Spring Security 学习笔记(一)——认证到授权从入门到精通

最新推荐文章于 2023-02-17 22:16:17 发布
最新推荐文章于 2023-02-17 22:16:17 发布
阅读量358 收藏 1
点赞数 2
分类专栏: 语言文档 Spring 文章标签: spring java spring boot Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41503660/article/details/117194378
版权

文章目录

一、Hello Spring Security

1.1. 创建一个Spring Security 项目

使用IDEA的Spring Initializr 向导创建SpringBoot项目,导入Web和Spring Security依赖

打开pom.xml,核心就是引入以下的依赖:

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

新建一个controller方便后续的测试

package cn.quguai.controller;

@RestController
public class HelloController {

    @GetMapping("/")
    public String hello(){
        return "Hello Spring Security";
    }
}

直接运行项目即可。并访问http://localhost:8080,可以看到下面的页面。用户名为user,密码来源于项目的控制台,是项目随机生成的。
image.png
image.png
image.png:浏览器显示的内容

除了以上的方式,还可以通过修改配置文件中的内容来自定义用户名和密码

spring.security.user.name=admin
spring.security.user.password=12345
spring.security.user.roles=admin

注意:以上的方式仅是针对于刚入门的教程,绝大多数web应用并不会采用这种HTTP基本认证服务,除了安全性差。无法携带cookie的基本信息外,灵活性差也是一个主要的缺点。通常来讲大家更愿意选择表单验证,自己实现表单验证和,从而提高安全性。

二、表单验证

2.1 默认表单验证

使用Spring Initializr 初始化一个SpringBoot项目,并新建一个配置类。
image.png
自定义的配置类需要去继承WebSecurityConfigurerAdapter并增加@EnableWebSecurity注解,其中该注解点开以后会发现已经有了@Configuration注解,相当于已经加入到容器当中。

@EnableWebSecurity  // 包含了@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

}

2.2 自定义表单登录页

image.png

  1. 新建一个controller来处理我们登录成功以后的请求
@RestController
public class MyController {

    @GetMapping("/myLogin")
    public String myLogin(){
        return "Login Success!!";
    }
}
  1. 初步配置自定义表单登陆页

此时我们就需要重写configure方法

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                    .loginPage("/login.html") // 自定义登录页
                    .loginProcessingUrl("/login")  // form表单登录action
                    .defaultSuccessUrl("/myLogin").permitAll() // 登陆成功后的请求
                .and().authorizeRequests()
                    .antMatchers("/css/**", "/img/**", "/js/**").permitAll() // 不对这些请求认证
                    .anyRequest().authenticated() // 其他所有请求都需要认证
                .and()
                    .csrf().disable(); // 关闭crsf拦截请求
    }
}
  1. 编写自定义登陆页面
<form action="/login" method="post">
		<input name="username" type="text" placeholder="手机号/邮箱">
		<input name="password" type="password" placeholder="密码">
		<input type="submit" value="登录">
</form>

以上这是列出核心的html,还可以自己进行丰富,主要前两个input框的name必须是usernamepassowrd。以上的页面放入到resources/static目录下。

三、认证与授权

3.1 默认数据库模型的认证与授权

1. 资源准备

在controller下新建三个Controller,分别代表三种场景,admin(管理员)、User(普通用户)、App(开放请求)。
image.png

@RestController
@RequestMapping("/admin")
public class AdminController {

    @GetMapping("api")
    public String hello(){
        return "admin Hello";
    }
}

@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("api")
    public String hello(){
        return "user Hello";
    }
}

@RestController
@RequestMapping("/app")
public class AppController {

    @GetMapping("api")
    public String hello(){
        return "app Hello";
    }
}
2. 资源授权相关配置
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()
                .and().authorizeRequests()
                .antMatchers("/app/api/**").permitAll()
                .antMatchers("/admin/api/**").hasRole("ADMIN")
                .antMatchers("/user/api/**").hasRole("USER")
                .anyRequest().authenticated();
    }
}

antMatchers()是一个采用ANT模式的URL匹配器。ANT模式使用可以匹配任意单个字符,使用*来匹配0个或多个字符。此时我们我们没有进行授权的相关用户操作,下面开始进行测试,启动服务。

访问 /app/api 请求无需进行登录认证

image.png

当访问其他两个两个请求都需要进行登录,按照控制台的密码进行登陆后会出现403的访问被禁止的相应。

image.png

3. 基于内存的多用户支持

目前为止都是只支持一个单用户登录,我们可以引入自定义UserDetailsService。

@Configuration
public class MyConfig {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Bean
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("user").password(passwordEncoder.encode("123")).roles("USER").build());
        manager.createUser(User.withUsername("admin").password(passwordEncoder.encode("123")).roles("ADMIN", "USER").build());
        return manager;
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

在这里向容器当中注册一个UserDetailsService,在这里使用InMemoryUserDetailsManager,InMemoryUserDetailsManager是UserDetailsService的一个实现类,方便在内存中创建一个用户。

