目 錄

第I部分 初 識(shí)
第1 章 安全性現(xiàn)狀 3
1.1 Spring Security的定義與用途 4
1.2 什么是軟件安全性 7
1.3 安全性為什么重要 12
1.4 Web應(yīng)用程序中的常見(jiàn)安全漏洞 13
1.4.1 身份驗(yàn)證和授權(quán)中的漏洞 14
1.4.2 什么是會(huì)話(huà)固定 15
1.4.3 什么是跨站腳本(XSS) 16
1.4.4 什么是跨站請(qǐng)求偽造(CSRF) 17
1.4.5 理解Web應(yīng)用程序中的注入漏洞 18
1.4.6 應(yīng)對(duì)敏感數(shù)據(jù)暴露 18
1.4.7 缺乏方法訪(fǎng)問(wèn)控制指的是什么 21
1.4.8 使用具有已知漏洞的依賴(lài)項(xiàng) 23
1.5 各種架構(gòu)中所應(yīng)用的安全性 23
1.5.1 設(shè)計(jì)一個(gè)單體式Web應(yīng)用程序 24
1.5.2 為前后端分離設(shè)計(jì)安全性 25
1.5.3 理解OAuth 2流程 27
1.5.4 使用API鍵、加密簽名和IP驗(yàn)證保護(hù)請(qǐng)求 29
1.6 本書(shū)知識(shí)內(nèi)容 30
1.7 本章小結(jié) 31
第2 章 Spring Security初探 33
2.1 開(kāi)始構(gòu)建首個(gè)項(xiàng)目 34
2.2 默認(rèn)配置有哪些 39
2.3 重寫(xiě)默認(rèn)配置 43
2.3.1 重寫(xiě)UserDetailsService組件 44
2.3.2 重寫(xiě)端點(diǎn)授權(quán)配置 48
2.3.3 以不同方式設(shè)置配置 50
2.3.4 重寫(xiě)AuthenticationProvider實(shí)現(xiàn) 54
2.3.5 在項(xiàng)目中使用多個(gè)配置類(lèi) 58
2.4 本章小結(jié) 60

第Ⅱ部分 實(shí)現(xiàn)
第3 章 管理用戶(hù) 63
3.1 在Spring Security中實(shí)現(xiàn)身份驗(yàn)證 64
3.2 描述用戶(hù) 66
3.2.1 闡明UserDetails契約的定義 66
3.2.2 GrantedAuthority契約詳述 68
3.2.3 編寫(xiě)UserDetails的小化實(shí)現(xiàn) 69
3.2.4 使用構(gòu)造器創(chuàng)建UserDetails類(lèi)型的實(shí)例 72
3.2.5 合并與用戶(hù)相關(guān)的多個(gè)職能 73
3.3 指示Spring Security如何管理用戶(hù) 77
3.3.1 理解UserDetailsService契約 77
3.3.2 實(shí)現(xiàn)UserDetailsService契約 78
3.3.3 實(shí)現(xiàn)UserDetailsManager契約 82
3.4 本章小結(jié) 90
第4 章 密碼處理 91
4.1 理解PasswordEncoder契約 91
4.1.1 PasswordEncoder契約的定義 92
4.1.2 實(shí)現(xiàn)PasswordEncoder契約 93
4.1.3 從PasswordEncoder提供的實(shí)現(xiàn)中選擇 95
4.1.4 使用DelegatingPasswordEncoder實(shí)現(xiàn)多種編碼策略 98
4.2 Spring Security Crypto模塊的更多知識(shí) 102
4.2.1 使用密鑰生成器 102
4.2.2 將加密器用于加密和解密操作 104
4.3 本章小結(jié) 106
第5 章 實(shí)現(xiàn)身份驗(yàn)證 107
5.1 理解AuthenticationProvider 109
5.1.1 在身份驗(yàn)證期間表示請(qǐng)求 110
5.1.2 實(shí)現(xiàn)自定義身份驗(yàn)證邏輯 111
