SpringSecurity:
这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。底层实现为一条过滤器链,就是用
户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。
SpringSecurity的基础学习,从数据库中获取用户名和密码进行判断登录,以及自定义登录表单
创建项目,引入需要使用的依赖
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<!--整合mybatis-plus来操作数据库-->
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.0.5</version>
</dependency>
<!--mysql 链接数据库-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<!--lombok 用来简化实体类-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
</dependencies>
加入了Security之后,进行访问就需要登录了,而这个登录的用户名和密码我们是可以自定义的,
可以通过配置文件进行设置:在application.properties中加入以下代码
spring.security.user.name=mary
spring.security.user.password=123
也可以通过配置类来设置登录用户名和密码
public class MyUserDetailsService implements UserDetailsService {
//loadUserByUsername:用于通过用户名获取用户数据. 返回 UserDetails 对象
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//判断用户名是否相等
if ("mary".equals(username)){//表示数据库中没有对应的数据,就当异常抛出
throw new UsernameNotFoundException("用户名不存在!");
}
//假装从数据库中获取的密码
String pwd = "$2a$10$2R/M6iU3mCZt3ByG7kwYTeeW0w7na";
List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("role");//指定角色权限
return new User("mary",new BCryptPasswordEncoder().encode(pwd)//设置密码加密
,auths);
}
}
以上方法都可以自定义用户名和密码,但在实际应用中用户名和密码都是在数据库中的,所以要进行查询数据库的操作
1.创建一个数据库user表,并创建user的实体类
2.链接数据库
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/tables?serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456
3.整合mybatis-plus(可以使用别的),创建一个接口,去继承mybatis-plus中的接口
4.创建配置类,继承WebSecurityConfigurerAdapter,设置使用的userDetailsService实现类,并在配置类中重写configure方法,并在configure方法中自定义登陆页面
@Configuration
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Bean
PasswordEncoder password(){
return new BCryptPasswordEncoder();
}
//自定义登录页面
@Override
protected void configure(HttpSecurity http) throws Exception{
http.formLogin() //自定义编写登录页面
.loginPage("/login.html") //登录页面设置
.loginProcessingUrl("/user/login")//登录访问路径
.defaultSuccessUrl("/text").permitAll()//登录成功后跳转的路径
.and().authorizeRequests()
.antMatchers("/","/user/hello").permitAll()//设置哪些路径可以直接访问,不需要认证
//表示访问该路径需要的角色权限,不支持多个角色权限
//.antMatchers("/hello").hasAuthority("admin")
//表示访问该路径需要的角色权限,支持多个角色权限
//.antMatchers("/hello").hasAnyAuthority("admin,role")
//表示访问该路径需要的角色权限,但在赋予角色权限时,需要写成ROLE_xxx的形式
//.antMatchers("/hello").hasRole("admin")
//表示访问该路径需要的角色权限,支持多个角色权限,但在赋予角色权限时,都需要写成ROLE_xxx的形式
//.antMatchers("/hello").hasAnyRole("admin,role")
.anyRequest().authenticated()//在登录后所有请求都允许访问
.and().csrf().disable();//关闭csrf的防护
}
}
WebSecurityConfigurerAdapter:是个适配器, 在配置的时候,需要自己写个配置类去继承,然后编写自己所特殊需要的配置
UserDetailsService:加载用户指定数据的核心接口.
5.创建实现类,注入整合mybatis-plus的接口,并去实现UserDetailsService接口中的方法,在该方法中就可以进行数据库的查询
@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
@Autowired
private UserMapper userMapper;
//loadUserByUsername:用于通过用户名获取用户数据. 返回 UserDetails 对象
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//调用userMapper里面封装的方法,根据用户名查询数据库
QueryWrapper<Users> wrapper= new QueryWrapper();//条件构造器
//相当于查询条件:where username="username"
wrapper.eq("username",username);
Users users=userMapper.selectOne(wrapper);
//判断返回值
if (users == null){//表示数据库中没有对应的数据,就当异常抛出
throw new UsernameNotFoundException("用户名不存在!");
}
List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("role");//指定角色
return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword())//设置密码加密
,auths);
}
}
loadUserByUsername:
是UserDetailsService中的一个接口方法, 用于通过用户名获取用户数据. 返回 UserDetails 对象(用户重要信息)
queryWrapper:是mybatis plus中实现查询的对象封装操作类,也叫条件构造器
BCryptPasswordEncoder:
Spring Security中的BCryptPasswordEncoder方法采用对Hash算法密码进行加密。使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的
在返回值中的User类是UserDetailsService接口中的一个实体类,用以接收用户名,密码和用户权限
6.编写自定义的登录页面进行登录测试
输入直接放行的地址,也可以直接查看
可以自定义登录页面,当然也可以自定义其他页面,比如没有访问权限的403页面,只需要在配置类中使用以下方法即可
//自定义没有访问权限的403页面
http.exceptionHandling().accessDeniedPage("/unauth.html");//当用户没有访问权限时跳转到指定的页面