SpringSecurity 学习笔记

于 2021-06-01 13:52:29 发布
阅读量202 收藏
点赞数 1
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38020915/article/details/117016004
版权

文章目录

一、基本概念

1.认证

用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。

2.会话

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。

3.授权

授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。

3.1 授权方式

  • RBAC基于资源的访问控制

RBAC基于资源的访问控制(Resource-Based Access Control)是按资源(或权限)进行授权。可扩展性好,当人员角色发生改变时无需修改代码。

  • RBAC基于角色的访问控制

RBAC基于角色的访问控制(Role-Based Access Control)是按角色进行授权

二、与Shiro对比

1.Shiro

Apache 旗下的轻量级权限控制框架

  • 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求
    的互联网应用有更好表现
  • 通用性
    • 不局限于 Web 环境,可以脱离 Web 环境使用
    • 在 Web 环境下一些特定的需求需要手动编写代码定制

2.Spring Security

Spring Security 是 Spring 家族中的一个安全管理框架

  • 和 Spring 无缝整合
  • 全面的权限控制
  • 专门为 Web 开发而设计
    • 旧版本不能脱离 Web 环境使用
    • 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独
      引入核心模块就可以脱离 Web 环境。
  • 重量级

三、Spring Security原理

Spring Security 本质是一个过滤器链

1.重点理解过滤器

  • FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部

    • super.beforeInvocation(fi) 表示查看之前的 filter 是否通过
    • fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务
    • ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常

  • UsernamePasswordAuthenticationFilter:对/login 的 POST 请求做拦截,校验表单中用户 名,密码

2.UserDetailsService

完成用户名、密码、角色权限的认证服务接口

  • 返回值 UserDetails :系统默认的用户的主体 :用户信息
  • 方法参数username:通过用户名查询用户信息

2.PasswordEncoder

Spring Security 的密码加密解密器

  • BCryptPasswordEncoder:BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单 向加密。可以通过 strength 控制加密强度,默认 10。

  • 示例

        /**
     * 密码编码器测试
     */
    @Test
    void bCryptPasswordEncoderTest(){
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(10);
        String encodePassword = bCryptPasswordEncoder.encode("123456");
        log.info("加密之后的密码:{}",encodePassword);
        boolean matches = bCryptPasswordEncoder.matches("123456",encodePassword);
        log.info("密码比较结果:{}",matches);

    }

四、SpringSecurity Web 权限方案

1. 设置登录系统的账号、密码

默认用户名为:user,密码见项目启动之后的控制台打印。每次都不一样。

1.1 方式一:通过配置文件修改

  security:
    user:
      name: dingwen
      password: 123456

1.2 方式二: 通过配置类自定义内存用户

package com.dingwen.spsest.config;

import com.dingwen.spsest.service.impl.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

/**
 * security 配置类
 *
 * @author dingwen
 * 2021.05.17 15:31
 */

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 用户详细信息服务
     *
     * @return {@link UserDetailsService}
     */
    @Bean
    public UserDetailsService userDetailsService() {

        // 内存用户测试
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        // 逗号分隔的字符串到授权列表
        List<GrantedAuthority> authorityList = Authority    Utils.commaSeparatedStringToAuthorityList("admin,user");
        // 内存用户
        inMemoryUserDetailsManager.createUser(User.withUsername("dingwen")
                .password(bCryptPasswordEncoder()
                        .encode("123456"))
                .authorities(authorityList)
                .build());
        return inMemoryUserDetailsManager;
    
    }

    /**
     * 配置
     *
     * @param http http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //表单登录
                .and()
                .authorizeRequests() // 认证配置
                .anyRequest() // 任何请求
                .authenticated(); // 都需要认证通过
    }
}

2.实现数据库认证来完成用户登录

项目结构

在这里插入图片描述

2.1 整合Mybatis-plus

2.1.1 maven 依赖
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.dingwen</groupId>
    <artifactId>spring-security-study</artifactId>
    <version>1.0</version>
    <name>spring-security-study</name>
    <description>spring-security-study</description>
    <properties>
        <java.version>1.8</java.version>
        <mybatis.plus.boot.starter.version>3.4.2</mybatis.plus.boot.starter.version>
        <mysql.connector.java.version>8.0.15</mysql.connector.java.version>
    </properties>
    <dependencies>
        <!--boot-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!--web-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--test-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!--security-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!--lombok-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>


