**伪造的跨域攻击:**此类攻击主要源自“服务器端对客户端的浏览器的信任”(本质上是浏览器对同一个服务器端会携带同一个Session ID),例如,用户在浏览器的第1个选项卡中登录了,在第2个、第3个等等其它选项卡访问同样的服务器,也会被视为“已登录”的状态。所以,假设某用户在浏览器的第1个选项卡中登录了网上银行,第2个选项卡打开其它某个恶意的网站(并不是网上银行),此网站中隐藏了一个网上银行发起请求的链接,并会自动提交(比较典型的做法就是把链接做为标签的
src
值,并隐藏此标签使之不显示),则会导致在第2个选项卡中打开恶意网站时就向网上银行发出了请求,网上银行接收到此请求时,也会视为“已登录”的状态!虽然通过这种手段基本上无法实现财产的窃取,但仍可以做一些其它的数据窃取。
**典型的防御手段:**在“非前后端分离”的开发模式下,服务器端在生成表单时,会在表单中隐藏一个具有“唯一性”或较强的“随机性”的值,正常提交表单时,此值会随着表单数据一并提交到服务器端,所以,服务器端会根据是否正确的提交了这个值,来判断是否是通过正常方式提交的请求。以Spring Security的默认登录表单为例:
**注意:**在“前后端分离”的项目中,由于服务器端不负责生成各表单页面,所以,也无法在表单中添加UUID值,则客户端提交的请求中也无法提交正确的UUID值,所以,这种防御机制并不适用!
在Spring Security的配置类中,调用HttpSecurity
对象的csrf().disable()
方法可以禁用此防御机制,则POST请求不再被要求提交UUID值,是可以正常使用的!例如:
@Override
protected void configure(HttpSecurity http) throws Exception {// 禁用“防止伪造的跨域攻击”这种防御机制http.csrf().disable();// 暂不关心其它配置的代码
}
BCrypt算法是目前用于处理密码加密存储时最安全的算法之一!
在Spring Security框架中,自带了BCryptPasswordEncoder
类,用于执行加密与对比。
public class BCryptTests {BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();@Testvoid encode() {String rawPassword = "123456";System.out.println("原文:" + rawPassword);for (int i = 0; i < 10; i++) {String encodedPassword = passwordEncoder.encode(rawPassword);System.out.println("密文:" + encodedPassword);}// 原文:123456// 密文:$2a$10$i9E1pAtpQXIV4uUOjNr7ve/SWM9BDQl4hxq7Qz.kYDeLHTJwKhr7K// 密文:$2a$10$GCBOO7x7r8TjACK.ujA3oeft2uoKBTUm2L8UbWTRlnaugIupQB2Aq// 密文:$2a$10$osWYVZT3aBnG9h9ACiS8Mup3Hu4gjx1Lf46OIrjmseICX1cEPXZO6// 密文:$2a$10$r9l2Yced59FDWSFgh.mvmeAEyVQ9utfnEJJKuawO/17ndBT/xCF1q// 密文:$2a$10$A2DhHyIOTmWFbekRwM.wuOMSYQ1xVail7q3b1jkM4bdOjNJmfHuFK// 密文:$2a$10$YdvML3WsSlMghscfry/zkO67Yp8HZuVakMAXXDtuN.xmZUjVGcp5i// 密文:$2a$10$F.SxK1hRERQN6rwDIKw2BeD/wNXndICBs7pB9KJ7.rb9hqGVmpeeS// 密文:$2a$10$vtLCxMWTylqcqLwdcQpzIO00oT.lmULR9aQoelfP4BP6/0FBa2ckG// 密文:$2a$10$NX.BX7byguflK6G4/lQhVuJZZbekko.6h69Tilvdu2uMGHJuQCxi.// 密文:$2a$10$PNwmIXSRmy5yISsdbW1/Jusq4xwRx1KbkNGu.uJC2fYiHRQjOkWvS}@Testvoid matches() {String rawPassword = "123456";String encodedPassword = "$2a$10$osWYVZT3aBnG9h9ACiS8Mup3Hu4gjx1Lf46OIrjmseICX1cEPXZO6";boolean result = passwordEncoder.matches(rawPassword, encodedPassword);System.out.println("原文:" + rawPassword);System.out.println("密文:" + encodedPassword);System.out.println("匹配结果:" + result);}}
BCrypt算法是一个运算效率极低的算法,可以非常有效的避免穷举式的暴力破解,这也是BCrypt算法的核心优势之一!
