摘要:在日常的 Spring Boot 开发中,我们通常会使用安全认证、授权手段来保护后端的 RESTful API,确保只有认证和授权的用户才能访问。但一个常常被忽略的角落是——静态资源。
在日常的 Spring Boot 开发中,我们通常会使用安全认证、授权手段来保护后端的 RESTful API,确保只有认证和授权的用户才能访问。但一个常常被忽略的角落是—— 静态资源 。
想象一个场景:你的应用允许用户上传个人头像、私密文档(如合同 PDF、发票图片)等。这些文件通常存放在服务器的某个目录下,并通过 /uploads/contract-xxx.pdf 这样的 URL 直接访问。如果没有进行任何保护,任何人只要猜到了 URL,就可以轻松下载这些敏感文件,后果不堪设想。
今天,我们就来深入探讨这个“灯下黑”问题:在 Spring Boot 中,如何像保护 API 一样,对静态资源实现精细的访问权限控制?
在深入解决方案之前,我们先快速回顾一下 Spring Boot 是如何处理静态资源的。默认情况下,Spring Boot 会从以下几个 classpath 路径下寻找并提供静态内容:
#技术分享/static/public/resources/META-INF/resources例如,你将一张图片 logo.png 放在 src/main/resources/static/images/ 目录下,应用启动后,就可以通过 http://localhost:8080/images/logo.png 访问到它。这个过程是 Spring MVC 的 ResourceHttpRequestHandler 在背后默默完成的,它绕过了大部分的 Controller 逻辑,直接将文件流响应给客户端。
正是这种“直接”的特性,导致了 Spring Security 的默认配置通常只拦截动态请求,而对静态资源“网开一面”。
最直接的方法,就是让 Spring Security 的安全规则“一视同仁”,覆盖静态资源。
如果你使用了 Spring Security,你的配置类可能长这样:
Java
@Configuration@EnableWebSecuritypublic class WebSecurityConfig {@Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttprequests(authorize -> authorize .RequestMatchers("/api/public/**").permitAll .requestMatchers("/api/**").authenticated .anyRequest.permitAll ) .formLogin(Customizer.withDefaults); return http.build; } }注意最后的 .anyRequest.permitAll ,或者更常见的对 / , /css/** , /js/** 等路径的 permitAll 配置。这相当于明确告诉 Spring Security:“所有未明确匹配的请求,包括大部分静态资源,都直接放行。”
要保护静态资源,第一步就是收紧这个“口子”。我们将规则调整为:默认所有请求都需要认证,然后只对必要的公开资源进行放行。
Java
@Configuration@EnableWebSecuritypublic class WebSecurityConfig {@Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/api/public/**", "/login").permitAll .requestMatchers("/css/**", "/js/**", "/images/logo.png").permitAll .anyRequest.authenticated ) .formLogin(Customizer.withDefaults); return http.build; } }现在,除了 /css/ 、/js/ 目录和 logo.png 这张图片,其他所有位于 static 目录下的资源(比如 /uploads/ 目录)都无法再被公开访问了。访问受保护的资源时,用户会被自动重定向到登录页面。
优点 :简单直接,完全由 Spring Security 统一管理。配置集中,易于理解。缺点 :不够灵活。这种方式只能做到“要么公开,要么需要登录”,无法实现更复杂的业务逻辑,比如“只有文件的拥有者才能下载”。当我们需要的不仅仅是“登录才能访问”时,就需要更灵活的方案。我们可以将静态资源“动态化”,通过一个 Controller 来代理文件的访问请求。
首先,我们要让 Spring Boot 无法直接对外暴露我们的私有文件。一个简单的做法是,将它们存储在 static 目录之外。例如,存储在项目根目录下的 Private-uploads 目录中。
然后,我们创建一个 Controller,用一个特定的端点来处理文件请求。
Java
@RestController@RequestMapping("/Files")public class PrivateFileController {private static final String PRIVATE_STORAGE_PATH = "private-uploads/";@GetMapping("/{filename:.+}") public ResponseEntity serveFile(@PathVariable String filename) { Authentication authentication = SecurityContextHolder.getContext.getAuthentication; String currentUsername = authentication.getName;if (!hasPermission(currentUsername, filename)) { return ResponseEntity.status(HttpStatus.FORBIDDEN).build; }try { Path file = Paths.get(PRIVATE_STORAGE_PATH).resolve(filename); Resource resource = new UrlResource(file.toUri);if (resource.exists || resource.isReadable) { return ResponseEntity.ok .header(HttpHeaders.CONTENT_DISPOSITION, "attachment; filename="" + resource.getFilename + """) .body(resource); } else { return ResponseEntity.notFound.build; } } catch (MalformedURLException e) { return ResponseEntity.internalServerError.build; } }private boolean hasPermission(String username, String filename) { System.out.println("Checking permission for user '" + username + "' on file '" + filename + "'"); return "admin".equals(username); } }通过这种方式,原本对 http://.../private-uploads/contract.pdf 的直接访问,变成了对 http://.../files/contract.pdf 的 API 请求。在这个请求中,我们可以:
获取用户信息 :通过 SecurityContextHolder 拿到当前登录的用户。执行业务校验 :查询数据库,判断文件归属,校验用户角色等。动态响应 :校验通过,则读取文件流并返回;校验失败,则返回 403 Forbidden 或 404 Not Found。优点 :极度灵活 :可以实现任何粒度的权限控制逻辑。安全性高 :文件的真实路径完全隐藏,无法被猜测。可以与 Spring Security 的方法级安全注解(如 @PreAuthorize )结合使用。缺点 :增加了代码复杂度。文件IO操作会占用应用服务器的资源和带宽,对于大文件或高并发场景可能需要额外优化(如使用Nginx的 X-Accel-Redirect )。如果我们不想把文件移出 static 目录,也不想写一个完整的 Controller,有没有折中的办法?当然有,那就是使用 HandlerInterceptor 。
我们可以创建一个拦截器,它专门拦截指向私有静态资源目录的请求,然后执行权限校验。
首先,我们需要一个 WebMvcConfigurer 来注册我们的拦截器。
Java
@Configurationpublic class WebMvcConfig implements WebMvcConfigurer {@Autowired private StaticResourceAuthInterceptor staticResourceAuthInterceptor;@Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(staticResourceAuthInterceptor) .addPathPatterns("/uploads/**"); } }拦截器的核心逻辑和 Controller 方案类似,都是获取用户信息,然后进行业务判断。
Java
@Componentpublic class StaticResourceAuthInterceptor implements HandlerInterceptor {@Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { Authentication authentication = SecurityContextHolder.getContext.getAuthentication; if (authentication == null || !authentication.isAuthenticated || authentication instanceof AnonymousAuthenticationToken) { response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); return false; } String currentUsername = authentication.getName;String requestURI = request.getRequestURI; String filename = requestURI.substring(requestURI.lastIndexOf("/") + 1);if (!hasPermission(currentUsername, filename)) { response.setStatus(HttpServletResponse.SC_FORBIDDEN); return false; }return true; }private boolean hasPermission(String username, String filename) { System.out.println("Interceptor is checking permission for user '" + username + "' on file '" + filename + "'"); return "admin".equals(username); } }这个方案巧妙地结合了 Spring MVC 的默认行为和自定义逻辑。我们的拦截器只负责“鉴权”,鉴权通过后,后续的文件读取和响应工作仍然交给 Spring Boot 高效的静态资源处理器去完成。
优点 :关注点分离 :鉴权逻辑和资源服务逻辑解耦。配置灵活 :可以通过 addPathPatterns 和 excludePathPatterns 精确控制需要保护的资源路径。无需移动文件,对现有项目改造较小。缺点 :文件的物理路径(URL)仍然是暴露的。我们探讨了三种保护 Spring Boot 静态资源的实用方案,让我们来总结一下:
| 方案 | 优点 | 缺点 | 适用场景 | | ---
| 方案一:Spring Security 全局保护 | 配置简单,统一管理 | 灵活性差,只能控制“是否登录” | 简单的内部系统,所有登录用户可访问所有资源 | | 方案二:自定义 Controller 代理 | 极度灵活,安全性最高 | 代码稍复杂,有一定性能开销 | 需要复杂业务权限控制的场景(如网盘、订单附件) | | 方案三:拦截器动态校验 | 关注点分离,改造方便 | URL 路径暴露 | 对现有项目增加权限控制,且性能要求较高 |
保护 API 固然重要,但对静态资源的权限控制同样是应用安全不可或缺的一环。
github.com/yuboon/java…
来源:墨码行者
