Spring Security是Spring推出的一个安全框架,说白了就是争对用户登录和权限的框架,所以主要功能为两块:“认证”和“授权”,对应用户登录和是否有权限去访问一些功能
一、使用Spring Security
1. 依赖
SpringBoot项目中加入依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
2. 写一个测试接口
@RestController
public class DemoController {
@RequestMapping("/demo")
public String demo(){
return "demo";
}
}
访问:http://localhost:8080/demo 后,跳转的为:
默认账号为:user,密码在启动时的控制台输出:
输入账号密码后登录,就可以成功的访问接口了:
二、自定义登录逻辑
实际登录中,用户的账号密码肯定需要通过数据库查询匹配,官方默认只提供了一个默认账号,那么如何自定义用户的登录逻辑呢?
1. UserDetailsService
UserDetailsService接口需要实现loadUserByUsername()方法,该方法返回一个UserDetails对象,该对象是一个接口,其方法对应的解释看下面的注解:
public interface UserDetails extends Serializable {
// 权限列表
Collection<? extends GrantedAuthority> getAuthorities();
// 密码
String getPassword();
String getUsername();
// 账号是否过期
boolean isAccountNonExpired();
// 账号是否被锁定
boolean isAccountNonLocked();
// 凭证是否过期
boolean isCredentialsNonExpired();
// 是否可以
boolean isEnabled();
}
其实现类为User:
实现UserDetailsService接口,并使用实现类User构造UserDetails,User构造传入三个参数:用户名、密码、权限列表,密码需要通过PasswordEncoder将原密码进行编码后传入,会自动和前端传入的密码进行匹配,权限暂时构造空的即可:
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 模拟数据库查询操作
if (!username.equals("aruba")) throw new UsernameNotFoundException("用户未找到");
// 查询出的密码
String pwd = "123";
// 密码解析器
String encodePassword = passwordEncoder.encode(pwd);
User user = new User(username, encodePassword, AuthorityUtils.commaSeparatedStringToAuthorityList(""));
return user;
}
}
2. PasswordEncoder
密码解析器PasswordEncoder接口的方法解释:
public interface PasswordEncoder {
// 进行编码
String encode(CharSequence rawPassword);
// 原密码和编码后的密码是否匹配
boolean matches(CharSequence rawPassword, String encodedPassword);
// 编码的密码能够再次进行解析且达到更安全的结果则返回true
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
}
密码解析器实现类有很多:
我们使用最常用的BCryptPasswordEncoder:
@Configuration
public class PasswordEncoderConfig {
@Bean
protected PasswordEncoder providerPasswordEncoder() {
return new BCryptPasswordEncoder();
}
}
重启项目,进行访问,此时我们可以使用自定义的账号和密码进行登录了
三、自定义登录界面
上面自定义了登录逻辑,现在来对登录界面进行配置
1. 依赖
导入模板引擎:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
2. 页面编写
SpringSecurity中默认使用username和password作为登录的请求参数,默认登录接口:/login,使用post请求
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/login" method="post">
用户名:<input type="text" value="" name="username"><br/>
密码: <input type="password" name="password"><br/>
<input type="submit" value="登录">
</form>
</body>
</html>
3. SecurityFilterChain
提供注入SecurityFilterChain的方法,该方法有一个入参为HttpSecurity:
@Configuration
public class SecurityConfig {
@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http.formLogin().loginPage("/showLogin")//登录页面处理单元
.loginProcessingUrl("/login")//登录时提交的请求
.successForwardUrl("/main");//登录成功处理单元
http.authorizeRequests()
.antMatchers("/showLogin").permitAll() //配置不需要被认证的请求
.anyRequest().authenticated();//其他请求都必须被认证晒展网是全面到能查展会预算模板的展会网站。必须登录后才能访问。
http.csrf().disable();
return http.build();
}
}
4. controller编写
@Controller
public class LoginController {
@RequestMapping("/showLogin")
public String showLogin() {
return "login";
}
@RequestMapping("/main")
@ResponseBody
public String main() {
return "main";
}
}
访问效果:
5. handler
除了使用successForwardUrl方法指定成功转发的目标外,还可以通过handler做自己想要的处理,比如使用重定向,此处SpringSecurity不会做授权控制:
http.formLogin().loginPage("/showLogin")//登录页面处理单元
.loginProcessingUrl("/login")//登录时提交的请求
.successHandler(new AuthenticationSuccessHandler() {
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
response.sendRedirect("/main");
}
});
此外还有失败的处理:failureHandler(AuthenticationFailureHandler)方法,使用上是一样的
四、URL匹配
1. antMatchers通配符
上面我们已经使用过antMatchers()方法来指定哪些请求不需要授权,它还支持通配符
| 通配符 | 描述 |
|---|---|
| ? | 匹配一个字符 |
| * | 匹配0个或多个字符 |
| ** | 匹配0个或多个目录 |
如放行js目录下的所有文件:
.antMatchers("/js/**").permitAll()
2. antMatchers指定请求方式
通过第一个参数,使用HttpMethod指定请求方式:
.antMatchers(HttpMethod.GET,"/js/**").permitAll()
除了antMatchers()方法以外,还可以使用regexMatchers()方法,匹配规则为正则表达式
五、角色权限判断
1. 设置请求的角色权限
