SpringBoot集成Spring Security(1)——登录认证

最新推荐文章于 2024-05-06 19:26:49 发布
最新推荐文章于 2024-05-06 19:26:49 发布
阅读量1.7k 收藏 10
点赞数
分类专栏: spring security 文章标签: Spring Security spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34975710/article/details/109768703
版权

文章目录

一、前言

权限认证框架最常见的除了Shiro,另一个就是Spring Security,相比Shiro而言Spring Security学习难度较大,这里我通过博客记录下自己学习Spring Security的历程。
如果您跟随博客学习,请尽量保持环境一致,否则掉坑了不负责哈O(∩_∩)O~

环境:SpringBoot2.3.6.RELEASE,Spring Security5+

二、环境依赖

这里使用的SpringBoot是2.3.6,Spring Security默认是5.3.5

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.4</version>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <scope>runtime</scope>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-test</artifactId>
	<scope>test</scope>
</dependency>

三、数据库

这里开始简单点,只涉及到三张表,user、role、user_role,先不处理权限问题。

  • user表
CREATE TABLE `sys_user`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 3 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of sys_user
-- ----------------------------
INSERT INTO `sys_user` VALUES (1, 'admin', '123');
INSERT INTO `sys_user` VALUES (2, 'customer', '111');
  • role表
CREATE TABLE `role`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `role_name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 3 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of role
-- ----------------------------
INSERT INTO `role` VALUES (1, 'ROLE_admin');
INSERT INTO `role` VALUES (2, 'ROLE_customer');

PS:角色名是‘ROLE_xxx’格式,下面做说明

  • user_role表
CREATE TABLE `user_role`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `user_id` int(11) NULL DEFAULT NULL,
  `role_id` int(11) NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 3 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user_role
-- ----------------------------
INSERT INTO `user_role` VALUES (1, 1, 1);
INSERT INTO `user_role` VALUES (2, 2, 2);

四、代码

1、配置文件

spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3307/security?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=UTC
spring.datasource.username=root
spring.datasource.password=123456

#开启Mybatis下划线命名转驼峰命名
mybatis.configuration.map-underscore-to-camel-case=true

logging.level.com.lr.security.dao=debug
2、model

数据表对应的java实体类我这里就不贴出来了,没啥特别的地方。

3、dao
  • SysUserMapper
@Mapper
public interface SysUserMapper {

    @Select("select * from user where id = #{id}")
    SysUser selectById(Integer id);

    @Select("select * from user where username = #{username}")
    SysUser selectByUserName(String username);

}
  • RoleMapper
@Mapper
public interface RoleMapper {

    @Select("select * from role where id = #{id}")
    Role selectById(Integer id);

    @Select("select * from role where role_name = #{roleName}")
    Role selectByRoleName(String roleName);

}
  • UserRoleMapper
@Mapper
public interface UserRoleMapper {

    @Select("select * from user_role where user_id = #{userId}")
    List<UserRole> selectByUserId(Integer userId);

}
4、service
  • SysUserService
@Service
public class SysUserService {

    @Autowired
    private SysUserMapper userMapper;

    public SysUser selectById(Integer id) {
        return userMapper.selectById(id);
    }

    public SysUser selectByName(String username) {
        return userMapper.selectByUserName(username);
    }
}
  • RoleService
@Service
public class RoleService {

    @Autowired
    private RoleMapper roleMapper;

    public Role selectById(Integer id){
        return roleMapper.selectById(id);
    }

}
  • UserRoleService
@Service
public class UserRoleService {

    @Autowired
    private UserRoleMapper userRoleMapper;

    public List<UserRole> listByUserId(Integer userId) {
        return userRoleMapper.selectByUserId(userId);
    }
}
5、controller
@Controller
public class LoginController {

    @RequestMapping("/loginPage")
    public String login(){
        return "login.html";
    }

