(window.webpackJsonp=window.webpackJsonp||[]).push([[494],{923:function(e,n,t){"use strict";t.r(n);var r=t(56),a=Object(r.a)({},(function(){var e=this,n=e.$createElement,t=e._self._c||n;return t("ContentSlotsDistributor",{attrs:{"slot-key":e.$parent.slotKey}},[t("h1",{attrs:{id:"spring-集成中的安全性"}},[t("a",{staticClass:"header-anchor",attrs:{href:"#spring-集成中的安全性"}},[e._v("#")]),e._v(" Spring 集成中的安全性")]),e._v(" "),t("h2",{attrs:{id:"spring-集成中的安全性-2"}},[t("a",{staticClass:"header-anchor",attrs:{href:"#spring-集成中的安全性-2"}},[e._v("#")]),e._v(" Spring 集成中的安全性")]),e._v(" "),t("p",[e._v("安全性是任何现代 Enterprise（或云）应用程序中的重要功能之一。此外，它对于分布式系统至关重要，例如那些建立在 Enterprise 集成模式上的系统。消息传递独立性和松耦合使目标系统可以使用消息"),t("code",[e._v("payload")]),e._v("中的任何类型的数据彼此通信。我们既可以信任所有这些消息，也可以保护我们的服务不受“感染”消息的影响。")]),e._v(" "),t("p",[e._v("Spring 集成，连同"),t("a",{attrs:{href:"https://projects.spring.io/spring-security/",target:"_blank",rel:"noopener noreferrer"}},[e._v("Spring Security"),t("OutboundLink")],1),e._v("，提供了一种简单而全面的方式来保护消息通道，以及集成解决方案的其他部分。")]),e._v(" "),t("p",[e._v("你需要在项目中包含此依赖项：")]),e._v(" "),t("p",[e._v("Maven")]),e._v(" "),t("div",{staticClass:"language- extra-class"},[t("pre",{pre:!0,attrs:{class:"language-text"}},[t("code",[e._v("\n org.springframework.integration\n spring-integration-security\n 5.5.9\n\n")])])]),t("p",[e._v("Gradle")]),e._v(" "),t("div",{staticClass:"language- extra-class"},[t("pre",{pre:!0,attrs:{class:"language-text"}},[t("code",[e._v('compile "org.springframework.integration:spring-integration-security:5.5.9"\n')])])]),t("h3",{attrs:{id:"保护信道"}},[t("a",{staticClass:"header-anchor",attrs:{href:"#保护信道"}},[e._v("#")]),e._v(" 保护信道")]),e._v(" "),t("p",[e._v("Spring 集成提供了"),t("code",[e._v("ChannelSecurityInterceptor")]),e._v("拦截器，它扩展了"),t("code",[e._v("AbstractSecurityInterceptor")]),e._v("并拦截了信道上的发送和接收调用。然后参照"),t("code",[e._v("ChannelSecurityMetadataSource")]),e._v("做出访问决策，该决策提供了描述特定通道的发送和接收访问策略的元数据。拦截器要求通过使用 Spring 安全性进行身份验证来建立有效的"),t("code",[e._v("SecurityContext")]),e._v("。有关详细信息，请参见"),t("a",{attrs:{href:"https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/",target:"_blank",rel:"noopener noreferrer"}},[e._v("Spring Security Reference Guide"),t("OutboundLink")],1),e._v("。")]),e._v(" "),t("p",[e._v("Spring 集成提供了名称空间支持，以允许安全约束的轻松配置。这种支持由安全通道标记组成，它允许结合用于发送和接收的安全配置的定义来定义一个或多个通道名称模式。模式是"),t("code",[e._v("java.util.regexp.Pattern")]),e._v("。")]),e._v(" "),t("p",[e._v("下面的示例展示了如何配置包含安全性的 Bean，以及如何使用模式设置策略：")]),e._v(" "),t("div",{staticClass:"language- extra-class"},[t("pre",{pre:!0,attrs:{class:"language-text"}},[t("code",[e._v('\n\n\n\n \n \n\n')])])]),t("p",[e._v("默认情况下，"),t("code",[e._v("secured-channels")]),e._v("名称空间元素需要一个名为"),t("code",[e._v("authenticationManager")]),e._v("的 Bean（它实现"),t("code",[e._v("AuthenticationManager")]),e._v("）和一个名为"),t("code",[e._v("accessDecisionManager")]),e._v("的 Bean（它实现"),t("code",[e._v("AccessDecisionManager")]),e._v("）。