Spring-Security(5.7.3)学习笔记
一. 简介
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。 它是保护基于 Spring 的应用程序的官方标准。毕竟是全家桶套餐中的一员。 Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。 像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。轻松扩展的背后是技术的学习陡峭程度,所以想要好好学习透,还是要下点功夫。
二. 入门案例
1. 创建SpringBoot工程
略。。。。。
2. 引入依赖
引入相关依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
引入依赖启动项目后,我们会发现控制台多了一行数据,这是spring-security给我们返回的默认密码。
Using generated security password: ec73416f-5de8-4cf8-b00f-2c01cc458c98
3. 测试
编写测试类
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping("hello")
public String hello(){
System.out.println("hello");
return "hello spring-security";
}
}
浏览器访问这个接口会发现它跳转到了一个默认的登陆页面
登录页面的用户名默认为user,密码从控制台获取。登录成功后能看到我们接口访问的结过了
三. 基本原理
Spring Security功能的实现主要是由一系列过滤器链相互配合完成。
主要过滤器介绍:
- SecurityContextPersistenceFilter
这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截
器),会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext,然后把它设置给
SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的
SecurityContext 再保存到配置好的 SecurityContextRepository,同时清除
securityContextHolder 所持有的 SecurityContext。
- FilterSecurityInterceptor
是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问,是一个方法的权限过滤器,基本位于过滤连底部;
- UsernamePasswordAuthenticationFilter
用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码,其内部还有登录成功或失败后进行处理的。
AuthenticationSuccessHandler 和AuthenticationFailureHandler,这些都可以根据需求做相关改变;
- ExceptionTranslationFilter
能够捕获来自 FilterChain 所有的异常,并进行处理。但是它只会处理两类异常: AuthenticationException和 AccessDeniedException,其它的异常它会继续抛出。
四. 两个接口
1. UserDetailsService
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。
所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。
接口定义:
package org.springframework.security.core.userdetails;
public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
UserDetails
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
2. PasswordEncoder
PasswordEncoder是一个密码解析器
五. 登录认证
1. 设置登录的用户名和密码
- 通过配置文件
spring:
security:
user:
name: admin
password: admin
- 通过配置类
代码中的
WebSecurityConfigurerAdapter自在 Spring Security 5.7.0-M2后已弃用
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
BCryptPasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
String password = passwordEncoder.encode("123");
auth.inMemoryAuthentication().withUser("agf").password(password).roles("admin");
}
@Bean
PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
2. 登录认证demo演示(5.7.3)
实现思路:
- 自定义一个实体类User用来保存User用户信息以及权限信息;
- 让这个User实体类实现Userdetails接口;
- 自定义UserService类实现UserDetailsService接口,重写loadUserByUsername()方法,改方法中实现用户信息查询及该用户的权限信息查询,返回值为User对象。
- 编写配置类
具体实现过程如下:
1. 定义User实体类
注意:这里的实体类是修改后的,里面的一些细节已经备注说明
package com.example.springsecurity.entry;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Collection;
/**
* @author gf
* @date 2022/10/25
*/
public class User implements UserDetails {
private String id;
private String password;
private String username;
private String authorities;
public User(String password, String username, String authorities) {
this.password = password;
this.username = username;
this.authorities = authorities;
}
public String getId() {
return id;
}
public void setId(String id) {
this.id = id;
}
public void setPassword(String password) {
this.password = password;
}
public void setUsername(String username) {
this.username = username;
}
public void setAuthorities(String authorities) {
this.authorities = authorities;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return null;
}
/**
* 返回值为User中的 password
* */
@Override
public String getPassword() {
return password;
}
/**
* 返回值为User中的 username
* */
@Override
public String getUsername() {
return username;
}
/**
* 是否账号过期
* */
@Override
public boolean isAccountNonExpired() {
return true;
}
/**
* 是否账号被锁定
* */
@Override
public boolean isAccountNonLocked() {
return true;
}
/**
* 是否凭证(密码)过期
* */
@Override
public boolean isCredentialsNonExpired() {
return true;
}
/**
* 是否可用
* */
@Override
public boolean isEnabled() {
return true;
}
}
2. 创建UserService实现类
自定义UserService类实现UserDetailsService接口,重写loadUserByUsername()方法,改方法中实现用户信息查询及该用户的权限信息查询,返回值为User对象
@Slf4j
@Service
public class UserService implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// TODO 去编写查询数据库的接口,将查询到的数据放入下面三个参数中,
//为了演示方便暂时写死
log.info("name =[{}]",username);
User user = new User("test", "test", "test");
return user ;
}
}
3. 创建SecurityConfig配置类
/**
* @author gf
* @date 2022/10/25
*/
@Configuration
public class SecurityConfig {
@Autowired
private UserService userService;
@Bean
public UserDetailsService userDetailsService() {
return userService;
}
@Bean
public DaoAuthenticationProvider daoAuthenticationProvider() {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setUserDetailsService(userDetailsService());
provider.setPasswordEncoder(passwordEncoder());
return provider;
}
@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}
}
4. 创建UserController测试类
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping("hello")
public String hello(){
return "hello spring-security";
}
}
启动工程,浏览器输入接口地址 http://localhost:8080/user/hello 进行测试
输入我们UserService中设置的用户名和密码,登陆成功后就跳转到了我们真正的接口地址
本次只是讲了一个简单的登录流程Demo,我们可以再配置类加入其他规则权限配置,是我们的登录更加完善。
六. 避坑指南
1. Bad credentials
问题原因:用户名或密码错误,如果密码和用户名都正确看下面的解决办法。
解决办法: User实现UserDetails后。默认重写了他的getPassword()和getUsername()方法,这里面默认返回null,我们将User中的属性反回就可以了。
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return username;
}
2. User account is locked
解决办法:User中重写的isAccountNonLocked()默认为false,改为true就可以了。
/**
* 是否账号被锁定
* */
@Override
public boolean isAccountNonLocked() {
return true;
}
3. User account has expired
解决办法:User中重写的isAccountNonExpired()默认为false,改为true就可以了。
/**
* 是否账号过期
* */
@Override
public boolean isAccountNonExpired() {
return true;
}
4. User credentials have expired
解决办法:User中重写的isCredentialsNonExpired()默认为false,改为true就可以了。
/**
* 是否凭证(密码)过期
* */
@Override
public boolean isCredentialsNonExpired() {
return false;
}
5. User is disabled
解决办法:User中重写的isEnabled()默认为false,改为true就可以了。
/**
* 是否可用
* */
@Override
public boolean isEnabled() {
return false;
}
完结。
471
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