    @RequestMapping("/main")
    public String toMain(Authentication authentication){ // 会自动注入Authentication
        System.out.println("登录用户:" + authentication.getName());
        return "main.html";
    }

    @PreAuthorize("hasRole('ROLE_admin')")
    @RequestMapping("/admin")
    @ResponseBody
    public String admin(){
        return "你是管理员角色";
    }

    @PreAuthorize("hasRole('ROLE_customer')")
    @RequestMapping("/customer")
    @ResponseBody
    public String customer(){
        return "你是普通用户角色";
    }
}

1.在toMain方法中有个参数authentication,这个对象包含认证后用户的一些信息,并且可注入到springmvc
2.@PreAuthorize注解表示在执行该注解标识的方法前,需要认证。这里调用hasRole方法进行角色判断,参数即为该方法为哪些角色可执行,这里也解释下上面建表时角色名称格式问题。默认情况下未做其他配置时,hasRole方法的源码如下:
在这里插入图片描述
从源码可看出在判断角色名称时,是带有一个默认前缀“ROLE_”,同时从4可以看出其实在注解中我们可以省略掉前缀,因为最终也会给加上

6、核心:Security的配置类
6.1 LoginUserDetailsService

在给Spring Security配置前还需定义用于认证用户详情的类LoginUserDetailsService,实现UserDetailsService接口

@Service
public class LoginUserDetailsService implements UserDetailsService {

    @Autowired
    private SysUserService userService;
    @Autowired
    private RoleService roleService;
    @Autowired
    private UserRoleService userRoleService;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		// 通过用户名查询数据库
        SysUser sysUser = userService.selectByName(username);
        if (sysUser == null) throw new UsernameNotFoundException("用户名不存在");

        List<GrantedAuthority> authorities = new ArrayList<>();
        List<UserRole> userRoles = userRoleService.listByUserId(sysUser.getId());
        for (UserRole userRole : userRoles) {
            Role role = roleService.selectById(userRole.getRoleId());
            //SimpleGrantedAuthority实现了GrantedAuthority
            authorities.add(new SimpleGrantedAuthority(role.getRoleName())); // 角色的信息
        }
        // UserDetails有个实现类User
        // LoginUser可参照User,自己定义一个UserDetails,可便于后期拓展,若不想麻烦那就直接用Security提供的User
        // return new User(sysUser.getUsername(),sysUser.getPassword(),authorities);
        return new LoginUser(sysUser,authorities);
    }
}

/**
 * 登录用户身份权限
 */
public class LoginUser implements UserDetails {
    private static final long serialVersionUID = 1L;

    private SysUser sysUser;
    private List<GrantedAuthority> authorities;

    public LoginUser(SysUser sysUser, List<GrantedAuthority> authorities) {
        this.sysUser = sysUser;
        this.authorities = authorities;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return sysUser.getPassword();
    }

    @Override
    public String getUsername() {
        return sysUser.getUsername();
    }

    /**
     * 账户是否未过期,过期无法验证
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 指定用户是否解锁,锁定的用户无法进行身份验证
     */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /**
     * 指示是否已过期的用户的凭据(密码),过期的凭据防止认证
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 是否可用 ,禁用的用户不能身份验证
     */
    @Override
    public boolean isEnabled() {
        return true;
    }
}
6.2 重点:SecurityConfig

创建Spring Security的配置类SecurityConfig,继承WebSecurityConfigurerAdapter。

1、配置类上添加注解:@EnableGlobalMethodSecurity(prePostEnabled = true),表示开启spring方法级安全,prePostEnabled = true表示启用@PreAuthorize 和@PostAuthorize 两个注解,controller中有用到的
2、引入上面创建的LoginUserDetailsService,同时重写configure方法。