PasswordEncoder
是一个接口,BCryptPasswordEncoder
、NoOpPasswordEncoder
都是其典型的实现类。
Spring Security框架在处理认证时(判断尝试登录的账号的密码是否正确时),会自动使用PasswordEncoder
中的matches()
方法将原文和密文进行对比,所以:
PasswordEncoder
对象到Spring容器中UserDetailsService
接口中的loadUserByUsername()
方法,返回的UserDetails
接口类型的对象中的password
应该与你配置的PasswordEncoder
使用的算法是对应的首先,要保证默认的登录表单不被启用,即:在Spring Security的配置类中,不再使用http.formLogin()
方法!
然后:
AuthenticationManager
(认证管理器)对象的authenticate()
方法,则Spring Security会自动调用UserDetailsService
接口对象的loadUserByUsername()
方法获取用户信息详情并自动验证此用户是否允许登录所以,在项目的根包下创建pojo.dto.AdminLoginDTO
类,用于封装客户端提交的用户名和密码:
@Data
public class AdminLoginDTO implements Serializable {private String username;private String password;
}
然后,在Spring Security的配置类(自定义的SecurityConfiguration
类)中重写authenticationManagerBean()
方法,并在此方法上添加@Bean
注解,则Spring会自动调用此方法,得到AuthenticationManager
类型的对象,并保存在Spring容器中,后续,需要AuthenticationManager
时可以自动装配!
@Bean // 重要
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();
}
**注意:**以上重写的是authenticationManagerBean()
方法,而不是authenticationManager()
方法!如果重写错误,在后续某此测试中会出现死循环,导致内存溢出!
在IAdminService
接口中添加抽象方法:
void login(AdminLoginDTO adminLoginDTO);
在AdminServiceImpl
中重写以上方法:
@Autowired
private AuthenticationManager authenticationManager;@Override
public void login(AdminLoginDTO adminLoginDTO) {log.debug("开始处理【管理员登录】的业务,参数:{}", adminLoginDTO);Authentication authentication = new UsernamePasswordAuthenticationToken(adminLoginDTO.getUsername(), adminLoginDTO.getPassword());authenticationManager.authenticate(authentication);
}
在AdminController
中添加处理请求的方法:
// http://localhost:9081/admins/login
@PostMapping("/login")
public JsonResult login(AdminLoginDTO adminLoginDTO) {log.debug("开始处理【管理员登录】的请求,参数:{}", adminLoginDTO);adminService.login(adminLoginDTO);return JsonResult.ok();
}
另外,还需要将/admins/login
添加到Spring Security配置类中的白名单中:
@Override
protected void configure(HttpSecurity http) throws Exception {// 白名单String[] urls = {"/doc.html","/**/*.js","/**/*.css","/swagger-resources","/v2/api-docs","/admins/login" // 新增,重要};// 暂不关心其它代码
}
完成后,重启项目,通过API文档测试访问:
当用户名不存在时:
org.springframework.security.authentication.InternalAuthenticationServiceException: UserDetailsService returned null, which is an interface contract violation
当密码错误时:
org.springframework.security.authentication.BadCredentialsException: 用户名或密码错误
当账号被禁用时:
org.springframework.security.authentication.DisabledException: 用户已失效
由于每种错误都会抛出某个异常,则应该先在ServiceCode
中补充各种错误对应的业务状态码的枚举值:
public enum ServiceCode {OK(20000),ERR_BAD_REQUEST(40000),ERR_NOT_FOUND(40400),ERR_UNAUTHORIZED(40100), // 新增ERR_UNAUTHORIZED_DISABLED(40110), // 新增ERR_FORBIDDEN(40300), // 新增ERR_CONFLICT(40900),ERR_INSERT(50000),ERR_DELETE(50100),ERR_UPDATE(50200),ERR_SELECT(50300),ERR_UNKNOWN(99999);// 暂不关心其它代码}
然后在全局异常处理器中添加处理异常的方法:
@ExceptionHandler({InternalAuthenticationServiceException.class,BadCredentialsException.class})
public JsonResult handleAuthenticationException(AuthenticationException e) {log.warn("程序运行过程中出现AuthenticationException,将统一处理!");log.warn("异常信息:{}", e.getMessage());String message = "登录失败,用户名或密码错误!";return JsonResult.fail(ServiceCode.ERR_UNAUTHORIZED, message);
}@ExceptionHandler
public JsonResult handleDisabledException(DisabledException e) {log.warn("程序运行过程中出现DisabledException,将统一处理!");log.warn("异常信息:{}", e.getMessage());String message = "登录失败,此账号已经被禁用!";return JsonResult.fail(ServiceCode.ERR_UNAUTHORIZED_DISABLED, message);
}
在Spring Security中,为每个客户端都分配了一个SecurityContext
,会根据在SecurityContext
中是否存在认证信息来判断是否已通过认证,即:
SecurityContext
中存在认证信息:已通过认证SecurityContext
中没有认证信息:未通过认证同时,SecurityContext
默认是基于Session的,所以,也符合Session的某些特征,例如默认的有效期。
在项目中,可以通过SecurityContextHolder
的静态方法getContext()
方法,得到当前客户端对应的SecurityContext
对象!