        <!--mysql驱动-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>${mysql.connector.java.version}</version>
        </dependency>

        <!--mybatis - plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>${mybatis.plus.boot.starter.version}</version>
        </dependency>


    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>
2.1.2 配置类
package com.dingwen.spsest.config;

import com.baomidou.mybatisplus.annotation.DbType;
import com.baomidou.mybatisplus.extension.plugins.MybatisPlusInterceptor;
import com.baomidou.mybatisplus.extension.plugins.inner.BlockAttackInnerInterceptor;
import com.baomidou.mybatisplus.extension.plugins.inner.PaginationInnerInterceptor;
import org.mybatis.spring.annotation.MapperScan;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * mybatis-plus 配置
 *
 * @author dingwen
 * 2021.05.11 17:00
 */
@Configuration
// 注意此处配置了包扫描,无需再启动类中再配置
@MapperScan("com.dingwen.spsest.mapper")
public class MybatisPlusConfig {
    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor(){
        MybatisPlusInterceptor mybatisPlusInterceptor = new MybatisPlusInterceptor();

        // 自动分页插件
        mybatisPlusInterceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));

        // 防止全表更新、删除插件
        mybatisPlusInterceptor.addInnerInterceptor(new BlockAttackInnerInterceptor());

        return  mybatisPlusInterceptor;
    }
}
2.1.3 项目配置文件配置
spring:
  datasource:
    url: jdbc:mysql://192.168.233.128:3306/spring-security-study?characterEncoding=utf-8&useSSL=true&serverTimezone=GMT
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: 123456

mybatis-plus:
  configuration:
    map-underscore-to-camel-case: true
  global-config:
    banner: false
  mapper-locations: classpath*:mapper/*.xml

logging:
  config: classpath:log/logback-spring.xml

2.2 准备SQL

-- 用户表
	-- 密码: 123456
create table if not exists `sss_user`(
	`id` bigint primary key auto_increment comment '用户表主键ID',
	`username` varchar(20) unique not null comment '用户名',
	`password` varchar(100) not null comment '密码'
)engine=innodb auto_increment=10 default charset=utf8 comment='用户表';


insert into `sss_user` (`username`,`password`) values
('admin','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu'),
('xiaoming','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu'),
('lihua','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu'),
('lucy','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu');

2.3 准备用户实体

package com.dingwen.spsest.entity;

import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableField;
import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Getter;
import lombok.Setter;
import lombok.ToString;

import java.io.Serializable;

/**
 * 用户实体
 *
 * @author dingwen
 * 2021.05.18 11:07
 */
@Getter
@Setter
@ToString
@TableName(value = "sss_user")
public class UserEntity implements Serializable {
    private static final long serialVersionUID = 9127742447760082647L;

    /**
     * id
     */
    @TableId(value = "id",type = IdType.AUTO)
    private Integer id;
    /**
     * 用户名
     */
    @TableField(value = "username")
    private String username;
    /**
     * 密码
     */
    @TableField("password")
    private String password;

}

2.4 用户查询服务

package com.dingwen.spsest.service.impl;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.dingwen.spsest.entity.MenuEntity;
import com.dingwen.spsest.entity.RoleEntity;
import com.dingwen.spsest.entity.UserEntity;
import com.dingwen.spsest.mapper.MenuMapper;
import com.dingwen.spsest.mapper.RoleMapper;
import com.dingwen.spsest.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;
import java.util.Optional;

/**
 * user service impl
 *
 * @author dingwen
 * 2021.05.18 11:15
 */
@Service
public class UserDetailsServiceImpl implements UserDetailsService {


    /**
     * 用户映射器
     */
    private final UserMapper userMapper;

    

    @Autowired
    public UserDetailsServiceImpl(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    /**
     * 根据用户名查询用户
     *
     * @param username 用户名
     * @return {@link UserDetails}
     * @throws UsernameNotFoundException 找不到用户
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        UserEntity userEntity = userMapper.selectOne(
                new QueryWrapper<UserEntity>()
                        .eq("username", username)
        );

        Optional.ofNullable(userEntity).orElseThrow(() -> new UsernameNotFoundException("用户不存在"));

        List<GrantedAuthority> authorityList = AuthorityUtils.createAuthorityList("admin");

        return User
                .withUsername(userEntity.getUsername())
                .password(userEntity.getPassword())
                .authorities(authorityList).build();
    }
}