这里必须创建一个PasswordEncoder,否则在登陆的时候会报出java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"异常。
注意在角色名称必须和前面的一一对应,且区分大小写。

此时进行登录会发现全部按照我们预想的那样输出结果。

访问 /user/api 使用admin和user进行登录均可以进行访问,/admin/api只能登录admin才可以进行访问,否则出现403错误。

3.2 自定义数据库模型进行认证与授权

这里我们引入SpringDataJPA进行数据库的操作。
image.png

1. 资源准备

相关pom文件增加mysql的连接和jpa的连接

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
  <groupId>mysql</groupId>
  <artifactId>mysql-connector-java</artifactId>
  <scope>runtime</scope>
</dependency>

在application.yml中配置数据库和jpa相关配置

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/spring?useUnicode=true&characterEncoding=utf-8&serverTimezone=UTC
    username: root
    password: LY0115..

  jpa:
    hibernate:
      ddl-auto: update
    show-sql: true
    open-in-view: false
    properties:
      hibernate:
        enable_lazy_load_no_trans: true
2. 创建UserEntity

实体类需要继承UserDetails,后续SpringSecurity会通过UserDetails进行后续的认证。主要是通过UserDetailsService的loadUserByUsername的方法获取一个UserDetails对象,该对象包含了用户的基本信息。

package cn.quguai.entity;

@Data
@Entity
@Table(name = "t_user")
public class UserEntity implements UserDetails {

    @Id
    @GeneratedValue
    private Long id;
    private String username;
    private String password;
    private Boolean enable;
    private String roles;

    @Transient
    private List<? extends GrantedAuthority> authorityList;

    public void setAuthorityList(List<GrantedAuthority> authorityList) {
        this.authorityList = authorityList;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorityList;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return this.enable;
    }
}

实现UserDetails定义的几个方法:

  • isAccountNonLocked、isCredentialsNonExpired、isAccountNonExpired暂且用不到,全部返回true,否则SpringSecurity会认为账号存在异常;
  • isEnabled对应enable字段,将其带入即可;
  • getAuthorities对应roles字段,由于结构不一致,这里新建一个,后续进行填充。
3. 创建UserRepository

后续需要操作数据库通过username获取UserEntity。

@Repository
public interface UserRepository extends JpaRepository<UserEntity, Long> {

    UserEntity findByUsername(String username);
}
4. 创建并实现UserDetailsService

需要删除事先创建的基于内存的UserDetailService

@Service
public class MyUserDetailService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserEntity userEntity = userRepository.findByUsername(username);
        if (userEntity == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        userEntity.setPassword(passwordEncoder.encode(userEntity.getPassword()));
        userEntity.setAuthorityList(AuthorityUtils.commaSeparatedStringToAuthorityList(userEntity.getRoles()));
        return userEntity;
    }
}

由于前端密码都要经过SpringSecurity,为了能和数据库进行比较一致,所以需要将数据库中的密码也经过相同的算法进行加密。

由于数据库中存储的都是String的字符串,并以逗号进行分割,但是实体类中存储的却是GrantedAuthority,需要通过AuthorityUtils下的commaSeparatedStringToAuthorityList** 进行转换。**

5. 启动项目

在项目启动后,会自动创建数据库表,在数据库表中创建两个用户。方便后续的测试。

3.3 基于注解实现权限配置

1. 资源准备

修改WebSecurityConfig类,将原来的权限配置进行删除。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()
                .and().authorizeRequests()
                .antMatchers("/app/api").permitAll()
                //.antMatchers("/admin/api/**").hasRole("ADMIN")
                //.antMatchers("/user/api/**").hasRole("USER")
                .anyRequest().authenticated();
    }
}
2. 开启全局配置
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
@SpringBootApplication
public class AuthenticationApplication {
    public static void main(String[] args) {
        SpringApplication.run(AuthenticationApplication.class, args);
    }
}
3. 使用注解
  • @Secured 可以传入一个String数组,代表拥有这些权限的都可以进行访问(如果是角色必须带上"ROLE_"的前缀)
  • @PreAuthorize可以传入一个函数进行判断是否包含这个角色:在方法执行之前进行判断
  • @PostAuthorize 和 @PreAuthorize类似只不过是在方法执行以后继续判断
@RestController
@RequestMapping("/user")
public class UserController {

