logo标签列表

如何使用Spring Boot和Spring Security保护REST API?

javaspringrestspring-security
95

我知道保护REST API是一个广受关注的话题,但我无法创建一个符合我的标准的小型原型(我需要确认这些标准是否现实)。有很多选项可以保护资源和使用Spring security,我需要澄清我的需求是否现实。

我的要求

  • 基于令牌的身份验证器-用户提供其凭据并获得唯一且有时限的访问令牌。 我想自己管理令牌创建,检查有效性和过期时间。
  • 某些REST资源将是公共的-根本不需要进行身份验证,
  • 某些资源只对具有管理员权限的用户可访问,
  • 授权后所有用户均可访问其他资源。
  • 我不想使用基本身份验证。
  • Java代码配置(不是XML)

当前状态

我的REST API非常好用,但现在我需要对它进行安全保护。当我在寻找解决方案时,我创建了一个javax.servlet.Filter过滤器:

  @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        String accessToken = request.getHeader(AUTHORIZATION_TOKEN);
        Account account = accountDao.find(accessToken);

        if (account == null) {    
            throw new UnauthorizedException();    
        }

        chain.doFilter(req, res);

    }
但是我需要的解决方案与javax.servlet.filters不起作用,因为使用Spring servlet dispatcher时,通过@ControllerAdvice处理异常存在问题。 我需要什么 我想知道这些标准是否现实,并获得任何帮助,以开始使用Spring Security保护REST API。我阅读了许多教程(例如Spring Data REST + Spring Security),但它们都在非常基本的配置中工作-用户的凭据存储在内存中的配置中,而我需要使用DBMS并创建自己的认证器。 请给我一些开始的想法。
5个回答
73

基于令牌的身份验证-用户将提供其凭据并获取唯一且有时间限制的访问令牌。我希望在我的实现中管理令牌的创建、检查有效性和过期。

实际上,在这种情况下,使用过滤器进行令牌认证是最好的方法。

最终,您可以通过Spring Data创建CRUD来管理Token的属性,例如到期等。

这是我的令牌过滤器:http://pastebin.com/13WWpLq2

以及令牌服务实现

http://pastebin.com/dUYM555E

一些REST资源将是公共的-根本不需要进行身份验证

这不是问题,您可以通过Spring安全配置来管理您的资源,例如:.antMatchers("/rest/blabla/**").permitAll()

某些资源仅对具有管理员权限的用户可访问,

请看类上的@Secured注释。 示例:

@Controller
@RequestMapping(value = "/adminservice")
@Secured("ROLE_ADMIN")
public class AdminServiceController {

另一个资源将在所有用户授权后可访问。

回到Spring Security配置,您可以像这样配置您的URL:

    http
            .authorizeRequests()
            .antMatchers("/openforall/**").permitAll()
            .antMatchers("/alsoopen/**").permitAll()
            .anyRequest().authenticated()

我不想使用基本身份验证

是的,通过令牌过滤器,您的用户将被验证。

Java代码配置(非XML)

回到上面的文字,看看@EnableWebSecurity。 您的类将是:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

你需要重写 configure 方法。下面的代码仅供示例,演示如何配置匹配器。它来自另一个项目。

    @Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()
            .antMatchers("/assets/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
                .usernameParameter("j_username")
                .passwordParameter("j_password")
                .loginPage("/login")
                .defaultSuccessUrl("/", true)
                .successHandler(customAuthenticationSuccessHandler)
                .permitAll()
            .and()
                .logout()
                .logoutUrl("/logout")
                .invalidateHttpSession(true)
                .logoutSuccessUrl("/")
                .deleteCookies("JSESSIONID")
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .and()
                .csrf();
}
你能帮我回答一下这个问题吗?https://stackoverflow.com/questions/46065063/spring-boot-basic-authentication - Felipe A.
2
有包含所有需求的示例项目吗? - AlikElzin-kilaka
@Oleksandr:这有点冒险,但你能告诉我为什么你在RESTAuthenticationTokenProcessingFilter类的updateLastLogin(...)方法中开启了一个线程吗? - Oliver
1
@z3d4s,实际上这是一个旧的示例(4年前),现在我建议使用OffsetDateTime、其他方法等 :) 我建议使用新线程来减少用户请求的处理时间,因为保存到数据库时可能需要额外的时间。 - Oleksandr Loushkin
啊,我明白了,那是个天才的解决方案!谢谢! - Oliver
4

Spring Security非常有用,可以为REST URL提供身份验证和授权。我们无需指定任何自定义实现。

首先,在安全配置中需要将entry-point-ref指定为restAuthenticationEntryPoint,如下所示:

 <security:http pattern="/api/**" entry-point-ref="restAuthenticationEntryPoint" use-expressions="true" auto-config="true" create-session="stateless" >

    <security:intercept-url pattern="/api/userList" access="hasRole('ROLE_USER')"/>
    <security:intercept-url pattern="/api/managerList" access="hasRole('ROLE_ADMIN')"/>
    <security:custom-filter ref="preAuthFilter" position="PRE_AUTH_FILTER"/>
</security:http>

restAuthenticationEntryPoint的实现可能如下所示。

 @Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {

   public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException ) throws IOException {
      response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized" );
   }
}

接下来,您需要指定RequestHeaderAuthenticationFilter。它包含RequestHeader键。这基本上用于识别用户的身份验证。通常在进行REST调用时,RequestHeader携带此信息。
例如,请考虑以下代码:

   <bean id="preAuthFilter" class="org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter">
    <property name="principalRequestHeader" value="Authorization"/>
    <property name="authenticationManager" ref="authenticationManager" />
  </bean>

这里,
<property name="principalRequestHeader" value="Authorization"/>

"

