成以下11個模組

應用程式的類路徑下至少要包含Core和Configuration兩個模組

9.1.2 簡單的安全配置

Spring Security藉助Spring Filter來提高各種安全性功能
Spring Security配置

package test
import .......Configuration;
import .......EnableWebSecurity;
import .......WebSecurityConfigureAdapter;

@Configuration
// 啟用Web安全性
@EnableWebSecurity
// 啟用Web MVC安全性
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigureAdapter {

}

以上只是寫了一個類擴展了WebSecurityConfigureAdapter類，但是要是啟用還需要重載WebSecurityConfigureAdapter的三個方法。

雖然重載了以上的方法，但是問題依然存在，我們需要

• 配置用戶存儲
• 指定那些請求需要認證，哪些不需要，以及提供什麼樣的許可權
• 提供一個自定義的登陸頁面，替代原來簡單的默認登錄頁

8.2 選擇查詢用戶詳細資訊的服務

Spring Security提供了基於數據存儲來認證用戶，它內置了多種常見的用戶存儲場景，如記憶體，關係型資料庫以及LDAP，也可以編寫並插入自定義的用戶存儲實現。

8.2.1 使用基於記憶體的用戶存儲

擴展了WebSecurityConfigureAdapter，所以重載Configure方法，並以AuthenticationManageBuilder作為傳入參數

package test.config

import org.springframework.context.annotation.Configuration;
import org.springframework.beans.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.servlet.configuration.EnableWebMvcSecurity;
@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
  	protected void configure(AuthenticationManageBuilder auth) throws Exception {
		auth.inMemoryAuthentication().withUser("user").password("password").roles("USER").and().withUser("admin").password("password").roles(""USER","ADMIN");
	}
}

程式碼解析：

• configure()方法中使用類使用構造者風格的介面來構建認證配置。
• 調用withUser()方法為記憶體用戶存儲添加新的用戶，該方法的UserDetailsManagerConfigurer.UserDetailsBuilder,
• 添加兩個用戶，user具有USER角色，admin具有USER和ADMIN角色。
• roles方法是authorities方法的簡寫形式。

配置用戶詳細資訊的方法

8.3 攔截請求

請求不是不攔截，也不是都攔截，而是需要適度的攔截

@Override
protected void configure(HttpSecurity http) throws Exception {
	http.authorizeRequests().antMatchers("/spitters/me").authenticated().antMatchers(HttpMethod.POST,"/spittles").authenticated().anyRequest().permitAll();
}

保護路徑配置方法列表

8.3.1 強制通道安全性

使用requireChannel()方法，藉助這個方法可以為各種URL模式聲明所請求的通道

```java
@Override
protected void configure(HttpSecurity http) throws Exception {
	http.authorizeRequests().antMatchers("/spitters/me").authenticated().antMatchers(HttpMethod.POST,"/spittles").authenticated().anyRequest().permitAll().and().requiresChannel().antMatchers("/spitters/form").requireSecure();<--需要HTTPS
	.requiresInsecure().antMatchers("/").requireInSecure();<--使用HTTP
}

8.3.2 防止跨站請求偽造

跨站請求偽造（cross-site request forgery,CSRF）

Spring Security通過一個同步token的方式來實現CSRF防護的功能。它將會攔截狀態變化的請求（非GET、HEAD等的請求）並檢查CSRF_token。如果請求中不包含CSRF token或者與伺服器的token不符合則會失敗，並拋出csrfException異常。意味著在所有表單中必須在一個”_csrf”的域中提交token

<form method="POST" th:action="@{/spittle}">
...
</form>

當然也可以在程式碼中取消該功能
.csrf.disable();即可