分布式–Spring Security入门

Spring Security是Spring推出的一个安全框架,说白了就是争对用户登录和权限的框架,所以主要功能为两块:“认证”和“授权”,对应用户登录和是否有权限去访问一些功能

一、使用Spring Security

1. 依赖

SpringBoot项目中加入依赖:

        
            org.springframework.boot
            spring-boot-starter-security
        

2. 写一个测试接口

@RestController
public class DemoController {

    @RequestMapping("/demo")
    public String demo(){
        return "demo";
    }

}

访问:http://localhost:8080/demo 后,跳转的为:

默认账号为:user,密码在启动时的控制台输出:

输入账号密码后登录,就可以成功的访问接口了:

二、自定义登录逻辑

实际登录中,用户的账号密码肯定需要通过数据库查询匹配,官方默认只提供了一个默认账号,那么如何自定义用户的登录逻辑呢?

1. UserDetailsService

UserDetailsService接口需要实现loadUserByUsername()方法,该方法返回一个UserDetails对象,该对象是一个接口,其方法对应的解释看下面的注解:

public interface UserDetails extends Serializable {
    // 权限列表
    Collection getAuthorities();

    // 密码
    String getPassword();

    String getUsername();

    // 账号是否过期
    boolean isAccountNonExpired();

    // 账号是否被锁定
    boolean isAccountNonLocked();

    // 凭证是否过期
    boolean isCredentialsNonExpired();

    // 是否可以
    boolean isEnabled();
}

其实现类为User

实现UserDetailsService接口,并使用实现类User构造UserDetailsUser构造传入三个参数:用户名、密码、权限列表,密码需要通过PasswordEncoder将原密码进行编码后传入,会自动和前端传入的密码进行匹配,权限暂时构造空的即可:

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 模拟数据库查询操作
        if (!username.equals("aruba")) throw new UsernameNotFoundException("用户未找到");
        // 查询出的密码
        String pwd = "123";

        // 密码解析器
        String encodePassword = passwordEncoder.encode(pwd);
        User user = new User(username, encodePassword, AuthorityUtils.commaSeparatedStringToAuthorityList(""));

        return user;
    }
}

2. PasswordEncoder

密码解析器PasswordEncoder接口的方法解释:

public interface PasswordEncoder {

    // 进行编码
    String encode(CharSequence rawPassword);

    // 原密码和编码后的密码是否匹配
    boolean matches(CharSequence rawPassword, String encodedPassword);

    // 编码的密码能够再次进行解析且达到更安全的结果则返回true
    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

密码解析器实现类有很多:

我们使用最常用的BCryptPasswordEncoder

@Configuration
public class PasswordEncoderConfig {

    /**
     * 提供PasswordEncoder
     *
     * @return
     */
    @Bean
    protected PasswordEncoder providerPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

重启项目,进行访问,此时我们可以使用自定义的账号和密码进行登录了

三、自定义登录界面

上面自定义了登录逻辑,现在来对登录界面进行配置

1. 依赖

导入模板引擎:

        
            org.springframework.boot
            spring-boot-starter-thymeleaf
        

2. 页面编写

SpringSecurity中默认使用usernamepassword作为登录的请求参数,默认登录接口:/login,使用post请求




    
    Title


用户名:
密码:

3. SecurityFilterChain

提供注入SecurityFilterChain的方法,该方法有一个入参为HttpSecurity

@Configuration
public class SecurityConfig {

    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.formLogin().loginPage("/showLogin")//登录页面处理单元
                .loginProcessingUrl("/login")//登录时提交的请求
                .successForwardUrl("/main");//登录成功处理单元

        http.authorizeRequests()
                .antMatchers("/showLogin").permitAll() //配置不需要被认证的请求
                .anyRequest().authenticated();//其他请求都必须被认证。必须登录后才能访问。

        http.csrf().disable();

        return http.build();
    }
}

4. controller编写

@Controller
public class LoginController {

    @RequestMapping("/showLogin")
    public String showLogin() {
        return "login";
    }

    @RequestMapping("/main")
    @ResponseBody
    public String main() {
        return "main";
    }

}

访问效果:

5. handler

除了使用successForwardUrl方法指定成功转发的目标外,还可以通过handler做自己想要的处理,比如使用重定向,此处SpringSecurity不会做授权控制:

        http.formLogin().loginPage("/showLogin")//登录页面处理单元
                .loginProcessingUrl("/login")//登录时提交的请求
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect("/main");
                    }
                });

此外还有失败的处理:failureHandler(AuthenticationFailureHandler)方法,使用上是一样的

四、URL匹配

1. antMatchers通配符

上面我们已经使用过antMatchers()方法来指定哪些请求不需要授权,它还支持通配符

通配符 描述
? 匹配一个字符
* 匹配0个或多个字符
** 匹配0个或多个目录

如放行js目录下的所有文件:

.antMatchers("/js/**").permitAll()

2. antMatchers指定请求方式

通过第一个参数,使用HttpMethod指定请求方式:

.antMatchers(HttpMethod.GET,"/js/**").permitAll()

