Spring Security是Spring推出的一个安全框架,说白了就是争对用户登录和权限的框架,所以主要功能为两块:“认证”和“授权”,对应用户登录和是否有权限去访问一些功能
一、使用Spring Security
1. 依赖
SpringBoot项目中加入依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
2. 写一个测试接口
@RestController
public class DemoController {
@RequestMapping("/demo")
public String demo(){
return "demo";
}
}
访问:http://localhost:8080/demo 后,跳转的为:
默认账号为:user,密码在启动时的控制台输出:
输入账号密码后登录,就可以成功的访问接口了:
二、自定义登录逻辑
实际登录中,用户的账号密码肯定需要通过数据库查询匹配,官方默认只提供了一个默认账号,那么如何自定义用户的登录逻辑呢?
1. UserDetailsService
UserDetailsService接口需要实现loadUserByUsername()方法,该方法返回一个UserDetails对象,该对象是一个接口,其方法对应的解释看下面的注解:
public interface UserDetails extends Serializable {
// 权限列表
Collection<? extends GrantedAuthority> getAuthorities();
// 密码
String getPassword();
String getUsername();
// 账号是否过期
boolean isAccountNonExpired();
// 账号是否被锁定
boolean isAccountNonLocked();
// 凭证是否过期
boolean isCredentialsNonExpired();
// 是否可以
boolean isEnabled();
}
其实现类为User:
实现UserDetailsService接口,并使用实现类User构造UserDetails,User构造传入三个参数:用户名、密码、权限列表,密码需要通过PasswordEncoder将原密码进行编码后传入,会自动和前端传入的密码进行匹配,权限暂时构造空的即可:
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 模拟数据库查询操作
if (!username.equals("aruba")) throw new UsernameNotFoundException("用户未找到");
// 查询出的密码
String pwd = "123";
// 密码解析器
String encodePassword = passwordEncoder.encode(pwd);
User user = new User(username, encodePassword, AuthorityUtils.commaSeparatedStringToAuthorityList(""));
return user;
}
}
2. PasswordEncoder
密码解析器PasswordEncoder接口的方法解释:
public interface PasswordEncoder {
// 进行编码
String encode(CharSequence rawPassword);
// 原密码和编码后的密码是否匹配
boolean matches(CharSequence rawPassword, String encodedPassword);
// 编码的密码能够再次进行解析且达到更安全的结果则返回true
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
}
密码解析器实现类有很多:
我们使用最常用的BCryptPasswordEncoder:
@Configuration
public class PasswordEncoderConfig {
@Bean
protected PasswordEncoder providerPasswordEncoder() {
return new BCryptPasswordEncoder();
}
}
重启项目,进行访问,此时我们可以使用自定义的账号和密码进行登录了
三、自定义登录界面
上面自定义了登录逻辑,现在来对登录界面进行配置
1. 依赖
导入模板引擎:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
2. 页面编写
SpringSecurity中默认使用username和password作为登录的请求参数,默认登录接口:/login,使用post请求
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login" method="post">
用户名:<input type="text" value="" name="username"><br/>
密码: <input type="password" name="password"><br/>
<input type="submit" value="登录">
</form>
</body>
</html>
3. SecurityFilterChain
提供注入SecurityFilterChain的方法,该方法有一个入参为HttpSecurity:
@Configuration
public class SecurityConfig {
@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.formLogin().loginPage("/showLogin")//登录页面处理单元
.loginProcessingUrl("/login")//登录时提交的请求
.successForwardUrl("/main");//登录成功处理单元
http.authorizeRequests()
.antMatchers("/showLogin").permitAll() //配置不需要被认证的请求
.anyRequest().authenticated();//其他请求都必须被认证。必须登录后才能访问。
http.csrf().disable();
return http.build();
}
}
4. controller编写
@Controller
public class LoginController {
@RequestMapping("/showLogin")
public String showLogin() {
return "login";
}
@RequestMapping("/main")
@ResponseBody
public String main() {
return "main";
}
}
访问效果:
5. handler
除了使用successForwardUrl方法指定成功转发的目标外,还可以通过handler做自己想要的处理,比如使用重定向,此处SpringSecurity不会做授权控制:
http.formLogin().loginPage("/showLogin")//登录页面处理单元
.loginProcessingUrl("/login")//登录时提交的请求
.successHandler(new AuthenticationSuccessHandler() {
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
response.sendRedirect("/main");
}
});
此外还有失败的处理:failureHandler(AuthenticationFailureHandler)方法,使用上是一样的
四、URL匹配
1. antMatchers通配符
上面我们已经使用过antMatchers()方法来指定哪些请求不需要授权,它还支持通配符
| 通配符 | 描述 |
|---|---|
| ? | 匹配一个字符 |
| * | 匹配0个或多个字符 |
| ** | 匹配0个或多个目录 |
如放行js目录下的所有文件:
.antMatchers("/js/**").permitAll()
2. antMatchers指定请求方式
通过第一个参数,使用HttpMethod指定请求方式:
.antMatchers(HttpMethod.GET,"/js/**").permitAll()
除了antMatchers()方法以外,还可以使用regexMatchers()方法,匹配规则为正则表达式
五、角色权限判断
1. 设置请求的角色权限
Spring Security权限分为两种:权限和角色,一个用户可以拥有多个角色,而一个角色可以拥有不同的权限。