如果不是这种情况，则可以将对适当 bean 的引用配置为"),t("code",[e._v("secured-channels")]),e._v("元素的属性，如下例所示：")]),e._v(" "),t("div",{staticClass:"language- extra-class"},[t("pre",{pre:!0,attrs:{class:"language-text"}},[t("code",[e._v('\n \n \n\n')])])]),t("p",[e._v("从版本 4.2 开始，"),t("code",[e._v("@SecuredChannel")]),e._v("注释可用于"),t("code",[e._v("@Configuration")]),e._v("类中的 Java 配置。")]),e._v(" "),t("p",[e._v("下面的示例展示了与前面的 XML 示例类似的 Java:")]),e._v(" "),t("div",{staticClass:"language- extra-class"},[t("pre",{pre:!0,attrs:{class:"language-text"}},[t("code",[e._v('@Configuration\n@EnableIntegration\npublic class ContextConfiguration {\n\n @Bean\n @SecuredChannel(interceptor = "channelSecurityInterceptor", sendAccess = "ROLE_ADMIN")\n public SubscribableChannel adminChannel() {\n \treturn new DirectChannel();\n }\n\n @Bean\n @SecuredChannel(interceptor = "channelSecurityInterceptor", receiveAccess = "ROLE_USER")\n public SubscribableChannel userChannel() {\n \treturn new DirectChannel();\n }\n\n @Bean\n public ChannelSecurityInterceptor channelSecurityInterceptor(\n AuthenticationManager authenticationManager,\n \t\tAccessDecisionManager accessDecisionManager) {\n \tChannelSecurityInterceptor channelSecurityInterceptor = new ChannelSecurityInterceptor();\n \tchannelSecurityInterceptor.setAuthenticationManager(authenticationManager);\n \tchannelSecurityInterceptor.setAccessDecisionManager(accessDecisionManager);\n \treturn channelSecurityInterceptor;\n }\n\n}\n')])])]),t("h3",{attrs:{id:"安全上下文传播"}},[t("a",{staticClass:"header-anchor",attrs:{href:"#安全上下文传播"}},[e._v("#")]),e._v(" 安全上下文传播")]),e._v(" "),t("p",[e._v("为了确保我们与应用程序的交互是安全的，根据其安全系统规则，我们应该通过身份验证（主体）对象提供一些安全上下文。 Spring 安全项目提供了一种灵活的、规范的机制，用于通过 HTTP、 WebSocket 或 SOAP 协议对我们的应用程序客户端进行身份验证（对于具有简单的 Spring 安全扩展的任何其他集成协议，都可以这样做）。它还提供了"),t("code",[e._v("SecurityContext")]),e._v("用于对应用程序对象（例如消息通道）进行进一步的授权检查。默认情况下，"),t("code",[e._v("SecurityContext")]),e._v("通过使用（"),t("code",[e._v("ThreadLocalSecurityContextHolderStrategy")]),e._v("）绑定到当前"),t("code",[e._v("Thread")]),e._v("的执行状态。安全方法上的 AOP（面向方面的编程）拦截器访问它，以检查（例如）调用的"),t("code",[e._v("principal")]),e._v("是否具有调用该方法的足够权限。这在当前线程中很好地工作。不过，处理逻辑通常可以在另一个线程、多个线程上执行，甚至可以在外部系统上执行。")]),e._v(" "),t("p",[e._v("如果我们的应用程序构建在 Spring 集成组件及其消息通道上，那么标准的线程绑定行为很容易配置。在这种情况下，安全对象可以是任何服务激活器或转换器，在其"),t("code",[e._v("")]),e._v("（参见"),t("RouterLink",{attrs:{to:"/spring-integration/handler-advice.html#message-handler-advice-chain"}},[e._v("向端点添加行为")]),e._v("）甚至"),t("code",[e._v("MessageChannel")]),e._v("（参见"),t("a",{attrs:{href:"#securing-channels"}},[e._v("保护通道")]),e._v("，更早）中使用"),t("code",[e._v("MethodSecurityInterceptor")]),e._v("进行安全保护。当使用"),t("code",[e._v("DirectChannel")]),e._v("通信时，"),t("code",[e._v("SecurityContext")]),e._v("将自动可用，因为下游流在当前线程上运行。然而，在"),t("code",[e._v("QueueChannel")]),e._v("、"),t("code",[e._v("ExecutorChannel")]),e._v("和"),t("code",[e._v("PublishSubscribeChannel")]),e._v("具有"),t("code",[e._v("Executor")]),e._v("的情况下，消息通过这些通道的性质从一个线程传输到另一个（或多个）。为了支持这种情况，我们有两个选择：")],1),e._v(" "),t("ul",[t("li",[t("p",[e._v("在消息头中传输"),t("code",[e._v("Authentication")]),e._v("对象，并在安全的对象访问之前在另一端对其进行提取和验证。")])]),e._v(" "),t("li",[t("p",[e._v("将"),t("code",[e._v("SecurityContext")]),e._v("传播到接收传输消息的线程。")])])]),e._v(" "),t("p",[e._v("4.2 版引入了"),t("code",[e._v("SecurityContext")]),e._v("传播。