Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。
一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。
一般Web应用的需要进行认证和授权。
认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
授权:经过认证后判断当前用户是否有权限进行某个操作
而认证和授权也是SpringSecurity作为安全框架的核心功能。
接下来说明一下如何通过SpringSecurity授权认证用户登录
SpringSecurity完整流程
1.用户认证
用户点击登录按钮
用户名和密码被 spring security 拦截,获取token,查看当前用户是否存在于redis中或者spring Security中,之后进行判断,当前用户是否存在于Security线程中,如果不存在,则进行用户验证,首先则会进入生成token的方法中,即验证登录当前用户的用户名,密码,和验证码是否输入有误
我这里是首次登录,所以会进入生成令牌的方法中
异步日志记录本次的登录操作
如果输入的都没错,就会生成token令牌
进入到createToken方法中,获取当前用户的权限,生成token的UUID,存入非敏感信息,将生成UUID返回给前端
token生成好了以后,将用户的信息 封装到 springSecurity 的LoginUser 对象里面
将用户对象变成jwt加密,顺便将token放到redis中,返回到前端是toke的uuid
用户认证到这一步就做完了,下面进行用户授权
---------------------------------------------------------------------------------------------------------------------------------
2.用户授权
授权基本流程
在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。
然后设置我们的资源所需要的权限即可。
登录成功之后将用户对象信息放到spring security 的一个本地线程当中SecurityContextHolder,放到SecurityContextHolder这一步是为了进行用户权限校验,
解析token令牌,获取当前用户的权限
获取用户信息
下面就是获取到的权限集合以及角色集合
到这里的话使用SpringSecurity完成用户的登录认证和授权就结束了