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService loginUserDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        		// CSRF(跨站请求伪造)禁用,默认开启,会检测请求中是否包含令牌,没有则拒绝并返回403,我们现在不考虑这个,所以要禁用掉
                .csrf().disable() 
                .authorizeRequests()
                // 对静态资源放行(示例)
                //.mvcMatchers(HttpMethod.GET, "/*.html", "/**/*.html", "/**/*.css", "/**/*.js") .permitAll()
                // 指定可匿名访问的路径(示例)
                //.mvcMatchers("xxx","zzz/yyy").anonymous()
                .anyRequest().authenticated()// 除了上面其他都必须鉴权
                .and()
                .formLogin().loginPage("/loginPage")// 未认证时访问跳转登录页面
                .loginProcessingUrl("/doLogin")// 表单登录url设置,默认/login
                // 登录成功跳转
                .defaultSuccessUrl("/main",true)
                .permitAll()
                .and()
                .logout().permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(loginUserDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    PasswordEncoder passwordEncoder(){
        return new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return charSequence.toString();
            }

            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return s.equals(charSequence.toString());
            }
        };
    }
}

passwordEncoder(passwordEncoder())中指定了密码的校验,在passwordEncoder()中的matches指明了当前密码是直接比较。因为我们数据库是存的明文,但是Security默认密码编码器都是有加密的,这个具体详情可在AuthenticationConfiguration类中查看,这里不做陈述。所以我们当前明文的话就需要自己制定下密码校验规则。

7、页面

页面直接放在static目录下,如果引入的thymeleaf依赖,这页面需要放在templates目录下

注意几点:
1、form的提交地址要与SecurityConfig 指定的一致,且必须是POST请求
2、用户名、密码的名称必须为username、password,这个是security中默认的,可在UsernamePasswordAuthenticationFilter看到。当然这个也是可以在配置类中自定定义名称

  • login.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/doLogin" method="post">
    <input name="username"/>
    <input name="password" type="password"/>
    <button type="submit">登录</button>
</form>
</body>
</html>
  • main.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
登录成功,
<a href="/admin">admin</a>
<a href="/customer">customer</a>
</body>
</html>