所以,在AdminServiceImpl
中处理认证时,当通过认证,需要获取返回结果,并且,将返回结果存入到SecurityContext
中:
@Override
public void login(AdminLoginDTO adminLoginDTO) {log.debug("开始处理【管理员登录】的业务,参数:{}", adminLoginDTO);// 执行认证Authentication authentication = new UsernamePasswordAuthenticationToken(adminLoginDTO.getUsername(), adminLoginDTO.getPassword());// 【调整】以下调用方法时需要获取返回值Authentication authenticationResult= authenticationManager.authenticate(authentication);// 【新增】将认证信息存入到SecurityContextSecurityContext securityContext = SecurityContextHolder.getContext();securityContext.setAuthentication(authenticationResult);
}
authenticate()
的认证结果当调用AuthenticationManager
的authenticate()
方法执行认证,且认证通过时,此方法的返回结果例如:
2023-02-07 15:07:27.011 DEBUG 9212 --- [nio-9081-exec-1] c.t.c.p.service.impl.AdminServiceImpl : 认证通过,结果:UsernamePasswordAuthenticationToken [Principal=org.springframework.security.core.userdetails.User [Username=root, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[暂时给个山寨权限,暂时没有作用,只是避免报错而已]], Credentials=[PROTECTED], Authenticated=true, Details=null, Granted Authorities=[暂时给个山寨权限,暂时没有作用,只是避免报错而已]
]
在认证结果中的Principal
属性的值就是User
类型的,本质上,就是自定义的UserDetailsServiceImplementation
中loadUserByUsername()
方法的返回值!
在由框架调用的方法中,可以在参数列表中添加当事人类型的参数,并在此参数上添加@AuthenticationPrincipal
注解,则框架会自动为此参数注入值,例如:
@GetMapping("")
// ↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓ 注解
// ↓↓↓↓ 当事人的数据类型
public JsonResult> list(@AuthenticationPrincipal User user) {log.debug("开始处理【查询管理员列表】的请求,参数:无");log.debug("当事人:{}", user);List list = adminService.list();return JsonResult.ok(list);
}
其实,以上当事人的数据,就是UserDetailsServiceImpl
中的loadUserByUsername()
返回的UserDetails
类型结果!
**注意:**当在处理请求的方法上添加了参数后,API文档会误以为这是需要由客户端提交的请求参数,实际此参数是由Spring Security框架来注入的,所以,应该在此参数上添加@ApiIgnore
注解,使得API文档框架忽略此参数:
@GetMapping("")
// ↓↓↓↓↓↓↓↓↓↓ 新增注解
public JsonResult> list(@ApiIgnore @AuthenticationPrincipal User user) {log.debug("开始处理【查询管理员列表】的请求,参数:无");log.debug("当事人:{}", user);List list = adminService.list();return JsonResult.ok(list);
}
由Spring Security提供的User
类型实现了UserDetails
接口,但是,User
类型中的属性不一定足以满足编程需求,典型的问题就是:User
类型中没有id
属性,则后续在控制器中也无法得知登录的用户的ID。
可以自定义类,实现UserDetails
接口,或继承自User
类,在UserDetailsServiceImpl
中的loadUserByUsername()
方法中,返回自定义类的对象,则后续在控制器中可以注入此对象!
