Java 学习笔记（五）

CSRF攻击

CSRF攻击，全称为Cross-Site Request Forgery（跨站请求伪造），是一种常见的网络攻击方式。它利用网站对用户浏览器的信任，诱使用户在不知情的情况下发送恶意请求。这类攻击通常发生在用户已经通过身份验证的Web应用上，攻击者通过诱使用户在另一个网站执行操作，而该操作实际上是以用户的身份在目标网站上进行的。

CSRF攻击的原理

CSRF攻击的基本原理是攻击者诱使已经登录的用户（例如在银行网站上）在不知情的情况下执行攻击者预设的操作。例如，用户在没有登出银行网站的情况下，在另一个标签页中访问了攻击者的网站。攻击者的网站包含了一个请求，该请求指向银行网站并试图执行一个操作（如转账）。因为用户的浏览器仍然保持与银行网站的会话，所以这个请求会带上用户的认证信息（如cookie），使得请求看起来是合法的。

CSRF攻击的方式

CSRF攻击可以通过多种方式实现，包括但不限于：

1. GET请求攻击：攻击者可以在恶意网页中嵌入一个隐藏的标签，其src属性指向一个包含恶意请求的URL。当用户访问该恶意网页时，浏览器会自动加载这个标签，从而向目标网站发送GET请求。
   POST请求攻击：攻击者可以使用JavaScript构建一个隐藏的表单，并通过JavaScript自动提交该表单，从而向目标网站发送POST请求。
2. 链接攻击：攻击者可以构建一个看似无害的链接，并诱导用户点击。链接的URL可能包含恶意请求，当用户点击链接时，浏览器会向目标网站发送请求。

CSRF攻击的防范措施

为了防止CSRF攻击，可以采取以下措施：

1. 使用CSRF Token：最常见的防范措施是在表单中添加一个CSRF Token，这是一个随机生成的令牌，服务器在渲染表单时生成并验证。当表单提交时，服务器会检查CSRF Token的有效性，以确保请求是合法的。
2. 验证HTTP请求的来源：服务器可以检查HTTP请求的来源地址（如Referer头），以确保请求来自预期的来源。然而，这种方法并不总是可靠的，因为Referer头可以被伪造或删除。
3. 设置SameSite Cookie属性：SameSite Cookie属性可以防止浏览器在跨站点请求中发送Cookie。当设置SameSite属性为Strict或Lax时，浏览器将不会在跨站点请求中发送Cookie。
4. 使用HTTPS：确保所有通信都通过安全的HTTP（HTTPS）进行，以避免中间人攻击。
5. 实施内容安全策略（CSP）：CSP可以帮助减少XSS（跨站脚本）的风险，从而间接减少CSRF攻击的风险。

综上所述，CSRF攻击是一种利用网站对用户浏览器的信任执行未授权操作的攻击手段。通过合理的安全策略和编程措施，可以有效地防止这种攻击。

AuthenticationEntryPoint

AuthenticationEntryPoint是Spring Security Web中的一个关键接口，用于处理认证失败或者未认证的请求。当用户尝试访问受保护的资源而未经过身份验证，或者身份验证失败时，该接口会被触发。 以下是对AuthenticationEntryPoint的详细介绍：

接口定义

AuthenticationEntryPoint接口定义了一个方法：

void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException;

参数解释

HttpServletRequest request：表示遇到认证异常的用户请求。
HttpServletResponse response：表示将要返回给客户端的响应。
AuthenticationException authException：表示认证过程中抛出的异常，包含了认证失败的具体原因。

方法作用：实现该方法时，应根据需要修改ServletResponse的标头或状态码，以开始身份验证过程或向用户展示相应的错误信息。

主要作用

AuthenticationEntryPoint的主要作用是：

1. 处理未认证请求：当用户未经过身份验证就尝试访问受保护的资源时，AuthenticationEntryPoint会被调用，以引导用户进入认证流程或显示错误信息。
2. 处理认证失败：当用户的身份验证失败时，AuthenticationEntryPoint同样会被调用，以处理认证失败的情况，例如重定向到登录页面或显示认证失败的消息。

内置实现类

Spring Security为AuthenticationEntryPoint提供了多种内置实现类，以适应不同的认证需求：

1. Http403ForbiddenEntryPoint：设置响应状态码为403 Forbidden，并不触发真正的认证流程，通常用于预验证已拒绝用户请求的情况。
2. HttpStatusEntryPoint：允许设置特定的HTTP状态码作为响应，但并不触发认证流程。
3. LoginUrlAuthenticationEntryPoint：根据配置计算出登录页面的URL，并将用户重定向到该登录页面以开始认证流程。
4. BasicAuthenticationEntryPoint：对应标准HTTP Basic认证流程的触发动作，向响应写入状态码401和WWW-Authenticate头部，触发浏览器进行Basic认证。
5. DigestAuthenticationEntryPoint：类似于BasicAuthenticationEntryPoint，但对应的是HTTP Digest认证流程。
6. DelegatingAuthenticationEntryPoint：作为代理，根据请求的特性（如URL模式）委托给不同的AuthenticationEntryPoint处理。