5.1.3 應(yīng)用自定義身份驗(yàn)證邏輯 113
5.2 使用SecurityContext 117
5.2.1 將一種保持策略用于安全上下文 119
5.2.2 將保持策略用于異步調(diào)用 121
5.2.3 將保持策略用于獨(dú)立應(yīng)用程序 123
5.2.4 使用DelegatingSecurityContextRunnable轉(zhuǎn)發(fā)安全上下文 124
5.2.5 使用DelegatingSecurityContextExecutorService轉(zhuǎn)發(fā)安全上下文 127
5.3 理解HTTP Basic和基于表單的登錄身份驗(yàn)證 129
5.3.1 使用和配置HTTP Basic 130
5.3.2 使用基于表單的登錄實(shí)現(xiàn)身份驗(yàn)證 133
5.4 本章小結(jié) 140
第6 章 動(dòng)手實(shí)踐：一個(gè)小型且安全的Web應(yīng)用程序 141
6.1 項(xiàng)目需求和設(shè)置 141
6.2 實(shí)現(xiàn)用戶(hù)管理 148
6.3 實(shí)現(xiàn)自定義身份驗(yàn)證邏輯 153
6.4 實(shí)現(xiàn)主頁(yè)面 156
6.5 運(yùn)行和測(cè)試應(yīng)用程序 159
6.6 本章小結(jié) 161
第7 章 配置權(quán)限：限制訪(fǎng)問(wèn) 163
7.1 基于權(quán)限和角色限制訪(fǎng)問(wèn) 165
7.1.1 基于用戶(hù)權(quán)限限制所有端點(diǎn)的訪(fǎng)問(wèn) 167
7.1.2 基于用戶(hù)角色限制所有端點(diǎn)的訪(fǎng)問(wèn) 175
7.1.3 限制對(duì)所有端點(diǎn)的訪(fǎng)問(wèn) 180
7.2 本章小結(jié) 183
第8 章 配置權(quán)限：應(yīng)用限制 185
8.1 使用匹配器方法選擇端點(diǎn) 185
8.2 使用MVC匹配器選擇用于授權(quán)的請(qǐng)求 192
8.3 使用Ant匹配器選擇用于授權(quán)的請(qǐng)求 200
8.4 使用正則表達(dá)式匹配器選擇用于授權(quán)的請(qǐng)求 204
8.5 本章小結(jié) 210
第9 章 實(shí)現(xiàn)過(guò)濾器 211
9.1 在Spring Security架構(gòu)中實(shí)現(xiàn)過(guò)濾器 213
9.2 在過(guò)濾器鏈中現(xiàn)有過(guò)濾器之前添加過(guò)濾器 215
9.3 在過(guò)濾器鏈中已有的過(guò)濾器之后添加過(guò)濾器 219
9.4 在過(guò)濾器鏈中另一個(gè)過(guò)濾器的位置添加一個(gè)過(guò)濾器 222
9.5 Spring Security提供的Filter實(shí)現(xiàn) 227
9.6 本章小結(jié) 229
第10 章 應(yīng)用CSRF防護(hù)和CORS 231
10.1 在應(yīng)用程序中應(yīng)用跨站請(qǐng)求偽造(CSRF)防護(hù) 231
10.1.1 CSRF防護(hù)如何在Spring Security中發(fā)揮作用 232
10.1.2 在實(shí)際場(chǎng)景中使用CSRF防護(hù) 238
10.1.3 自定義CSRF防護(hù) 244
10.2 使用跨源資源共享 255
10.2.1 CORS的運(yùn)行機(jī)制 256
10.2.2 使用@CrossOrigin注解應(yīng)用CORS策略 261
10.2.3 使用CorsConfigurer應(yīng)用CORS 262
10.3 本章小結(jié) 263
第11 章 動(dòng)手實(shí)踐：職責(zé)分離 265
11.1 示例的場(chǎng)景和需求 266
11.2 實(shí)現(xiàn)和使用令牌 269
