一、入门介绍
Spring Security可以提供对于用户认证、密码加密、授权和针对常见漏洞的全面支持。
1.用户认证
用户认证就是验证用户的身份,常见方法就是让用户出示自己的用户名和密码,如果正确,那么我们就可以给用户发放一个临时的”令牌“(是一个唯一标识,常见的做法就是session ID)。接下来用户就可以凭借这个”令牌“来访问系统,直到”令牌“失效,用户就需要重新认证身份。
2. 密码加密
我们怎么验证用户的身份信息是否正确呢?一般是把用户名和密码存放在数据库里,用户登录时,我们根据用户输入的信息去数据库中查询匹配的记录。如果密码是明文存储(明文就是没有加密的文本,比如用户设置密码为12345678,而数据库里就存储了12345678),那么会有很大的风险。每个能访问数据库里用户表的人都能看到用户设置的密码,根据这个密码就能登录别人的账号。一旦数据泄漏,对于系统和企业的打击将是致命的。所以我们存储用户密码的时候必须对其加密。用户登录时,把用户输入的密码加密后与数据库中的记录进行比对。而Spring Security就提供了这样的功能,不需要我们手动实现这些过程。
3.授权
授权就是给用户分配权限,告诉系统用户可以做什么。不同的用户可能拥有不同的权限,管理员与普通用户可操作的功能肯定是不同的,而这些都是由用户所拥有的权限决定的。
4.防止漏洞
例如防止CSRF(Cross Site Request Forgery,跨站点请求伪造)攻击。什么是CSRF攻击呢?简单来说就是假设你访问了受信任的网站A,未退出之前又访问了网站B,网站B收到你的请求后,盗用你的”令牌“去访问网站A,执行一些有利于网站B的请求(比如把你的财产转移到别人的账户上)。对于这些常见的漏洞,Spring Security提供了现成的防护策略。
二、数据库表设计
在使用 Spring Security 实现登录授权时,如果你决定将用户信息和权限存储在数据库中,需要设计一些基本的表来存储这些数据。这里提供一个简单的例子,展示可能需要的表结构:
1. 用户表(Users)
这个表存储用户的基本信息。
CREATE TABLE users (
id BIGINT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(50) NOT NULL UNIQUE,
password VARCHAR(100) NOT NULL,
enabled BOOLEAN NOT NULL
);
2. 权限表(Authorities)
此表存储与用户相关的权限信息。
CREATE TABLE authorities (
id BIGINT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(50) NOT NULL,
authority VARCHAR(50) NOT NULL,
FOREIGN KEY (username) REFERENCES users(username)
);
3. 用户-角色关联表(User_Roles)
如果你使用角色来组织权限,可能还需要一个用户与角色的关联表。
CREATE TABLE user_roles (
user_id BIGINT NOT NULL,
role_id BIGINT NOT NULL,
FOREIGN KEY (user_id) REFERENCES users(id),
FOREIGN KEY (role_id) REFERENCES roles(id)
);
4. 角色表(Roles)
此表存储角色信息,每个角色可以关联多个权限。
CREATE TABLE roles (
id BIGINT AUTO_INCREMENT PRIMARY KEY,
name VARCHAR(50) NOT NULL UNIQUE
);
5. 角色-权限关联表(Role_Authorities)
角色与权限的关联表,定义哪些角色拥有哪些权限。
CREATE TABLE role_authorities (
role_id BIGINT NOT NULL,
authority_id BIGINT NOT NULL,
FOREIGN KEY (role_id) REFERENCES roles(id),
FOREIGN KEY (authority_id) REFERENCES authorities(id)
);
这些表结构提供了一个基础的框架,通过这种方式,Spring Security 可以利用数据库中的信息来进行用户认证和权限授权。你可以根据具体需求调整表结构和字段。在实际应用中,还可能需要考虑如何处理密码的安全存储(例如使用密码哈希),以及如何维护数据的一致性和安全性。
三、如何实现登录和授权?
