一.入门案列
1.在pom.xml中导入maven坐标
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
2.在web.xml中主要配置SpringMVC的DispatcherServlet和用于整合第三方框架的DelegatingFilterProxy,用于整合Spring Security.
<!--
DelegatingFilterProxy用于整合第三方框架
整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
否则会抛出NoSuchBeanDefinitionException异常
-->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filterclass>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3.配置spring-security.xml
<security:http>
<!--
http:用于定义相关权限控制
auto-config:是否自动配置
设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
设置为false时需要显示提供登录表单配置,否则会报错
use-expressions:用于指定intercept-url中的access属性是否使用表达式
-->
<security:http auto-config="true" use-expressions="true">
<!--
intercept-url:定义一个拦截规则
pattern:对哪些url进行权限控制
access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
请求的用户只需拥有其中的一个角色就能成功访问对应的URL
/**表示拦截一切
-->
<security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
</security:http>
<!--
authentication-manager:认证管理器,用于处理认证操作
-->
<security:authentication-manager>
<!--
authentication-provider:认证提供者,执行具体的认证逻辑
-->
<security:authentication-provider>
<!--
user-service:用于获取用户信息,提供给authentication-provider进行认证
-->
<security:user-service>
<!--
user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息
{noop}:表示当前使用的密码为明文
-->
<security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN">
</security:user>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
4.小结
1.框架会提供登录页面.
2.没登录,访问一切都会重定向到登录页面.
3.登陆成功(用户名:admin,密码:admin),拥有ROLE_ADMIN权限,可以访问页面.
5.对入门优化改进
5.1不足之处
1.项目中我们将所有的资源(所有请求URL)都保护起来,实际环境下往往有一些资源不需要认证也可以访问,也就是可以匿名访问,如登录页面login.xml
2.登录页面是由框架生成的,而我们的项目一般会使用自己的登录页面
3.用户名和密码,以及权限,不能写成固定的,而应该从数据库中查询得到
4.在配置文件中配置的密码使用明文,非常不安全,需要进行加密保存
5.2优化措施
1.配置可匿名访问的资源
<!--
http:用于定义相关权限控制
指定哪些资源不需要进行权限校验,可以使用通配符
-->
<!--可以匿名(不登录情况)访问 /pages/a.html资源-->
<security:http security="none" pattern="/pages/a.html" />
<!--可以匿名(不登录情况)访问 /pages/b.html资源-->
<security:http security="none" pattern="/paegs/b.html" />
<!--可以匿名(不登录情况)访问 /pages/里面的所有资源-->
<security:http security="none" pattern="/pages/**"></security:http>
此配置,主要用于静态资源的访问,如css,js,img,plugins等,还有登录页面login.xml.
2.使用指定的登录页面
1.提供login.html作为项目的登录页面
<html>
<head>
<title>登录</title>
</head>
<body>
<form action="/login.do" method="post">
username:<input type="text" name="username"><br>
password:<input type="password" name="password"><br>
<input type="submit" value="submit">
</form>
</body>
</html>
2.修改spring-security.xml文件,指定login.html页面可以匿名访问
<security:http security="none" pattern="/login.html" />
3.修改spring-security.xml文件,加入表单登录信息的配置
<!--
login-page:指定登录页面访问URL
username-parameter 和表单中用户名name一样
login-processing-url表单中密码的name一样
login-processing-url表单提交的地址
default-target-url登录成功去访问地址
authentication-failure-url登陆失败访问地址
-->
<security:
form-login login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/index.html"
authentication-failure-url="/login.html"
/>
!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,
否则登录操作会被禁用(403)
(自定义登录页面,,框架认为我们的页面不安全,
需要关闭验证过滤器,默认登录页面有隐藏域,_scrf ,如果使用自定义登录页面,
没有关闭验证过滤器,框架会拒绝访问.)
