springsecurity详细解析

目录

1.认证授权的概述

1.1 什么是认证？

1.2 什么是会话？

1.2.1 基于session的认证

1.2.2 基于Token的认证

1.3 什么是授权？

1.3.1 为什么要授权？

1.3.2 认证授权的框架

2. 概述springsecurity

2.1 什么是spring security?

3. 快速入门springsecurity

3.1 引入依赖

 3.2 创建接口资源

 3.3 启动项目并访问资源

4. 自定义账号和密码

5. 定义多用户（基于内存）

6. 密码加密器

7. 获取当前用户的信息

8. security零散配置

9.(源码分析)springsecurity认证授权

---

在学习springsecurity之前，我们要先了解几个概念。

1.认证授权的概述

1.1 什么是认证？

进入移动互联网时代，大家每天都在刷手机，常用的软件有微信、支付宝、头条，抖音等，下边拿微信来举例子说明认证相关的基本概念，在初次使用微信前需要注册成为微信用户，然后输入账号和密码即可登录微信，输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源，用户的身份合法,方可访问该系统的资源。

认证︰用户认证就是判断一个用户的身份是否合法的过程，用户去访问系统资源时，系统要求验证用户的身份信息，身份合法方可继续访问，不合法则拒绝访问。

常见的用户身份认证方式有：用户名密码登录，二维码登录，手机短信登录，指纹认证等方式。

1.2 什么是会话？

用户认证通过后，为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制，常见的有基于session方式、基于token方式等。

1.2.1 基于session的认证

它的交互流程是，用户认证成功后，在服务端生成用户相关的数据保存在session(当前会话)中，发给客户端的sesssion_id存放到 cookie中，这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据，以此完成用户的合法校验，当用户退出系统或session过期销毁时,客户端的session_id 也就无效了。

 但当项目用了nginx时，浏览器访问项目时，会出现在一台服务器登录后，发生其他请求会导致未登录的情况。原因就是nginx把你的请求发给另一台服务器了，而session只能在一台服务器上去验证你的登录。

1.2.2 基于Token的认证

它的交互流程是：用户认证成功后，服务端生成一个token（令牌，唯一字符串（uuid，jwt））发给客户端，客户端可以放到 cookie 或sessionStorage等存储中，每次请求时带上token，服务端收到token通过验证后即可确认用户身份。

基于session的认证方式由servlet规范定制，服务端要存储session信息需要占用内存资源，客户端需要支持cookie；基于token的方式则一般不需要服务端存储token，并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。如今移动互联网时代更多类型的客户端（pC，android，IOS）需要接入系统，系统多是采用前后端分离的架构进行实现，所以基于token的方式更适合。

场景：

使用前后端分离或后台使用了集群：采用token模式。

传统的项目前端和后端都在一个工程下：基于session模式。

1.3 什么是授权？

还拿微信来举例子，微信登录成功后用户即可使用微信的功能，比如，发红包、发朋友圈、添加好友等，没有绑定银行卡的用户是无法发送红包的，绑定银行卡的用户才可以发红包，发红包功能、发朋友圈功能都是微信的资源即功能资源，用户拥有发红包功能的权限才可以正常使用发送红包功能，拥有发朋友圈功能的权限才可以便用发朋友圈功能，这个根据用户的权限来控制用户使用资源的过程就是授权。

1.3.1 为什么要授权？

认证是为了保证用户身份的合法性，授权则是对隐私数据进行更为细节的划分，授权是在认证通过后发生的，控制不同的用户能够访问不同的资源。

授权：授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问，没有权限则拒绝访问。

1.3.2 认证授权的框架

1. shiro：轻量级的认证授权。可以整合任意框架，支持javase和javaee。
2. springsecurity：重量级的认证授权框架。只能和spring整合，只支持javaee web框架。

2. 概述springsecurity

Spring Security

2.1 什么是spring security?

