springsecurity

朵朵宝

已于 2022-12-09 13:37:38 修改

阅读量881

点赞数

分类专栏： Spring # Spring Security 文章标签：系统安全安全

于 2022-12-08 16:16:42 首次发布

本文链接：https://blog.csdn.net/magic_818/article/details/128232261

版权

Spring 同时被 2 个专栏收录

21 篇文章 0 订阅

订阅专栏

Spring Security

9 篇文章 0 订阅

订阅专栏

2、Spring Security快速入门

2.1、引入依赖

2.2、创建一个控制器

2.3、启动项目

四、Spring Security 认证配置

1、WebSecurityConfigurerAdapter

2、UserDetailsService

1、基本概念

2、用户名和密码从数据库取

一、权限管理简介

1、什么是权限管理

基本上涉及到用户参与的系统都要进行权限管理，权限管理属于系统安全的范畴，权限管理实现对用户访问系统的控制，按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。

权限管理包括用户身份认证鉴权（授权）两部分，简称认证授权。对于需要访问控制的资源用户首先经过身份认证，认证通过后用户具有该资源的访问权限方可访问。

2、认证

身份认证，就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令，看其是否与系统中存储的该用户的用户名和口令一致，来判断用户身份是否正确。对于采用指纹等系统，则出示指纹；对于硬件Key等刷卡系统，则需要刷卡。

上图中的判断逻辑代码可以理解为：

if(主体.hasRole("总经理角色id")){
     查询工资
}

缺点：以角色进行访问控制粒度较粗，如果上图中查询工资所需要的角色变化为总经理和部门经理，此时就需要修改判断逻辑为“判断主体的角色是否是总经理或部门经理”，系统可扩展性差。

修改代码如下：

if(主体.hasRole("总经理角色id") || 主体.hasRole("部门经理角色id")){
     查询工资
}

2、基于资源的访问控制

RBAC基于资源的访问控制（Resource-Based Access Control）是以资源为中心进行访问控制，比如：主体必须具有查询工资权限才可以查询员工工资信息等，访问控制流程如下：

上图中的判断逻辑代码可以理解为：

if(主体.hasPermission("查询工资权限标识")){
     查询工资
}

优点：系统设计时定义好查询工资的权限标识，即使查询工资所需要的角色变化为总经理和部门经理也只需要将“查询工资信息权限”添加到“部门经理角色”的权限列表中，判断逻辑不用修改，系统可扩展性强。

三、Spring Security概述

1，Spring Security简介

Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean，充分利用了 Spring IoC（Inversion of Control 控制反转），DI（Dependency Injection 依赖注入）和 AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

Spring Security 拥有以下特性：

对身份验证和授权的全面且可扩展的支持
防御会话固定、点击劫持，跨站请求伪造等攻击
支持 Servlet API 集成
支持与 Spring Web MVC 集成

Spring、Spring Boot 和 Spring Security 三者的关系如下图所示：

2、Spring Security快速入门

2.1、引入依赖

<!--springboot整合security坐标-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.2、创建一个控制器

@RestController
public class HelloController {
    @GetMapping("hello")
    public String hello(){
        return "Hello Spring security";
    }
}

2.3、启动项目

访问：http://localhost:8080/hello 结果打开的是一个登录页面，其实这时候我们的请求已经被保护起来了，要想访问，需要先登录

Spring Security 默认提供了一个用户名为 user 的用户，其密码在控制台可以找到

四、Spring Security 认证配置

1、WebSecurityConfigurerAdapter

当然还可以通过配置类的方式进行配置，创建一个配置类去继承，实现自定义用户名密码登录

/**
 * Spring Security配置类
 * 在springboot2.7 后WebSecurityConfigurerAdapter弃用了，用2.5.4
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 对密码进行加密。123 是密码明文，现在 Spring Security 强制性要求『不允许明文存储密码』。
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("tom").password(password).roles("admin");
    }
}