11.2.1 令牌是什么 269
11.2.2 JSON Web Token是什么 272
11.3 實(shí)現(xiàn)身份驗(yàn)證服務(wù)器 274
11.4 實(shí)現(xiàn)業(yè)務(wù)邏輯服務(wù)器 285
11.4.1 實(shí)現(xiàn)Authentication對(duì)象 290
11.4.2 實(shí)現(xiàn)身份驗(yàn)證服務(wù)器的代理 292
11.4.3 實(shí)現(xiàn)AuthenticationProvider接口 295
11.4.4 實(shí)現(xiàn)過(guò)濾器 297
11.4.5 編寫(xiě)安全性配置 304
11.4.6 測(cè)試整個(gè)系統(tǒng) 306
11.5 本章小結(jié) 307
第12 章 OAuth 2的運(yùn)行機(jī)制 309
12.1 OAuth 2框架 310
12.2 OAuth 2身份驗(yàn)證架構(gòu)的組件 312
12.3 使用OAuth 2的實(shí)現(xiàn)選項(xiàng) 313
12.3.1 實(shí)現(xiàn)授權(quán)碼授權(quán)類(lèi)型 313
12.3.2 實(shí)現(xiàn)密碼授權(quán)類(lèi)型 318
12.3.3 實(shí)現(xiàn)客戶(hù)端憑據(jù)授權(quán)類(lèi)型 320
12.3.4 使用刷新令牌獲得新的訪(fǎng)問(wèn)令牌 321
12.4 OAuth 2的弱點(diǎn) 323
12.5 實(shí)現(xiàn)一個(gè)簡(jiǎn)單的單點(diǎn)登錄應(yīng)用程序 324
12.5.1 管理授權(quán)服務(wù)器 325
12.5.2 開(kāi)始實(shí)現(xiàn) 328
12.5.3 實(shí)現(xiàn)ClientRegistration 330
12.5.4 實(shí)現(xiàn)ClientRegistrationRepository 333
12.5.5 Spring Boot配置的純粹方式 335
12.5.6 獲取經(jīng)過(guò)身份驗(yàn)證的用戶(hù)的詳細(xì)信息 337
12.5.7 測(cè)試應(yīng)用程序 338
12.6 本章小結(jié) 341
第13 章 OAuth 2：實(shí)現(xiàn)授權(quán)服務(wù)器 343
13.1 編寫(xiě)我們自己的授權(quán)服務(wù)器實(shí)現(xiàn) 345
13.2 定義用戶(hù)管理 346
13.3 向授權(quán)服務(wù)器注冊(cè)客戶(hù)端 349
13.4 使用密碼授權(quán)類(lèi)型 353
13.5 使用授權(quán)碼授權(quán)類(lèi)型 355
13.6 使用客戶(hù)端憑據(jù)授權(quán)類(lèi)型 361
13.7 使用刷新令牌授權(quán)類(lèi)型 364
13.8 本章小結(jié) 366
第14 章 OAuth 2：實(shí)現(xiàn)資源服務(wù)器 367
14.1 實(shí)現(xiàn)資源服務(wù)器 369
14.2 遠(yuǎn)程檢查令牌 372
14.3 實(shí)現(xiàn)帶有JdbcTokenStore的黑板模式 380
14.4 兩種方法的簡(jiǎn)要對(duì)比 389
14.5 本章小結(jié) 390
第15 章 OAuth 2：使用JWT和加密簽名 391
15.1 使用JWT以及對(duì)稱(chēng)密鑰簽名的令牌 391
15.1.1 使用JWT 392
15.1.2 實(shí)現(xiàn)授權(quán)服務(wù)器以頒發(fā)JWT 393
15.1.3 實(shí)現(xiàn)使用JWT的資源服務(wù)器 398
15.2 使用通過(guò)JWT和非對(duì)稱(chēng)密鑰簽名的令牌 402
15.2.1 生成密鑰對(duì) 403
