我是 ABin-阿斌:写一生代码,创一世佳话,筑一揽芳华。 如果小伙伴们觉得我的文章有点 feel ,那就点个赞再走哦。
一、什么是Spring Security
1.1、安全框架
-
SpringSecurity 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
-
为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
-
其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。
1.2、常见的安全框架有哪些
- Apache Shiro: 一个功能强大且易于使用的Java安全框架,提供了认证、授权、加密、会话管理。
- Spring Security: Spring 家族的一员,是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring 的 IOC(控制反转)、DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,为了减少企业系统安全控制编写大量重复代码的工作。
二、能做什么
-
可以做
- 认证 (你是谁)
- 授权 (你能干什么)
- 攻击防护 (防止伪造身份)
-
权限
- 功能权限
- 访问权限
- 菜单权限
- ……
记住这个几个重要类:
-
WebSecurityConfigurerAdapter
:自定义 Security 策略 -
AuthenticationManagerBuilder
:自定义认证策略 -
@EnableWebSecurity
:开启 WebSecurity 模式
两个主要的目标:
-
认证(Authentication)
-
身份验证是关于验证您的凭据,如用户名或用户 ID 和密码,以验证您的身份。
-
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。
-
-
授权(Authorization)
-
授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。
-
这个概念是通用的,不单单在 Spring Security 中存在。
-
三、具体如何使用
1、基础环境搭建
-
我们新建一个新的 SpringBoot 项目模块,记得勾选 web 模块与 Thymeleaf 模板
-
导入我们的事先准备好的静态资源:
- 静态资源获取: https://pan.baidu.com/s/1BFRO-N8c5uDiatz7ymIjAg 提取码: abin
-
编写测试控制层,查看是否能正常跳转
@Controller
public class SecurityContrellor {
@RequestMapping({"/","/login"})
public String index(){
return "index";
}
@RequestMapping("/toLogin")
public String toLogin(){
return "views/login";
}
@RequestMapping("/level1/{id}")
public String level1(@PathVariable("id") int id){
return "views/level1/"+id;
}
@RequestMapping("/level2/{id}")
public String level2(@PathVariable("id") int id){
return "views/level2/"+id;
}
@RequestMapping("/level3/{id}")
public String level3(@PathVariable("id") int id){
return "views/level3/"+id;
}
}
2、配置页面的访问权限
2.1、引入 Spring Security 模块
<!--Security 安全框架-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
2.2、编写 Spirng Security 配置类
- 参考官网:
https://spring.io/projects/spring-security
- 查看我们自己项目中的版本,找到对应的 帮助文档:
https://docs.spring.io/spring-security/site/docs/5.3.0.RELEASE/reference/html5 #servlet-applications 8.16.4
2.3、定制请求的授权规则
/**
* @EnableWebSecurity:表示开启WebSecurity模式 注意:只要是开启xxx的都是@Enablexxxx开头的
*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 自定义请求的授权规则
* 需求:允许首页让所有用户访问
*
* @Param: [http]
* @return: void
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
//此处写法属于:链式编程
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
2.4、情况一:
- 问题: 到这个一步的时候我们测试可以发现我们除了首页其它都进不去了
- 原因: 那是因为我们目前没有登录的角色,因为请求需要登录的角色拥有对应的权限才可以。
- 解决: 在 configure() 方法中加入以下配置,开启自动配置的登录功能!
// 开启自动配置的登录功能
// 当权限不足时则自动跳转到登录页面
// 当重定向到这里:/login?error:表示登录失败
http.formLogin();
- 当我们再次测试的时候会发现:没有权限控制时,会自动跳转大登录的页面。
2.5、自己定义认证规则
- 重写自带的 configure(AuthenticationManagerBuilder auth)方法
/**
* 定义认证规则:
* SpringBoot 2.1.x版本 可以直接使用,不会报错
*
* @Param: [auth]
* @return: void
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//两种读取数据的方式:1、从数据库中读取 2、在内存中定义或从JDBC中读取
//这里演示在内存中定义
//这种写法会报错:提示密码没有加密
/*auth.inMemoryAuthentication()
.withUser("admain").password("123456").roles("vip1")
.and()
.withUser("root").password("111111").roles("vip1","vip2","vip3")
.and()
.withUser("abin").password("222222").roles("vip2","vip3");
*/
2.5、情况二:
- 当我们用自己设置的账号登录时发现会报一个错误!
- 问题:
There is no PasswordEncoder mapped for the id “null”
- 原因: 我们要将前端传过来的密码进行某种方式加密,否则就无法登录,修改代码
解决方案
//Spring security 5.0中新增了多种加密方式,也改变了密码的格式。
//要想我们的项目还能够正常登陆,需要修改一下configure中的代码。我们要将前端传过来的密码进行某种方式加密
//spring security 官方推荐的是使用bcrypt加密方式。
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("111111")).roles("vip1", "vip2", "vip3")
.and()
.withUser("abin").password(new BCryptPasswordEncoder().encode("222222")).roles("vip1", "vip3");
再次测试
- 登录不同用户看实体效果
- 完美!!!
- 现在我们试试访问其它等级的超链接看看是否能成功?
- 访问失败!!!
