此版本仍在开发中，尚不被认为是稳定的。对于最新的稳定版本，请使用 Spring Security 6.5.3！spring-doc.cadn.net.cn

Spring MVC 集成

Spring Security 提供了许多与 Spring MVC 的可选集成。本节将更详细地介绍集成。spring-doc.cadn.net.cn

@EnableWebSecurity

要启用 Spring Security 与 Spring MVC 的集成，请将@EnableWebSecurity注释添加到您的配置中。spring-doc.cadn.net.cn

Spring Security 使用 Spring MVC 的WebMvcConfigurer. 这意味着，如果您使用更高级的选项，例如与WebMvcConfigurationSupport直接，您需要手动提供 Spring Security 配置。spring-doc.cadn.net.cn

路径模式请求匹配器

Spring Security 提供了与 Spring MVC 在 URL 上匹配的方式的深度集成PathPatternRequestMatcher. 这有助于确保安全规则与用于处理请求的逻辑匹配。spring-doc.cadn.net.cn

PathPatternRequestMatcher必须使用相同的PathPatternParser作为 Spring MVC。如果您没有自定义PathPatternParser，那么你可以执行以下作：spring-doc.cadn.net.cn

@Bean
PathPatternRequestMatcherBuilderFactoryBean usePathPattern() {
	return new PathPatternRequestMatcherBuilderFactoryBean();
}

@Bean
fun usePathPattern(): PathPatternRequestMatcherBuilderFactoryBean {
    return PathPatternRequestMatcherBuilderFactoryBean()
}

<b:bean class="org.springframework.security.config.web.PathPatternRequestMatcherBuilderFactoryBean"/>

Spring Security 将为您找到合适的 Spring MVC 配置。spring-doc.cadn.net.cn

如果您正在自定义 Spring MVC 的PathPatternParser实例，您需要在同一个环境中配置 Spring Security 和 Spring MVCApplicationContext.spring-doc.cadn.net.cn

我们始终建议您通过匹配HttpServletRequest和方法安全性。spring-doc.cadn.net.cn

通过匹配HttpServletRequest很好，因为它发生在代码路径的早期，有助于减少攻击面。方法安全性可确保，如果有人绕过了 Web 授权规则，您的应用程序仍然受到保护。这被称为纵深防御spring-doc.cadn.net.cn

现在 Spring MVC 已与 Spring Security 集成，您已准备好编写一些授权规则，这些规则将使用PathPatternRequestMatcher.spring-doc.cadn.net.cn

@AuthenticationPrincipal

Spring Security 提供AuthenticationPrincipalArgumentResolver，可以自动解析当前Authentication.getPrincipal()用于 Spring MVC 参数。通过使用@EnableWebSecurity，则会自动将其添加到 Spring MVC 配置中。如果您使用基于 XML 的配置，则必须自己添加以下内容：spring-doc.cadn.net.cn

<mvc:annotation-driven>
		<mvc:argument-resolvers>
				<bean class="org.springframework.security.web.method.annotation.AuthenticationPrincipalArgumentResolver" />
		</mvc:argument-resolvers>
</mvc:annotation-driven>

正确配置后AuthenticationPrincipalArgumentResolver，您可以在 Spring MVC 层中与 Spring Security 完全解耦。spring-doc.cadn.net.cn

考虑这样一种情况：UserDetailsService返回一个Object实现UserDetails和您自己的CustomUser Object.这CustomUser可以使用以下代码访问当前经过身份验证的用户：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser() {
	Authentication authentication =
	SecurityContextHolder.getContext().getAuthentication();
	CustomUser custom = (CustomUser) authentication == null ? null : authentication.getPrincipal();

	// .. find messages for this user and return them ...
}

@RequestMapping("/messages/inbox")
open fun findMessagesForUser(): ModelAndView {
    val authentication: Authentication = SecurityContextHolder.getContext().authentication
    val custom: CustomUser? = if (authentication as CustomUser == null) null else authentication.principal

    // .. find messages for this user and return them ...
}

从 Spring Security 3.2 开始，我们可以通过添加注释来更直接地解决参数：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

import org.springframework.security.core.annotation.AuthenticationPrincipal;

// ...

