ç®çæ¯ä»ä¹ @EnableWebSecurityï¼

è¿ @EnableWebSecurity æ³¨è§£æ¿æ´» Spring Security çéç½®ï¼ä»èå¯ä»¥æ§å¶åä¿æ¤åºç¨ç¨åºç«¯ç¹ã

æä¹æ · authorizeRequests å¨ Spring Security å·¥ä½ï¼

ä¸ºä»ä¹æ¯ BCryptPasswordEncoder æ¨èç¨äºå¯ç åå¨ï¼

ä»ä¹æ¯ successHandler å¨ç»å½éç½®ä¸åä»ä¹ï¼

æä¹æ · sessionFixation ä¿æ¤ç¨æ·ä¼è¯ï¼

ä¸ºä»ä¹ç»å½æååä¼åºç°403éè¯¯ï¼

çä½ç¨æ¯ä»ä¹ requestMatchers å¨å®å¨éç½®ä¸ï¼

å¦ä½å¨ Spring Security ä¸éç½®æ³¨éè¡ä¸ºï¼

è½ MockMvc ç¨äºæµè¯å®å¨éç½®ï¼

æä»ä¹ä½ç¨ CustomUserDetailsService å¨è®¤è¯ä¸ï¼

æå³ Spring Security éç½®çæ·±å¥æåï¼è¯·åé Spring Security ææ¡£ï¼ Springå®å¨ææ¡£

æ¢ç´¢å¨å®å¨èº«ä»½éªè¯ä¸ä½¿ç¨ BCryptPasswordEncoder çæä½³å®è·µï¼ Baeldungï¼ä½¿ç¨ BCrypt è¿è¡å¯ç ç¼ç

ç¨äºå®ç° CustomUserDetailsSââervice åé«çº§ç¨æ·èº«ä»½éªè¯è®¾ç½®ï¼ Baeldungï¼ä½¿ç¨ Spring Security è¿è¡æ°æ®åºèº«ä»½éªè¯

Java：成功登录 Spring Security 后解决 403 错误

Paul Boyer

2024年11月7日星期四上午2:49:38

使用 Spring Security 解锁访问控制

当你学习的时候 春季安全，配置自定义登录页面既具有授权又具有挑战性。导航身份验证、创建个性化登录体验和管理重定向是需要掌握的基本技能。但即使一切看起来配置正确，也会出现意想不到的问题，例如可怕的问题 403错误 可以阻止你前进。 🛑

想象一下：您已经设置了一个漂亮的自定义登录页面，使用自定义服务验证了用户，并检查了凭据。然而，在成功登录后，用户在访问受限页面时会遇到“403 Forbidden”消息。这个常见问题往往源于 授权配置 这可能会忽略重要的细微差别，特别是在定义谁可以访问什么方面。

本指南将引导您解决此 403 错误，特别是当在 Spring Security 设置中看似成功登录后出现该错误时。无论您是配置基于 URL 的安全性、调整会话管理还是调整 用户角色设置，我们将帮助您识别并解决这些隐藏的障碍。

通过检查日志、检查会话存储问题以及验证基于角色的权限，您可以使安全配置回到正轨。让我们深入研究并永久解决这个问题！ 🔑

命令	使用示例
@EnableWebSecurity	注释一个类以启用 Spring Security 的 Web 安全功能。此配置有助于保护指定端点，确保只有经过身份验证的用户才能访问它们。
WebSecurityConfigurerAdapter	扩展此适配器以自定义 Spring Security 的默认行为。用于配置登录页面、访问控制规则和其他安全功能。
DaoAuthenticationProvider	根据数据源中的用户详细信息创建身份验证提供程序。配置为集成自定义 UserDetailsService 和密码编码器以进行验证。
BCryptPasswordEncoder	使用 BCrypt 哈希函数的密码编码器。对于在 Spring Security 中安全存储和比较散列密码至关重要。
hasAuthority	定义某些端点所需的特定访问权限。用于将资源限制为具有特定角色的用户，例如用于授权访问的 hasAuthority("USER")。
formLogin()	配置 Spring Security 登录。此方法自定义登录 URL，允许我们定义所有用户都可以访问的自定义登录页面。
successHandler	定义自定义处理程序来控制成功登录后的行为。此处用于根据登录成功将经过身份验证的用户重定向到特定页面。
MockMvc	Spring中提供了强大的测试工具，用于模拟HTTP请求。对于测试访问限制和确保安全端点正确重定向未经身份验证的用户至关重要。
redirectedUrlPattern	验证响应是否重定向到与指定模式匹配的 URL。用于测试以确认未经身份验证的用户被重定向到登录页面。
HttpSecurity	配置 Spring Security 中的安全参数，包括 URL 访问规则、登录和注销行为以及未授权访问的异常处理。