2.5 配置自定义登录

注意:自定义userDetailsService时不设置AuthenticationManagerBuilder会出现 “No AuthenticationProvider found”错误。

package com.dingwen.spsest.config;

import com.dingwen.spsest.mapper.MenuMapper;
import com.dingwen.spsest.mapper.RoleMapper;
import com.dingwen.spsest.mapper.UserMapper;
import com.dingwen.spsest.service.impl.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * security 配置类
 *
 * @author dingwen
 * 2021.05.17 15:31
 */

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 用户映射器
     */
    private final UserMapper userMapper;


    @Autowired
    SecurityConfig(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    /**
     * 密码编码器
     *
     * @return {@link BCryptPasswordEncoder}
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder(10); // strength: 加密强度[-1,31]
    }

    /**
     * 用户详细信息服务
     *
     * @return {@link UserDetailsService}
     */
    @Bean
    public UserDetailsService userDetailsService() {
        //数据库用户查询
        return new UserDetailsServiceImpl(userMapper,roleMapper,menuMapper);
    }

    /**
     * 配置
     *
     * @param http http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //表单登录
                .and()
                .authorizeRequests() // 认证配置
                .anyRequest() // 任何请求
                .authenticated(); // 都需要认证
    }


    /**
     * 配置
     * 自定义 userDetailsService时不设置AuthenticationManagerBuilder会出现 “No AuthenticationProvider found” 错误
     *
     * @param auth 身份验证
     * @throws Exception 异常
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(bCryptPasswordEncoder());
    }
}

3.自定义登录页

3.1 前端页面

注意:请求url为/login,请求方法必须为POST,表单提交变量为username,password。其他变量名称需要单独设置。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<form action="/login" method="post">
    <label>用户名:
        <input type="text" name="username">
    </label><br/>

    <label>密码:
        <input type="password" name="password">
    </label><br/>

    <button type="submit">登录</button>
</form>
</body>
</html>

3.2 控制器

 /**
     * 登录
     *
     * @return {@link String}
     */
    @GetMapping("/index")
    public String index() {
        return "login";
    }

3.3 配置

    /**
     * 配置
     *
     * @param http http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .formLogin() // 配置登录
                .loginPage("/index") // 登录页面的请求url(跳转页面)
                .loginProcessingUrl("/login") // 哪个请求是登录页面的url(提交表单)
                .successForwardUrl("/success") // 登录成功之后需要跳转的url
//                .usernameParameter("自定义用户名变量名称")
//                .passwordParameter("自定义密码变量名称")
                .failureForwardUrl("/fail"); // 登录失败之后需要跳转的url

    }

4.授权配置

    /**
     * 配置
     *
     * @param http http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf() //跨站请求伪造
                .disable()// 关闭跨站请求伪造
                .authorizeRequests() // 认证配置
                .antMatchers("/index")
                .permitAll() // 指定url放行
                .antMatchers("/find").hasAuthority("menu:user")
                .antMatchers("/test1").hasAnyRole("普通用户","管理员")
                .antMatchers("/findAll").hasRole("管理员")
                .antMatchers("/test2").hasAnyAuthority("menu:user","menu:test")
                .anyRequest() // 其他请求
                .authenticated();//都需要认证通过


    }

5.基于角色或权限进行访问控制

  • hasAuthority 方法: 如果当前的主体具有指定的权限,则返回 true,否则返回 false
  • hasAnyAuthority : 如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回 true
  • hasRole 方法: 如果用户具备给定角色就允许访问,否则出现 403
  • hasAnyRole: 表示用户具备任何一个条件都可以访问

6. 基于数据库完成权限认证

6.1 完整SQL

-- 用户表
	-- 密码: 123456
create table if not exists `sss_user`(
	`id` bigint primary key auto_increment comment '用户表主键ID',
	`username` varchar(20) unique not null comment '用户名',
	`password` varchar(100) not null comment '密码'
)engine=innodb auto_increment=10 default charset=utf8 comment='用户表';


insert into `sss_user` (`username`,`password`) values
('admin','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu'),
('xiaoming','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu'),
('lihua','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu'),
('lucy','$2a$10$U1Ef55PpIqaUHBqmip8Lc.ld22RtMRtNEsVFLk0kw5XTIBCAm84Eu');


