文章目录
项目来源GIT
1. Security 登录验证
自带案例均继承与 GenericFilterBean
Class | 作用 |
---|---|
ConcurrentSessionFilter | 并发会话处理包所需的过滤器 |
AnonymousAuthenticationFilter | 检测SecurityContextHolder中有没有Authentication对象,并在需要时填充一个。 详细说明 ——AnonymousAuthenticationFilter如何初始化 |
FilterChainProxy | 存放过滤器链 |
SecurityContextHolderAwareRequestFilter | 包装器,针对ServletRequest进行一次包装,使得request具有更加丰富的API |
SecurityContextPersistenceFilter | 在请求之前讲网站获取到的信息填充到SecurityContextHolder一旦请求完成并清除上下文持有者。换句话说,SecurityContextPersistenceFilter是承接容器的session与spring security的重要filter,主要工作是从session中获取SecurityContext,然后放到上下文中,之后的filter大多依赖这个来获取登录态。其主要是通过HttpSessionSecurityContextRepository来存取的。更详细的说明 |
ExceptionTranslationFilter | 提供了Java异常与HTTP响应。它只与维护用户界面有关。这个过滤器不执行任何实际的安全性强制措施更多介绍 |
DigestAuthenticationFilter | 处理HTTP请求的摘要授权标头,然后将结果放入SecurityContextHolder |
RequestCacheAwareFilter | 如果一个请求被缓存并且与请求中的请求匹配,则负责重构保存的请求, 提取请求缓存中缓存的请求1、请求缓存在安全机制启动时指定2、请求写入缓存在其他地方完成3、典型应用场景a 用户请求保护的页面, b 系统引导用户完成登录认证, c 然后自动跳转到到用户最初请求页面。更多请求缓存介绍 |
UsernamePasswordAuthenticationFilter | 检测用户名/密码表单登录认证请求并作相应认证处理: 1、session管理,比如为新登录用户创建新session(session fixation防护)和设置新的csrf token等2、经过完全认证的Authentication对象设置到SecurityContextHolder中的SecurityContext上;3、发布登录认证成功事件InteractiveAuthenticationSuccessEvent4、登录认证成功时的Remember Me处理5、登录认证成功时的页面跳转 |
DefaultLoginPageGeneratingFilter | 配置开发使用的登录页面,更多介绍 |
SessionManagementFilter | 该过滤器会检测从当前请求处理开始到目前为止的过程中是否发生了用户登录认证行为(比如这是一个用户名/密码表单提交的请求处理过程),如果检测到这一情况,执行相应的session认证策略(一个SessionAuthenticationStrategy),然后继续继续请求的处理。更多介绍、源码注解 |
LogoutFilter | 检测用户退出登录请求并做相应退出登录处理 |
RememberMeAuthenticationFilter | 针对Remember Me登录认证机制的处理逻辑,记住我 |
ChannelProcessingFilter | ChannelProcessingFilter决定的是web请求的通道,即必须是http或https或无要求 |
DefaultLoginPageGeneratingFilter | 生成缺省的登录页面 |
RequestAttributeAuthenticationFilter | 一个简单的预认证过滤器,该过滤器从请求属性中获取用户名,用于SSO(单点登录)系统(例如 Stanford WebAuth或 Shibboleth)。与大多数预身份验证的方案一样,必须正确设置外部身份验证系统,因为此过滤器不进行任何身份验证。该属性principalEnvironmentVariable是包含用户名的请求属性的名称。为了与WebAuth和Shibboleth兼容,默认为“ REMOTE_USER”。如果请求中缺少环境变量, getPreAuthenticatedPrincipal将引发异常。您可以通过设置exceptionIfVariableMissing属性来覆盖此行为。 |
更多介绍 | 点击前往 |
// 代码有些重复,将UsernamePasswordAuthenticationFilter中attemptAuthentication方法代码拷贝到此处,没必要
// 支持多种Content-Type的类型请求
if (request.getContentType().contains(MediaType.APPLICATION_JSON_VALUE)
|| request.getContentType().contains(MediaType.APPLICATION_JSON_UTF8_VALUE)) {
Map<String, String> loginData = new HashMap<>();
try {
loginData = new ObjectMapper().readValue(request.getInputStream(), Map.class);
} catch (IOException e) {
}finally {
String code = loginData.get("code");
checkCode(response, code, verify_code);
}
String username = loginData.get(getUsernameParameter());
String password = loginData.get(getPasswordParameter());
// 拷贝代码
if (username == null) {
username = "";
}
if (password == null) {
password = "";
}
username = username.trim();
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
username, password);
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
} else {
checkCode(response, request.getParameter("code"), verify_code);
return super.attemptAuthentication(request, response);
}
}
2. SecurityMetadataSource 加载资源的权限
filter 给url准备的(url权限)
method 给方法准备的(方法权限)
项目作者自定义
CustomFilterInvocationSecurityMetadataSource
implements
FilterInvocationSecurityMetadataSource
加载 能够访问该url的所有角色
// @Autowired
// MenuService menuService;
private MenuService menuService;
@Autowired
public void setMenuService (MenuService menuService) {