在项目的根包下创建security.AdminDetails
类,继承自User
类:
@ToString(callSuper = true)
public class AdminDetails extends User {@Getterprivate Long id;public AdminDetails(Long id, String username, String password, boolean enabled,Collection extends GrantedAuthority> authorities) {super(username, password, enabled,true, true, true, authorities);this.id = id;}}
并且,在UserDetailsServiceImpl
中的loadUserByUsername()
方法中,返回AdminDetails
的对象:
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {log.debug("Spring Security调用了loadUserByUsername()方法,参数:{}", s);AdminLoginInfoVO loginInfo = adminMapper.getLoginInfoByUsername(s);log.debug("从数据库查询用户名【{}】匹配的信息,结果:{}", s, loginInfo);if (loginInfo == null) {return null; // 暂时}// ========== 以下是调整后的代码 ==========List authorities = new ArrayList<>();SimpleGrantedAuthority authority = new SimpleGrantedAuthority("这是临时使用的一个山寨的权限");authorities.add(authority);AdminDetails adminDetails = new AdminDetails(loginInfo.getId(),loginInfo.getUsername(),loginInfo.getPassword(),loginInfo.getEnable() == 1,authorities);log.debug("即将向Spring Security返回UserDetails对象:{}", adminDetails);return adminDetails;
}
接下来,就可以在控制器中将当事人类型改为自定义的数据类型:
@GetMapping("")
// ↓↓↓↓↓↓↓↓↓↓↓↓ 自定义类型的当事人
public JsonResult> list(@AuthenticationPrincipal AdminDetails adminDetails) {log.debug("开始处理【查询管理员列表】的请求,参数:无");log.debug("当事人:{}", adminDetails); // 可以获取IDlog.debug("当事人的ID:{}", adminDetails.getId());log.debug("当事人的用户名:{}", adminDetails.getUsername());List list = adminService.list();return JsonResult.ok(list);
}
首先,需要调整原有的“根据用户名查询管理员的登录信息”功能,将用户名对应的管理员的权限列表查询出来,需要执行的SQL语句大致是:
SELECTams_admin.id,ams_admin.username,ams_admin.password,ams_admin.enable,ams_permission.value
FROM ams_admin
LEFT JOIN ams_admin_role ON ams_admin.id=ams_admin_role.admin_id
LEFT JOIN ams_role_permission ON ams_admin_role.role_id=ams_role_permission.role_id
LEFT JOIN ams_permission ON ams_role_permission.permission_id=ams_permission.id
WHERE ams_admin.username='root';
在AdminLoginInfoVO
中,添加属性,以表示管理员信息中的“权限列表”:
@Data
public class AdminLoginInfoVO implements Serializable {// 暂不关心原有的其它代码// ========== 以下是新增的属性 ==========/*** 权限列表*/private List permissions;}
并在AdminMapper.xml
中调整:
ams_admin.id,ams_admin.username,ams_admin.password,ams_admin.enable,ams_permission.value
接下来,在UserDetailsServiceImpl
的loadUserByUsername()
方法,返回的数据中应该包含正确的权限:
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {log.debug("Spring Security调用了loadUserByUsername()方法,参数:{}", s);AdminLoginInfoVO loginInfo = adminMapper.getLoginInfoByUsername(s);log.debug("从数据库查询用户名【{}】匹配的信息,结果:{}", s, loginInfo);if (loginInfo == null) {return null; // 暂时}// ========== 重要 ===========List permissions = loginInfo.getPermissions();List authorities = new ArrayList<>();for (String permission : permissions) {SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);authorities.add(authority);}AdminDetails adminDetails = new AdminDetails(loginInfo.getId(),loginInfo.getUsername(),loginInfo.getPassword(),loginInfo.getEnable() == 1,authorities);log.debug("即将向Spring Security返回UserDetails对象:{}", adminDetails);return adminDetails;
}
至此,当每个管理员登录时,当前程序都会把对应的权限列表存入到SecurityContext
中的认证信息中!
接下来,可以开启“基于方法的权限检查”,并且,在需要检查权限的方法上,通过注解配置权限!
则在Spring Security的配置类上,添加注解,以开启“基于方法的权限检查”:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) // 新增
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
}
然后,在AdminController
中:
// http://localhost:9081/admins
@PreAuthorize("hasAuthority('/ams/admin/read')") // 配置权限
@GetMapping("")
public JsonResult> list(@AuthenticationPrincipal AdminDetails adminDetails) {// 暂不关心方法的实现
}
如果使用无此权限的账号提交请求,服务器端会出现错误:
org.springframework.security.access.AccessDeniedException: 不允许访问
则需要在ServiceCode
中补充对应的业务状态码(此前应该已经事先添加了):ERR_FORBIDDEN(40300)
,然后,在GlobalExceptionHandler
中补充处理以上异常的方法:
@ExceptionHandler
public JsonResult handleAccessDeniedException(AccessDeniedException e) {log.warn("程序运行过程中出现AccessDeniedException,将统一处理!");log.warn("异常信息:{}", e.getMessage());String message = "禁止访问,您当前登录的账号无此操作权限!";return JsonResult.fail(ServiceCode.ERR_FORBIDDEN, message);
}
下一篇:SOFT_RoCE环境搭建