springsecurity
简介
本次介绍的springsecurity安全框架,是按照redis + jwt + RBAC(模型)进行实现的,是按照和若依框架一样的安全框架
本次使用springsecurity主要有两个重点
- 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
- 权限:验证这个用户是否有权限操作这个方法
1.环境的搭建
创建一个springboot的项目,导入依赖
<!--web的依赖-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--lombok快速开发-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<!--使用的是2.5的版本-->
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.5.0</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<!--springsecurity依赖-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
创建controller,配置properties文件
写一个最简单的controller方法
@ResponseBody
@GetMapping("/hello")
public String hello() {
retrun "hello";
}
properties文件
server.prot=8083
直接启动访问访问hello请求。
会被拦截在,然后跳出登录表单
![](https://images.anlemon.cn/springsecurity/12.png)
密码会在控制台输出,账号是:user,输入后就可以访问到页面。
2.流程梳理
2.1.登录校验流程
2.2.springsecurity完整流程
其实springsecurity就是一个过滤器链,经过一系列的过滤,内部包含了提供各种功能的过滤器。这里我们可以看看入门案例中的过滤器。
图中只展示了核心过滤器,其它的非核心过滤器并没有在图中展示。
UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。
**ExceptionTranslationFilter:**处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。
**FilterSecurityInterceptor:**负责权限校验的过滤器(授权的)。
我们可以通过Debug查看当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。
![](https://images.anlemon.cn/springsecurity/2.png)
2.3.认证流程详解
概念速查:
Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
AuthenticationManager接口:定义了认证Authentication的方法
UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。
3.解决问题(认证)
登录
①自定义登录接口
调用ProviderManager的方法进行认证 如果认证通过生成jwt
把用户信息存入redis中
②自定义UserDetailsService
在这个实现类中去查询数据库
校验:
①定义Jwt认证过滤器
获取token
解析token获取其中的userid
从redis中获取用户信息
存入SecurityContextHolder
3.1.准备工作
<!--redis依赖-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<!--fastjson依赖-->
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.33</version>
</dependency>
<!--jwt依赖-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
添加的很多东西就简单说了
-
添加Redis相关配置,让其存入redis的时候是json格式(而且还是使用的redistemplate)
-
响应类:responseResult,有code,msg,data
-
工具类:
- JwtUtil(引入依赖,根据userId,生成jwt,根据jwt可以转回userId)
- RedisCache(帮助我们封装了redis操作,比如redistemplate。opsFvalue.set,帮我们封装了直接redisCache.setObject就可以了) 注入容器里面了
- WebUtils(最会定义异常处理器的返回格式,必须铜须,我们这个就可以将统一返回结果new出来,变成JSON数据就可以帮助我们做到)
- User这个是数据库的实体类
下面是建表的sql
import java.io.Serializable;
import java.util.Date;
/**
* 用户表(User)实体类
*
* @author 三更
*/
@Data
@AllArgsConstructor
@NoArgsConstructor
public class User implements Serializable {
private static final long serialVersionUID = -40356785423868312L;
/**
* 主键
*/
private Long id;
/**
* 用户名
*/
private String userName;
/**
* 昵称
*/
private String nickName;
/**
* 密码
*/
private String password;
/**
* 账号状态(0正常 1停用)
*/
private String status;
/**
* 邮箱
*/
private String email;
/**
* 手机号
*/
private String phonenumber;
/**
* 用户性别(0男,1女,2未知)
*/
private String sex;
/**
* 头像
*/
private String avatar;
/**
* 用户类型(0管理员,1普通用户)
*/
private String userType;
/**
* 创建人的用户id
*/
private Long createBy;
/**
* 创建时间
*/
private Date createTime;
/**
* 更新人
*/