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal CustomUser customUser) {

	// .. find messages for this user and return them ...
}

@RequestMapping("/messages/inbox")
open fun findMessagesForUser(@AuthenticationPrincipal customUser: CustomUser?): ModelAndView {

    // .. find messages for this user and return them ...
}

有时，您可能需要以某种方式转换本金。例如，如果CustomUser需要是最终的，它不能延长。在这种情况下，UserDetailsService可能会返回一个Object实现UserDetails并提供了一个名为getCustomUser访问CustomUser:spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

public class CustomUserUserDetails extends User {
		// ...
		public CustomUser getCustomUser() {
				return customUser;
		}
}

class CustomUserUserDetails(
    username: String?,
    password: String?,
    authorities: MutableCollection<out GrantedAuthority>?
) : User(username, password, authorities) {
    // ...
    val customUser: CustomUser? = null
}

然后我们可以访问CustomUser通过使用使用Authentication.getPrincipal()作为根对象：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

import org.springframework.security.core.annotation.AuthenticationPrincipal;

// ...

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@AuthenticationPrincipal(expression = "customUser") CustomUser customUser) {

	// .. find messages for this user and return them ...
}

import org.springframework.security.core.annotation.AuthenticationPrincipal

// ...

@RequestMapping("/messages/inbox")
open fun findMessagesForUser(@AuthenticationPrincipal(expression = "customUser") customUser: CustomUser?): ModelAndView {

    // .. find messages for this user and return them ...
}

我们也可以在 SpEL 表达式中引用 bean。例如，如果我们使用 JPA 来管理我们的用户，并且如果我们想修改和保存当前用户的属性，我们可以使用以下内容：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

import org.springframework.security.core.annotation.AuthenticationPrincipal;

// ...

@PutMapping("/users/self")
public ModelAndView updateName(@AuthenticationPrincipal(expression = "@jpaEntityManager.merge(#this)") CustomUser attachedCustomUser,
		@RequestParam String firstName) {

	// change the firstName on an attached instance which will be persisted to the database
	attachedCustomUser.setFirstName(firstName);

	// ...
}

import org.springframework.security.core.annotation.AuthenticationPrincipal

// ...

@PutMapping("/users/self")
open fun updateName(
    @AuthenticationPrincipal(expression = "@jpaEntityManager.merge(#this)") attachedCustomUser: CustomUser,
    @RequestParam firstName: String?
): ModelAndView {

    // change the firstName on an attached instance which will be persisted to the database
    attachedCustomUser.setFirstName(firstName)

    // ...
}

我们可以通过将@AuthenticationPrincipal我们自己的注释上的元注释。下一个示例演示了我们如何在名为@CurrentUser.spring-doc.cadn.net.cn

要删除对 Spring Security 的依赖，使用应用程序将创建@CurrentUser. 此步骤不是严格必需的，但有助于将您对 Spring Security 的依赖项隔离到更中心的位置。spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@Target({ElementType.PARAMETER, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@AuthenticationPrincipal
public @interface CurrentUser {}

@Target(AnnotationTarget.VALUE_PARAMETER, AnnotationTarget.TYPE)
@Retention(AnnotationRetention.RUNTIME)
@MustBeDocumented
@AuthenticationPrincipal
annotation class CurrentUser

我们已将对 Spring Security 的依赖隔离到一个文件。既然@CurrentUser已指定，我们可以用它来发出信号来解析我们的CustomUser当前已验证的用户：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@CurrentUser CustomUser customUser) {

	// .. find messages for this user and return them ...
}

@RequestMapping("/messages/inbox")
open fun findMessagesForUser(@CurrentUser customUser: CustomUser?): ModelAndView {

