学习视频:https://www.bilibili.com/video/BV1mm4y1X7Hc?p=1
🔶 系列笔记
(1)【SpringCloud】Spring Security简介、快速入门、原理流程
(2)【SpringCloud】Spring Security实现登录认证的思路与具体实现过程
(3)【SpringCloud】Spring Security授权实现流程、自定义失败处理方法
(4)【SpringCloud】Spring Security解决跨域问题、自定义校验方法
一、简介
中大型的项目使用SpringSecurity来做安全框架。小项目使用Shiro比较多,因为相比SpringSecurity,shiro上手更容易。
一般Web应用需要进行认证和授权。
- 认证(Authentication):验证当前访问系统的是不是本系统的用户,并且确认具体是哪个用户。
- 授权(Authoritarian):经过认证后判断当前用户是否有权限进行某个操作。
二、快速入门
创建Springboot项目,添加以下三个依赖。
- Spring Security
- Lombok
- Spring Web
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
创建一个Controller,并启动项目
@RestController
public class HelloController {
@RequestMapping("hello")
public String hello() {
return "hello";
}
}
引入依赖后我们在尝试去访问接口,就会自动跳转到一个SpringSecurity的默认登录页面,默认用户名为user
,密码会输出在控制台。
必须登录之后才能对接口进行访问。
登出:http://localhost:8080/logout
三、原理流程
3.1 登录校验流程
3.2 原理初探
SpringSecurity的原理其实就是一个过滤器链, 内部包含了提供各种功能的过滤器。这里我们可以看看入门案例中的过滤器。
图中只展示了核心过滤器,其它的非核心过滤器并没有在图中展示。
UsernamePasswordAuthenticationFilter
:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。
ExceptionTranslationFilter
:处理过滤器链中(认证、授权过程中)抛出的任何AccessDeniedException和AuthenticationException 。
FilterSecurityInterceptor
:负责权限校验的过滤器。
我们可以通过Debug查看当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。
修改主启动类,获得容器。
进入Debug模式,点击Evaluate Expression
输入run.getBean(DefaultSecurityFilterChain.class)
我们可以看到15个过滤器,通过名字可以大致猜到其功能。
3.3 认证流程详解
入门案例认证流程图,这张图十分重要!!!!
概念速查:
Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
AuthenticationManager接口:定义了认证Authentication的方法
UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。
根据自己的需求,修改各个部分,比如可以自定义一个类实现UserDetailsService
接口,并让DaoAuthenticationProvider来调用,实现获取数据库中的用户信息。