Spring Data REST 与 Spring Security 整合实践指南-CSDN博客

本文链接：https://blog.csdn.net/gitblog_00775/article/details/148505844

Spring Data REST 与 Spring Security 整合实践指南

spring-data-examples Spring Data Example Projects 项目地址: https://gitcode.com/gh_mirrors/sp/spring-data-examples

项目概述

本文基于 Spring Data REST 示例项目中的安全模块，详细讲解如何将 Spring Security 与 Spring Data REST 进行整合，实现多层次的 API 安全防护。通过本教程，您将掌握从领域模型定义到细粒度权限控制的完整实现过程。

领域模型设计

首先我们需要定义基础的领域对象，这是构建 RESTful API 的基础。在本示例中，我们设计了公司和员工两个核心模型。

员工实体类

@Entity
public class Employee {
    private @Id @GeneratedValue Long id;
    private String firstName;
    private String lastName;
    private String title;
    // 省略getter/setter
}

物品实体类

@Entity
public class Item {
    private @Id @GeneratedValue Long id;
    private String description;
    // 省略getter/setter
}

这两个类都使用了 JPA 注解，表明它们是持久化实体。@Id 和 @GeneratedValue 注解指定了主键及其生成策略。

仓库接口设计

Spring Data 的核心是仓库(Repository)模式，我们为每个实体定义对应的仓库接口。

员工仓库接口

public interface EmployeeRepository extends CrudRepository<Employee, Long> {}

这个接口非常简单，仅继承了 CrudRepository，就自动获得了基本的 CRUD 操作能力。这种设计的一个优势是与底层存储技术解耦，无论是 JPA、MongoDB 还是其他数据存储，仓库接口可以保持不变。

物品仓库接口（带安全控制）

@PreAuthorize("hasRole('ROLE_USER')")
public interface ItemRepository extends CrudRepository<Item, Long> {

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    @Override
    Item save(Item s);

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    @Override
    void delete(Long aLong);
}

这个仓库展示了 Spring Security 的方法级安全控制：

类级别的 @PreAuthorize 注解要求所有方法调用者必须具有 ROLE_USER 角色
重写了 save 和 delete 方法，并添加更严格的 ROLE_ADMIN 角色要求

技术说明：这里使用的是 Spring Security 的 @PreAuthorize 注解，它支持 SpEL 表达式，比传统的 @Secured 注解更灵活。需要注意的是，JSR-250 的安全注解不能在接口级别使用。

安全配置实现

安全配置是整合的核心部分，我们需要配置用户认证和方法级安全。

安全配置类

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("greg").password("turnquist").roles("USER").and()
            .withUser("ollie").password("gierke").roles("USER", "ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .httpBasic().and()
            .authorizeRequests()
                .antMatchers(HttpMethod.POST, "/employees").hasRole("ADMIN")
                .antMatchers(HttpMethod.PUT, "/employees/**").hasRole("ADMIN")
                .antMatchers(HttpMethod.PATCH, "/employees/**").hasRole("ADMIN").and()
            .csrf().disable();
    }
}

配置详解：

用户认证配置：在内存中创建了两个测试用户
- greg：普通用户，只有 USER 角色
- ollie：管理员用户，同时拥有 USER 和 ADMIN 角色
HTTP 安全配置：
- 启用 HTTP Basic 认证
- 对 /employees 端点进行 URL 级别的安全控制：
  - POST/PUT/PATCH 操作需要 ADMIN 角色
  - GET 操作默认允许（无限制）
- 禁用 CSRF 防护（仅适用于 REST API 测试环境）

安全测试实践

让我们通过实际请求来验证安全配置是否生效。

1. 获取员工列表（无需认证）

curl localhost:8080/employees

结果：成功返回员工列表，因为 GET 请求默认允许。

2. 创建员工（无凭证）

curl -X POST -d '{"firstName": "Saruman", "lastName": "the evil one", "title": "the White"}' localhost:8080/employees

结果：返回 401 未授权错误，因为未提供认证信息。

3. 创建员工（USER 角色）

curl -X POST -d '{"firstName": "Saruman", "lastName": "the evil one", "title": "the White"}' localhost:8080/employees -u greg:turnquist

结果：返回 403 禁止访问，因为 USER 角色没有创建权限。

4. 创建员工（ADMIN 角色）

curl -i -X POST -d '{"firstName": "Saruman", "lastName": "the evil one", "title": "the White"}' -H "Content-Type: application/json" localhost:8080/employees -u ollie:gierke

结果：返回 201 创建成功，并在 Location 头中返回新资源的 URI。

5. 获取物品列表（无凭证）

curl localhost:8080/items

结果：返回 401 未授权错误，因为整个 ItemRepository 都要求至少 USER 角色。

6. 获取物品列表（USER 角色）

curl localhost:8080/items -u greg:turnquist

结果：成功返回物品列表。

安全防护最佳实践

分层防护：结合 URL 级别和方法级别的安全控制，实现纵深防御
最小权限原则：只授予必要的权限，如普通用户只能读取，管理员才能修改
安全头配置：Spring Security 默认添加了多项安全头（XSS 防护、点击劫持防护等）
生产环境注意事项：
- 不要使用内存用户存储，应集成数据库或 LDAP
- 密码必须加密存储
- 考虑启用 CSRF 防护（如果是浏览器访问）
- 建议使用 HTTPS