- 原因: 是没有访问的权限,这正好满足了我们每个角色只能访问自己认证下的一个设置需求。
四、权限控制与注销功能
1、开启自动配置的注销功能
//定制请求的授权规则
@Override
protected void configure(HttpSecurity http) throws Exception {
//开启自动配置的注销的功能
// /logout 注销请求
http.logout();
}
2、我们在前端,增加一个注销的按钮,index.html 导航栏中
<a class="item" th:href="@{/logout}">
<i class="address card icon"></i> 注销
</a>
3、测试情况一:
- 测试一下,登录成功后点击注销,发现注销完毕会跳转到登录页面。但是,我们想让他注销成功后,依旧可以跳转到首页,该怎么处理呢?
// .logoutSuccessUrl("/"); 注销成功来到首页
http.logout().logoutSuccessUrl("/");
五、判断是否登录,再根据不同的用户展示给予给它的权限页面
1、导入 thymeleaf - SpringSecurity 整合包的依赖
<!--Security整合Thymeleaf-->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>
2、修改我们的 index.html 页面,导入新的命名空间
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
3、修改我们前端页面 index.html 的一个导航栏,添加认证判断
<!--登录注销-->
<div class="right menu">
<!--如果未登录,则显示登录页面-->
<div sec:authorize="!isAuthenticated()">
<a class="item" th:href="@{/toLogin}">
<i class="address card icon"></i> 登录
</a>
</div>
<!--如果已登录,显示用户名 + 注销-->
<div sec:authorize="isAuthenticated()">
<a class="item">
<i class="address card icon"></i>
用户名:<span sec:authentication="principal.username"></span>
角色:<span sec:authentication="principal.authorities"></span>
</a>
</div>
<!--注销-->
<div sec:authorize="isAuthenticated()">
<a class="item" th:href="@{/logout}">
<i class="address card icon"></i> 注销
</a>
</div>
</div>
4、查看测试结果
-
需求:
- 如果未登录那么只显示登录页面
- 如果已登录,显示用户名 + 注销按钮
-
未登录时
- 已登录时
5、情况一:
- 重启测试,我们可以登录试试看,登录成功后确实,显示了我们想要的页面
- 问题: 但是当我们点击注销按钮时,它给我们报了一个404???
- 为什么发生: 就是因为它默认防止 CSRF 跨站请求伪造,因为会产生安全问题。
- 如何解决: 我们可以将请求改为 post 表单提交,或者在 Spring Security 中关闭 CSRF 功能。在配置中增加
http.csrf().disable()
http.csrf().disable();//关闭csrf功能:跨站请求伪造,默认只能通过post方式提交logout请求
http.logout().logoutSuccessUrl("/");
六、根据不同角色,显示不同内容
1、修改前端页面
2、测试
- 登录只有 vip1 权限的用户 :我们可以看到测试结果只显示了 vip1 能看到功能区
- 登录 root 用户:我们可以看到都展示了
七、实现登录页面的“记住我”选项功能
- 问题: 现在的情况,我们只要登录之后,关闭浏览器,再登录,就会让我们重新登录,但是很多网站的情况,就是有一个记住密码的功能,这个该如何实现呢?
- 解决思路: 开启记住我功能
1、如何开启记住我功能?
//定制请求的授权规则
@Override
protected void configure(HttpSecurity http) throws Exception {
//设置“记住我”功能选项
http.rememberMe();
}
2、测试结果
- 我们再次启动项目测试一下,发现登录页多了一个记住我功能。登录关闭浏览器,然后重新打开浏览器访问,发现用户依旧存在。
- 实现原理:
- 将用户的信息存入到浏览器的 Cookie 中(保存时间14天)
- 我们点击注销的时候,可以发现,Spring Security 帮我们自动删除了这个 Cookie
八、配置登录页面
1、去掉默认页面,改用自己的 Login 页面。在刚才的登录页配置后面指定 loginpage
http.formLogin().loginPage("/toLogin");
2、然后前端也需要指向我们自己定义的 login请求
<a class="item" th:href="@{/toLogin}">
<i class="address card icon"></i> 登录
</a>
3、我们登录,需要将这些信息发送到哪里,我们也需要配置,login.html 配置提交请求及方式,方式必须为post:
- 在 loginPage()源码中的注释上有写明
- 前端页面:login.html
<form th:action="@{/login}" method="post">
<div class="field">
<label>Username</label>
<div class="ui left icon input">
<input type="text" placeholder="Username" name="username">
<i class="user icon"></i>
</div>
</div>
<div class="field">
<label>Password</label>
<div class="ui left icon input">
<input type="password" name="password">
<i class="lock icon"></i>
</div>
</div>
<input type="submit" class="ui blue submit button"/>
</form>
4、这个请求提交上来,我们还需要验证处理,怎么做呢?我们可以查看 formLogin() 方法的源码,配置接收登录的用户名和密码的参数。
http.formLogin()
.usernameParameter("username")
.passwordParameter("password")
.loginPage("/toLogin")
.loginProcessingUrl("/login"); // 登陆表单提交请求
九、配置属于我们自己的:记住我选项
1、在前端页面中加上:记住我选项框
<!--记住我选项框-->
<div>
<input type="checkbox" name="remember"> 记住我
</div>
2、在配置项当中添加:记住我配置
//设置“记住我”的参数
//注意:这里 rememberMeParameter 的值和页面中 name 的值要一致
http.rememberMe().rememberMeParameter("remember");