拦截请求
[TOC]
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。
对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:
1 |
|
antMatchers()方法所设定的路径支持Ant风格的通配符。如下
1 | .antMatchers("/spitters/**","spittles/mine").authenticated(); //Ant风格1 |
antMatchers()方法所使用的路径可能会包括Ant风格的通配符,而regexMatchers()方法则能够接受正则表达式来定义请求路径。如下:
1 | .regexMatchers("spitters/.*").authenticated(); //正则表达式风格1 |
除了路径选择,我们还通过authenticated()和permitAll()来定义该如何保护路径。authenticated()要求在执行该请求时,必须已经登录了应用。如果用户没有认证,Spring Security的Filter将会捕获该请求,并将用户重定向到应用的登录界面。同时permitAll()方法允许请求没有任何的安全限制。除了authenticated()和permitAll()以外,authorizeRequests()方法返回的对象还有更多的方法用于细粒度地保护请求。如下所示:
| 方法 | 描述 |
|---|---|
| access(String) | 如果给定的SpEL表达式结果为true,就允许访问 |
| anonymous | 允许匿名访问 |
| authenticated | 允许认证过的用户访问 |
| denyAll | 无条件拒绝所有访问 |
| fullyAuthenticated | 如果用户是完整认证的话(非Remember-me功能认证),允许访问 |
| hasAnyAuthority | 如果用户具备给定权限的某一种的话,允许访问 |
| hasAnyRoles | 如果用户具备给定角色的某一种的话,允许访问 |
| hasAuthority | 如果用户具备给定权限的话,允许访问 |
| hasIPAddress | 如果用户具备给定IP的话,允许访问 |
| hasRole | 如果用户具备给定角色的话,允许访问 |
| not | 对其他访问方法的结果求反 |
| permitAll | 无条件允许 |
| rememberMe | 如果用户是通过Remember-me功能认证的,允许访问 |
我们可以将任意数量的antMatchers()、regexMatchers()和anyRequest()连接起来,以满足Web应用安全规则的需要。注意,将最不具体的路径(如anyRequest())放在最后面。如果不这样做,那不具体的路径配置将会覆盖掉更为具体的路径配置。
使用Spring表达式进行安全保护
上面的方法虽然满足了大多数应用场景,但并不是全部。如果我们希望限制某个角色只能在星期二进行访问的话,那么就比较困难了。同时,上面的大多数方法都是一维的,如hasRole()方法和hasIpAddress()方法没办法同时限制一个请求路径。
借助access()方法,我们可以将SpEL作为声明访问限制的一种方式。例如,如下就是使用SpEL表达式来声明具有“ROLE_SPITTER”角色才能访问“/spitter/me”URL:
1 | .antMatchers("/spitters/me").access("hasRole('ROLE_SPITTER')");1 |
让SpEL更强大的原因在于,hasRole()仅是Spring支持的安全相关表达式中的一种。下表列出了Spring Security支持的所有SpEL表达式。
| 表达式 | 计算结果 |
|---|---|
| authentication | 用户的认证对象 |
| denyAll | 结果始终为false |
| hasAnyRole(list of roles) | 如果用户被授予列表中的任意的指定角色,结果为true |
| hasRole(role) | 如果用户被授予指定角色,结果为true |
| hasIpaddress(ip) | 如果用户来自指定ip,结果为true |
| isAnonymous | 如果用户是匿名,结果为true |
| isAuthenticated | 如果用户进行过认证,结果为true |
| isFullyAuthenticated | 如果用户进行过完整认证(非Remember-me),结果为true |
| isRememberMe | 如果用户进行过(Remember-me)认证,结果为true |
| permitAll | 结果始终为true |
| principal | 用户的principal对象 |
现在,如果我们想限制“/spitter/me”URL的访问,不仅需要ROLE_SPITTER角色,还需要来自指定的IP地址,那么我们可以按照如下的方式调用access()方法:
1 | .antMatchers("/spitter/me") |
Spring Security拦截请求的另外一种方式:强制通道的安全性
通过HTTP发送的数据没有经过加密,黑客就有机会拦截请求并且能够看到他们想看的数据。这就是为什么敏感信息要通过HTTPS来加密发送的原因。传递到configure()方法中的HttpSecurity对象,除了具有authorizeRequests()方法以外,还有一个requiresChannel()方法,借助这个方法能够为各种URL模式声明所要求的通道(如HTTPS)。
在注册表单中,用户会希望敏感信息(用户不希望泄露的信息,如信用卡号等)是私密的。为了保证注册表单的数据通过HTTPS传送,我们可以在配置中添加requiresChannel()方法,如下所示:
1 |
|
不论何时,只要是对“/spitter/form”的请求,Spring Security都视为需要安全通道(通过调用requiresChannel()确定的)并自动将请求重定向到HTTPS上。
与之相反,有些页面并不需要通过HTTPS传送。例如,首页不包含任何敏感信息,因此并不需要通过HTTPS传送。我们可以使用requiresInsecure()代替requiresSecure()方法,将首页声明为始终通过HTTP传送:
1 | .antMatchers("/").requiresInsecure();1 |
防止跨站请求伪造
什么是跨站请求伪造?下面是一个简单的例子:
1 | <form method="POST" action="http://www.spittr.com/Spittles"> |
这是跨站请求伪造(cross-site request forgery,CRSF)的一个简单样例。简单来讲,入过一个站点欺骗用户提交请求到其他服务器的话,就会发生CSRF攻击,这可能会带来很严重的后果。
从Spring Security3.2开始,默认就会启用CSRF攻击。
Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。
Spring Security已经简化了将token放到请求的属性中这一任务。
使用Thymeleaf,只要标签的action属性添加了Thymeleaf命名空间前缀,那么就会自动生成一个“_csrf”隐藏域:
<form method="POST" th:action="@{/spittles}"> ... </form>使用JSP作为页面模板的话,要做的事非常类似:
1 | <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />1 |
- 如果使用Spring表单绑定标签的话,标签会自动为我们添加隐藏的CSRF token标签。