SpringSecurity 第三方认证

在登录网页时，时常有用其他账号登录的方式，它们能够让用户避免在Web站点特定的登录页上自己输入凭证信息。这样的Web站点提供了一种通过其他网站（如Facebook）登录的方式，用户可能已经在这些其他的网站登录过了

这种类型的认证是基于OAuth2或OpenID Connect(OIDC)的。OAuth2是一个授权规范。OpenID Connect是另一个基于OAuth2的安全规范，用于规范化第三方认证过程中发生的交互

要在Spring应用中使用这种类型的认证，我们需要在构建文件中添加OAuth2客户端的starter依赖，如下所示：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

接下来至少要配置一个或多个oauth2或者openID Connect服务器的详细信息，也可以通过一些额外的属性来配置其他客户端

首先有一些通用的属性需要设置，通用格式如下：

spring:security:oauth2:client:registration:<oauth2 or openid provider name>:clientId: <client id>clientSecret: <client secret>scope: <comma-separated list of requested scopes>

比如说使用fb登录：

spring:security:oauth2:client:registration:facebook:clientId: <facebook client id>clientSecret: <facebook client secret>scope: email, public_profile

其中，客户端ID和secret是用来标识我们的应用在Facebook中的凭证。你可以在Facebook的开发者网站新建应用来获取客户端ID和secret。scope属性可以用来指定应用的权限范围

当用户尝试访问需要认证的页面时，就会重定向至认证页面，他们会被要求根据所请求的权限范围对我们的应用程序授权。最后，用户会被重新定向到我们的应用程序，此时他们已经完成了认证

但是，我们如果通过声明SecurityFilterChain bean来自定义安全配置，那么除了其他的安全配置，还需要启用OAuth2登录，如下所示：

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {return http.authorizeRequests().mvcMatchers("/design", "/orders").hasRole("USER").anyRequest().permitAll().and().formLogin().loginPage("/login").and().oauth2Login()....and().build();
}

如果同时需要支持传统的通过用户名和密码登录，可以在配置中指定登录页，如下所示：

.and().oauth2Login().loginPage("/login")

应用程序始终都会为用户展示一个它本身提供的登录页，在这里，用户可以像往常一样选择输入用户名和密码进行登录。但是，我们也可以在同一个登录页上提供一个链接，从而允许用户使用Facebook登录。在登录页面的HTML模板中，这样的链接如下所示:

<a th:href = "/oauth2/authorization/facebook">Sign in with Facebook</a>

接下来，如何退出应用，只需在HttpSecurity对象上调用方法：

.and().logout()

该配置会建立一个安全过滤器，拦截对“/logout”的POST请求。所以，为了提供退出功能，我们只需要为应用的视图添加一个退出表单和按钮，如下所示：

<form method = "POST" th:action = "@{/logout}"><input type = "submit" value = "Logout"/>
</form>

用户点击按钮的时候，他们的会话将会被清理，这样他们就退出应用了。默认情况下，用户会被重定向到登录页面，这样他们可以重新登录。但是，如果你想要将他们导航至不同的页面，那么可以调用logoutSuccessUrl()指定退出后的页面，如下所示：

.and().logout().logoutSuccessUrl("/")

实现方法级别的安全

Web请求层面考虑安全问题很容易，但这一层面不一定是进行安全限制的最佳场所。有时候，最好在执行受保护的操作时再去校验一下用户是否通过了验证并被授予了足够的权限。

比如说当多个控制器调用同个方法时，就需要添加更多的匹配器来保护其他控制器的请求，作为替代方案，可以直接在方法上启用安全防护：

@PreAuthorize("hasRole('ADMIN')")
public void deleteAllOrders() {orderRepository.deleteAll();
}

@PreAuthorize注解会接受一个SpEL表达式，如果表达式的计算结果为false，这个方法将不会被调用；如果表达式的计算结果为true，方法就允许调用。在本例中，@PreAuthorize会检查用户是否具有ROLE_ADMIN的权限：如果具有，方法将会被调用，所有的订单会被删除；否则，它会将调用中止

如果@PreAuthorize阻止调用，那么Spring Security将会抛出AccessDeniedException。这是一个非检查型异常，所以我们不需要捕获它，除非想要在异常处理中添加一些自定义的行为。如果我们不捕获它，它将会往上传递，最终被Spring Security的过滤器捕获并进行相应的处理——要么返回HTTP 403页面，要么在用户没有认证的情况返回HTTP 403页面，要么在用户没有认证的情况下重定向到登录页面

要使@PreAuthorize发挥作用，需要启用全局的方法安全功能。为了实现这一点，需要使用@EnableGlobalMethodSecurity注解标注安全配置类，如下所示：

@Configuration
@EnableGlobalMethodSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {...
}

@PostAuthorize注解

它用在方法调用之后，通常来讲用处不是特别大。@PostAuthorize注解的运行机制和@PreAuthorize注解基本相同，只不过它的表达式是在目标方法调用完成并返回之后执行的。这样一来，在决定是否允许方法调用的时候，就能让表达式使用方法的返回值了

假设我们有一个能够根据ID来获取订单的方法。我们如果想限制这个方法，使其只能被管理员或订单所属的用户使用，就可以像这样使用@PostAuthorize注解：

@PostAuthorize("hasRole('ADMIN') || " +"returnObject.user.username == authentication.name")
public TacoOrder getOrder(long id) {...
}

如果判定安全的条件依赖于方法调用的返回值，那么该如何保证方法不被调用呢？我们可以先允许方法调用，并在表达式返回值为false时抛出一个AccessDeniedException，从而解决这个难题。