Spring Security (一) --------- Spring Security 入门

---

一、Spring Security 简介

Spring Security 是基于 Spring 的安全框架。它提供全面的安全性解决方案，同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上，Spring Security 充分利用了 依赖注入 (DI) 和面向切面编程 (AOP) 功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。是一个轻量级的安全框架。它与 Spring MVC 有很好地集成。

Spring Security 核心功能

• 认证 (你是谁，用户/设备/系统 )
• 验证 (你能干什么，也叫权限控制/授权，允许执行的操作)

Spring Security 原理

基于 Filter、Servlet、AOP 实现身份认证和权限验证

二、入门案例

1. 案例一

初探

A、创建 Maven 项目

B、加入 SpringBoot 与 SpringSecurity 依赖

<!--加入 spring boot -->
<parent>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-parent</artifactId>
	<version>2.0.6.RELEASE</version>
</parent>
<!--web 开发相关依赖-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--spring security-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

C、创建应用启动类

public class FirstApplication {
	public static void main(String[] args) {
		SpringApplication.run(FirstApplication.class,args);
	}
}

D、创建 Controller，接收请求

@RestController
public class HelloSecurityController {
    @RequestMapping("/hello")
    public String sayHello() {
        return "Hello SpringSecurity";
    }
}      

E、框架生成的用户

用户名： user

密码： 在启动项目时，生成的临时密码，uuid

日志中生成的密码：

generated security password: 9717464c-fafd-47b3-9995-2c18b24f7336

F、自定义用户名和密码

需要在 SpringBoot 配置文件中设置登录的用户名和密码。

在 resource 目录下面创建 SpringBoot 配置文件 application.yml(application.properties)

spring:
  security:
     user:
        name: fancy
        password: aszhuo123

name: 自定义用户名称
password: 自定义密码

G、关闭验证

//排除 Secuirty 的配置，让他不启用
@SpringBootApplication(exclude={SecurityAutoConfiguration.class})
public class FirstApplication {}

2. 案例二

使用内存中的用户信息

使用 WebSecurityConfigurerAdapter 控制安全管理的内容。

如何使用：

继承 WebSecurityConfigurerAdapter，重写方法。实现自定义的认证信息。重写下面的方法。

protected void configure(AuthenticationManagerBuilder auth)

Spring Security 5 版本要求密码比较加密，否则报错

java.lang.IllegalArgumentException: There is no PasswordEncodermapped for the id "null"

实现密码加密

A、创建用来加密的实现类，选择一种加密算法

@Bean
public PasswordEncoder passwordEncoder() {
    // 创建 PasswordEncoder 的实现类，实现类是加密算法
    return new BCryptPasswordEncoder();
}

给每个密码加密

PasswordEncoder pe  = passwordEncoder();
pe.encode("123456");

完整代码

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @EnableGlobalMethodSecurity:启用方法级别的认证
 *      prePostEnabled：boolean 默认是false
 *          true:表示可以使用@PreAuthorize注解 和 @PostAuthorize
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
    //在方法中配置 用户和密码的信息， 作为登录的数据
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        PasswordEncoder pe = passwordEncoder();

        //定义两个角色 normal, admin
        auth.inMemoryAuthentication()
                .withUser("zhangsan")
                .password(pe.encode("123456"))
                .roles("normal");

        auth.inMemoryAuthentication()
                .withUser("lisi")
                .password(pe.encode("123456"))
                .roles("normal");
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(pe.encode("admin"))
                .roles("admin","normal");

    }

    //创建密码的加密类
    @Bean
    public PasswordEncoder passwordEncoder(){
        //创建PasawordEncoder的实现类， 实现类是加密算法
        return new BCryptPasswordEncoder();
    }

}

注解：

@Configuration ：表示当前类是一个配置类( 相当于是 spring 的 xml 配置文件），在这个类方法的返回值是 Java 对象，这些对象放入到 Spring 容器中。

@EnableWebSecurity ：表示启用 Spring Security 安全框架的功能

@Bean ：把方法返回值的对象，放入到 Spring 容器中

3. 案例三

基于角色 Role 的身份认证， 同一个用户可以有不同的角色。同时可以开启对方法级别的认证。

步骤：

A、设置用户的角色

继承 WebSecurityConfigurerAdapter

重写 configure 方法，指定用户的 roles

auth.inMemoryAuthentication()
           .withUser("admin")
           .password(pe.encode("admin"))
           .roles("admin", "normal");

B、在类的上面加入启用方法级别的注解

@EnableGlobalMethodSecurity(prePostEnabled = true

C、在处理器方法的上面加入角色的信息

指定方法可以访问的角色列表

@RequestMapping("/helloUser")
@PreAuthorize(value = "hasAnyRole('admin', 'normal')")
public String helloCommonUser() {
    return "Hello 拥有normal、admin 角色的用户"
}

使用 @PreAuthorize 指定在方法之前进行角色的认证

hasAnyRole('角色名称1', ... '角色名称N')

4. 案例四

从数据库 mysql 中获取用户的身份信息 (用户名称，密码，角色)

A、在 Spring Security 框架对象用户信息的表示类是 UserDetails。

UserDetails 是一个接口，高度抽象的用户信息类(相当于项目中的User 类)

User 类：是 UserDetails 接口的实现类， 构造方法有三个参数：username，password, authorities

需要向 spring security 提供 User 对象， 这个对象的数据来自数据库的查询。

B、实现 UserDetailsService 接口

重写方法 UserDetails loadUserByUsername(String var1) 在方法中获取数据库中的用户信息， 也就是执行数据库的查询，条件是用户名称。