从 5.x 开始，强制性要求必须使用密码加密器（PasswordEncoder）对原始密码（注册密码）进行加密。因此，如果忘记指定 PasswordEncoder 会导致执行时会出现 There is no PasswordEncoder mapped for the id "null" 异常。

这是因为我们在对密码加密的时候使用到了 BCryptPasswordEncoder 对象，而 Spring Security 在对密码比对的过程中不会『自己创建』加密器，因此，需要我们在 Spring IoC 容器中配置、创建好加密器的单例对象，以供它直接使用。

所以，我们还需要在容器中配置、创建加密器的单例对象（上面那个 new 理论上可以改造成注入）,修改Spring securitry配置类

/**
 * Spring Security配置类
 * 在springboot2.7后WebSecurityConfigurerAdapter弃用了，用2.5.4
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 对密码进行加密。123 是密码明文，现在 Spring Security 强制性要求『不允许明文存储密码』。
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("tom").password(password).roles("admin");
    }
       /**
     * 将PasswordEncoder注入到ioc容器
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

我们获取用户名和密码都是从数据库中获取，所以用以上方式不合理，引出auth.userDetailsService() ，使用UserDetailsService来实现从数据库中查用户名和密码

Spring Security 内置的 Password Encoder 有：

加密算法名称	PasswordEncoder
NOOP	NoOpPasswordEncoder.getInstance()
SHA256	new StandardPasswordEncoder()
BCRYPT（官方推荐）	new BCryptPasswordEncoder()
LDAP	new LdapShaPasswordEncoder()
PBKDF2	new Pbkdf2PasswordEncoder()
SCRYPT	new SCryptPasswordEncoder()
MD4	new Md4PasswordEncoder()
MD5	new MessageDigestPasswordEncoder("MD5")
SHA_1	new MessageDigestPasswordEncoder("SHA-1")
SHA_256	new MessageDigestPasswordEncoder("SHA-256")

上述 Password Encoder 中有一个『无意义』的加密器：NoOpPasswordEncoder 。它对原始密码没有做任何处理（现在也被标记为废弃）。

记得使用 @SuppressWarnings("deprecation") 去掉 IDE 的警告信息。

2、UserDetailsService

1、基本概念

AuthenticationManager

它是 “表面上” 的做认证和鉴权比对工作的那个人，它是认证和鉴权比对工作的起点。

ProvierderManager 是 AuthenticationManager 接口的具体实现。
AuthenticationProvider

它是 “实际上” 的做认证和鉴权比对工作的那个人。从命名上很容易看出，Provider 受 ProviderManager 的管理，ProviderManager 调用 Provider 进行认证和鉴权的比对工作。

我们最常用到 DaoAuthenticationProvider 是 AuthenticationProvider 接口的具体实现。
UserDetailsService

虽然 AuthenticationProvider 负责进行用户名和密码的比对工作，但是它并不清楚用户名和密码的『标准答案』，而标准答案则是由 UserDetailsService 来提供。简单来说，UserDetailsService 负责提供标准答案 ，以供 AuthenticationProvider 使用。
UserDetails

UserDetails 它是存放用户认证信息和权限信息的标准答案的 “容器” ，它也是 UserDetailService “应该” 返回的内容。
PasswordEncoder

Spring Security 要求密码不能是明文，必须经过加密器加密。这样，AuthenticationProvider 在做比对时，就必须知道『当初』密码时使用哪种加密器加密的。所以，AuthenticationProvider 除了要向 UserDetailsService 『要』用户名密码的标准答案之外，它还需要知道配套的加密算法（加密器）是什么

2、用户名和密码从数据库取

Spring Security 要求 UserDetailsService 将用户信息的 “标准答案” 必须封装到一个 UserDetails 对象中，返回给 AuthenticationProvider 使用（做比对工作）。

我们可以直接使用 Spring Security 内置的 UserDetails 的实现类：User 。

在service包下创建一个UserDetailsService类

package cn.woniu.service;

import cn.woniu.dao.UserDao;
import cn.woniu.entity.Users;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