private Long updateBy;
/**
* 更新时间
*/
private Date updateTime;
/**
* 删除标志(0代表未删除,1代表已删除)
*/
private Integer delFlag;
}
3.2.实现
3.2.1.数据库校验用户
从之前的分析我们可以知道,我们可以自定义一个UserDetailsService,让SpringSecurity使用我们的UserDetailsService。我们自己的UserDetailsService可以从数据库中查询用户名和密码。
我们先创建一个用户表, 建表语句如下:
CREATE TABLE `sys_user` (
`id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '主键',
`user_name` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMMENT '用户名',
`nick_name` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMMENT '昵称',
`password` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMMENT '密码',
`status` CHAR(1) DEFAULT '0' COMMENT '账号状态(0正常 1停用)',
`email` VARCHAR(64) DEFAULT NULL COMMENT '邮箱',
`phonenumber` VARCHAR(32) DEFAULT NULL COMMENT '手机号',
`sex` CHAR(1) DEFAULT NULL COMMENT '用户性别(0男,1女,2未知)',
`avatar` VARCHAR(128) DEFAULT NULL COMMENT '头像',
`user_type` CHAR(1) NOT NULL DEFAULT '1' COMMENT '用户类型(0管理员,1普通用户)',
`create_by` BIGINT(20) DEFAULT NULL COMMENT '创建人的用户id',
`create_time` DATETIME DEFAULT NULL COMMENT '创建时间',
`update_by` BIGINT(20) DEFAULT NULL COMMENT '更新人',
`update_time` DATETIME DEFAULT NULL COMMENT '更新时间',
`del_flag` INT(11) DEFAULT '0' COMMENT '删除标志(0代表未删除,1代表已删除)',
PRIMARY KEY (`id`)
) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COMMENT='用户表'
引入MybatisPuls和mysql驱动的依赖
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.4.3</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
配置Mapper扫描,继承MyBtis-Plus的一些类BaseMapper<>,这些等…
3.2.2.核心功能实现
自定义UserDetailServiceImpl去实现UerDetailService因为我们需要去查询数据库(而不是去内存里面查询)
public class UserDetailServiceImpl implements userDetialService {
// 这个继承了查询MP功能进行查询User表的
@Resource
private UserService userService;
// 重写这个方法
@Override // 需要返回UserDetials
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 查询用户信息
LambdaQueryWrapper<User> lambdaQueryWrapper = new LambdaQueryWrapper<>();
lambdaQueryWrapper.eq(User::getUserName, username);
// 查询到user
User user = userService.getOne(lambdaQueryWrapper);
// 如果没有查询到用户就抛出异常
if(user == null) {
// 因为有一个ExceptionTransaltion的全局异常处理器
// 过程中异常的信息就可以被捕获
throw new RuntimeException("用户名或者密码错误");
}
// TODO 查询对应的权限信息
// 权限信息
// List<String> list = menuMapper.selectPermsByUserId(user.getId());
// 把数据封装成UserDetails进行返回(这里就是user信息,然后传递给登录的界面)
// List<String> list = new ArrayList<>(Arrays.asList("test"));
// 存入权限信息(LoginUserVo 继承了UserDetails)
LoginUserVo loginUserVo = new LoginUserVo(user, list);
// 在这里面进行密码的判断他会自动跳去密码判断
// TODO 去authemticationProvide里面去判断密码
return loginUserVo;
}
}
LoginUserVo实体类
/**
* userDetials的方法
*/
@Data
//@AllArgsConstructor
@NoArgsConstructor// 在这里进行密码的校验
public class LoginUserVo implements UserDetails {
private User user;
//存储权限信息
private List<String> permissions;
//存储SpringSecurity所需要的权限信息的集合
// 现在先不管
@JSONField(serialize = false)
private List<GrantedAuthority> authorities;
public LoginUserVo(User user,List<String> permissions) {
this.user = user;
this.permissions = permissions;
}
/**
* 获取权限信息的(现在先不管)
* @return
*/
@JSONField(serialize = false)