它被实现为"),t("code",[e._v("SecurityContextPropagationChannelInterceptor")]),e._v("，你可以将其添加到任何"),t("code",[e._v("MessageChannel")]),e._v("或配置为"),t("code",[e._v("@GlobalChannelInterceptor")]),e._v("。该拦截器的逻辑基于从当前线程（从"),t("code",[e._v("preSend()")]),e._v("方法）提取"),t("code",[e._v("SecurityContext")]),e._v("并从"),t("code",[e._v("postReceive()")]),e._v("（"),t("code",[e._v("beforeHandle()")]),e._v("）方法将其填充到另一个线程。实际上，这个拦截器是更通用的"),t("code",[e._v("ThreadStatePropagationChannelInterceptor")]),e._v("的扩展，它将要发送的消息与要传播的状态包装在一个内部的"),t("code",[e._v("Message")]),e._v("扩展（"),t("code",[e._v("MessageWithThreadState")]),e._v("）中，并在另一侧提取要传播的原始消息和状态。你可以为任何上下文传播用例扩展"),t("code",[e._v("ThreadStatePropagationChannelInterceptor")]),e._v("，"),t("code",[e._v("SecurityContextPropagationChannelInterceptor")]),e._v("就是这样做的一个很好的例子。")]),e._v(" "),t("table",[t("thead",[t("tr",[t("th"),e._v(" "),t("th",[t("code",[e._v("ThreadStatePropagationChannelInterceptor")]),e._v("的逻辑是基于消息修改的（它返回一个要发送的内部"),t("code",[e._v("MessageWithThreadState")]),e._v("对象）。"),t("br"),e._v("因此，在将此拦截器与任何其他也可以修改消息的拦截器组合时（例如，通过"),t("code",[e._v("MessageBuilder.withPayload(…)…build()")]),e._v("）."),t("br"),e._v("传播的状态可能会丢失。"),t("br"),e._v("在大多数情况下，为了克服这个问题，可以为信道订购拦截器，并确保"),t("code",[e._v("ThreadStatePropagationChannelInterceptor")]),e._v("是堆栈中的最后一个。")])])]),e._v(" "),t("tbody")]),e._v(" "),t("p",[t("code",[e._v("SecurityContext")]),e._v("的传播和种群只是工作的一半。由于消息不是消息流中线程的所有者，并且我们应该确保对任何传入消息都是安全的，因此我们必须清理"),t("code",[e._v("SecurityContext")]),e._v("中的"),t("code",[e._v("ThreadLocal")]),e._v("。"),t("code",[e._v("SecurityContextPropagationChannelInterceptor")]),e._v("提供了"),t("code",[e._v("afterMessageHandled()")]),e._v("拦截器方法实现。它通过将调用结束时的线程从传播的主体中释放出来来清理操作。这意味着，当处理传递消息的线程完成处理消息（成功或其他）时，上下文将被清除，以便在处理另一条消息时不会在无意中使用它。")]),e._v(" "),t("table",[t("thead",[t("tr",[t("th"),e._v(" "),t("th",[e._v("在使用"),t("RouterLink",{attrs:{to:"/spring-integration/gateway.html#async-gateway"}},[e._v("异步网关")]),e._v("时，应该使用 Spring Security"),t("a",{attrs:{href:"https://docs.spring.io/spring-security/site/docs/current/reference/html/servlet-webclient.html#concurrency",target:"_blank",rel:"noopener noreferrer"}},[e._v("并发支持"),t("OutboundLink")],1),e._v("中的适当的"),t("code",[e._v("AbstractDelegatingSecurityContextSupport")]),e._v("实现，以确保通过网关调用进行安全上下文传播。"),t("br"),e._v("下面的示例演示如何这样做："),t("br"),t("br"),t("code",[e._v('
@Configuration
@EnableIntegration
@IntegrationComponentScan
public class ContextConfiguration {

@Bean
public AsyncTaskExecutor securityContextExecutor() {
return new DelegatingSecurityContextAsyncTaskExecutor(
new SimpleAsyncTaskExecutor());
}

}

...

@MessagingGateway(asyncExecutor = "securityContextExecutor")
public interface SecuredGateway {

@Gateway(requestChannel = "queueChannel")
Future send(String payload);

}
')])],1)])]),e._v(" "),t("tbody")])])}),[],!1,null,null,null);n.default=a.exports}}]);