在这里插入图片描述

五、运行

在这里插入图片描述

本文借鉴了https://jitwxs.blog.csdn.net/article/details/80249235

YO_RUI
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SpringBoot集成Spring Security实现登录流程
wwyywwsaber的博客
05-05 864
前篇:https://blog.csdn.net/wwyywwsaber/article/details/123979279 登录验证码 使用kaptcha实现验证码 <dependency> <groupId>com.github.axet</groupId> <artifactId>kaptcha</artifactId> <version&g
Spring Boot Security(身份认证和请求授权)
swg321321的博客
07-30 2103
Spring Boot Security 架构,以及启动原理。包含UserDetail、UserDetailService、AuthenticationProvider、AuthenticationManger、AbstractSecurityInterceptor、AccessDecisionManager、AccessDecisionVoter、登录、退出链接、登录失败、登录成功处理。............
springboot版本升级,及解决springsecurity漏洞问题
最新发布
喜羊羊love红太狼
05-06 1216
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级到boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
Spring Boot 如何使用 Spring Security 进行认证和授权
it_xushixiong的博客
06-23 4664
在 Web 应用程序中,认证和授权是非常重要的功能。Spring Security 是一个基于 Spring 框架的强大的安全框架,它提供了完整的认证和授权解决方案,并且可以轻松地集成Spring Boot 应用程序中。本文将介绍如何在 Spring Boot 中使用 Spring Security 进行认证和授权,并提供示例代码。
Spring Security登录认证方式(spring boot篇)
m0_64783594的博客
10-07 245
springmvc版本的配置现在用得少了,可以私信,尽量帮助大家解决,也希望大家不吝赐教。第二步准备实体类(建议账号为username,密码为password):略。第三种:自定义编写实现类。第一种:通过配置文件。
新版Spring Security6.2架构 (三) - Authorization
喝醉的鱼博客
12-11 2250
新版Spring security 6.2,官网文档Authorization翻译和一点点个人修改
快速学习安全框架 Springsecurity最新版(6.2)--用户授权模块
qq_55272229的博客
02-22 1634
上一节Springsecurity 用户认证Springsecurity 拥有强大的认证和授权功能并且非常灵活,,一来说我们都i有以下需求可以帮助应用程序实现以下两种常见的授权需求:用户-权限-资源:例如张三的权限是添加用户、查看用户列表,李四的权限是查看用户列表用户-角色-权限-资源:例如 张三是角色是管理员、李四的角色是普通用户,管理员能做所有操作,普通用户只能查看信息“Auth” 表示 “授权” Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示。
SpringSecurity-06】session会话的安全管理
weixin_45717355的博客
11-27 364
SpringSecurity session会话的安全管理 Spring Security session 创建策略 always: 如果当前请求没有对应的session存在,创建一个session。 ifRequired(默认):在需要使用到session时才创建session。 never:Spring Security将永远不会主动创建session,但是如果session在当前应用中已经存在,它将使用该session。 stateless:Spring Security不会创建或使用任何sessi
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot集成Spring Security的方法
08-18
Spring security,是一个强大的和高度可定制的身份验证和...这篇文章主要介绍了SpringBoot集成Spring Security的操作方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
新版Spring Security6.2 - Digest Authentication
喝醉的鱼博客
12-15 648
新版Spring Security6.2 - Digest Authentication官网文档翻译
UserDetails和UserDetailsService的理解与使用——将数据库中的数据作为登录账号和密码
weixin_62113243的博客
10-28 1799
在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。 从UserDetailsService中可以读取登录填写的String变量,就是我们输入的用户名。 利用QueryWrapper和UserMapper判断数据库中是否有该username 如果有的话返回一个新的User,将这个新的User传递给UserDetails,UserDetails可以通过User新建一个登录的用户
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 821
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
springboot登录验证
qq_67124455的博客
05-06 4754
springboot登录校验
Spring Boot:整合Spring Security
11-20 569
综合概述 Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,SpringSecurity和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部.
Spring boot 项目(二十二)——集成Spring Security,完成用户登录
weixin_45974176的博客
06-05 1232
集成SpringSecurity + mybatisplus完成自定义登录验证
Springboot集成SpringSecurity实现登录和权限管理代码
06-07
好的,下面是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码: 首先,我们需要在 pom.xml 中添加 SpringSecurity 的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,我们需要创建一个继承了 WebSecurityConfigurerAdapter 的配置类,并且使用 @EnableWebSecurity 注解启用 SpringSecurity: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll() .and() .logout().permitAll(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在上面的代码中,我们通过 configure(AuthenticationManagerBuilder auth) 方法指定了使用哪个 UserDetailsService 来获取用户信息,通过 configure(HttpSecurity http) 方法配置了哪些 URL 需要哪些角色才能访问,以及登录页面和退出登录的 URL。 接下来,我们需要实现 UserDetailsService 接口,用来获取用户信息: ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("用户不存在"); } List<GrantedAuthority> authorities = new ArrayList<>(); for (Role role : user.getRoles()) { authorities.add(new SimpleGrantedAuthority(role.getName())); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities); } } ``` 在上面的代码中,我们通过 UserRepository 来获取用户信息,并且将用户的角色转换成 GrantedAuthority 对象。 最后,我们需要创建一个控制器来处理登录和退出登录的请求: ```java @Controller public class LoginController { @GetMapping("/login") public String login() { return "login"; } @GetMapping("/logout") public String logout(HttpServletRequest request, HttpServletResponse response) { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication != null) { new SecurityContextLogoutHandler().logout(request, response, authentication); } return "redirect:/login?logout"; } } ``` 在上面的代码中,我们通过 @GetMapping 注解来处理登录和退出登录的请求,并且在退出登录成功后重定向到登录页面。 以上就是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码,希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值