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
// 创建实现类 SimpleGrantedAuthority 点进去,然后按住ctrl + alt + 左键就可以看见了
// 这样每次就不用重新生成权限了(集合形式,因为这个人可能有很多的权限信息)
if(authorities != null && authorities.size() > 0) {
return authorities;
}
authorities = permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
return authorities;
}
/**
* 获取密码
* @return
*/
@Override
public String getPassword() {
return user.getPassword();
}
/**
* 获取用户名
* @return
*/
@Override
public String getUsername() {
return user.getUserName();
}
// 下面这个些必须都改为true才能进行认证
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
/**
* 下面这些全部改为true
* @return
*/
@Override
public boolean isCredentialsNonExpired() {
return true;
}
/**
* 用户是否可用
* @return
*/
@Override
public boolean isEnabled() {
return true;
}
}
3.2.3.登录接口
下我们需要自定义登陆接口,然后让SpringSecurity对这个接口放行,让用户访问这个接口的时候不用登录也能访问。
在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在SecurityConfig中配置把AuthenticationManager注入容器。
认证成功的话要生成一个jwt,放入响应中返回。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,我们需要把用户信息存入redis,可以把用户id作为key。
Login登录接口controller
@RestController
public class LoginController {
@Autowired
private UserService userService;
@PostMapping("/user/login")
public ResponseResult login(@RequestBody User user) {
// 登录方法
return userService.login(user);
}
}
实现类UserServiceImpl方法
// 让他来帮助我们进行校验
@Autowired
private AuthenticationManager authenticationManager;
// 注入redis
@Autowired
private RedisCache redisCache;
/**
* 登录方法
* @param user
* @return
*/
@Override
public ResponseResult login(User user) {
// AuthenticationManager authenticate 进行用户的认证
// 将用户输入的用户名和面封装成了authentication
// 这个就进行了封装user.getUserName(), user.getPassword()
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
// 让provideManager来帮助我们进行认证
// 如果认证没有通过, 给出对应的提示
// 注意我们这一步会去调用userDetial的接口实现类
// (将UserDetialServiceImpl里面查询到的user放置在里面 框架内部就会帮助我们将loginUserVo设置进去)
Authentication authenticate = authenticationManager.authenticate(authenticationToken);
// 通过了话会将loginUserVo自定set进去
if(authenticate == null) {
// 认证为null
throw new RuntimeException("登录失败");
}
// 如果认证通过了, 使用userId生成jwt jwt存入ResponseResult并且返回
LoginUserVo principal = (LoginUserVo) authenticate.getPrincipal();
// 得到用户id
Long id = principal.getUser().getId();
// 根据userId生成jwt
String jwt = JwtUtil.createJWT(id.toString());
// 返回map前端就可以接受到,将其设置到header上面
Map<String, String> map = new HashMap<>();
map.put("token", jwt);
// 把用户完整信息存入redis, userId作为key
redisCache.setCacheObject("login:" + id.toString(), principal);
return new ResponseResult(200, "登录成功", map);
}
3.2.4.密码加密规则
原本格式:{id}password 。它会根据id去判断密码的加密方式。但是我们一般不会采用这种方式。所以就需要替换PasswordEncoder。
默认加密规则是要使用{noop}这个表示明文,直接使用一个新的MD5盐值加密
BCryptPasswordEncoder passworedEncoder = new BCryptPasswordEncoder();
写一个配置类SecurityConfig去继继承WebSecurityConfigurerAdapter
这样写了之后就会自动替换原本的加密设置
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 使用我们的md5盐值加密, 加入后springsecurity会自动替换原本的加密方法
* @return
*/
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
// 配置了登录接口允许匿名访问