排除自定义 Spring Security 设置中的 403 错误

在此 Spring Security 配置中，目标是通过自定义登录和重定向设置来管理访问控制。最初，我们使用自定义登录控制器，处理 GET 和 POST 请求以进行用户身份验证。 GET 方法初始化并显示登录页面，而 POST 方法处理登录表单提交。登录成功后，用户将被重定向到搜索页面。但是，如果没有正确的权限，这可能会导致 403 错误，如此例所示。问题的根源往往在于 访问控制配置，其中用户会话可能缺乏查看搜索页面所需的权限。 🛠️

为了解决这个问题，我们的 安全配置 类扩展了 WebSecurityConfigurerAdapter，提供对 URL 访问和重定向行为的精细控制。这里，有一个习俗 BCrypt密码编码器 已实现，这对于安全地散列密码至关重要。该配置还允许访问某些公共路径，例如登录、注册和静态资源（例如 CSS 和 JavaScript），而其他请求则需要身份验证。使用像authorizeRequests和requestMatchers这样的方法，我们可以定义特定的访问规则，明确谁可以访问哪些端点。例如，我们可以通过使用具有基于角色的条件的 antMatchers 来限制对网站某些区域的访问。

对于成功登录的用户， successHandler 将他们重定向到所需的页面，在本例中为 /search。通过使用我们自己的 UserDetailsService 添加自定义 AuthenticationProvider，我们确保从存储库中验证每个用户的数据，准确地检索角色和权限。这种方法通过严格控制来降低未经授权访问的风险 会话管理 和基于角色的权限。此外，注销配置会清除会话数据并重定向到登录页面，确保用户在注销后无法访问受限页面。

最后通过MockMvc的全面测试验证了我们的配置是有效的。测试检查登录后对搜索页面的成功访问以及对未经身份验证的用户的强制重定向。通过模拟登录和受限页面访问，这些测试有助于确认在正常登录场景下不再出现 403 错误。此设置提供了简化且安全的用户体验，防止未经授权的访问，同时为有效会话提供平滑的重定向过程。采取这些措施后，您的 Spring Security 配置应该可靠且安全，允许用户在登录后访问所有指定资源。🔒

方法 1：使用基于角色的访问和 Spring Security 解决 403 错误

Java、Spring Security 和基于角色的身份验证

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private final CustomUserDetailsService userDetailsService;
    public SecurityConfig(CustomUserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/", "/login", "/register", "/js/", "/css/", "/images/").permitAll()
            .antMatchers("/search").hasAuthority("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin().loginPage("/login").permitAll()
            .and()
            .logout().logoutSuccessUrl("/login?logout").permitAll();
    }

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService);
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }
}

方法 2：通过添加自定义身份验证成功处理程序来解决 403 错误

Java、Spring Security 自定义身份验证处理程序

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private final CustomUserDetailsService userDetailsService;
    public SecurityConfig(CustomUserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/", "/login", "/register").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin().loginPage("/login")
            .successHandler(customSuccessHandler())
            .permitAll();
    }

    @Bean
    public AuthenticationSuccessHandler customSuccessHandler() {
        return (request, response, authentication) -> {
            response.sendRedirect("/search");
        };
    }
}

基于角色的访问和成功处理程序的单元测试

Spring Security 配置的 JUnit 5 单元测试

@SpringBootTest
@AutoConfigureMockMvc
public class SecurityConfigTests {
    @Autowired
    private MockMvc mockMvc;

    @Test
    public void testAccessToSearchPageAsLoggedInUser() throws Exception {
        mockMvc.perform(formLogin().user("testUser").password("password"))
               .andExpect(status().is3xxRedirection())
               .andExpect(redirectedUrl("/search"));
    }

    @Test
    public void testAccessToRestrictedPageAsGuest() throws Exception {
        mockMvc.perform(get("/search"))
               .andExpect(status().is3xxRedirection())
               .andExpect(redirectedUrlPattern("/login"));
    }
}