15.2.2 實(shí)現(xiàn)使用私鑰的授權(quán)服務(wù)器 405
15.2.3 實(shí)現(xiàn)使用公鑰的資源服務(wù)器 407
15.2.4 使用一個(gè)暴露公鑰的端點(diǎn) 409
15.3 將自定義詳細(xì)信息添加到JWT 413
15.3.1 配置授權(quán)服務(wù)器以便向令牌添加自定義詳細(xì)信息 414
15.3.2 配置資源服務(wù)器以讀取JWT的自定義詳細(xì)信息 416
15.4 本章小結(jié) 419
第16 章 全局方法安全性：預(yù)授權(quán)和后授權(quán) 421
16.1 啟用全局方法安全性 422
16.1.1 理解調(diào)用授權(quán) 422
16.1.2 在項(xiàng)目中啟用全局方法安全性 425
16.2 對(duì)權(quán)限和角色應(yīng)用預(yù)授權(quán) 426
16.3 應(yīng)用后授權(quán) 431
16.4 實(shí)現(xiàn)方法的許可 436
16.5 本章小結(jié) 448
第17 章 全局方法安全性：預(yù)過(guò)濾和后過(guò)濾 451
17.1 為方法權(quán)限應(yīng)用預(yù)過(guò)濾 452
17.2 為方法授權(quán)應(yīng)用后過(guò)濾 459
17.3 在Spring Data存儲(chǔ)庫(kù)中使用過(guò)濾 463
17.4 本章小結(jié) 470
第18 章 動(dòng)手實(shí)踐：一個(gè)OAuth 2 應(yīng)用程序 471
18.1 應(yīng)用程序場(chǎng)景 472
18.2 將Keycloak配置為授權(quán)服務(wù)器 474
18.2.1 為系統(tǒng)注冊(cè)一個(gè)客戶(hù)端 478
18.2.2 指定客戶(hù)端作用域 479
18.2.3 添加用戶(hù)并獲取訪(fǎng)問(wèn)令牌 481
18.2.4 定義用戶(hù)角色 485
18.3 實(shí)現(xiàn)資源服務(wù)器 490
18.4 對(duì)應(yīng)用程序進(jìn)行測(cè)試 501
18.4.1 證明經(jīng)過(guò)身份驗(yàn)證的用戶(hù)只能為自己添加記錄 502
18.4.2 證明用戶(hù)只能檢索自己的記錄 504
18.4.3 證明只有管理員才能刪除記錄 505
18.5 本章小結(jié) 506
第19 章 在反應(yīng)式應(yīng)用程序中使用Spring Security 509
19.1 什么是反應(yīng)式應(yīng)用程序 510
19.2 反應(yīng)式應(yīng)用程序中的用戶(hù)管理 514
19.3 在反應(yīng)式應(yīng)用程序中配置授權(quán)規(guī)則 519
19.3.1 在反應(yīng)式應(yīng)用程序的端點(diǎn)層應(yīng)用授權(quán) 520
19.3.2 在反應(yīng)式應(yīng)用程序中使用方法安全性 526
19.4 反應(yīng)式應(yīng)用程序和OAuth 2 529
19.5 本章小結(jié) 532
第20 章 Spring Security測(cè)試 535
20.1 使用模擬用戶(hù)進(jìn)行測(cè)試 537
20.2 使用UserDetailsService提供的用戶(hù)進(jìn)行測(cè)試 545
20.3 將自定義Authentication對(duì)象用于測(cè)試 547
20.4 測(cè)試方法安全性 551
20.5 測(cè)試身份驗(yàn)證 552
20.6 測(cè)試CSRF配置 556
20.7 測(cè)試CORS配置 557
20.8 測(cè)試反應(yīng)式Spring Security實(shí)現(xiàn) 558
20.9 本章小結(jié) 561
附錄A 創(chuàng)建一個(gè)Spring Boot
項(xiàng)目 563