@Override
protected void configure(HttpSecurity http) throws Exception {
http
//关闭csrf
.csrf().disable()
//不通过Session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
// 对于登录接口 允许匿名访问
.antMatchers("/user/login").anonymous()
// 除上面外的所有请求全部需要鉴权认证
.anyRequest().authenticated();
}
/**
* 这个就是帮助我们进行认证的providerManager
*/
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
}
3.2.5.认证过滤器
首先拦截所有的请求,及时是登录那个界面,
首先我们先去header上面取出token, 如果没有则放行,如果有则转化为userId, 去redis里面得到用户信息,如果没有则抛出异常,说明过期了,如果都过来了,那么就给
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
自定义过滤器
原本是实现Filter的,但是因为我们默认的过滤器接口存在问题(servlet版本不同 一个请求过来过滤器会被调用多次)
OncePerRequestFilter可以保证每一个请求只请求一次过滤器
注意
- 这里我们必须要加入到容器里,因为我们还要使用redis(在容器内)
// 现在我们只是将过滤器放在容器当中,但是没有配置在哪里进行拦截
@Component // 因为我在添加过滤器的时候使用的是new的方法
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
// 注意因为我们需要spring容器里面的东西所以我们需要
// 将这个弄在容器里面 所以我们过滤器里面就不能使用new的形式了
@Resource
private RedisCache redisCache;
@Override
protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
// 获取token
String token = httpServletRequest.getHeader("token");
if(StringUtils.isEmpty(token)) {
// 如果为空
// 放行
filterChain.doFilter(httpServletRequest, httpServletResponse);
// 注意如果是登录接口才会继续执行,否则就直接返回403
return;
}
// 解析token
String subject;
try {
Claims claims = JwtUtil.parseJWT(token);
// 这个subject就是userId
subject = claims.getSubject();
} catch (Exception e) {
throw new RuntimeException("token非法");
// e.printStackTrace();
}
// 从redis中根据userId获取信息
String userId = subject;
String redisKey = "login:" + userId;
LoginUserVo res = redisCache.getCacheObject(redisKey);
if(res == null) {
// 相当于redis超时了
throw new RuntimeException("登录超时");
}
// 存入SecurityContextHolder
// 这里必须要使用三个参数的 因为里面第三个参数会设置认证状态为true
/*
super(authorities);
this.principal = principal;
this.credentials = credentials;
super.setAuthenticated(true); 就是这个
就不需要去providerManager去认证了
*/
// TODO 获取权限信息封装到Authentication
// 放行
filterChain.doFilter(httpServletRequest, httpServletResponse);
}
}
去SecurityConfig里面去配置在最开始过滤器之前UserPasswordFilter之前
/**
* 配置过滤器链的配置
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http
//关闭csrf()
.csrf().disable()
//不通过Session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
// 对于登录接口 允许匿名访问
.antMatchers("/user/login").anonymous()
// 除上面外的所有请求全部需要鉴权认证
.anyRequest().authenticated();
// 指定我们自定义过滤器链放在的位置
// 如果是new的话JwtAuthenticationTokenFilter类上面就不用使用component注解
// http.addFilterBefore(new JwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
}
3.2.6.登出功能
分析一下我们登出功能就近该怎么实现,我们登出接口,又是一个新的api,线程又不一样了
首先我们肯定是登录状态,我们请求过来,经过了认证过滤器,如果都正确的话,最终SecurityHolder里面就会set进去用户的信息,然后到达,登出接口,
- 那么我们需要干什么喃,首先如果我们删除了redis里面的数据,那SecurityHolder里面的数据需要删除嘛(答案是不需要的,下次请求就是新的线程了,他想要set用户信息进去,会有一个redis的判断), 那么我们需要删除token吗(其实是没必要删除的,因为我们redis里面但你的账号密码没有输入正确的话,你拿到token也没有用,redis里面set用户信息是在登录接口实现的,所以只要redis里面没有信息就没事(并且token是设置了过期时间的))
最终确定我们只需要删除redis里面的内容
@Override
public ResponseResult logout() {
// 获取SecurityHolder中的信息id
// 不需要再去删除了 因为我们获取不到redis里面的消息就直接抛出异常了
// 现在是新的线程我们能不能获取到这个里面的值喃,是不是新的喃?
