如何使用 Spring Boot 和 Spring Security 保护 REST API 的安全？

我知道保护 REST API 是一个被广泛评论的话题，但我无法创建一个满足我的标准的小型原型（并且我需要确认这些标准是现实的）。如何保护资源以及如何使用 Spring 安全性有很多选择，我需要澄清我的需求是否现实。

我的要求

• 基于令牌的身份验证器 - 用户将提供其凭据并获得唯一且有时限的访问令牌。我想在我自己的实现中管理令牌创建、检查有效性、过期。
• 一些 REST 资源将是公开的 - 根本不需要进行身份验证，
• 某些资源只有具有管理员权限的用户才能访问，
• 其他资源在所有用户授权后才可以访问。
• 我不想使用基本身份验证
• Java代码配置（不是XML）

当前状态

我的 REST API 工作得很好，但现在我需要保护它。当我寻找解决方案时，我创建了一个javax.servlet.Filter filter:

  @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        String accessToken = request.getHeader(AUTHORIZATION_TOKEN);
        Account account = accountDao.find(accessToken);

        if (account == null) {    
            throw new UnauthorizedException();    
        }

        chain.doFilter(req, res);

    }

但是这个解决方案与javax.servlet.filters无法按我的需要工作，因为异常处理存在问题@ControllerAdvice与春天servlet dispatcher.

我需要的

我想知道这些标准是否现实并获得任何帮助，如何开始使用 Spring Security 保护 REST API。我读了很多教程（例如Spring Data REST + Spring Security https://github.com/spring-projects/spring-data-examples/tree/master/rest/security）但所有工作都在非常基本的配置中 - 用户他们的凭证存储在内存中在配置中，我需要使用 DBMS 并创建自己的身份验证器。

请给我一些如何开始的想法。

基于令牌的身份验证 - 用户将提供其凭据并获得 唯一且有时间限制的访问令牌。我想管理代币 在我自己的实现中创建、检查有效性、过期。

实际上，使用过滤器进行令牌身份验证 - 在这种情况下最好的方法

最终，您可以通过 Spring Data 创建 CRUD 来管理 Token 的属性，例如过期等。

这是我的令牌过滤器：http://pastebin.com/13WWpLq2 http://pastebin.com/13WWpLq2

和令牌服务实施

http://pastebin.com/dUYM555E http://pastebin.com/dUYM555E

一些 REST 资源将是公开的 - 根本不需要进行身份验证

这不是问题，你可以通过 Spring 安全配置来管理你的资源，如下所示：.antMatchers("/rest/blabla/**").permitAll()

某些资源只有具有管理员权限的用户才能访问，

看一眼@Secured类的注释。例子：

@Controller
@RequestMapping(value = "/adminservice")
@Secured("ROLE_ADMIN")
public class AdminServiceController {

其他资源在所有用户授权后都可以访问。

回到 Spring Security 配置，您可以像这样配置您的 url：

    http
            .authorizeRequests()
            .antMatchers("/openforall/**").permitAll()
            .antMatchers("/alsoopen/**").permitAll()
            .anyRequest().authenticated()

我不想使用基本身份验证

是的，通过令牌过滤器，您的用户将得到身份验证。

Java代码配置（不是XML）

回到上面的话，看看@EnableWebSecurity。 你的班级将是：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

你必须覆盖配置方法。下面的代码，只是举例说明如何配置匹配器。这是来自另一个项目的。

    @Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .authorizeRequests()
            .antMatchers("/assets/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
                .usernameParameter("j_username")
                .passwordParameter("j_password")
                .loginPage("/login")
                .defaultSuccessUrl("/", true)
                .successHandler(customAuthenticationSuccessHandler)
                .permitAll()
            .and()
                .logout()
                .logoutUrl("/logout")
                .invalidateHttpSession(true)
                .logoutSuccessUrl("/")
                .deleteCookies("JSESSIONID")
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .and()
                .csrf();
}