    @PreAuthorize("hasRole('USER')")  //在方法之前进行验证
    @PostAuthorize("hasAuthority('USER')")  //在方法以后进行验证
    @Secured({"ROLE_USER"})
    @GetMapping("api")
    public String hello(){
        return "user Hello";
    }
}
曲怪曲怪
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
黑马程序员spring2016springday01上课笔记
08-30
1 spring是开源的轻量级框架 2 spring核心主要两部分: (1)aop:面向切面编程,扩展功能不是修改源代码实现 (2)ioc:控制反转, - 比如有一个类,在类里面有方法(不是静态的方法),调用类里面的方法,创建类的对象,使用对象调用方法,创建类对象的过程,需要new出来对象 - 把对象的创建不是通过new方式实现,而是交给spring配置创建类对象 3 spring是一站式框架 (1)springjavaee三层结构中,每一层都提供不同的解决技术 - web层:springMVC - service层:spring的ioc - dao层:spring的jdbcTemplate 4 spring版本 (1)hibernate5.x (2)spring4.x
SpringSecurity开发基于表单认证
daiyuenlong110的博客
01-26 972
自定义用户认证逻辑 1.处理用户信息获取逻辑: UserDetailsService 2.处理用户校验逻辑: UserDetails 3.处理密码加密解密: PasswordEncoder 测试调用某接口 默认开启springsecurity校验 spring.datasource.driver-class-name = com.mysql.jdbc.Driver spring.datasource.url= jdbc:mysql://127.0.0.1:3306/imoo...
springsecurity笔记
雪儿的博客
06-05 293
package com.imooc.security.browser; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.sec...
SpringSecurity从入门到精通
qq_46417076的博客
02-17 259
0. 简介是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
springspringmvc、springboot常用注解
xiaoxin的博客
09-01 495
学习记录
Spring Security学习总结
weixin_43900374的博客
11-16 607
目前学习spring security已经完成了拦截,获取token,解析token,从数据库获取用户数据,根据表中的字段来鉴权这一块,通过自己的理解来记录一些流程和遇到的错误的解决办法 1.必须
AuthorityUtils
awds18338701279的博客
07-06 2044
AuthorityUtils 此类一般用于UserDetailsService的实现类中的loadUserByUsername方法 此工具类一共有三个方法: commaSeparatedStringToAuthorityList 作用为给user账户添加一个或多个权限,用逗号分隔,底层调用的是createAuthorityList方法,唯一区别在于此方法把所有的权限包含进一个字符串参数中,只不过用逗号分隔。 @Service public class UserDetailsServiceImpl imple
SpringSecurity设置角色和权限的注意点
小汤圆
08-16 347
在UserDetailsService的loadUserByUsername方法里去构建当前登陆的用户时,你可以选择两种授权方法,即角色授权和权限授权,对应使用的代码是hasRole和hasAuthority,而这两种方式在设置时也有不同,下面介绍一下: 角色授权授权代码需要加ROLE_前缀,controller上使用时不要加前缀 权限授权:设置和使用时,名称保持一至即可 使用,mock代码 @Component public class MyUserDetailService implements Us
Spring-从入门到精通.ppt
11-19
Spring-从入门到精通.ppt
SpringSecurity-从入门到精通 demo源码
06-21
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。...​ 而认证授权也是SpringSecurity作为安全框架的核心功能。
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
spring 从入门到精通
08-25
压缩包内包含了众多spring学习资料如:Spring从入门到精通.pdf ,spring+framework+2.5+reference_CN.chm, Acegi(spring_security)培训.ppt, spring事务.pdf,Spring_Framework-3-AOP.ppt,Spring-Hibernate_...
Springboot入门到精通.pdf
08-14
Springboot入门到精通.pdf Springboot入门到精通.pdf
Thymeleaf 中文文档----全译版
曲怪曲怪
02-09 2348
文章目录1 引入Thymeleaf1.1 Thymeleaf是什么?1.2 Thymeleaf可以处理什么样的模板?1.3 方言:标准方言2 一个很棒的虚拟杂货店设计2.1 一个杂货店的网站2.2 创建和配置模板引擎模板解析器模板引擎3 使用文本3.1 多语言的欢迎使用`th:text`和 externalizing text语境(上下文)执行模板引擎3.2 有关文本和变量的更多信息未转义的文本使用和显示变量4 标准表达式语法4.1 消息4.2 变量表达式基本对象表达工具对象在我们的主页中重新格式化日期4.
JDK 时间日期新特性
曲怪曲怪
12-21 812
JDK 时间日期新特性
JDK OPTIONAL
曲怪曲怪
12-21 504
JDK OPTIONAL
JDK Stream
曲怪曲怪
12-21 496
JDK Stream
Spring Security学习笔记(五)—— 会话管理
曲怪曲怪
06-01 298
文章目录1 会话2 防御固定会话攻击3 会话过期4 会话并发控制5 Spring Session解决集群会话问题 1 会话 首先对于Http协议而言是一种无状态的,需要通过Session(会话)来解决,Session技术则主要是服务器发送给浏览器一个ID,浏览器将相关ID保存起来,而对于服务器而言,Session是一种Map结构,通过请求过来的ID找到对应的Value值,这也就形成了不同的请求之间有了。对于ID的保存,在不妨碍体验的情况下,Cookie成了一种不错的载体,将ID存储到其中,保存的形式是key
spring从入门到精通
最新发布
01-13
根据提供的引用内容,以下是一个简单的介绍Spring从入门到精通的步骤: 1. 添加Spring依赖:在项目的Maven配置文件中,添加Spring相关的依赖,例如spring-context和spring-aop。 2. 使用注解:在你的Java类中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值