// 答案是会的,因为我们的Jwt里面会先拦截然后给SecurityContextHolder设置值
UsernamePasswordAuthenticationToken authentication = (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
// 从SecurityContextHolder获取到我们的用户信息
LoginUserVo principal = (LoginUserVo) authentication.getPrincipal();
Long userId = principal.getUser().getId();
String redisKey = "login:" + userId.toString();
// 删除redis中userId这个(进行删除)
redisCache.deleteObject(redisKey);
return new ResponseResult(200, "退出登录成功");
}
这样就是实现了安全登录。
4.授权
4.1.权限系统的作用
例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。
总结起来就是不同的用户可以使用不同的功能。这就是权限系统要去实现的效果。
我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。
所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。
4.2.授权基本流程
在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。
然后设置我们的资源所需要的权限即可。
步骤
- 我们在认证的时候给出了TODO的事情,那么我们就去数据库里面查询到权限信息,然后放入进SecurityContextHolder里面
SpringSecurity为我们提供了基于注解的权限控制方案,这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限。
但是要使用它我们需要先开启相关配置。(在启动类上加上注解)
@EnableGlobalMethodSecurity(prePostEnabled = true)
在hello接口上添加权限注解(@PreAuthorize)
@RestController
public class HelloController {
@GetMapping("/hello")
@PreAuthorize(value = "hasAuthority('test')") // value是这字符串 这样权限就加上去了
public String hello() {
return "hello";
}
}
4.3.封装授权信息
首先是loginUserVo
/**
* userDetials的方法
*/
@Data
//@AllArgsConstructor
@NoArgsConstructor// 在这里进行密码的校验
public class LoginUserVo implements UserDetails {
private User user;
//存储权限信息(这个就是存储权限的) 从数据库查询的,封装到authorities里面
private List<String> permissions;
//存储SpringSecurity所需要的权限信息的集合
@JSONField(serialize = false) // 这个表示redis存入的时候不存入进去
private List<GrantedAuthority> authorities;
public LoginUserVo(User user,List<String> permissions) {
this.user = user;
this.permissions = permissions;
}
/**
* 获取权限信息的(就是这个东西)
* @return
*/
@JSONField(serialize = false) // 这个表示redis存入的时候不存入进去这里必须要有再JSON,toString会自动执行get方法
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
// GrantedAuthority是接口SimpleGrantedAuthority是其中一个实现类
// 创建实现类 SimpleGrantedAuthority 点进去,然后按住ctrl + alt + 左键就可以看见了
// 这样每次就不用重新生成权限了(集合形式,因为这个人可能有很多的权限信息)
if(authorities != null && authorities.size() > 0) {
return authorities;
}
// stream流对象
authorities = permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
return authorities;
}
/**
* 获取密码
* @return
*/
@Override
public String getPassword() {
return user.getPassword();
}
/**
* 获取用户名
* @return
*/
@Override
public String getUsername() {
return user.getUserName();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
/**
* 下面这些全部改为true
* @return
*/
@Override
public boolean isCredentialsNonExpired() {
return true;
}
/**
* 用户是否可用
* @return
*/
@Override
public boolean isEnabled() {
return true;
}
}
userDetialServiceImpl方法修改
// 添加的测试的
List<String> list = new ArrayList<>(Arrays.asList("test"));
LoginUserVo userVo = new LoginUserVo(user, list);
修改认证过滤器
// 从redis获取到实体类,获取封装好的Authorities
Collection<? extends GrantedAuthority> authorities = res.getAuthorities();
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(res, null, authorities);
// 最后让如到SecurityHolder里面
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
4.4.从数据库查询权限信息
RBAC权限模型
5张表,user表,user_role关系表,role角色表,menu菜单表,role_menu关系表,role相当于是角色
建表sql
CREATE DATABASE /*!32312 IF NOT EXISTS*/`sg_security` /*!40100 DEFAULT CHARACTER SET utf8mb4 */;
USE `sg_security`;
/*Table structure for table `sys_menu` */
DROP TABLE IF EXISTS `sys_menu`;