    // .. find messages for this user and return them ...
}

一旦它是元注释，您也可以使用参数化。spring-doc.cadn.net.cn

例如，考虑当您将 JWT 作为主体时，并且您想要说出要检索哪个声明。作为元注释，您可以执行以下作：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@Target({ElementType.PARAMETER, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@AuthenticationPrincipal(expression = "claims['sub']")
public @interface CurrentUser {}

@Target(AnnotationTarget.VALUE_PARAMETER, AnnotationTarget.TYPE)
@Retention(AnnotationRetention.RUNTIME)
@MustBeDocumented
@AuthenticationPrincipal(expression = "claims['sub']")
annotation class CurrentUser

这已经相当强大了。但是，它也仅限于检索sub索赔。spring-doc.cadn.net.cn

为了使其更加灵活，请先发布AnnotationTemplateExpressionDefaultsbean 如下所示：spring-doc.cadn.net.cn

@Bean
public AnnotationTemplateExpressionDefaults templateDefaults() {
	return new AnnotationTemplateExpressionDeafults();
}

@Bean
fun templateDefaults(): AnnotationTemplateExpressionDefaults {
	return AnnotationTemplateExpressionDeafults()
}

<b:bean name="annotationExpressionTemplateDefaults" class="org.springframework.security.core.annotation.AnnotationTemplateExpressionDefaults"/>

然后你可以向@CurrentUser这样：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@Target({ElementType.PARAMETER, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@AuthenticationPrincipal(expression = "claims['{claim}']")
public @interface CurrentUser {
	String claim() default 'sub';
}

@Target(AnnotationTarget.VALUE_PARAMETER, AnnotationTarget.TYPE)
@Retention(AnnotationRetention.RUNTIME)
@MustBeDocumented
@AuthenticationPrincipal(expression = "claims['{claim}']")
annotation class CurrentUser(val claim: String = "sub")

这将通过以下方式在应用程序集中提供更大的灵活性：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@RequestMapping("/messages/inbox")
public ModelAndView findMessagesForUser(@CurrentUser("user_id") String userId) {

	// .. find messages for this user and return them ...
}

@RequestMapping("/messages/inbox")
open fun findMessagesForUser(@CurrentUser("user_id") userId: String?): ModelAndView {

    // .. find messages for this user and return them ...
}

Spring MVC 异步集成

Spring Web MVC 3.2+ 对异步请求处理有出色的支持。无需额外配置，Spring Security 会自动设置SecurityContext到Thread调用Callable由您的控制器返回。例如，以下方法自动具有Callable使用SecurityContext当Callable创建：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@RequestMapping(method=RequestMethod.POST)
public Callable<String> processUpload(final MultipartFile file) {

return new Callable<String>() {
	public Object call() throws Exception {
	// ...
	return "someView";
	}
};
}

@RequestMapping(method = [RequestMethod.POST])
open fun processUpload(file: MultipartFile?): Callable<String> {
    return Callable {
        // ...
        "someView"
    }
}

将 SecurityContext 与可调用对象的

从技术上讲，Spring Security 与WebAsyncManager. 这SecurityContext用于处理Callable是SecurityContext存在于SecurityContextHolder什么时候startCallableProcessing被调用。spring-doc.cadn.net.cn

没有与DeferredResult由控制器返回。这是因为DeferredResult由用户处理，因此无法自动与之集成。但是，您仍然可以使用并发支持来提供与 Spring Security 的透明集成。spring-doc.cadn.net.cn

Spring MVC 和 CSRF 集成

Spring Security 与 Spring MVC 集成以添加 CSRF 保护。spring-doc.cadn.net.cn

自动包含Tokens

Spring Security 会自动将 CSRF Tokens包含在使用 Spring MVC 表单标记的表单中。考虑以下 JSP：spring-doc.cadn.net.cn

<jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"
	xmlns:c="http://java.sun.com/jsp/jstl/core"
	xmlns:form="http://www.springframework.org/tags/form" version="2.0">
	<jsp:directive.page language="java" contentType="text/html" />
<html xmlns="http://www.w3.org/1999/xhtml" lang="en" xml:lang="en">
	<!-- ... -->

