初次学习Spring Security框架!
了解一下权限控制
认证和授权概念:
- 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。
- 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。
权限模块数据模型
一般来说,有这7种表:
用户表user,权限表permission,角色表role,菜单表menu
用户角色关系表user_role,角色权限关系表role_permission,角色菜单关系表role_menu
认证过程:只需要用户表
授权过程:用户必须完成认证之后才能进行授权,首先可以根据用户查询其角色,再根据角色查询对应的菜单,然后再根据用户的角色查询对应的权限,这样就确定了用户拥有哪些权限
接着学习~
什么是Spring Security
简单的话就是:提供安全认证服务的框架
详情-> 官网:https://spring.io/projects/spring-security
(其他安全认证框架Apache shrio)
创建一个maven项目,打成war包,来试试手
对应的maven坐标
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
配置它当然还得记得导入spring相关的依赖
因为相互依赖嘛
接着配置web.xml
用于整合第三方框架 DelegatingFilterProxy
<!--
DelegatingFilterProxy用于整合第三方框架
整合Spring Security时过滤器的名称必须为springSecurityFilterChain,否则会抛出NoSuchBeanDefinitionException异常
-->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
这里的其他配置就没写入了,加载配置文件,比如DispatcherServlet
下一步配置spring-security.xml
主要配置Spring Security拦截规则和认证管理器
来来来,先大概了解一下有关配置
<!--
http:用于定义相关权限控制
auto‐config:是否自动配置
设置为true时框架会提供默认的一些配置,例如提供默认的登 录页面、登出处理等
设置为false时需要显示提供登录表单配置,否则会报错
use‐expressions:用于指定intercept‐url中的access属性是否使用表达式
-->
<security:http auto‐config="true" use‐expressions="true">
<!--
intercept‐url:定义一个拦截规则
pattern:对哪些url进行权限控制 /**代表对所有的请求资源
access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号 分隔的角色列表,
请求的用户只需拥有其中的一个角色就能成功访问对应的URL
-->
<security:intercept‐url pattern="/**" access="hasRole('ROLE_ADMIN')" />
</security:http>
<!--authentication‐manager:认证管理器,用于处理认证操作-->
<security:authentication-manager>
<!--authentication‐provider:认证提供者,执行具体的认证逻辑 -->
<security:authentication-provider>
<!--
配置一个具体的用户,后期需要从数据库查询用户
user:定义用户信息,可以指定用户名、密码、角色,
{noop}:表示当前使用的密码为明文
-->
<security:user-service>
<security:user name="admin"
password="{noop}1234"
authorities="ROLE_ADMIN"/>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
这是一个简单的配置
接着接着
配置可匿名访问的资源
<!--配置哪些资源匿名可以访问(不登录也可以访问)-->
<!--
security="none"不进行安全检查
pattern放行哪些
-->
<security:http security="none" pattern="/a.html"></security:http>
<security:http security="none" pattern="/pages/b.html"></security:http>
<!--
/**放行所有的
-->
<security:http security="none" pattern="/**"></security:http>
使用指定的登录界面
先创建一个login.html页面,简单的表单登录那几个框框
接着,放行这个页面
<security:http security="none" pattern="/login.html"></security:http>
然后
<!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
<!--
login-page:指定登录页面访问URL
username-parameter,password-parameter:取前端表单的name对应的属性
login-processing-url:请求路径
default-target-url:默认跳转页面
authentication-failure-url:校验失败跳转
-->
<security:form-login
login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/pages/main.html"
authentication-failure-url="/login.html"></security:form-login>
最后
<!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
-->
<security:csrf disabled="true"></security:csrf>
从数据库查询用户信息
必须按照spring security框架的要求提供一个实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可
实现类代码
import com.alibaba.dubbo.config.annotation.Reference;
import com.trc.pojo.Permission;
import com.trc.pojo.Role;
import com.trc.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import java.util.ArrayList;
import java.util.List;
import java.util.Set;
@Component
public class SpringSecurityUserService implements UserDetailsService {
@Reference
private UserService userService;
//根据用户名查询用户信息
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//远程调用用户服务,根据用户名查询用户信息
User user = userService.findByUsername(username);
if (user == null){
return null;
}
List<GrantedAuthority> list = new ArrayList<>();
//动态为当前用户授权
Set<Role> roles = user.getRoles();
for (Role role : roles) {
//授予角色
list.add(new SimpleGrantedAuthority(role.getKeyword()));
Set<Permission> permissions = role.getPermissions();
for (Permission permission : permissions) {
//遍历权限集合,为用户授权
list.add(new SimpleGrantedAuthority(permission.getKeyword()));
}
}
org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);
return securityUser;
}
}