除了antMatchers()方法以外,还可以使用regexMatchers()方法,匹配规则为正则表达式

五、角色权限判断

1. 设置请求的角色权限

Spring Security权限分为两种:权限角色,一个用户可以拥有多个角色,而一个角色可以拥有不同的权限

下面为配置权限的方法,在URL匹配后调用

权限方法 描述
hasAuthority(String) 只有拥有传入参数:权限,才允许访问
hasAnyAuthority(String ...) 拥有任意一个权限,都可以访问
hasRole(String) 只有具备传入参数:角色 ,才允许访问
hasAnyRole(String ...) 拥有任意一个角色,都可以访问
hasIpAddress(String) 指定ip,才可以访问

示例:

.antMatchers("/register").hasAuthority("register")//只有有注册权限
.antMatchers("/modify").hasAnyAuthority("modify","register")//任意一个权限
.antMatchers("/manage").hasRole("admin")//只有admin角色
.antMatchers("/show").hasAnyRole("admin","user")//任意一个角色

2. 分配用户的角色权限

上面只是争对不同的请求配置了权限和角色,想要用户拥有权限和角色,就需要在UserDetails中进行添加,之前我们权限暂时设置为了空。
权限和角色设置规则:多个权限和角色使用,分开,角色需要添加ROLE_前缀:

User user = new User(username, encodePassword, 
        AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin,modify"));

3. 拒绝权限处理

successHandler()一样,Spring Security也可以自定义拒绝权限的处理,使用accessDeniedHandler(AccessDeniedHandler)方法:

// 拒绝访问的处理
http.exceptionHandling().accessDeniedHandler(new AccessDeniedHandler() {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setHeader("Content-Type", "application/json;charset=utf-8");
        PrintWriter out = response.getWriter();
        out.write("{/"status/":/"error/",/"msg/":/"权限不足,请联系管理员!/"}");
        out.flush();
        out.close();
    }
});

4. 权限自定义判断

针对一些特殊的需求,我们可能要自定义权限的判断逻辑,Spring Security也支持,只要按照它提供的规则进行代码编写

4.1 boolean hasPermission(HttpServletRequest,Authentication)

需要定义一个接口,里面有该方法:

public interface MyAccessService {
    boolean hasPermission(HttpServletRequest request, Authentication authentication);
}

实现接口:

@Service
public class MyAccessServiceImpl implements MyAccessService {
    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        // 获取对象
        Object principal = authentication.getPrincipal();
        if (principal instanceof UserDetails) {
            // 转为UserDetails对象
            UserDetails userDetails = (UserDetails) principal;
            // 获取所有权限
            Collection authorities = userDetails.getAuthorities();
            // 做自己的处理
            return authorities.contains(new SimpleGrantedAuthority("ROLE_admin"));
        }
        return false;
    }
}
4.2 使用自定义

通过@+注入bean的方式调用方法:

.anyRequest().access("@myAccessServiceImpl.hasPermission(request,authentication)");

5. 注解设置请求权限

除了通过config方式外,还可以通过注解来指定controller层哪个请求使用哪些权限,需要在SpringBoot启动类上开启@EnableMethodSecurity注解:

支持的注解有:

注解 描述
@Secured 指定处理单元的权限和角色,参数为数组,使用需要开启@EnableMethodSecurity注解的securedEnabled
@PreAuthorize 在处理单元之前进行权限和角色的控制,使用权限表达式进行授权
@PostAuthorize 在处理单元之后进行权限和角色的控制

示例:

@RestController
public class DemoController {

    // Secured角色需要加上ROLE前缀
    @Secured({"ROLE_admin", "register"})
    @RequestMapping("/demo")
    public String demo() {
        return "demo";
    }

    // PreAuthorize中可以调用方法
    @PreAuthorize("hasRole('admin')")
    @RequestMapping("/demo2")
    public String demo2() {
        return "demo";
    }
}

六、记住登录

Spring Security记住登录功能依赖数据库实现,需要进行以下配置

1. 依赖

       
           org.mybatis.spring.boot
           mybatis-spring-boot-starter
           2.1.3
       
       
           mysql
           mysql-connector-java
           8.0.21
       

yml中进行配置:

spring:
  datasource:
    url: jdbc:mysql://127.0.0.1:3306/mydb?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
    username: root
    password: root
    driver-class-name: com.mysql.cj.jdbc.Driver

2. PersistentTokenRepository

提供PersistentTokenRepository,使用它的实现类:JdbcTokenRepositoryImpl

@Configuration
public class RememberConfig {

    @Autowired
    private DataSource dataSource;

    @Bean
    protected PersistentTokenRepository providerTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        // 启动时,自动创建表,第二次启动注释
        jdbcTokenRepository.setCreateTableOnStartup(true);
        jdbcTokenRepository.setDataSource(dataSource);

        return jdbcTokenRepository;
    }

}

3. 配置HttpSecurity

        // 持久处理
        http.rememberMe()
                .userDetailsService(userDetailsService) //登录逻辑交给哪个对象
                .tokenValiditySeconds(5000) // 表示持久化时间
                .tokenRepository(repository);   //持久层对象

4. 页面添加标签

添加nameremember-me标签

记住: 

之后网页只需要登录一次,就可以持久5000s不需要登录,即使服务重启也可以保持登录状态

项目地址:

https://gitee.com/aruba/spring-security-study.git

版权声明:
作者:Zad
链接:https://www.techfm.club/p/59621.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>