	<c:url var="logoutUrl" value="/logout"/>
	<form:form action="${logoutUrl}"
		method="post">
	<input type="submit"
		value="Log out" />
	<input type="hidden"
		name="${_csrf.parameterName}"
		value="${_csrf.token}"/>
	</form:form>

	<!-- ... -->
</html>
</jsp:root>

前面的示例输出类似于以下内容的 HTML：spring-doc.cadn.net.cn

<!-- ... -->

<form action="/context/logout" method="post">
<input type="submit" value="Log out"/>
<input type="hidden" name="_csrf" value="f81d4fae-7dec-11d0-a765-00a0c91e6bf6"/>
</form>

<!-- ... -->

解析 CsrfToken

Spring Security 提供CsrfTokenArgumentResolver，可以自动解析当前CsrfToken用于 Spring MVC 参数。通过使用@EnableWebSecurity，您可以自动将其添加到 Spring MVC 配置中。如果您使用基于 XML 的配置，则必须自己添加。spring-doc.cadn.net.cn

一次CsrfTokenArgumentResolver配置正确，则可以公开CsrfToken到基于静态 HTML 的应用程序：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@RestController
public class CsrfController {

	@RequestMapping("/csrf")
	public CsrfToken csrf(CsrfToken token) {
		return token;
	}
}

@RestController
class CsrfController {
    @RequestMapping("/csrf")
    fun csrf(token: CsrfToken): CsrfToken {
        return token
    }
}

保持CsrfToken来自其他域的秘密。这意味着，如果您使用跨域共享（CORS），则不应公开CsrfToken到任何外部域。spring-doc.cadn.net.cn

在同一应用程序上下文中配置 Spring MVC 和 Spring Security

如果您使用的是 Boot，则默认情况下，Spring MVC 和 Spring Security 位于同一应用程序上下文中。spring-doc.cadn.net.cn

否则，对于 Java Config，包括两者@EnableWebMvc和@EnableWebSecurity将在同一上下文中构造 Spring Security 和 Spring MVC 组件。spring-doc.cadn.net.cn

的，如果您正在使用ServletListener您可以执行以下作：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

public class SecurityInitializer extends
    AbstractAnnotationConfigDispatcherServletInitializer {

  @Override
  protected Class<?>[] getRootConfigClasses() {
    return null;
  }

  @Override
  protected Class<?>[] getServletConfigClasses() {
    return new Class[] { RootConfiguration.class,
        WebMvcConfiguration.class };
  }

  @Override
  protected String[] getServletMappings() {
    return new String[] { "/" };
  }
}

class SecurityInitializer : AbstractAnnotationConfigDispatcherServletInitializer() {
    override fun getRootConfigClasses(): Array<Class<*>>? {
        return null
    }

    override fun getServletConfigClasses(): Array<Class<*>> {
        return arrayOf(
            RootConfiguration::class.java,
            WebMvcConfiguration::class.java
        )
    }

    override fun getServletMappings(): Array<String> {
        return arrayOf("/")
    }
}

最后，为了web.xml文件，则配置DispatcherServlet这样：spring-doc.cadn.net.cn

<listener>
  <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<!-- All Spring Configuration (both MVC and Security) are in /WEB-INF/spring/ -->
<context-param>
  <param-name>contextConfigLocation</param-name>
  <param-value>/WEB-INF/spring/*.xml</param-value>
</context-param>

<servlet>
  <servlet-name>spring</servlet-name>
  <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
  <!-- Load from the ContextLoaderListener -->
  <init-param>
    <param-name>contextConfigLocation</param-name>
    <param-value></param-value>
  </init-param>
</servlet>

<servlet-mapping>
  <servlet-name>spring</servlet-name>
  <url-pattern>/</url-pattern>
</servlet-mapping>

以下内容WebSecurityConfiguration放置在ApplicationContext的DispatcherServlet.spring-doc.cadn.net.cn