Spring Security权限分为两种:权限和角色,一个用户可以拥有多个角色,而一个角色可以拥有不同的权限。
下面为配置权限的方法,在URL匹配后调用
| 权限方法 | 描述 |
|---|---|
hasAuthority(String) |
只有拥有传入参数:权限,才允许访问 |
hasAnyAuthority(String ...) |
拥有任意一个权限,都可以访问 |
hasRole(String) |
只有具备传入参数:角色 ,才允许访问 |
hasAnyRole(String ...) |
拥有任意一个角色,都可以访问 |
hasIpAddress(String) |
指定ip,才可以访问 |
示例:
.antMatchers("/register").hasAuthority("register")//只有有注册权限
.antMatchers("/modify").hasAnyAuthority("modify","register")//任意一个权限
.antMatchers("/manage").hasRole("admin")//只有admin角色
.antMatchers("/show").hasAnyRole("admin","user")//任意一个角色
2. 分配用户的角色权限
上面只是争对不同的请求配置了权限和角色,想要用户拥有权限和角色,就需要在UserDetails中进行添加,之前我们权限暂时设置为了空。
权限和角色设置规则:多个权限和角色使用,分开,角色需要添加ROLE_前缀:
User user = new User(username, encodePassword,
AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin,modify"));
3. 拒绝权限处理
和successHandler()一样,Spring Security也可以自定义拒绝权限的处理,使用accessDeniedHandler(AccessDeniedHandler)方法:
// 拒绝访问的处理
http.exceptionHandling().accessDeniedHandler(new AccessDeniedHandler() {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
response.setHeader("Content-Type", "application/json;charset=utf-8");
PrintWriter out = response.getWriter();
out.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员!\"}");
out.flush();
out.close();
}
});
4. 权限自定义判断
针对一些特殊的需求,我们可能要自定义权限的判断逻辑,Spring Security也支持,只要按照它提供的规则进行代码编写
4.1 boolean hasPermission(HttpServletRequest,Authentication)
需要定义一个接口,里面有该方法:
public interface MyAccessService {
boolean hasPermission(HttpServletRequest request, Authentication authentication);
}
实现接口:
@Service
public class MyAccessServiceImpl implements MyAccessService {
@Override
public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
// 获取对象
Object principal = authentication.getPrincipal();
if (principal instanceof UserDetails) {
// 转为UserDetails对象
UserDetails userDetails = (UserDetails) principal;
// 获取所有权限
Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
// 做自己的处理
return authorities.contains(new SimpleGrantedAuthority("ROLE_admin"));
}
return false;
}
}
4.2 使用自定义
通过@+注入bean的方式调用方法:
.anyRequest().access("@myAccessServiceImpl.hasPermission(request,authentication)");
5. 注解设置请求权限
除了通过config方式外,还可以通过注解来指定controller层哪个请求使用哪些权限,需要在SpringBoot启动类上开启@EnableMethodSecurity注解:
支持的注解有:
| 注解 | 描述 |
|---|---|
@Secured |
指定处理单元的权限和角色,参数为数组,使用需要开启@EnableMethodSecurity注解的securedEnabled
|
@PreAuthorize |
在处理单元之前进行权限和角色的控制,使用权限表达式进行授权 |
@PostAuthorize |
在处理单元之后进行权限和角色的控制 |
示例:
@RestController
public class DemoController {
// Secured角色需要加上ROLE前缀
@Secured({"ROLE_admin", "register"})
@RequestMapping("/demo")
public String demo() {
return "demo";
}
// PreAuthorize中可以调用方法
@PreAuthorize("hasRole('admin')")
@RequestMapping("/demo2")
public String demo2() {
return "demo";
}
}
六、记住登录
Spring Security记住登录功能依赖数据库实现,需要进行以下配置
1. 依赖
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.3</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.21</version>
</dependency>
yml中进行配置:
spring:
datasource:
url: jdbc:mysql://127.0.0.1:3306/mydb?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
username: root
password: root
driver-class-name: com.mysql.cj.jdbc.Driver
2. PersistentTokenRepository
提供PersistentTokenRepository,使用它的实现类:JdbcTokenRepositoryImpl
@Configuration
public class RememberConfig {
@Autowired
private DataSource dataSource;
@Bean
protected PersistentTokenRepository providerTokenRepository() {
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
// 启动时,自动创建表,第二次启动注释
jdbcTokenRepository.setCreateTableonStartup(true);
jdbcTokenRepository.setDataSource(dataSource);
return jdbcTokenRepository;
}
}
3. 配置HttpSecurity
// 持久处理
http.rememberMe()
.userDetailsService(userDetailsService) //登录逻辑交给哪个对象
.tokenValiditySeconds(5000) // 表示持久化时间
.tokenRepository(repository); //持久层对象
4. 页面添加标签
添加name为remember-me的标签:
记住: <input type="checkbox" name="remember-me"><br/>
之后网页只需要登录一次,就可以持久5000s不需要登录,即使服务重启也可以保持登录状态
项目地址:
https://gitee.com/aruba/spring-security-study.git
