认证授权/过滤器:
使用选择:
使用
前后端分离
或后台使用了集群
---一定采用token模式。传统的项目
前后端都在一个工程
下---基于session模式。认证授权简介:
认证:
输入账号和密码登录的过程就是认证
认证是为了保护系统的隐私数据与资源,用户的身份合法,方可访问该系统的资源。
认证︰用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统
资源
时系统要求验证用户的身份信息,身份合法 方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:
用户名密码登录
,二维码登录
,手机短信登录
,指纹认证等方式
授权:
认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,
授权是在认证通过后发生的
,控制不同的用户能够访问不同的资源
。授权:授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。
用户认证通过后:
为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有
基于session方式
、基于token方式
等。基于session的认证 :
它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的sesssion_id存放到 cookie中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id 也就无效了。
基于Token的认证:
它的交互流程是,用户认证成功后,服务端生成一个token【令牌】[唯一字符串]【uuid,jwt】发给客户端,客户端可以放到 cookie 或sessionStorage等存储中,每次请求时带上token,服务端收到token通过验证后即可确认用户身份。
token【令牌】
基于session的认证方式由servlet规范定制,服务端要存储session信息需要占用内存资源,客户端需要支持cookie;基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。如今移动互联网时代更多类型的客户端[pC ,android,IOS,]需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token的方式更适合。
认证授权的框架:
shiro 轻量级的认证授权 它可以整合任意框架 它支持javase和javaee
springsecurity 重量级的认证授权框架。它只能和spring整合,只支持javaee web框架。
(springboot整合)
springsecurity:
什么是spring security
基于内存的数据。
Spring Security是一个能够为基于Spring的企业应用系统提供
声明式的安全访问控制解决方案的安全框架
。它提供了一组可以在Sprirg应用上下文中配置的Bean,充分利用了Spring IOC DI(控制反转Inversion of Control ,DI:Dependency Injection依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 以上解释来源于百度白科。可以一句话来概括,SpringSecurity 是一个安全框架。可以帮我们完成认证,密码加密,授权,rememberme的功能
3.3版本基本使用
@Configuration @EnableWebSecurity public class NewMySecurityConfig { //定义密码加密器类-------------------------------------- @Bean public PasswordEncoder passwordEncoder(){ PasswordEncoder passwordEncoder=new BCryptPasswordEncoder(); return passwordEncoder; } //定义多个用户-------------------------------------- @Bean public UserDetailsService myconfigure() throws Exception { return new InMemoryUserDetailsManager( //定义用户1,用户名 User.withUsername("qqq") //定义用户密码 .password(passwordEncoder().encode("123456")) //定义用户类型 .roles("admin") //定义用户权限 .authorities("user:list") //完成用户1建立 .build(), //定义用户2 User.withUsername("www") .password(passwordEncoder().encode("123456")) .roles("admin") .authorities("user:list") .build() ); } //重新定义登录页;-------------------------------------- @Bean public SecurityFilterChain myconfigure2(HttpSecurity http)throws Exception{ //定义登录页文件; http.formLogin(form->form.loginPage("/login.html") //登录的处理路径; .loginProcessingUrl("/login") //定义登录成功处理路径; .successForwardUrl("/success") //登录失败转发的路径; .failureForwardUrl("/fail") //上面的请求路径无须认证; .permitAll()); //禁用跨域伪造请求的过滤器; http.csrf(item->item.disable()); //除了上面的请求,其他请求都需要认证; http.authorizeHttpRequests(item->item.anyRequest() .authenticated()); return http.build(); } }
2.7版本基本使用:
引入依赖
<!--引入springsecurity的依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>创建接口资源
@RestController public class HelloController { @GetMapping("/hello") public String hello(){ return "Hello~~~~~~~~~~~~~~~"; } }启动项目并访问资源
发现 自动跳转到登录页面。 因为springsecurity包含了很多过滤器,认证过滤器发现你没有登录就访问资源。默认调整到它内置的登录页面
账号为: user
密码:
自定义账号和密码:
#定义账号和密码 一旦自定义了账号和密码 原来自带的就不存在了 这里只能定义一个账号和密码 spring.security.user.name=admin spring.security.user.password=123456
定义多用户-基于内存:
@Configuration public class MySecurityConfig extends WebSecurityConfigurerAdapter { @Bean//定义密码加密器(必要!!!) public PasswordEncoder passwordEncoder(){ PasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); return passwordEncoder; } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() //定义用户名 .withUser("hhh") //定义密码并使用加密器 .password(passwordEncoder().encode("123456")) //当前用户具有的角色 .roles("admin") //当前用户的权限 .authorities( "user:select","user:insert","user:delete","user:update") //定义另一个用户 .and() //定义另一个用户名... .withUser("www") .password(passwordEncoder().encode("123456")) .roles("admins") .authorities( "user:select","user:update"); } }
密码加密器:
public class Test { public static void main(String[] args) { PasswordEncoder passwordEncoder=new BCryptPasswordEncoder(); //用于加密 String encode = passwordEncoder.encode("123456"); String encode2 = passwordEncoder.encode("123456"); System.out.println(encode); System.out.println(encode2); //安全 boolean matches = passwordEncoder.matches("123456", encode2); System.out.println("是否密码正确:"+matches);//true } }
获取当前用户的信息
// springsecurity默认把当前用户的信息保存SecurityContext上下文中. @GetMapping("info") public Authentication info(){ //获取SecurityContext对象 SecurityContext context = SecurityContextHolder.getContext(); //把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态[] Authentication authentication = context.getAuthentication(); //通过authentication.getPrincipal();方法获取登录对象UserDetails UserDetails principal = (UserDetails) authentication.getPrincipal(); //输出登录对象名; System.out.println(principal.getUsername()); return authentication; }
修改登录页
@Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //登录页面; .loginPage("/login.html") //登录的处理路径 默认 /login .loginProcessingUrl("/login") //登录成功转发的路径 必须为post请求 .successForwardUrl("/success") //登录失败转发的路径 必须为post请求 .failureForwardUrl("/fail") //上面的请求路径无需认证 .permitAll(); //禁用跨域伪造请求的过滤器 http.csrf().disable(); //除了上的请求,其他请求都需要认证 http.authorizeRequests().anyRequest().authenticated(); }