仅供参考,看看其过程
当然这里你可以模拟用户数据,用静态代码块创建一个出来就行了,就不用userService去调方法等等操作
配置
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置认证提供者-->
<security:authentication-provider user-service-ref="springSecurityUserService">
</security:authentication-provider>
</security:authentication-manager>
<bean id="springSecurityUserService" class="com.trc.service.SpringSecurityUserService"></bean>
密码进行加密
<!--指定度密码进行加密的对象-->
<security:password-encoder ref="passwordEncoder"></security:password-encoder>
<!--配置密码加密对象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
bcrypt:将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题
加密后的格式一般为
$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa
加密后字符串的长度为固定的60位;其中:$是分割符,无意义;2a是bcrypt加密版本号;10是cost的值;而后的前22位是salt值;再然后的字符串就是密码的密文了;
注解方式权限控制
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就可以使用Spring Security框架提供的注解方式进行控制
- 在spring-security.xml文件中配置组件扫描,用于扫描Controller
<mvc:annotation‐driven></mvc:annotation‐driven>
<context:component‐scan base‐package="com.trc.controller"></context:component‐scan>
- 在spring-security.xml文件中开启权限注解支持
<security:global‐method‐security pre‐post‐annotations="enabled" />
- 创建Controller类并在Controller的方法上加入注解进行权限控制
@RestController
@RequestMapping("/hello")
public class HelloController {
@RequestMapping("/add")
@PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
public String add(){
System.out.println("add...");
return "success";
}
@RequestMapping("/delete")
@PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
public String delete(){
System.out.println("delete...");
return "success";
}
}
欧啦!
再来一个
退出登录
我们可以使用Spring Security框架,配置后,帮我们退出登录
用户完成登录后Spring Security框架会记录当前用户认证状态为已认证状态
简单的说就是,相当于一个过滤器,我们发出请求后,帮我们清空了session,也就是登录失效
<!--
logout:退出登录
logout-url:退出登录操作对应的请求路径
logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>
最最最后
记录一下我整合后的spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo
http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--配置哪些资源匿名可以访问(不登录也可以访问)-->
<security:http security="none" pattern="/login.html"></security:http>
<security:http security="none" pattern="/css/**"></security:http>
<security:http security="none" pattern="/img/**"></security:http>
<security:http security="none" pattern="/js/**"></security:http>
<security:http security="none" pattern="/plugins/**"></security:http>
<!--
auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
use-expressions:是否使用spring security提供的表达式来描述权限
-->
<security:http auto-config="true" use-expressions="true">
<security:headers>
<!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
<security:frame-options policy="SAMEORIGIN"></security:frame-options>
</security:headers>
<!--配置拦截规则,/** 表示拦截所有请求-->
<!--
pattern:描述拦截规则
asscess:指定所需的访问角色或者访问权限
-->
<!--只要认证通过就可以访问-->
<security:intercept-url pattern="/pages/**" access="isAuthenticated()" />
<!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
<!--
login-page:指定登录页面访问URL
-->
<security:form-login
login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/pages/main.html"
authentication-failure-url="/login.html"></security:form-login>
<!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
-->
<security:csrf disabled="true"></security:csrf>
<!--
logout:退出登录
logout-url:退出登录操作对应的请求路径
logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>
</security:http>
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置认证提供者-->
<security:authentication-provider user-service-ref="springSecurityUserService">
<!--
配置一个具体的用户,后期需要从数据库查询用户
<security:user-service>
<security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
</security:user-service>
-->
<!--指定度密码进行加密的对象-->
<security:password-encoder ref="passwordEncoder"></security:password-encoder>
</security:authentication-provider>
</security:authentication-manager>
<!--配置密码加密对象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />
</beans>
在spring-mvc.xml中
<import resource="spring-security.xml"/>