授权(Authorization)是传入请求中呈现的关键。它保存了用户所需的身份验证信息。同时,您需要配置PreAuthenticatedAuthenticationProvider以满足我们的要求。

"
   <bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
  <bean id="userDetailsServiceWrapper"
      class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
    <property name="userDetailsService" ref="authenticationService"/>
  </bean>
</property>
</bean>

这段代码可以通过身份验证和授权来保护REST URL,而无需进行任何自定义实现。

完整的代码请查看以下链接:

https://github.com/srinivas1918/spring-rest-security

0

使用自定义过滤器的另一种方法:使用http.addFilterBefore()

这种解决方案更像是一个框架,帮助您建立基本框架。我创建了一个工作演示并添加了一些必要的注释以帮助理解该过程。它带有一些简单的基于角色基于权限的身份验证/授权,以及一个公共可访问端点设置,您可以轻松地选择并使用。

因此最好查看完整代码,并运行应用程序:github repo

用户类设置:

public class User implements UserDetails {

  private final String username;
  private final String password;
  private final List<? extends GrantedAuthority> grantedAuthorities;

  public User(
    String username,
    String password,
    List<? extends GrantedAuthority> grantedAuthorities
  ) {
    this.username = username;
    this.password = password;
    this.grantedAuthorities = grantedAuthorities;
  }

  // And other default method overrides
}

通过addFilterBefore()方法添加自定义过滤器:

http
    .authorizeRequests()
    .antMatchers("/") 
    .permitAll()
    .addFilterBefore( // Filter login request only
        new LoginFilter("login", authenticationManager()),
        UsernamePasswordAuthenticationFilter.class
    )
    .addFilterBefore( // Filter logout request only
        new LogoutFilter("logout"),
        UsernamePasswordAuthenticationFilter.class
    )
    .addFilterBefore( // Verify user on every request
        new AuthenticationFilter(),
        UsernamePasswordAuthenticationFilter.class
    );

自定义LoginFilter继承AbstractAuthenticationProcessingFilter,并覆盖三个方法以处理身份验证:

public class LoginFilter extends AbstractAuthenticationProcessingFilter {

  public LoginFilter(String url, AuthenticationManager authManager) {
    super(url, authManager);
  }

  @Override
  public Authentication attemptAuthentication(
    HttpServletRequest req,
    HttpServletResponse res
  )
    throws AuthenticationException, IOException {
    LoginUserDto loginUserDto = new ObjectMapper() // this dto is a simple {username, password} object
    .readValue(req.getInputStream(), LoginUserDto.class);

    return getAuthenticationManager()
      .authenticate(
        new UsernamePasswordAuthenticationToken(
          loginUserDto.getUsername(),
          loginUserDto.getPassword()
        )
      );
  }

  @Override
  protected void successfulAuthentication(
    HttpServletRequest req,
    HttpServletResponse res,
    FilterChain chain,
    Authentication auth
  )
    throws IOException, ServletException {
    User user = (User) auth.getPrincipal();

    req.getSession().setAttribute(UserSessionKey, user); // Simply put it in session

    res.getOutputStream().print("You are logged in as " + user.getUsername());
  }

  @Override
  protected void unsuccessfulAuthentication(
    HttpServletRequest request,
    HttpServletResponse response,
    AuthenticationException failed
  )
    throws IOException, ServletException {
    response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
    response.setContentType("text/plain");
    response.getOutputStream().print(failed.getMessage());
  }
}

自定义 AuthenticationFilter 检查存储在会话中的 auth info 并传递给 SecurityContext

public class AuthenticationFilter extends GenericFilterBean {

  @Override
  public void doFilter(
    ServletRequest request,
    ServletResponse response,
    FilterChain filterChain
  )
    throws IOException, ServletException {
    HttpServletRequest req = (HttpServletRequest) request;
    HttpSession session = req.getSession();

    User user = (User) session.getAttribute(UserSessionKey);

    if (user != null) {
      UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(
        user,
        user.getPassword(),
        user.getAuthorities()
      );

      SecurityContextHolder.getContext().setAuthentication(authToken);
    }

    // Either securityContext has authToken or not, we continue the filter chain
    filterChain.doFilter(request, response);
  }
}

自定义LogoutFilter非常简单明了,只需使会话无效并终止认证过程:

public class LogoutFilter extends AbstractAuthenticationProcessingFilter {

  public LogoutFilter(String url) {
    super(url);
  }

  @Override
  public Authentication attemptAuthentication(
    HttpServletRequest req,
    HttpServletResponse res
  )
    throws AuthenticationException, IOException {
    req.getSession().invalidate();
    res.getWriter().println("You logged out!");

    return null;
  }
}

一点解释:

这三个自定义过滤器的作用是,loginlogout 过滤器只监听它们各自的端点。

在登录过滤器中,我们从客户端获取用户名和密码,并针对实际情况检查其是否有效,如果是有效用户,则将其放入会话并传递给SecurityContext

在注销过滤器中,我们简单地使会话无效并返回一个字符串。

而自定义的AuthenticationFilter将尝试验证每个传入的请求,以从会话中获取用户信息,然后将其传递给SecurityContext

0
-3

验证REST API有两种方法:

1-使用应用程序属性文件中设置的默认用户名和密码进行基本身份验证

基本身份验证

2-使用数据库(userDetailsService)进行身份验证,使用实际的用户名和密码

高级身份验证

视频非常有用。如何为ReST API执行相同的高级身份验证。这里只描述Web方面。是否有关于REST API高级身份验证的视频教程? - Mr.DevEng
如果您观看了第二个视频(高级身份验证),那么我也在其中使用REST客户端(用于REST API)进行相同的身份验证。 - Jeet Singh Parmar
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接