1、首先,要在项目pom文件中添加依赖;
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>2、创建一个配置类继承自 WebSecurityConfigurerAdapter,使用注解 @EnableWebSecurity 开启安全配置的支持。在这个配置类中,你可以定义哪些 URL 需要或不需要保护,配置自定义登录页面,以及设置登出操作等。
package com.itheima.config;
import com.itheima.controller.backend.security.SpringSecurityUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()// 开启表单认证
.loginPage("/backend/login.html")// 自定义登录页面
.loginProcessingUrl("/login")// 登录处理Url
.usernameParameter("username").passwordParameter("password")// 修改自定义表单name值.
.defaultSuccessUrl("/backend/pages/main.html")// 登录成功后跳转路径
.and()
.authorizeRequests()
.antMatchers("/backend/login.html").permitAll()
.anyRequest().authenticated(); //所有请求都需要登录认证才能访问;
// 关闭csrf防护
http.csrf().disable();
// 允许iframe加载页面
http.headers().frameOptions().sameOrigin();
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/backend/css/**", "/backend/img/**",
"/backend/js/**", "/backend/plugins/**", "/favicon.ico");
}
@Autowired
private SpringSecurityUserService userService;
@Bean
protected PasswordEncoder myPasswordEncoder(){
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userService).passwordEncoder(myPasswordEncoder());
}
}
3、创建自定义用户服务类,这个类需要实现Spring Security提供的UserDetailsService接口,并覆盖其中的方法。
package com.itheima.controller.backend.security;
import com.itheima.pojo.Permission;
import com.itheima.pojo.Role;
import com.itheima.pojo.User;
import com.itheima.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import java.util.ArrayList;
import java.util.List;
import java.util.Set;
@Service
public class SpringSecurityUserService implements UserDetailsService {
// 查找服务,实现查询数据库
@Autowired
private UserService userService;
// 根据用户名查询数据库中用户信息
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 根据用户名获取用户信息
User user = userService.findByUsername(username);
if (user == null){
// 用户不存在,直接返回null
return null;
}
List<GrantedAuthority> list = new ArrayList<>();
//动态为当前用户授权
Set<Role> roles = user.getRoles();
for (Role role : roles) {
// 遍历角色集合,为用户授予角色
list.add(new SimpleGrantedAuthority(role.getKeyword()));
Set<Permission> permissions = role.getPermissions();
for (Permission permission : permissions) {
// 遍历权限集合,为用户授予权限
list.add(new SimpleGrantedAuthority(permission.getKeyword()));
}
}
org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username, user.getPassword(), list);
return securityUser;
}
}
4、完善UserServices实现类。
package com.itheima.service.Impl;
import com.itheima.dao.PermissionDao;
import com.itheima.dao.RoleDao;
import com.itheima.dao.UserDao;
import com.itheima.pojo.Permission;
import com.itheima.pojo.Role;
import com.itheima.pojo.User;
import com.itheima.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;
import java.util.Set;
@Service
@Transactional
public class UserServiceImpl implements UserService {
@Autowired
private UserDao userDao;
@Autowired
private RoleDao roleDao;
@Autowired
private PermissionDao permissionDao;
/**
* 根据用户名查询用户信息
* @param username
* @return
*/
public User findByUsername(String username) {
User user = userDao.findByUsername(username);//查询用户的基本信息,不包含用户的角色
if (user == null){
return null;
}
Integer userId = user.getId();
//根据用户id查询对应的角色
Set<Role> roles = roleDao.findByUserId(userId); //根据用户id查询角色
for (Role role : roles) {
Integer roleId = role.getId();
//根据角色id查询关联的权限
Set<Permission> permissions = permissionDao.findByRoleId(roleId); //根据角色id查询关联的权限
role.setPermissions(permissions);
}
user.setRoles(roles);
return user;
}
}
5、在Controller层添加权限注解。
@PreAuthorize("hasAuthority('CHECKGROUP_QUERY')")最后别忘了在项目启动类添加@EnableScheduling开启注解;
扫一扫
852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
