SpringSecurity认证详解,保姆级教学

SpringSecurity

1.添加依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
</dependency>

添加完之后启动页面内容:

2.添加之后对项目的影响

• 所有的请求（包括根本不存在的）都必须登录，否则自动跳转到登录页面

• 默认的用户名是user，密码是启用项目时在控制台提示的一串UUID值

• 登录时，如果在打开登录页面后重启过服务器端，应该刷新登录页面，否则，

第1次输入并提交是无效的

• 当登录成功后，会自动跳转到此前尝试访问的URL

• 当登录成功后，可通过 /logout 退出登录

• 默认不接受普通的POST请求，如果提交POST请求，会响应403（Forbidden）

3.相关配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // super.configure(http); 不要保留调用父类同名方法的代码
        
        //当访问需要登录认证才能访问的资源时,没有登录的时候跳转到登录页面
        http.formLogin(); //弹出登录页面,

        //设置白名单(不需要登录即可访问的资源)
        String[] urls={"/reg.html","/login.html","/v1/users/reg"};
        http.authorizeHttpRequests() //对请求进行授权
                .mvcMatchers(urls)  //匹配某些路径
                .permitAll()        //直接放行,即不需要登录也可以访问
                .anyRequest()       //其他任意请求
                .authenticated();   //需要通过登录认证
    }
}

4.创建实现类(模拟登录)

@Service
public class UserDetailServiceImpl implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("username = " + username);
        UserDetails ud = User.builder()
                .username("root").password("123456")
                .disabled(false)//是否禁用
                 .accountLocked(false)//是否锁定
                .accountExpired(false)//账号是否过期
                .credentialsExpired(false)//登录凭证是否过去
                .authorities("权限") //授权,授予当前登录用户有什么权限
                .build();
        
        //判断:如果用户名输入不是root,则代表不存在
        if (!username.equals("root")){
            return null;   //  代表用户名不存在
        }
        return ud;   
    }
}

此时虽然设置了用户名和密码,但是密码还处于加密,需要再配置类中进行相关设置

加密

如果在登录的时候进行了加密,则在注册的时候也要对密码进行加密

@RequestMapping("/v1/users/")
public class UserController {
    @Autowired
    PasswordEncoder passwordEncoder;
    @Autowired(required = false)
    UserMapper mapper;
    @RequestMapping("reg")
    public ResultVO reg(@RequestBody UserRegDTO userRegDTO){
        System.out.println("userRegDTO = " + userRegDTO);
        //判断用户名是否存在
        UserVO userVO = mapper.selectByUsername(userRegDTO.getUsername());
        if (userVO!=null){
            return new ResultVO(StatusCode.USERNAME_ALREADY_EXISTS);
        }
        User user = new User();
        BeanUtils.copyProperties(userRegDTO,user);
        //对user对象里面的密码进行加密,加密会得到60字符的长度
        user.setPassword(passwordEncoder.encode(user.getPassword()));
        user.setCreated(new Date());
        mapper.insert(user);
        //当给客户端响应的是Java对象时SpringMVC框架会自动将Java对象转成
        //Json格式的字符串,然后将字符串响应给客户端.
        return new ResultVO(StatusCode.SUCCESS);
    }

5.使用自己的页面登录

使用自己的登录页面时,Security框架的登录认证流程不会自动启动, 需要我们在UserController处理login请求时手动开启, 手动开启时需要用到认证管理器,在Security配置类中进行配置

6.在Controller中启动认证管理器

  @Autowired(required = false)
    AuthenticationManager manager;
    @RequestMapping("login")
    public ResultVO login(@RequestBody UserLoginDTO userLoginDTO){
        //通过认证管理器启动Security的认证流程  返回认证结果对象
        Authentication result = manager.authenticate(new UsernamePasswordAuthenticationToken(
                userLoginDTO.getUsername(), userLoginDTO.getPassword()));
        //将认证结果保存到Security上下文中   让Security框架记住登录状态
        SecurityContextHolder.getContext().setAuthentication(result);
        //代码执行到这里时代表登录成功!如果登录失败Security框架会抛出异常


                return new ResultVO(StatusCode.SUCCESS);//登录成功
    }

7.使用数据库里面的用户名和密码进行登录

在实际业务中默认的UserDetails里面只有用户的用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails

自定义UserDetails

目的:默认的UserDetails里面只有用户的用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails

@Getter
@ToString
public class CustomUserDetails extends User {
    private Integer id;
    private String nickname;
    public CustomUserDetails(Integer id,String nickname, String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
        this.id=id;
        this.nickname=nickname;
    }
}

替换默认的UserDetails

以id为例

从Security得到当前用户信息

/**
1:添加 @AuthenticationPrincipal CustomUserDetails cud
2: 从Security得到当前登录的用户信息
   weibo.setUserId(cud.getId());
*/
public class WeiboController {
    @Autowired(required = false)
    WeiboMapper mapper;
    @RequestMapping("insert")
    public ResultVO insert(@RequestBody WeiboDTO weiboDTO
            , @AuthenticationPrincipal CustomUserDetails cud){
        Weibo weibo = new Weibo();
        BeanUtils.copyProperties(weiboDTO,weibo);
        //当前登录对象 从Security得到当前登录的用户信息
        weibo.setUserId(cud.getId());
        weibo.setCreated(new Date());
        mapper.insert(weibo);
        return new ResultVO(StatusCode.SUCCESS);
    }

模拟-授权管理员

1:UserDetailsService实现类中添加

//模拟zzzz为管理员
String role = username.equals("zzzz")?"ADMIN":"USER";
List<GrantedAuthority> list= AuthorityUtils.createAuthorityList(role);

2:在配置类中添加@EnableGlobalMethodSecurity(prePostEnabled = true),开启方法的授权权限

3:在Controller中添加 @PreAuthorize("hasAnyAuthority('ADMIN')")

@RequestMapping("{id}/delete")
@PreAuthorize("hasAnyAuthority('ADMIN')") //当前登录用户必须拥有ADMIN权限否则会抛出异常
    public ResultVO delete(@PathVariable Integer id){
        mapper.deleteById(id);
        return new ResultVO(StatusCode.SUCCESS);
 }

什么是跨域攻击

关闭跨域攻击防御机制

• SpringSecurity框架默认开启了跨域攻击的防护,通过携带CSRF token对请

求进行判断.

• 因为现在都是前后端分离架构,客户端发出的请求都是异步请求,不存在

form表单,所以不存在跨域攻击的问题,通过以下代码关闭跨域攻击,否则请求受限

SpringSecurity认证流程思路

1. 在SecurityConfig配置类中配置好白名单, 设置登录页面, 关闭跨域攻击防御策略
2. 当客户端请求的路径不在白名单里面, Security框架会自动将请求重定向到登录页面
3. 在login.html登录页面中向/login地址发出登录请求时,服务器中UserController里面的login方法处理该请求
4. 在login方法中通过认证管理器manager启动认证 将认证结果保存在Security上下文对象中
5. 当manager启动认证流程后会自动调用UserDetailServiceImpl里面的loadUserByUsername方法, 在方法内部 调用UserMapper里面的查询方法通过用户名查询到UserVO, 如果查询不到return null, 此时Security框架会抛出异常代表用户名不存在,需要在全局异常处理中进行处理, 如果查询到的密码和用户输入的密码一致,则不会抛出任何异常 UserController中的login方法会执行完,给客户端响应登录成功的信息, 如果登录的密码错误Security框架会抛出代表密码错误的异常,此时也需要在全局异常处理类中进行处理.