如何在 Spring Boot 中使用 RESTful 和基本身份验证

Question

您好，我正在使用带有基本身份验证的 RESTful，此代码是 RestController 的一部分：

@GetMapping("/jpa/users/{username}/goals")
public List<Goal> getAllGoals(@PathVariable String username) {
    userId = getUserIdFromUsername(username);
    return goalJpaRepository.findByUserId(userId); 
}

public Long getUserIdFromUsername(String username) {
    User user = userJpaRepository.findByUsername(username);
    userId = user.getId(); 
    return userId;
}

我有一个问题，例如我正在使用 Postman 来检索特定用户的目标，如下所示：

http://localhost:8080/jpa/users/john/goals 带有 GET 请求

然后我使用用户名 john 的基本身份验证和此用户名的密码，我收到了 john 的目标。

之后，如果我对此链接 http://localhost:8080/jpa/users/tom/goals 发出 GET 请求，我会收到 tom 的目标，但此时我使用 john 登录，所以 john 可以看到他的目标，也可以看到 tom 的目标目标。

问题是如何访问 RestController 中的登录用户名，因为我想做这样的事情：

if (loginUsername == username) {
    return goalJpaRepository.findByUserId(userId);
} 

return "Access denied!";

所以我想知道是否可以从 HTTP Header 访问登录用户名？

谢谢！

---

更新 - 是的，框架是 Spring Boot，我也在使用带有 Dao 身份验证的 Spring Security，因为我想从 MySQL 数据库中获取用户。无论如何，我不是 Spring Security 方面的专家。

现在我了解了如何在我的控制器方法中使用 Principal，但我不知道如何在这种特定情况下使用 Spring Security。我应该如何实施？例如，用户 john 应该只看到和修改他的目标。

Spring 安全配置：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import com.dgs.restful.webservices.goaltrackerservice.user.MyUserDetailsService;

@Configuration
@EnableWebSecurity
public class SpringSecurityConfigurationBasicAuth extends WebSecurityConfigurerAdapter {

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Autowired
    private MyUserDetailsService userDetailsService;

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider
          = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService);
        authProvider.setPasswordEncoder(bCryptPasswordEncoder());
        return authProvider;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
            .csrf().disable()
            .authorizeRequests()
            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
            .antMatchers("/allusers").permitAll()
                .anyRequest().authenticated()
                .and()
            // .formLogin().and()
            .httpBasic();
        }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }
}

Answer 1

假设您使用 Spring 作为 Java 框架，您应该使用 Spring 安全性来配置基本身份验证。网上有很多教程（https://www.baeldung.com/spring-security-basic-authentication,

然后，Spring Security 将提供整个应用程序可用的安全上下文 (SecurityContextHolder.getContext())，您可以从中检索连接的用户信息（用户名，...）。

例如，要检索已连接用户的用户名，您应该这样做：

Authentication auth = SecurityContextHolder.getContext().getAuthentication();
String loginUsername = authentication.getName();

或者，正如@gervais.b 所述，Spring 可以在您的控制器方法中注入Principal（或Authentication）。

正如@Glains 所说，一个更好的选择是使用@PreAuthorize 和@PostAuthorize 注释，它允许您基于Spring 表达式语言定义简单的规则。

Answer 2

请注意，您目前没有做任何安全措施。

正如@Matt 所说，“这取决于您使用的框架”。但我猜你正在使用弹簧。然后你应该看看 spring-securuty 模块文档。

基本上，您可以将经过身份验证的用户注入您的方法参数：

   @GetMapping("/jpa/users/{username}/goals")
   public List<Goal> getAllGoals(@PathVariable String username, Principal principal) {
     if ( username.equals(principal.getName()) ) {
       userId = getUserIdFromUsername(username);
       return goalJpaRepository.findByUserId(userId); 
     } else {
       throw new SomeExceptionThatWillBeMapped();
     }
   } 

但是 spring-security 和许多框架提供了更好的模式来管理安全性。

Answer 3

您也可以使用 @PreAuthorize 解决这个问题，这是 Spring Security Framework 提供的一个注解，它使用 Spring 表达式语言。

@PreAuthorize("principal.name == #username")
@GetMapping("/jpa/users/{username}/goals")
public List<Goal> getAllGoals(@PathVariable String username) {
    return goalJpaRepository.findByUserId(userId); 
}

在幕后 Spring 将使用已经提到的SecurityContextHolder 来获取当前经过身份验证的主体。如果表达式解析为假，则返回响应码403。

请注意，您必须启用全局方法安全性：

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

}

Answer 4

要回答您关于“Dao 身份验证”的新问题，答案是提供自定义UserDetailsService。

从您附加到问题的配置看来，您已经有一个MyUserDetailsService。

有很多文章解释了如何使用自定义DetailsService。这似乎符合您的要求：https://www.baeldung.com/spring-security-authentication-with-a-database

编辑：关于如何确保只有 John 可以看到 John 的项目。

基本上，您可以做的唯一事情是确保只有 John 可以看到他的目标，将目标限制在 John 拥有的目标上。但是有很多方法可以做到这一点。

1. 正如您在最初的问题中所建议的，您可以只为特定用户选择目标。 spring-security 的强大之处在于它可以注入Principal，但也可以注入其他身份验证对象。

2. 您还可以使用SecurityContextHolder 使DAO/存储库端的过滤器更加隐式。当您的系统更加以用户为中心或类似于多租户系统时，这种方法很好并且看起来更好。

3. 使用一些特定的 @Annotations 或 Aspects 也是一种解决方案，但在这种情况下可能不太明显。