select * from `sss_user`

delete from `sss_user`



-- 角色表

create table if not exists `sss_role` (
	`id` bigint primary key auto_increment comment '角色ID',
	`name` varchar(20) comment '角色名称'
)engine=innodb auto_increment=20 default charset=utf8 comment '角色表';



insert into `sss_role` (`name`) values ('普通用户'),('管理员');


select * from `sss_role`



-- 用户角色关系表
create table if not exists `sss_role_user`(
	user_id bigint comment '用户ID',
	role_id bigint comment '角色ID'
)engine=innodb auto_increment=20 default charset=utf8 comment '用户角色关系表';


insert into `sss_role_user`values (14,21),(17,20);

select * from `sss_role_user`




-- 菜单

create table if not exists `sss_menu`(
	`id` bigint primary key auto_increment comment '菜单表主键ID',
	`name` varchar(20) comment '菜单名称',
	`url` varchar(100) comment '地址',
	`parentId` bigint comment '父节点ID',
	`permission` varchar(20) comment '权限'
)engine=innodb auto_increment=20 default charset=utf8 comment '菜单表';

insert into `sss_menu` values  (1,'系统管理','',0,'menu:system'),(2,'用户管理','',0,'menu:user');

select * from `sss_menu`




-- 菜单角色表

create table if not exists `sss_menu_role`(
	menu_id bigint comment '菜单ID',
	role_id bigint comment '角色ID'
)engine=innodb auto_increment=30 default charset=utf8 comment '菜单角色表';

insert into `sss_menu_role` values (1,21),(2,21),(2,20);

select * from `sss_menu_role`


-- 根据用户ID查询角色信息

select role.* from `sss_role` role  inner join `sss_role_user` rous on rous.role_id = role.id 
where rous.user_id = '17'  -- 14 /17


-- 根据用户ID查询权限信息
	select menu.* from `sss_menu` menu 
		inner join `sss_menu_role` mero on menu.id = mero.menu_id 
		inner join `sss_role` role on role.id = mero.role_id
		inner join `sss_role_user` rous on  rous.role_id = mero.role_id
		where rous.user_id = '14'

6.2 关键代码

package com.dingwen.spsest.service.impl;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.dingwen.spsest.entity.MenuEntity;
import com.dingwen.spsest.entity.RoleEntity;
import com.dingwen.spsest.entity.UserEntity;
import com.dingwen.spsest.mapper.MenuMapper;
import com.dingwen.spsest.mapper.RoleMapper;
import com.dingwen.spsest.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;
import java.util.Optional;

/**
 * user service impl
 *
 * @author dingwen
 * 2021.05.18 11:15
 */
@Service
public class UserDetailsServiceImpl implements UserDetailsService {


    /**
     * 用户映射器
     */
    private final UserMapper userMapper;

    /**
     * 角色映射器
     */
    private final RoleMapper roleMapper;

    /**
     * 菜单映射器
     */
    private final MenuMapper menuMapper;


    @Autowired
    public UserDetailsServiceImpl(UserMapper userMapper,
                                  RoleMapper roleMapper,
                                  MenuMapper menuMapper) {
        this.userMapper = userMapper;
        this.roleMapper = roleMapper;
        this.menuMapper = menuMapper;
    }

    /**
     * 根据用户名查询用户
     *
     * @param username 用户名
     * @return {@link UserDetails}
     * @throws UsernameNotFoundException 找不到用户
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        UserEntity userEntity = userMapper.selectOne(
                new QueryWrapper<UserEntity>()
                        .eq("username", username)
        );

        Optional.ofNullable(userEntity).orElseThrow(() -> new UsernameNotFoundException("用户不存在"));


        // 获取用户角色、菜单列表
        List<RoleEntity> roleEntityList = roleMapper.selectRoleByUserId(userEntity.getId());
        List<MenuEntity> menuEntityList = menuMapper.selectMenuByUserId(userEntity.getId());
        // 权限列表
        List<GrantedAuthority> grantedAuthorityList = new ArrayList<>();


        roleEntityList.forEach(roleEntity -> {
                    grantedAuthorityList.add(new SimpleGrantedAuthority("ROLE_" + roleEntity.getName()));
                }
        );


        menuEntityList.forEach(menuEntity -> {
            grantedAuthorityList.add(new SimpleGrantedAuthority(menuEntity.getPermission()));
        });


        return User
                .withUsername(userEntity.getUsername())
                .password(userEntity.getPassword())
                .authorities(grantedAuthorityList).build();
    }
}

