5.1 启用 Spring Security

保护 Spring 应用程序的第一步是将 Spring Boot security starter 依赖项添加到构建中。在项目的 pom.xml 文件中,添加以下 <dependency> 内容:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

如果正在使用 Spring Tool Suite,这甚至更简单。右键单击 pom.xml 文件并从 Spring 上下文菜单中选择 Edit Starters。将出现 “Starter Dependencies” 对话框。检查 Security 类别下的 Spring Security,如图 5.1 所示。

] 图 5.1 使用 Spring Tool Suite 添加 security starter

上面的依赖项是保护应用程序所需的唯一的东西。当应用程序启动时,自动配置将检测类路径中的 Spring Security,并设置一些基本的安全性配置。

如果想尝试一下,启动应用程序并访问主页(或任何页面)。将提示使用 HTTP 基本身份验证对话框进行身份验证,如下所示:

] 图 5.2 Spring Security 为您提供了一个免费的普通登录页面。

小提示

无痕模式:当手动测试安全问题时,您可能会发现将浏览器设置无痕模式很有用。这将确保每次打开无痕窗口时都使用新的会话。您必须 每次重新登录到应用程序中,而可以确信任何安全方面更改已经生效,并且没有任何旧会话阻止您查看更改。

要想通过认证,需要提供用户名和密码。用户名是 user。至于密码,它是随机生成并写入了应用程序日志文件。日志条目应该是这样的:

Using generated security password: 087cfc6a-027d-44bc-95d7-cbb3a798a1ea

假设正确地输入了用户名和密码,将被授予对应用程序的访问权。

保护 Spring 应用程序似乎非常简单。Taco Cloud 应用程序的已经被保护了,我想我现在可以结束这一章,进入下一个主题了。但是在我们开始之前,让我们考虑一下自动配置提供了什么样的安全性。

只需要在项目构建中添加 security starter,就可以获得以下安全特性:

  • 所有的 HTTP 请求路径都需要认证。
  • 没有特定的角色或权限。
  • 使用简单的登录页面来提供验证。
  • 只有一个用户;用户名是 user

这是一个良好的开端,但我认为大多数应用程序(包括 Taco Cloud)的安全需求将与这些基本的安全特性有很大的不同。

如果要正确地保护 Taco Cloud 应用程序,还有更多的工作要做。至少需要配置 Spring Security 来完成以下工作:

  • 提供一个匹配该网站的登录页面。
  • 为多个用户提供注册页面,让新的 Taco Cloud 用户可以注册。
  • 为不同的请求路径应用不同的安全规则。例如,主页和注册页面根本不需要身份验证。

为了满足对 Taco Cloud 的安全需求,必须编写一些显式的配置,覆盖自动配置提供的内容。首先需要配置一个合适的用户存储,这样就可以有多个用户。

results matching ""

    No results matching ""