-->
<security:csrf disabled="true"></security:csrf>
4.从数据库查询用户信息
package com.cf.service;
import com.cf.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.Map;
public class SpringSecurityUserService implements UserDetailsService {
//模拟数据库中的用户数据
public static Map<String, User> map = new HashMap<>();
static{
User user1 = new User();
user1.setUsername("admin");
user1.setPassword("admin");
User user2 = new User();
user2.setUsername("tom");
user2.setPassword("1234");
map.put(user1.getUsername(), user1);
map.put(user2.getUsername(), user2);
}
/**
* 根据用户名加载用户信息 通过反射,框架来调用此方法
* 从数据库查询出来的用户名和密码 ,赋值给框架的实现类,框架自动把页面的密码加密与数据库的密码对比
*/
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//调用方法,初始化值
System.out.println("username:" + username);
//模拟查询数据库,得到用户对象
User user = map.get(username);
if (user == null) {
//用户名不存在
return null;
} else {
//模拟数据库中的密码,后期需要查询数据库 {noop}使用明文
String passwordInDb = "{noop}"+user.getPassword();
//存放权限
ArrayList<GrantedAuthority> list = new ArrayList<>();
//授权,后期改为查询数据库动态获得用户拥有的权限和角色
/* list.add(new SimpleGrantedAuthority("add"));
list.add(new SimpleGrantedAuthority("delete"));*/
// list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
list.add(new SimpleGrantedAuthority("permission_A"));//授权
list.add(new SimpleGrantedAuthority("permission_B"));
if (username.equals("admin")) {
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
}
//和我们自己写的类名一样,所以要写全类名来区分 org.springframework.security.core.userdetails.User user1 = new org.springframework.security.core.userdetails.User(username, passwordInDb, list);
return user1;
}
}
}
在spring-security.xml中:
<!--
authentication-manager:认证管理器,用于处理认证操作
-->
<security:authentication-manager>
<!--
authentication-provider:认证提供者,执行具体的认证逻辑
-->
<security:authentication-provider user-service-ref="userService">
</security:authentication-provider>
</security:authentication-manager>
<bean id="userService" class="com.cf.security.UserService"></bean>
5.对密码进行加密
1.在spring-security.xml文件中指定密码加密对象
<!--配置密码加密对象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"
/>
<!--认证管理器,用于处理认证操作-->
<security:authentication-manager>
<!--认证提供者,执行具体的认证逻辑-->
<security:authentication-provider user-service-ref="userService">
<!--指定密码加密策略-->
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager>
<!--开启spring注解使用-->
<context:annotation-config></context:annotation-config>
2.修改UserService实现类
public class UserService implements UserDetailsService {
@Autowired
private BCryptPasswordEncoder passwordEncoder;
//模拟数据库中的用户数据
public static Map<String, User> map = new HashMap<>();
static{
User user1 = new User();
user1.setUsername("admin");
user1.setPassword(passwordEncoder.encode("admin"));
User user2 = new User();
user2.setUsername("tom");
user2.setPassword(passwordEncoder.encode("1234"));
map.put(user1.getUsername(), user1);
map.put(user2.getUsername(), user2);
}
......
6.配置多种校验规则
<!--只要认证通过就可以访问-->
<security:intercept-url pattern="/index.jsp" access="isAuthenticated()" />
<security:intercept-url pattern="/a.html" access="isAuthenticated()" />
<!--拥有add权限就可以访问b.html页面-->
<security:intercept-url pattern="/b.html" access="hasAuthority('add')" />
<!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
<security:intercept-url pattern="/c.html" access="hasRole('ROLE_ADMIN')" />
<!--拥有ROLE_ADMIN角色就可以访问d.html页面,
注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_-->
<security:intercept-url pattern="/d.html" access="hasRole('ADMIN')" />
3.注解方式权限控制
1.在spring-security.xml中配置组件扫描,用于扫描Controller
<mvc:annotation-driven></mvc:annotation-driven>
<context:component-scan base-package="com.cf.controller">
</context:component-scan>
2.在spring-security.xml文件中开启权限注解支持
<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />
3.创建Controller类并在Controller的方法上加入注解进行权限控制
package com.cf.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.RequestMapping;
@RestController
@RequestMapping("/hello")
public class HelloController {
@RequestMapping("/add")
@PreAuthorize("hasAuthority('add')")
//表示用户必须拥有add权限才能调用当前方法
public String add(){
System.out.println("add...");
return "success";
}
@RequestMapping("/delete")
@PreAuthorize("hasRole('ROLE_ADMIN')")
//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
public String delete(){
System.out.println("delete...");
return "success";
}
}
4.退出登录
<!--
logout:退出登录
logout-url:退出登录操作对应的请求路径
logout-success-url:退出登录后的跳转页面
底层基于过滤器实现的
-->
<security:logout
logout-url="/logout.do"
logout-success-url="/login.html"
invalidate-session="true"/>
用户完成登录后Spring Security框架会记录当前用户认证状态为已认证状态,即表示用户登录成功了.
如果用户要退出登录,只需要请求/logout.do这个URL地址就可以,同时会将当前session失效,最后页面会跳转到login.html页面.