在做网站时,我们经常要考虑的一个问题就是:如果用户没有登录的话,则不能执行某操作,比如:购物网站的下单功能。那么以前我们是怎么做的呢?
1 首先登录页面,发起登录请求。
2 controller层接收到请求参数,调用service层。
3 Service层通过调用dao层获取用户信息。然后进行一系列的校验,判断是否登录成功。
4 如果登录成功,则将用户信息放入Session(当然现在,大家也会将用户信息放入一些缓存中,比如:redis),并告知前端:登录成功;否则返回登录失败。
5 这样在我们访问其他请求时,配置拦截器,获取session中的用户信息,如果存在则请求放行,否则:告知前端,未登录的错误信息。
以上就是传统的做认证的流程。如果还需要做授权的话那么我们在判断用户登录成功后,还需要获取当前用户的权限列表,放入Session中,并在拦截器中,增加判断用户是否具有某权限的功能。
这些是很麻烦的,需要考虑很多的东西。特别是现在微服务的兴起,如果还采用这种方式做认证与授权,那么我们需要在每个微服务里面写这些重复的代码。
而Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。可以让我们更方便的完成认证与授权。下面就做一个简单的案例。
1 创建一个springboot的web project
2 导入springboot、security、mysql、mybatis的相关jar包
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.5.RELEASE</version>
</parent>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- mybatis -->
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>2.2.0</version>
</dependency>
<!-- mysql -->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.1.9</version>
</dependency>
</dependencies>
3 在yml中配置数据库相关信息
4 不要忘了写springboot的启动类,启动类上要扫描mapper
@SpringBootApplication
@MapperScan("com.lilysue.mapper")
public class App {
public static void main(String[] args) {
SpringApplication.run(App.class);
}
}
5 写一个有登录成功路径的controller类,方便后面测试
@RestController
public class LoginController {
@RequestMapping("/loginSuccess")
public String loginSuccess(){
return "登录成功!";
}
}
6 user表相关的mapper.java和mapper.xml和login.html自行编写。我这个地方为了方便,是在当前springboot项目下面的resources文件夹下新建了一个static文件夹,放入的login.html页面
7 写SpringSecuity的配置类,继承WebSecurityConfigurerAdapter,并需要注解:
@Configuration 标明是一个配置类
@EnableWebSecurity 标明要开启Security
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
//密码编码器:不加密
@Bean
public PasswordEncoder passwordEncoder(){
// 和你数据库的密码加密方式一致,我这个地方数据库密码没有加密,所以就选择不加密
return NoOpPasswordEncoder.getInstance();
}
//授权规则配置
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests() //授权配置
.antMatchers("/login","/login.html").permitAll() // 放行登录和登录页面的路径
.anyRequest().authenticated() // 其他路径都要认证之后才能访问
.and().formLogin() // 允许表单登录
.successForwardUrl("/loginSuccess") // 设置登录成功页
.loginPage("/login.html") // 自定义的登录页面
.loginProcessingUrl("/login") // 登录页面调用的登录接口,必须有
.and().logout().permitAll() // 登出路径放行 /logout
.and().csrf().disable(); //关闭跨域伪造检查
}
}
这个地方需要注意:路径前面要加 / ,否则启动可能会报错
8 因为要连接自己数据库查看用户名、密码是否正确,所以要自定义UserDetailsService。写一个类继承于UserDetailsService
@Repository
public class WebUserServiceDetail implements UserDetailsService {
@Autowired
private UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
if(StringUtils.isEmpty(username)){
throw new UsernameNotFoundException("请输入用户名");
}
User user = userMapper.loadByUsername(username);
if(user == null){
throw new UsernameNotFoundException("用户名错误");
}
// 权限列表,去数据库查,这个地方我数据库暂时没有权限列表,所以暂时设置为空list
Collection<? extends GrantedAuthority> authorities = Collections.EMPTY_LIST;
// 参数一:当前登录用户的用户名
// 参数二:密码
// 参数三:权限列表
UserDetails userDetails = new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),authorities);
return userDetails;
}
}
到此为止,spring Security一个简单的认证就完成了,下一次在整理一篇关于授权的