/**
 * 获取用户名和密码的Service
 */
@Service
public class secourityService implements UserDetailsService {
    @Autowired(required = false)
    private PasswordEncoder passwordEncoder;

    @Autowired(required = false)
    private UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据username,去获取库查询该用户的信息
        Users users = userDao.queryUserByAccount(username);
        try {
            //根据查出来的用户信息,和页面穿过来的username,password   做对比
            return new User(users.getAccount(), passwordEncoder.encode("123"),
                    AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
        } catch (Exception e) {
            e.printStackTrace();
            throw  new UsernameNotFoundException("用户名或者密码输入错误");
        }
    }

}

修改spring security配置类

/**
 * Spring Security配置类
 *
 *
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 属性注入和构造注入区别
     * 1、属性注入时，Spring IOC容器“创建对象”和为对象属性赋值两件事情是分开做的。
     *    构造注入时，Spring IOC容器直接调用类的有参构造，这样“创建对象”和为对象
     *    属性赋值两件事情是一起做的
     * 2、属性注入没法表达对象创建的“先后/依赖关系”，但是构造注入可以
     *    属性注入天然能解决循环依赖问题，但是构造注入要使用@Lazy注解
     * 所以建议单例对象的必要属性用构造注入，可选属性使用属性注入
     */
    @Resource
    private MyUserDetailsService userDetailsService;
    
    public SecurityConfig(@Lazy  MyUserDetailsService myUserDetailsService) {
        this.userDetailsService = myUserDetailsService;
    }

    /**
     * 将PasswordEncoder注入到ioc容器
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
}

ProviderManager/AuthenticationProvider 在做密码密码的比对工作时，会调用 UserDetailsService 的 .loadUserByUsername() 方法，并传入『用户名』，用以查询该用户的密码和权限信息。

  @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin();//1
        http.authorizeRequests()
                .anyRequest()
                .authenticated();   // 2
        http.csrf().disable();  // 3
    }

代码配置的链式调用连写：
	http.formLogin()
    .and()
    .authorizeRequests()
    .anyRequest().authenticated()
    .and()
    .csrf().disable();

以上配置的意思是：

#	说明
1	要求用户登陆时，是使用表单页面进行登陆。但是，由于我们有意/无意中没有指明登陆页面，因此，Spring Security 会使用它自己自带的一个登陆页面。
2	同上，让 Spring Security 拦截所有请求。要求所有请求都必须通过认证才能放行，否则要求用户登陆。
3	同上，暂且认为是固定写法。后续专项讲解。

3.2、使用自定义表单实现认证

准备自定义登录页面（可以是一个纯 html 页面）

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<form action="dologin" method="post">
    <!--注意：帐号和密码的名称必须是username和password否则spring security无法识别-->
    <p>帐号：<input type="text" name="username"></p> 
    <p>密码：<input type="text" name="password"></p>
    <p><button type="submit">登录</button></p>
</form>
</body>
</html>

SpringSecurityConfig 类中的配置代码

package cn.woniu.config;

import cn.woniu.service.secourityService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Lazy;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired(required = false)
    @Lazy
    private secourityService secourityService;

    @Bean
    public PasswordEncoder getPassword() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        //创建密码加密方式
//        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        auth.userDetailsService(secourityService).passwordEncoder(getPassword());
//        //给密码加密
//        String password = passwordEncoder.encode("123");
//        //给sevurity 指定用户名和密码
//        auth.inMemoryAuthentication().withUser("tom").password(password).roles("admin");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()//告诉security 使用自定义登录页面
                .loginPage("/login.html")//告诉security,页面在哪里
                .loginProcessingUrl("/dologin")//告诉表单要提交的地址
                .defaultSuccessUrl("/index.html").permitAll();

 http.csrf().disable(); //关闭跨站脚本攻击
    }

}