7.自定义403页面

    /**
     * 配置
     *
     * @param http http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /*http.formLogin() //表单登录
                .and()
                .authorizeRequests() // 认证配置
                .anyRequest() // 任何请求
                .authenticated(); // 都需要认证通过*/

        // 自定义403页面

        http.exceptionHandling().accessDeniedPage("/unauth");

    }

3.注解使用

3.1 @Secured

判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。

  • 开启 :@EnableGlobalMethodSecurity(securedEnabled=true)(启动类或者配置类)
  • 使用
    /**
     * ·@secured ·注解测试测试
     *
     * @return {@link String}
     */
    @GetMapping("/secured")
    @ResponseBody
    @Secured({"ROLE_管理员","ROLE_user"})
    public String securedTest(){
        return "secured test";
    }

3.2 @PreAuthorize

注解适合进入方法前的权限验证, @PreAuthorize 可以将登录用
户的 roles/permissions 参数传到方法中

  • 开启: @EnableGlobalMethodSecurity(prePostEnabled = true)
  • 使用
    /**
     * .@PreAuthorize 注解测试
     *
     * @return {@link String}
     */
    @GetMapping("/preAuthorize")
    @ResponseBody
//    @PreAuthorize("hasRole('ROLE_管理员')")
    @PreAuthorize("hasAnyAuthority('menu:system')")
    public String preAuthorizeTest(){
        return "preAuthorize test";
    }

3.3 @PostAuthorize

在方法执行后再进行权限验证,适合验证带有返回值
的权限

  • 开启 @EnableGlobalMethodSecurity(prePostEnabled = true)

  • 使用

/**
     * .@PostAuthorize 注解测试
     *
     * @return {@link String}
     */
    @GetMapping("/postAuthorize")
    @ResponseBody
    @PostAuthorize("hasAnyAuthority('menu:user')")
    public String postAuthorizeTest(){
        return "postAuthorize test";
    }

3.4 @PostFilter

权限验证之后对数据进行过滤 留下用户名是 dingwen的数据

  • 开启 @EnableGlobalMethodSecurity(prePostEnabled = true)

  • 使用

    /**
     * `@PostFilter 注解测试
     *
     * @return {@link List<UserEntity>}
     */
    @GetMapping("/postFilter")
    @ResponseBody
    @PreAuthorize("hasAnyRole('ROLE_管理员')")
    @PostFilter("filterObject.username == 'dingwen'")
    public List<UserEntity> postFilterTest() {
        List<UserEntity> userEntityList = new ArrayList<>();
        userEntityList.add(UserEntity.builder().username("test").build());
        userEntityList.add(UserEntity.builder().username("dingwen").build());
        return userEntityList;
    }

3.5 @PreFilter

进入控制器之前对数据进行过滤,可对入参进行过滤

  • 开启 @EnableGlobalMethodSecurity(prePostEnabled = true)

  • 使用

    /**
     * `@PreFilter 注解测试
     *
     * @param userEntityList 用户实体列表
     */
    @GetMapping("/preFilter")
    @ResponseBody
    @Secured({"ROLE_管理员"})
    @PreFilter(value = "filterObject.username == 'dingwen'")
    public void preFilterTest(List<UserEntity> userEntityList){
        System.out.println();
    }

4.基于数据库的记住我

4.1配置PersistentTokenRepository

    /**
     * 基于数据库的记住我功能实现
     *
     * @return {@link PersistentTokenRepository}
     */
    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        // 设置数据源
        jdbcTokenRepository.setDataSource(dataSource);
        // 自动创建表,第一次执行会创建,以后要执行就要删除掉!
        jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;

    }

4.2 configure(HttpSecurity http)

 // 基于数据库的记住我
        http.rememberMe()
                .tokenValiditySeconds(60 * 10) // 设置有效期,单位秒
                .tokenRepository(persistentTokenRepository())
                .userDetailsService(userDetailsService());

###4.3前端准备

<input class="input-checkbox100" id="ckb1" type="checkbox" name="remember-me" value="true">

5.用户注销

        // 退出登录
                 .logoutUrl("/logout")
                .logoutSuccessUrl("/index")
               // .logoutRequestMatcher(new AntPathRequestMatcher("/logout")) //crsf
                .permitAll();

