spring Security框架是主要功能就是实现认证与授权。
此处以查询数据库中的用户,进行认证,并实现登录登出功能为例,作为入门操作。
使用步骤:
- 导入依赖坐标
- 在web.xml中配置springSecurityFilterChain过滤器,注意此处这个过滤器名字是固定的,不可改变,具体原因可见源码分析。https://blog.csdn.net/qq_41732653/article/details/110261743
- 给定springSecurity.xml配置文件,进行相关配置。其实该框架的实现简单理解为,封装注册了很多的过滤器在spring容器中,在此处用标签配置文件,目的是在使用相应的过滤器之前将其注册到ioc容器中,此处的xml文件也可以想象为一个登录登出的controller,顾在web层无需再写controller。
- 上述3中提到xml配置好后,controller已经存在,接下来在service层中操作。目的是将dao层中查询到的用户的相关信息封装好后,可以让spring Security框架识别到,并执行相关的操作。本文的实现方式是,service层实现UserDetailsService接口,并实现其中的方法,该接口如下:
public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
- 注意到该接口中方法的返回值类型是UserDetails,该类型也是一个接口,可以用他来封装我们从数据库中查询到的数据,在使用时我们使用他的实现类User类,通过构造方法将所需参数传入,从而完成用户信息的封装。
- 所以,对于UserDetailsService接口,我们可将他理解为spring Security框架提供的一个约束,想要使用该框架,和该框架交互,那么就要实现其中的方法。
- 完成dao层查询用户的操作。
具体实现见下:
- pom依赖坐标
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-core</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>${spring.security.version}</version>
</dependency>
- web.xml配置文件
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
- springSecurity.xml配置文件
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!-- 配置不拦截的资源 -->
<security:http pattern="/login.jsp" security="none"/>
<security:http pattern="/failure.jsp" security="none"/>
<security:http pattern="/css/**" security="none"/>
<security:http pattern="/img/**" security="none"/>
<security:http pattern="/plugins/**" security="none"/>
<!--配置具体的规则
auto-config:是否使用自带的登录页面,false不使用,true使用,
若使用则无需自己配置,即下面form-login配置不需要。
-->
<security:http auto-config="false" use-expressions="false">
<!--
intercept-url pattern:拦截路径
access:放行权限,用户满足其中任意一个权限即可放行
-->
<security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"></security:intercept-url>
<!--
自定义登录页面
login-page:登陆页面
login-processing-url:登录请求拦截的url,也就是form表单提交时指定的action
default-target-url:默认登录成功以后跳转的页面
authentication-failure-forward-url:登录失败后跳转的页面
-->
<security:form-login login-page="/login.jsp"
login-processing-url="/login"
default-target-url="/index.jsp"
authentication-failure-forward-url="/failure.jsp"/>
<!-- 关闭跨域请求 -->
<security:csrf disabled="true"/>
</security:http>
<!-- 切换成数据库中的用户名和密码 -->
<security:authentication-manager>
<!--user-service-ref:指定我们自己写的service实现类,当然自己写实现类也要交给IOC容器管理-->
<security:authentication-provider user-service-ref="userService">
<!-- 配置加密的方式 -->
<!--<security:password-encoder ref="passwordEncoder"/>-->
</security:authentication-provider>
</security:authentication-manager>
<!-- 配置加密类 -->
<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
</beans>
- service层代码编写
@Service
@Transactional
public class UserService implements IUserService {
@Autowired
private IUserDao userDao;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
UserInfo userInfo = userDao.findByUsername(username);
//此处选择含有八个参数的构造方法来创建user对象,其中参数的含义可以查看源码
User user = new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),userInfo.getStatus()==1?true:false,
true,true,true,
getAuthorities(userInfo.getRoles()));
return user;
}
/**
*该方法是对查询出来的角色的封装,将其封装为响应的权限名称
* @param roles
* @return
*/
private List<SimpleGrantedAuthority> getAuthorities(List<Role> roles) {
List<SimpleGrantedAuthority> sga = new ArrayList<>();
for (Role role : roles) {
sga.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName().toUpperCase()));
}
return sga;
}
}
- dao层代码编写
@Repository
public interface IUserDao {
/**
* 根据用户姓名返回用户信息,包括角色信息
* @param username
* @return
*/
@Select("select * from users where username = #{username}")
@Results(id = "userRole" ,value = {
@Result(id = true,property = "id",column = "id"),
@Result(property = "username",column = "username"),
@Result(property = "email",column = "email"),
@Result(property = "password",column = "password"),
@Result(property = "phoneNum",column = "phoneNum"),
@Result(property = "status",column = "status"),
@Result(property = "roles",column = "id",javaType = java.util.List.class,
many = @Many(select = "com.itcast.dao.IRoleDao.findByUserId",fetchType = FetchType.EAGER))
})
UserInfo findByUsername(String username);
}