SpringSecurity从入门到精通

SpringSecurity从入门到精通

简介

Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro，它提供了更
丰富的功能，社区资源也比Shiro丰富。
一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多，因为相比与
SpringSecurity，Shiro的上手更加的简单。
一般Web应用的需要进行认证和授权。
认证：验证当前访问系统的是不是本系统的用户，并且要确认具体是哪个用户
授权：经过认证后判断当前用户是否有权限进行某个操作
而认证和授权也是SpringSecurity作为安全框架的核心功能。

快速入门

我们先要搭建一个简单的SpringBoot工程
① 设置父工程 添加依赖

<parent> 
<groupId>org.springframework.boot</groupId> 
<artifactId>spring-boot-starter-parent</artifactId> 
<version>2.5.0</version>
</parent> 
<dependencies>
<dependency> 
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
 <dependency> 
 <groupId>org.projectlombok</groupId> 
 <artifactId>lombok</artifactId> 
 <optional>true</optional> 
 </dependency>
 </dependencies>
② 创建启动类
@SpringBootApplication public class SecurityApplication { 
	public static void main(String[] args) { 
			SpringApplication.run(SecurityApplication.class,args); 
	} }
③ 创建Controller
import org.springframework.web.bind.annotation.RequestMapping; 
import org.springframework.web.bind.annotation.RestController; 

@RestController 
public class HelloController { 
@RequestMapping("/hello") 
public String hello(){ return "hello"; } }

1.2 引入SpringSecurity
在SpringBoot项目中使用SpringSecurity我们只需要引入依赖即可实现入门案例。
<dependency> 
<groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-security</artifactId> 
 </dependency>
引入依赖后我们在尝试去访问之前的接口就会自动跳转到一个SpringSecurity的默认登陆页面，默认用
户名是user,密码会输出在控制台。
必须登陆之后才能对接口进行访问。

登陆校验流程

SpringSecurity完整流程

SpringSecurity的原理其实就是一个过滤器链，内部包含了提供各种功能的过滤器。
UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请
求。入门案例的认证工作主要有它负责。
ExceptionTranslationFilter：处理过滤器链中抛出的任何AccessDeniedException和
AuthenticationException 。
FilterSecurityInterceptor：负责权限校验的过滤器。
我们可以通过Debug查看当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。

认证流程详解

Authentication接口: 它的实现类，表示当前访问系统的用户，封装了用户相关信息。
AuthenticationManager接口：定义了认证Authentication的方法
UserDetailsService接口：加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的
方法。
UserDetails接口：提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装
成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

思路

登录
①自定义登录接口
调用ProviderManager的方法进行认证 如果认证通过生成jwt
把用户信息存入redis中
②自定义UserDetailsService
在这个实现类中去查询数据库
校验：
①定义Jwt认证过滤器
获取token
解析token获取其中的userid
从redis中获取用户信息
存入SecurityContextHolder

授权

例如一个学校图书馆的管理系统，如果是普通学生登录就能看到借书还书相关的功能，不可能让他看到
并且去使用添加书籍信息，删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了，应该就
能看到并使用添加书籍信息，删除书籍信息等功能。
总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。
我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样，如果有人知
道了对应功能的接口地址就可以不通过前端，直接去发送请求来实现相关功能操作。
所以我们还需要在后台进行用户权限的判断，判断当前用户是否有相应的权限，必须具有所需权限才能
进行相应的操作。

授权基本流程

在SpringSecurity中，会使用默认的FilterSecurityInterceptor来进行权限校验。在
FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication，然后获取其中的
权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。
然后设置我们的资源所需要的权限即可。

授权实现

SpringSecurity为我们提供了基于注解的权限控制方案，这也是我们项目中主要采用的方式。我们可以
使用注解去指定访问对应的资源所需的权限。
但是要使用它我们需要先开启相关配置。

@EnableGlobalMethodSecurity(prePostEnabled = true)

然后就可以使用对应的注解。@PreAuthorize

封装权限信息

我们前面在写UserDetailsServiceImpl的时候说过，在查询出用户后还要获取对应的权限信息，封装到
UserDetails中返回。
我们先直接把权限信息写死封装到UserDetails中进行测试。
我们之前定义了UserDetails的实现类LoginUser，想要让其能封装权限信息就要对其进行修改。

LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们
写死权限进行测试，后面我们再从数据库中查询权限信息。

从数据库查询权限信息

RBAC权限模型（Role-Based Access Control）即：基于角色的权限控制。这是目前最常被开发者使用
也是相对易用、通用权限模型。

菜单实体类

@TableName(value="sys_menu") 
@Data 
@AllArgsConstructor 
@NoArgsConstructor 
@JsonInclude(JsonInclude.Include.NON_NULL) 
public class Menu implements Serializable { 
private static final long serialVersionUID = -54979041104113736L; 
@TableId private Long id; /** * 菜单名 */
private String menuName; /** * 路由地址 */
private String path; /** * 组件路径 */
private String component; /** * 菜单状态（0显示 1隐藏） */
private String visible; /** * 菜单状态（0正常 1停用） */
private String status; /** * 权限标识 */
private String perms; /** * 菜单图标 */
private String icon; 
private Long createBy; 
private Date createTime; 
private Long updateBy; 
private Date updateTime; /** * 是否删除（0未删除 1已删除） */
private Integer delFlag; /** * 备注 */
private String remark; 
}

自定义失败处理

我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json，这样可以
让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。
在SpringSecurity中，如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕
获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
如果是认证过程中出现的异常会被封装成AuthenticationException然后调用
AuthenticationEntryPoint对象的方法去进行异常处理。
如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对
象的方法去进行异常处理。
所以如果我们需要自定义异常处理，我们只需要自定义AuthenticationEntryPoint和
AccessDeniedHandler然后配置给SpringSecurity即可。

跨域

浏览器出于安全的考虑，使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略，否则就是跨
域的HTTP请求，默认情况下是被禁止的。 同源策略要求源相同才能正常进行通信，即协议、域名、端
口号都完全一致。
前后端分离项目，前端项目和后端项目一般都不是同源的，所以肯定会存在跨域请求的问题。
所以我们就要处理一下，让前端能进行跨域请求。
①先对SpringBoot配置，运行跨域请求

@Configuration 
public class CorsConfig implements WebMvcConfigurer { 
@Override 
public void addCorsMappings(CorsRegistry registry) { 
// 设置允许跨域的路径
registry.addMapping("/**") 
// 设置允许跨域请求的域名 .allowedOriginPatterns("*") 
// 是否允许cookie .allowCredentials(true) 
// 设置允许的请求方式 .allowedMethods("GET", "POST", "DELETE", "PUT") 
// 设置允许的header属性 .allowedHeaders("*") 
// 跨域允许时间 .maxAge(3600); 
} }

②开启SpringSecurity的跨域访问
由于我们的资源都会收到SpringSecurity的保护，所以想要跨域访问还要让SpringSecurity运行跨域访
问。

@Override 
protected void configure(HttpSecurity http) throws Exception { 
http 
//关闭csrf 
.csrf().disable() 
//不通过Session获取SecurityContext 
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() 
// 对于登录接口 允许匿名访问 
.antMatchers("/user/login").anonymous()
 // 除上面外的所有请求全部需要鉴权认证 
 .anyRequest().authenticated(); 
 //添加过滤器 

http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); 
//配置异常处理器 http.exceptionHandling() 
//配置认证失败处理器 
.authenticationEntryPoint(authenticationEntryPoint) 
.accessDeniedHandler(accessDeniedHandler); 

//允许跨域 
http.cors();
}