6.CSRF

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个 自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买 商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。 这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的 浏览器,却不能保证请求本身是用户自愿发出的。

可以理解为非用户本人利用服务器存储到浏览器的认证信息进行操作。

                <!--CSRF 防护配置-->
                <input type="hidden" th:if="${_csrf}!=null" th:value="${_csrf.token}"name="_csrf"/>

// http.csrf().disable();

7.自定义成功失败处理

7.1自定义成功处理

目前达到禁用SpringSecurity登录失败重定向到登录页

package com.dingwen.spsest.handler;

import org.springframework.context.annotation.ComponentScan;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 登录成功处理
 *
 * @author dingwen
 * 2021.06.01 09:10
 */
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

    }
}

7.2自定义失败处理

package com.dingwen.spsest.handler;

import cn.hutool.http.HttpStatus;
import com.dingwen.spsest.exception.ValidateCodeException;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.*;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 自定义认证失败处理
 *
 * @author dingwen
 * 2021.05.20 09:24
 */
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
    /**
     * 在身份验证失败
     *
     * @param httpServletRequest  http servlet请求
     * @param httpServletResponse http servlet响应
     * @param e                   e
     * @throws IOException      io exception
     * @throws ServletException servlet异常
     */
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        String msg = "";
        // 验证码自定义异常的处理
        if (e instanceof ValidateCodeException) {
            msg = e.getMessage();
        } else if (e instanceof LockedException) {
            msg = "账户被锁定请联系管理员!";
        } else if (e instanceof CredentialsExpiredException) {
            msg = "密码过期请联系管理员!";
        } else if (e instanceof AccountExpiredException) {
            msg = "账户过期请联系管理员!";
        } else if (e instanceof DisabledException) {
            msg = "账户被禁用请联系管理员!";
        } else if (e instanceof BadCredentialsException) {
            msg = "用户名或密码输入错误,请重新输入!!";
        }
        PrintWriter printWriter = httpServletResponse.getWriter();
        printWriter.write(msg);
        printWriter.flush();
        printWriter.close();

    }
}

7.3 配置

    /**
     * HttpSecurity 配置
     *
     * @param http http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // 添加验证码过滤
        http.addFilterBefore(verifyCodeFilter, UsernamePasswordAuthenticationFilter.class);

        http
                .formLogin() // 配置登录
                .loginPage("/index") // 登录页面的请求url(跳转页面)
                .loginProcessingUrl("/login") // 哪个请求是登录页面的url(提交表单)
                .successForwardUrl("/success") // 登录成功之后需要跳转的url
//                .usernameParameter("自定义用户名变量名称")
//                .passwordParameter("自定义密码变量名称")
//                .failureUrl("/fail")// 登录失败之后需要跳转的url
                .successHandler(myAuthenticationSuccessHandler)
                .failureHandler(myAuthenticationFailureHandler); //登录失败处理



    }

8.添加验证码

本案例使用hutool生成验证码,在后端完成校验

8.1 前端准备

<div class="wrap-input100 validate-input m-b-18" data-validate="验证码不能为空">
        <span class="label-input100">验证码</span>
        <input class="input100" name="code" placeholder="请输入验证码" type="text">
        <span class="focus-input100"></span>

</div>

<div class="div-img">
     <img id="img" style="width:60%;height:40%" alt="验证码" src="/code/get">
</div>

    /*
    * 为了使每次生成图片不一致,即不让浏览器读缓存,所以需要加上时间戳
    * */
    function changeUrl(url) {
        let timestamp = (new Date()).valueOf();
        url = url + "".substring(0, 17);
        if ((url.indexOf("&") >= 0)) {
            url = url + "×tamp=" + timestamp;
        } else {
            url = url + "?timestamp=" + timestamp;
        }
        return url;
    }

    function changeImg() {
        let imgSrc = $("#img");
        let src = imgSrc.attr("src");
        imgSrc.attr("src", changeUrl(src));
    }

    $(".div-img").on('click',function () {
        changeImg();
    })

8.2 controller准备

package com.dingwen.spsest.controller;

import cn.hutool.captcha.CaptchaUtil;
import cn.hutool.captcha.CircleCaptcha;
import lombok.extern.slf4j.Slf4j;
import org.springframework.http.MediaType;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.awt.*;
import java.io.IOException;

/**
 * 验证码 controller
 *
 * @author dingwen
 * 2021.05.19 17:15
 */
@RestController
@RequestMapping("/code")
@Slf4j
public class CodeController {
    public static final String CODE_KEY = "code";