this.menuService = menuService;
}
// spring 提供的 url匹配工具
AntPathMatcher antPathMatcher = new AntPathMatcher();
@Override
public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
String requestUrl = ((FilterInvocation) object).getRequestUrl();
List<Menu> menus = menuService.getAllMenusWithRole();// 数据库查询菜单角色数据
// 遍历菜单
for (Menu menu : menus) {
// 找到和requestUrl 匹配的url
if (antPathMatcher.match(menu.getUrl(), requestUrl)) {
// 找到所匹配url所对应的角色
List<Role> roles = menu.getRoles();
String[] str = new String[roles.size()];
for (int i = 0; i < roles.size(); i++) {
str[i] = roles.get(i).getName();
}
// 包装成 List<ConfigAttribute> 返回
return SecurityConfig.createList(str);
}
}
return SecurityConfig.createList("ROLE_LOGIN");
}
使用@Autowired注解警告Field injection is not recommended
AntPathMatcher API
AntPathMatcher的注意事项
3. 权限决策 AccessDecisionManager
【登录后】在前端调用后台API时,判断当前用户的角色是否 === 访问的URL所需的角色
@Override
public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
for (ConfigAttribute configAttribute : configAttributes) {
String needRole = configAttribute.getAttribute();//获得当前登录用户的角色名
if ("ROLE_LOGIN".equals(needRole)) { // ROLE_LOGIN 这个角色 可以匿名登录
if (authentication instanceof AnonymousAuthenticationToken) {
throw new AccessDeniedException("尚未登录,请登录!");
}else {
return;
}
}
// 遍历权限资源,判断角色是否匹配
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
for (GrantedAuthority authority : authorities) {
if (authority.getAuthority().equals(needRole)) {
return;
}
}
}
throw new AccessDeniedException("权限不足,请联系管理员!");
}
4. security 自定义配置 SecurityConfigurer
配置 自定义的userDetailService、SecurityMetadataSource 、AccessDecisionManager等等
- 支持的配置总览
- http 配置总览
其它有详细注释的博客 ← 点击前往
spring cecurity crsf 跨域保护← 点击前往
// 配置自定义的userDetailService
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(hrService);
}
// 常用于配置可匿名访问的url,如静态资源
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/css/**", "/js/**", "/index.html", "/img/**", "/fonts/**", "/favicon.ico", "/verifyCode");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()// 开始请求权限配置
.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
// 配置自定义AccessDecisionManager 、SecurityMetadataSource
@Override
public <O extends FilterSecurityInterceptor> O postProcess(O object) {
object.setAccessDecisionManager(customUrlDecisionManager);
object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource);
return object;
}
})
.and() // 标识下一个配置开始
.logout()
.logoutSuccessHandler(new LogoutSuccessHandler() {
@Override
public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
resp.setContentType("application/json;charset=utf-8");
PrintWriter out = resp.getWriter();
out.write(new ObjectMapper().writeValueAsString(RespBean.ok("注销成功!")));
out.flush();
out.close();
}
})
.permitAll()
.and()
.csrf().disable().exceptionHandling() // 关闭跨域保护
//没有认证时,在这里处理结果,不要重定向
.authenticationEntryPoint(new AuthenticationEntryPoint() {
@Override
public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException authException) throws IOException, ServletException {
resp.setContentType("application/json;charset=utf-8");
resp.setStatus(401);
PrintWriter out = resp.getWriter();
RespBean respBean = RespBean.error("访问失败!");
if (authException instanceof InsufficientAuthenticationException) {
respBean.setMsg("请求失败,请联系管理员!");
}
out.write(new ObjectMapper().writeValueAsString(respBean));
out.flush();
out.close();
}
});
// 注册自定义的loginFilter
http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
}