Spring Boot 访问安全之认证和鉴权详解

第SpringBoot访问安全之认证和鉴权详解目录拦截器认证鉴权在web应用中有大量场景需要对用户进行安全校，一般人的做法就是硬编码的方式直接埋到到业务代码中，但可曾想过这样做法会导致代码不够简洁（大量重复代码）、有个性化时难维护（每个业务逻辑访问控制策略都不相同甚至差异很大）、容易发生安全泄露（有些业务可能不需要当前登录信息，但被访问的数据可能是敏感数据由于遗忘而没有受到保护）。

为了更安全、更方便的进行访问安全控制，我们可以想到的就是使用springmvc的拦截器（HandlerInterceptor），但其实更推荐使用更为成熟的springsecurity来完成认证和鉴权。

拦截器

拦截器HandlerInterceptor确实可以帮我们完成登录拦截、或是权限校验、或是防重复提交等需求。其实基于它也可以实现基于url或方法级的安全控制。

如果你对springmvc的请求处理流程相对的了解，它的原理容易理解。

publicinterfaceHandlerInterceptor{

*Intercepttheexecutionofahandler.CalledafterHandlerMappingdetermined

*anappropriatehandlerobject,butbeforeHandlerAdapterinvokesthehandler.

*在业务处理器处理请求之前被调用。预处理，可以进行编码、安全控制、权限校验等处理

*handler：controller内的方法，可以通过HandlerMethodmethod=((HandlerMethod)handler);获取到@RequestMapping

booleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException;

*Intercepttheexecutionofahandler.CalledafterHandlerAdapteractually

*invokedthehandler,butbeforetheDispatcherServletrenderstheview.

*在业务处理器处理请求执行完成后，生成视图之前执行。后处理（调用了Service并返回ModelAndView，但未进行页面渲染），有机会修改ModelAndView

voidpostHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,ModelAndViewmodelAndView)throwsException;

*Callbackaftercompletionofrequestprocessing,thatis,afterrendering

*theview.Willbecalledonanyoutcomeofhandlerexecution,thusallows

*forproperresourcecleanup.

*在DispatcherServlet完全处理完请求后被调用，可用于清理资源等。返回处理（已经渲染了页面）

voidafterCompletion(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,Exceptionex)throwsException;

//你可以基于有些url进行拦截

@Configuration

publicclassUserSecurityInterceptorextendsWebMvcConfigurerAdapter{

@Override

publicvoidaddInterceptors(InterceptorRegistryregistry){

String[]securityUrls=newString[]{"/**"};

String[]excludeUrls=newString[]{"/**/esb/**","/**/dictionary/**"};

registry.addInterceptor(userLoginInterceptor()).excludePathPatterns(excludeUrls).addPathPatterns(securityUrls);

super.addInterceptors(registry);

/**fixed:url中包含//报错

*org.springframework.security.web.firewall.RequestRejectedException:TherequestwasrejectedbecausetheURLwasnotnormalized.

*@return

@Bean

publicHttpFirewallallowUrlEncodedSlashHttpFirewall(){

DefaultHttpFirewallfirewall=newDefaultHttpFirewall();

firewall.setAllowUrlEncodedSlash(true);

returnfirewall;

@Bean

publicAuthInterceptoruserLoginInterceptor(){

returnnewAuthInterceptor();

publicclassAuthInterceptorimplementsHandlerInterceptor{

publicLoggerlogger=LoggerFactory.getLogger(AuthInterceptor.class);

@Autowired

privateApplicationContextapplicationContext;

publicAuthInterceptor(){

@Override

publicbooleanpreHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler)throwsException{

LoginUserInfouser=null;

try{

user=(LoginUserInfo)SSOUserUtils.getCurrentLoginUser();

}catch(Exceptione){

logger.error("从SSO登录信息中获取用户信息失败！详细错误信息：%s",e);

thrownewServletException("从SSO登录信息中获取用户信息失败！",e);

String[]profiles=applicationContext.getEnvironment().getActiveProfiles();

if(!Arrays.isNullOrEmpty(profiles)){

if("dev".equals(profiles[0])){

returntrue;

if(user==null||UserUtils.ANONYMOUS_ROLE_ID.equals(user.getRoleId())){

thrownewServletException("获取登录用户信息失败！");

returntrue;

@Override

publicvoidpostHandle(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,ModelAndViewmodelAndView)throwsException{

@Override

publicvoidafterCompletion(HttpServletRequestrequest,HttpServletResponseresponse,Objecthandler,Exceptionex)throwsException{

}

认证

确认一个访问请求发起的时候背后的用户是谁，他的用户信息是怎样的。在springsecurity里面认证支持很多种方式，最简单的就是用户名密码，还有LDAP、OpenID、CAS等等。

而在我们的系统里面，用户信息需要通过kxtx-sso模块进行获取。通过sso认证比较简单，就是要确认用户是否通过会员系统登录，并把登录信息包装成授权对象放到SecurityContext中，通过一个filter来完成：

@Data

@EqualsAndHashCode(callSuper=false)

publicclassSsoAuthenticationextendsAbstractAuthenticationToken{

privatestaticfinallongserialVersionUID=-1799455508626725119L;

privateLoginUserInfouser;

publicSsoAuthentication(LoginUserInfouser){

super(null);

this.user=user;

@Override

publicObjectgetCredentials(){

return"kxsso";

@Override

publicObjectgetPrincipal(){

returnuser;

@Override

publicStringgetName(){

returnuser.getName();

publicclassSsoAuthenticationProcessingFilterextendsOncePerRequestFilter{

@Override

protectedvoiddoFilterInternal(HttpServletRequestrequest,HttpServletResponseresponse,FilterChainfilterChain)

throwsServletException,IOException{

LoginUserInfouser=(LoginUserInfo)SSOUserUtils.getCurrentLoginUser();

SsoAuthenticationauth=newSsoAuthentication(user);

SecurityContextHolder.getContext().setAuthentication(auth);

filterChain.doFilter(request,response);

@Component

publicclassSsoAuthenticationProviderimplementsAuthenticationProvider{

@Value("${env}")

Stringenv;

@Override

publicAuthenticationauthenticate(Authenticationauthentication)throwsAuthenticationException{

LoginUserInfologinUserInfo=(LoginUserInfo)authentication.getPrincipal();

*DEV环境允许匿名用户访问，方便调试，其他环境必须登录。

if(!UserUtils.ANONYMOUS_ROLE_ID.equals(loginUserInfo.getRoleId())||"dev".equals(env)){

authentication.setAuthenticated(true);

}else{

thrownewBadCredentialsException("请登录");

returnauthentication;

@Override

publicbooleansupports(Classauthentication){

returnSsoAuthentication.class.equals(authentication);

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled=true)

publicclassWebSecurityConfigextendsWebSecurityConfigurerAdapter{

protectedvoidconfigure(HttpSecurityhttp)throwsException{

//关闭session

http.sessionManagement().sessionCreationPolicy(Sessi