自定义实现

开发者可以根据实际需求自定义AuthenticationEntryPoint的实现。例如，在自定义实现中，可以记录认证失败的日志、发送特定的错误消息给用户、或者执行其他与认证失败相关的操作。

配置方式

在Spring Security的配置中，通常需要通过HttpSecurity的exceptionHandling()方法来配置AuthenticationEntryPoint。例如：

@Override  
protected void configure(HttpSecurity http) throws Exception {  
    http  
        // ... 其他配置 ...  
        .exceptionHandling(exception -> exception.authenticationEntryPoint(new CustomAuthenticationEntryPoint()))  
        // ... 其他配置 ...  
}  
  
@Component  
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {  
    @Override  
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {  
        // 自定义的认证失败处理逻辑  
    }  
}

通过这种方式，可以将自定义的AuthenticationEntryPoint集成到Spring Security的认证流程中，以实现灵活的认证失败处理机制。

@PreAuthorize

@PreAuthorize是Spring Security框架中用于在方法级别进行访问控制的注解。以下是对@PreAuthorize注解的详细介绍，包括其参数、使用案例等：

@PreAuthorize注解概述

@PreAuthorize注解是Spring Security提供的一种权限控制方式，它允许开发者在方法执行前对用户进行访问控制。通过在方法上添加@PreAuthorize注解，并传入一个表达式作为参数，可以指定哪些用户可以访问该方法。当用户访问被@PreAuthorize注解修饰的方法时，Spring Security会根据表达式的计算结果来决定是否允许访问。

@PreAuthorize注解的参数

@PreAuthorize注解的参数是一个SpEL（Spring Expression Language）表达式，用于定义权限规则。SpEL支持在表达式中使用各种功能，包括方法调用、条件判断等。表达式的结果应该是布尔值，如果为true，则允许方法调用；否则，抛出AccessDeniedException异常，阻止方法执行。

@PreAuthorize注解的使用案例

基于角色的访问控制

使用hasRole('ROLE_NAME')表达式来检查用户是否具有指定角色。

示例代码：

@PreAuthorize("hasRole('ROLE_ADMIN')")  
public void adminOperation() {  
    // 实现管理员操作的代码  
}

在上面的代码中，只有具有ROLE_ADMIN角色的用户才能调用adminOperation方法。

基于权限的访问控制

使用hasAuthority('AUTHORITY_NAME')表达式来检查用户是否具有指定权限。

示例代码：

@PreAuthorize("hasAuthority('READ_PRIVILEGE')")  
public void readOperation() {  
    // 实现读取操作的代码  
}

在上面的代码中，只有具有READ_PRIVILEGE权限的用户才能调用readOperation方法。

基于方法参数的访问控制

在表达式中，可以引用方法的参数，并使用逻辑运算符构建更复杂的权限规则。

示例代码：

@PreAuthorize("#id < 10")  
public User findUserById(int id) {  
    // 根据id查找用户  
}  
  
@PreAuthorize("principal.username.equals(#username)")  
public User findUserByUsername(String username) {  
    // 根据用户名查找用户，仅允许查询当前用户的信息  
}

在上面的代码中，findUserById方法只允许查询id小于10的用户，而findUserByUsername方法只允许查询当前用户的信息。

结合OAuth2的访问控制

在使用OAuth2进行认证和授权时，可以使用#oauth2.hasScope('scope')表达式来检查OAuth2令牌是否具有指定范围（scope）的权限。

示例代码：

@PreAuthorize("#oauth2.hasScope('server') or #name.equals('demo')")  
@RequestMapping(path = "/{name}", method = RequestMethod.GET)  
public Account getAccountByName(@PathVariable String name) {  
    // 根据名称查找账户  
}

在上面的代码中，只有当OAuth2令牌具有server范围的权限或者请求的name参数等于"demo"时，才允许访问getAccountByName方法。

注意事项

启用方法级别的安全性：要在Spring Security的配置类中启用方法级别的安全性，需要添加@EnableGlobalMethodSecurity(prePostEnabled = true)注解。

表达式的灵活性：SpEL表达式非常灵活，可以包括用户的角色、权限等信息，也可以进行逻辑运算和条件判断。因此，开发者可以根据实际需求构建复杂的权限规则。

异常处理：当用户没有通过@PreAuthorize注解的权限验证时，系统会抛出AccessDeniedException异常。开发者可以在全局异常处理中捕获该异常，并返回相应的错误信息给用户。

综上所述，@PreAuthorize注解是Spring Security框架中用于控制方法访问权限的重要工具。通过合理使用@PreAuthorize注解，开发者可以实现细粒度的权限控制，从而保护系统的安全性。