    /**
     * 获取验证码
     *
     * @param session  会话
     * @param response 响应
     */
    @GetMapping("/get")
    public void get(HttpSession session, HttpServletResponse response) {
        //定义图形验证码的长、宽、验证码字符数、干扰元素个数
        CircleCaptcha captcha = CaptchaUtil.createCircleCaptcha(200, 100, 4, 20);
        session.setAttribute(CODE_KEY, captcha.getCode());
        response.setContentType(MediaType.IMAGE_JPEG_VALUE);

        // 禁用页面缓存
        response.setHeader("Pragma", "No-cache");
        response.setHeader("Cache-Control", "no-cache");
        response.setDateHeader("Expire", 0);
        try {
            captcha.write(response.getOutputStream());
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

8.3 自定义验证码错误异常

	package com.dingwen.spsest.exception;


import org.springframework.security.core.AuthenticationException;

/**
 * 验证码验证异常类
 *
 * @author dingwen
 * 2021.05.20 09:19
 */
public class ValidateCodeException extends AuthenticationException {

    private static final long serialVersionUID = -2425114031010495169L;

    public ValidateCodeException(String msg){
       super(msg);
    }
}

8.4 验证码过滤器

package com.dingwen.spsest.filter;

import com.dingwen.spsest.controller.CodeController;
import com.dingwen.spsest.exception.ValidateCodeException;
import com.dingwen.spsest.handler.MyAuthenticationFailureHandler;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpMethod;
import org.springframework.security.core.AuthenticationException;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Optional;

/**
 * 验证代码过滤
 * 验证码验证过滤器
 *
 * @author dingwen
 * 2021.05.19 17:28
 * @date 2021/05/19
 */
@Component
public class VerifyCodeFilter extends GenericFilterBean {
    private final MyAuthenticationFailureHandler myAuthenticationFailureHandler;

    @Autowired
    VerifyCodeFilter(MyAuthenticationFailureHandler myAuthenticationFailureHandler) {
        this.myAuthenticationFailureHandler = myAuthenticationFailureHandler;
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        String defaultFilterProcessUrl = "/login";

        try {
            if (HttpMethod.POST.name().equalsIgnoreCase(request.getMethod()) && defaultFilterProcessUrl.equals(request.getServletPath())) {
                // 验证码验证
                String code = request.getParameter("code");
                String genCaptcha = (String) request.getSession().getAttribute(CodeController.CODE_KEY);
                Optional.ofNullable(code).orElseThrow(() -> new ValidateCodeException("验证码不能为空!"));
                if (!genCaptcha.toLowerCase().equals(code.toLowerCase())) {
                    throw new ValidateCodeException("验证码错误");
                }
            }
        } catch (AuthenticationException authenticationException) {
            // 捕获异常交给失败处理器处理
            myAuthenticationFailureHandler.onAuthenticationFailure(request, response, authenticationException);
        }
        chain.doFilter(request, response);
    }
}

五、测试

5.1 登录页

在这里插入图片描述

5.2 错误提示

在这里插入图片描述
在这里插入图片描述

5.3访问资源

在这里插入图片描述

5.4 未授权页面

在这里插入图片描述

5.5 记住我

在有效期内,即使关闭浏览器也无需登录,用户信息存储到了数据库
在这里插入图片描述

5.6 退出登录

http://localhost:8080/logout

如果出现404参照这篇文章。
https://editor.csdn.net/md?articleId=117016004

六、存在问题

在认证失败的处理器中自定义了失败消息,没能返回到前端登录页给用户做相对应的提示.