下面为配置权限的方法,在URL匹配后调用
| 权限方法 | 描述 |
|---|---|
hasAuthority(String) |
只有拥有传入参数:权限,才允许访问 |
hasAnyAuthority(String ...) |
拥有任意一个权限,都可以访问 |
hasRole(String) |
只有具备传入参数:角色 ,才允许访问 |
hasAnyRole(String ...) |
拥有任意一个角色,都可以访问 |
hasIpAddress(String) |
指定ip,才可以访问 |
示例:
.antMatchers("/register").hasAuthority("register")//只有有注册权限
.antMatchers("/modify").hasAnyAuthority("modify","register")//任意一个权限
.antMatchers("/manage").hasRole("admin")//只有admin角色
.antMatchers("/show").hasAnyRole("admin","user")//任意一个角色
2. 分配用户的角色权限
上面只是争对不同的请求配置了权限和角色,想要用户拥有权限和角色,就需要在UserDetails中进行添加,之前我们权限暂时设置为了空。
权限和角色设置规则:多个权限和角色使用,分开,角色需要添加ROLE_前缀:
User user = new User(username, encodePassword,
AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin,modify"));
3. 拒绝权限处理
和successHandler()一样,Spring Security也可以自定义拒绝权限的处理,使用accessDeniedHandler(AccessDeniedHandler)方法:
// 拒绝访问的处理
http.exceptionHandling().accessDeniedHandler(new AccessDeniedHandler() {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
response.setHeader("Content-Type", "application/json;charset=utf-8");
PrintWriter out = response.getWriter();
out.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员!\"}");
out.flush();
out.close();
}
});
4. 权限自定义判断
针对一些特殊的需求,我们可能要自定义权限的判断逻辑,Spring Security也支持,只要按照它提供的规则进行代码编写
4.1 boolean hasPermission(HttpServletRequest,Authentication)
需要定义一个接口,里面有该方法:
public interface MyAccessService {
boolean hasPermission(HttpServletRequest request, Authentication authentication);
}
实现接口:
@Service
public class MyAccessServiceImpl implements MyAccessService {
@Override
public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
// 获取对象
Object principal = authentication.getPrincipal();
if (principal instanceof UserDetails) {
// 转为UserDetails对象
UserDetails userDetails = (UserDetails) principal;
// 获取所有权限
Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
// 做自己的处理
return authorities.contains(new SimpleGrantedAuthority("ROLE_admin"));
}
return false;
}
}
4.2 使用自定义
通过@+注入bean的方式调用方法:
.anyRequest().access("@myAccessServiceImpl.hasPermission(request,authentication)");
5. 注解设置请求权限
除了通过config方式外,还可以通过注解来指定controller层哪个请求使用哪些权限,需要在SpringBoot启动类上开启@EnableMethodSecurity注解:
支持的注解有:
| 注解 | 描述 |
|---|---|
@Secured |
指定处理单元的权限和角色,参数为数组,使用需要开启@EnableMethodSecurity注解的securedEnabled
|
@PreAuthorize |
在处理单元之前进行权限和角色的控制,使用权限表达式进行授权 |
@PostAuthorize |
在处理单元之后进行权限和角色的控制 |
示例:
@RestController
public class DemoController {
// Secured角色需要加上ROLE前缀
@Secured({"ROLE_admin", "register"})
@RequestMapping("/demo")
public String demo() {
return "demo";
}
// PreAuthorize中可以调用方法
@PreAuthorize("hasRole('admin')")
@RequestMapping("/demo2")
public String demo2() {
return "demo";
}
}
六、记住登录
Spring Security记住登录功能依赖数据库实现,需要进行以下配置
1. 依赖
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.3</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.21</version>
</dependency>
yml中进行配置:
spring:
datasource:
url: jdbc:mysql://127.0.0.1:3306/mydb?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
username: root
password: root
driver-class-name: com.mysql.cj.jdbc.Driver
2. PersistentTokenRepository
提供PersistentTokenRepository,使用它的实现类:JdbcTokenRepositoryImpl
@Configuration
public class RememberConfig {
@Autowired
private DataSource dataSource;
@Bean
protected PersistentTokenRepository providerTokenRepository() {
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
// 启动时,自动创建表,第二次启动注释
jdbcTokenRepository.setCreateTableonStartup(true);
jdbcTokenRepository.setDataSource(dataSource);
return jdbcTokenRepository;
}
}
3. 配置HttpSecurity
// 持久处理
http.rememberMe()
.userDetailsService(userDetailsService) //登录逻辑交给哪个对象
.tokenValiditySeconds(5000) // 表示持久化时间
.tokenRepository(repository); //持久层对象
4. 页面添加标签
添加name为remember-me的标签:
记住: <input type="checkbox" name="remember-me"><br/>
之后网页只需要登录一次,就可以持久5000s不需要登录,即使服务重启也可以保持登录状态
项目地址:
https://gitee.com/aruba/spring-security-study.git