增强 Spring 安全性：了解访问控制和会话管理

处理时 访问控制 在 Spring Security 中，了解会话和权限如何交互至关重要，尤其是在遇到 HTTP 403 等错误时。在 Spring 中，访问控制确保只有经过身份验证的用户才能访问受限区域，而基于角色的权限则确定他们可以访问哪些资源。这 HttpSecurity 配置是其中的核心，因为它根据身份验证状态自定义如何处理请求。如果不正确配置这些安全措施，用户可能最终无法访问他们在登录后应该能够访问的页面。 🛑

另一个需要考虑的方面是 会话管理。默认情况下，Spring Security 为每个经过身份验证的用户创建一个会话。但是，如果此会话未正确设置或被清除，用户可能会失去权限，从而导致匿名会话。为了管理这个，配置可以包括 invalidateHttpSession(true) 注销时，会清除会话。此外，启用 sessionFixation 通过在登录后生成新的会话 ID 来帮助防止劫持，增强安全性，同时保留会话中的用户数据。

彻底测试您的配置可以防止意外阻塞并改善用户体验。 JUnit 中的 MockMvc 允许模拟身份验证和对受限端点的访问，验证未授权用户是否发生正确的重定向。例如，在未登录的情况下尝试向受限页面发出 GET 请求应返回到登录页面的 HTTP 302 重定向，而经过身份验证的请求应允许访问。这些测试可确保您的应用程序一致且安全地处理访问，从而减少访问错误的可能性。 🔒

基本的 Spring 安全问题和解答

目的是什么 @EnableWebSecurity？
这 @EnableWebSecurity 注解激活 Spring Security 的配置，从而可以控制和保护应用程序端点。
怎么样 authorizeRequests 在 Spring Security 工作？
这 authorizeRequests 方法指定哪些端点可以公开访问以及哪些端点需要身份验证，从而集中访问控制。
为什么是 BCryptPasswordEncoder 推荐用于密码存储？
BCryptPasswordEncoder 使用盐对密码进行哈希处理，使其高度安全并能抵抗暴力攻击。
什么是 successHandler 在登录配置中做什么？
这 successHandler 定义成功登录后会发生什么。它通常用于在登录后将用户重定向到特定页面。
怎么样 sessionFixation 保护用户会话？
这 sessionFixation 策略在登录后重新生成会话ID，降低会话被恶意行为者劫持的风险。
为什么登录成功后会出现403错误？
登录后出现 403 错误通常意味着用户缺乏必要的权限，这可能是由于基于角色的配置不足所致。
的作用是什么 requestMatchers 在安全配置中？
requestMatchers 允许指定无需身份验证即可访问的 URL 模式，例如公共页面或静态资产。
如何在 Spring Security 中配置注销行为？
在 Spring Security 中， logout 可以自定义方法来清除会话并在注销后将用户重定向到登录页面。
能 MockMvc 用于测试安全配置？
是的， MockMvc 在测试中模拟 HTTP 请求，允许验证访问控制，例如未经授权的用户的重定向。
有什么作用 CustomUserDetailsService 在认证中？
CustomUserDetailsService 加载用户特定的数据，例如用户名和角色，允许 Spring 准确地验证凭据和访问级别。

关于 Spring 中用户访问安全的最终想法

登录后处理 403 错误通常归结为正确配置访问控制。借助 Spring Security，强大的设置可确保经过身份验证的用户只能访问允许他们查看的页面。精心设置权限可确保您的应用程序安全，同时提供流畅的用户体验。

通过实施自定义会话管理、验证用户详细信息和运行测试，您可以自信地解决大多数访问问题。 Spring Security 工具使创建高度安全的应用程序成为可能，即使您是新手。通过这些配置，可以解决403错误，保证用户无错误的登录体验。 🔒

进一步阅读和资源

有关 Spring Security 配置的深入指南，请参阅 Spring Security 文档： Spring安全文档
有关排除 Spring 应用程序中的 403 错误的详细信息，请参阅： Baeldung：自定义 403 访问被拒绝页面
探索在安全身份验证中使用 BCryptPasswordEncoder 的最佳实践： Baeldung：使用 BCrypt 进行密码编码
用于实现 CustomUserDetailsService 和高级用户身份验证设置： Baeldung：使用 Spring Security 进行数据库身份验证