八、完整代码地址

https://gitee.com/dingwen-gitee/spring-security-study

dingwen_blog
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
Spring Security官方文档学习
weixin_42601750的博客
02-24 1873
核心组件 1)SecurityContextHolder spring security最基本的类SecurityContextHolder这里存储应用程序当前安全上下文的详细信息,其中包括当前使用的主体的详细信息,它使用ThreadLocal来存储这些信息,这意味着安全上下文对于整个线程的所有方法来讲都可用的,但是这不是对所有的应用来讲都是适用的,因为有些应用会要求所有的线程使用同一个上下文对象...
Spring Security 的简单学习和案例
冷雨清的博客
10-28 282
Springboot——Spring Security 的简单学习和案例(狂神说学习案例) 狂神学习视频地址:https://www.bilibili.com/video/BV1PE411i7CV?p=35 Spring Security是 一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权 一、SpringSceurity工作流程 网上找一张图,觉得画的挺好的,比较容易理解。不然换的是源码流程图很难去理解。
Spring Security学习(翻译官方文档)
weixin_33912453的博客
05-31 2641
本文主要翻译Spring的官方文档,主要介绍SS的基本概念和基本接口和原理。 Spring Security中的两个核心的概念:Authentication(验证);Authorization(授权); Spring Security可以用来实现诸如,OAuth、OpenID、LDAP、CAS、JAAS等系统间的认证很授权。如我们可以使用Spring Security配合OAuth实现单点登录。 ...
spring-security学习笔记
小杨同学
02-26 125
依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.
springsecurity官方文档_Spring Security 学习之原理篇
weixin_39634884的博客
12-06 755
接上一篇,我们已经熟悉了Spring Security的基本使用,并且实操了几个范例。本文我们将在这几个范例的基础上进行调试,并深入研究其在源码层面上的实现原理。只有知其然,知其所以然,才能在Spring Security的使用上更加得心应手。本文主要参考了官方文档9-11章节,在文档基础上进行丰富、拓展和提炼。Spring Security初始化SecurityAutoConfiguration...
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
Spring Security笔记.rar
05-07
Spring Security学习笔记
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
spring security学习资料
06-09
spring security方面的学习资料,包含:Spring+Security+3+与+CAS单点登录配置;Spring+Security3中文教程;Spring-Security安全权限管理手册;Spring+Security文库;还有一个学习笔记
Spring Security 学习笔记1
Tong_zhi的博客
11-07 232
认识 Spring Security 中常用的几个类 1. SecurityContextHolder SecurityContextHolder 默认使用ThreadLocal策略来存储认证信息 ThreadLocal:与当前线程绑定,用来存储用户信息 获取当前用户信息 Object principal = SecurityContextHolder.getContext().getAut...
spring security 个人学习笔记
qq_35567428的博客
01-06 336
重要的组件:Authentication(包含principal,authorities),Authority(角色),AuthenticationManager(认证管理), AuthenticationProvider,ProviderManager,UserDetailsService, UserDetails,User,AccessDecisionManager(权限管理),Af...
SpringSecurity学习笔记
我就是我的博客
10-25 569
基于用户名、密码的"记住我"功能 SpringBoot 2.2.0.RELEASE <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</art...
SpringBoot + Spring Security 简单入门
JEECG官方博客
05-24 1150
这篇文章主要介绍了SpringBoot + Spring Security 简单入门 Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式 ..
Spring Security 官方demo学习
robinson_911的专栏
06-09 690
Spring Security https://spring.io/projects/spring-security#learn 1. 查看文档,如下: 2. 这个界面一直拉到底,可以看到如下界面,Guides会教你创建一个 Spring Security 的demo 3. 点开Securing a Web Application,进入到具体的创建步骤界面,如下: ...
spring-security关闭登录框
yi_chao_jiang的专栏
05-09 5853
事情要从同事的一个项目说起,项目中需要集成公司的单点登录系统,但是无论如何都无法跳转到正常的登录页面。相反,却始终跳转到另外一个登录页面。 但是代码却非常简单,简化一下 @Controller public class SecurityTestController { @GetMapping("/myLogin") public String login() { return "login"; } @GetMapping("/") public String homePag
Spring Security 官方文档学习路径
来啊 快活啊
09-14 5290
Spring 目前有三个层次的项目,Spring Framework层,Spring Boot层和Spring Cloud层。这三个层次的项目里都有Spring Security的东西,在加上安全和权限控制这块是大多数人的一个弱项,导致官方文档给人乱乱的感觉;下面我们就梳理一下官方文档的学习顺序;首先是Spring Security Reference的文档,Spring Security的设计理念
spring boot 安全关闭服务,结合spring security
热门推荐
sitaryo的博客
12-19 2万+
参考博客文档Spring Boot的应用启动与关闭Windows下使用CURL命令curl 命令使用spring boot 官方文档项目中已有spring security 配置的情况下,通过curl命令安全关闭spring boot服务。pom.xml<dependency> <groupId>org.springframework.boot</groupId> <artifact
springsecurity笔记
最新发布
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dingwen_blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值