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Sprirg应用上下文中配置的Bean，充分利用了Spring IoC []，DI(控制反转Inversion of Control ,DI:Dependency Injection依赖主入）和AOP(面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。 以上解释来源于百度白科。可以一句话来概括，SpringSecurity 是一个安全框架。可以帮我们完成认证，密码加密，授权，rememberme的功能。

3. 快速入门springsecurity

3.1 引入依赖

 <!--引入springsecurity的依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

 3.2 创建接口资源

package com.ls.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @program: springboot-security
 * @description:
 * @author: 1suo
 * @create: 2024-07-27 09:55
 **/
@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello(){
        return "hello";
    }

}

 3.3 启动项目并访问资源

 发现：跳转到登录页面。 因为springsecurity包含了很多过滤器，认证过滤器发现你没有登录就访问资源，就默认跳转到它内置的登录页面。

 账号为: user

密码：在控制台找到下图内容，当你重新启动服务器的时候，会自动更新密码。

4. 自定义账号和密码

在配置文件中：

#定义账号和密码 一旦自定义了账号和密码 原来自带的就不存在了 这里只能定义一个账号和密码
spring.security.user.name=admin
spring.security.user.password=123456

5. 定义多用户（基于内存）

package com.ls.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @program: springboot-security
 * @description:
 * @author: 1suo
 * @create: 2024-07-27 10:44
 **/
@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    //配置文件中的账号和密码失效
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth. //基于内存完成认证和授权
        inMemoryAuthentication()
                // 表示用户名
                .withUser("1suo")
                //表示密码
                .password("123456")
                //当前用户具有的角色
                .roles("admin")
                //表示具有的权限
                .authorities("user:select","user:delete","user:insert","user:update")
                .and()
                .withUser("suo1")
                .password("123456")
                .roles("user")
                .authorities("user:select","user:export");

    }
}

 再次访问，登录创建的用户名和密码，会发现报错：

 原因：没有使用密码加密器。

修改配置类：

 @Bean
    public PasswordEncoder passwordEncoder() {
        PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        return passwordEncoder;
    }

6. 密码加密器

分成两种类型: 对称加密和非对称加密

对称加密：表示加密和解密使用同一把密钥。

非对称加密：表示加密和解密不是使用同一个密钥。（md5，hash）

package com.ls.test;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @program: springboot-security
 * @description:
 * @author: 1suo
 * @create: 2024-07-27 15:00
 **/
public class Test01 {
    public static void main(String[] args) {
        PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
        //用于加密
        String encode = passwordEncoder.encode("123456");
        String encode1 = passwordEncoder.encode("123456");
        String encode2 = passwordEncoder.encode("123456");
        System.out.println(encode);
        System.out.println(encode1);
        System.out.println(encode2);
        //安全
        boolean matches = passwordEncoder.matches("123456", encode);
        System.out.println(matches);

    }
}

结果：

7. 获取当前用户的信息

package com.ls.controller;

import org.springframework.boot.autoconfigure.neo4j.Neo4jProperties;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @program: springboot-security
 * @description:
 * @author: 1suo
 * @create: 2024-07-27 11:36
 **/
@RestController
public class UserController {

    // springsecurity默认把当前用户的信息保存SecurityContext上下文中.
    @GetMapping("/info")
    public Authentication info(){
        //获取SecurityContext对象
        SecurityContext context = SecurityContextHolder.getContext();
        //把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态[]
        Authentication authentication = context.getAuthentication();
        //获取用户信息
        UserDetails principal = (UserDetails) authentication.getPrincipal();
        System.out.println(principal);

        return authentication;
    }
}

 访问：

8. security零散配置

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                //登录页面;
                .loginPage("/login.html")
                //登录的处理路径 默认 /login
                .loginProcessingUrl("/login")
                .successForwardUrl("/success") //登录成功转发的路径 必须为post请求
                .failureForwardUrl("/fail") //登录失败转发的路径 必须为post请求
                .permitAll(); //上面的请求路径无需认证

        http.csrf().disable();//禁用跨域伪造请求的过滤器
        //除了上的请求,其他请求都需要认证
        http.authorizeRequests().anyRequest().authenticated();

    }

9.(源码分析)springsecurity认证授权

(源码分析)springsecurity认证授权-CSDN博客

10. springsecurity完成前后端完全分离

前后的分离：响应的数据必须为JSON数据。

需要修改的代码有哪些?

1. 登录成功需要返回json数据。
2. 登录失败需要返回json数据
3. 权限不足时返回json数据。
4. 未登录访问资源返回json数据。

10.1 登录成功需要返回json数据

第一种方案：基于redis session共享

第二种方案：基于jwt