CREATE TABLE `sys_menu` (
`id` bigint(20) NOT NULL AUTO_INCREMENT,
`menu_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '菜单名',
`path` varchar(200) DEFAULT NULL COMMENT '路由地址',
`component` varchar(255) DEFAULT NULL COMMENT '组件路径',
`visible` char(1) DEFAULT '0' COMMENT '菜单状态(0显示 1隐藏)',
`status` char(1) DEFAULT '0' COMMENT '菜单状态(0正常 1停用)',
`perms` varchar(100) DEFAULT NULL COMMENT '权限标识',
`icon` varchar(100) DEFAULT '#' COMMENT '菜单图标',
`create_by` bigint(20) DEFAULT NULL,
`create_time` datetime DEFAULT NULL,
`update_by` bigint(20) DEFAULT NULL,
`update_time` datetime DEFAULT NULL,
`del_flag` int(11) DEFAULT '0' COMMENT '是否删除(0未删除 1已删除)',
`remark` varchar(500) DEFAULT NULL COMMENT '备注',
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COMMENT='菜单表';
/*Table structure for table `sys_role` */
DROP TABLE IF EXISTS `sys_role`;
CREATE TABLE `sys_role` (
`id` bigint(20) NOT NULL AUTO_INCREMENT,
`name` varchar(128) DEFAULT NULL,
`role_key` varchar(100) DEFAULT NULL COMMENT '角色权限字符串',
`status` char(1) DEFAULT '0' COMMENT '角色状态(0正常 1停用)',
`del_flag` int(1) DEFAULT '0' COMMENT 'del_flag',
`create_by` bigint(200) DEFAULT NULL,
`create_time` datetime DEFAULT NULL,
`update_by` bigint(200) DEFAULT NULL,
`update_time` datetime DEFAULT NULL,
`remark` varchar(500) DEFAULT NULL COMMENT '备注',
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COMMENT='角色表';
/*Table structure for table `sys_role_menu` */
DROP TABLE IF EXISTS `sys_role_menu`;
CREATE TABLE `sys_role_menu` (
`role_id` bigint(200) NOT NULL AUTO_INCREMENT COMMENT '角色ID',
`menu_id` bigint(200) NOT NULL DEFAULT '0' COMMENT '菜单id',
PRIMARY KEY (`role_id`,`menu_id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4;
/*Table structure for table `sys_user` */
DROP TABLE IF EXISTS `sys_user`;
CREATE TABLE `sys_user` (
`id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '主键',
`user_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '用户名',
`nick_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '昵称',
`password` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '密码',
`status` char(1) DEFAULT '0' COMMENT '账号状态(0正常 1停用)',
`email` varchar(64) DEFAULT NULL COMMENT '邮箱',
`phonenumber` varchar(32) DEFAULT NULL COMMENT '手机号',
`sex` char(1) DEFAULT NULL COMMENT '用户性别(0男,1女,2未知)',
`avatar` varchar(128) DEFAULT NULL COMMENT '头像',
`user_type` char(1) NOT NULL DEFAULT '1' COMMENT '用户类型(0管理员,1普通用户)',
`create_by` bigint(20) DEFAULT NULL COMMENT '创建人的用户id',
`create_time` datetime DEFAULT NULL COMMENT '创建时间',
`update_by` bigint(20) DEFAULT NULL COMMENT '更新人',
`update_time` datetime DEFAULT NULL COMMENT '更新时间',
`del_flag` int(11) DEFAULT '0' COMMENT '删除标志(0代表未删除,1代表已删除)',
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COMMENT='用户表';
/*Table structure for table `sys_user_role` */
DROP TABLE IF EXISTS `sys_user_role`;
CREATE TABLE `sys_user_role` (
`user_id` bigint(200) NOT NULL AUTO_INCREMENT COMMENT '用户id',
`role_id` bigint(200) NOT NULL DEFAULT '0' COMMENT '角色id',
PRIMARY KEY (`user_id`,`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;
根据userId查询权限信息
# 需要进行去重
# 因为一个用户可以拥有多个角色,但是每个角色可能有些权限是相同的
select
DISTINCT sm.perms # 全部权限
FROM
sys_user_role sur
left join sys_role sr on sr.id = sur.role_id
LEFT JOIN sys_role_menu srm on srm.role_id = sr.id
LEFT JOIN sys_menu sm on sm.id = srm.menu_id
where
sur.user_id = 2
and sr.`status` = 0
and sm.`status` = 0;
添加上菜单实体类
/**
* 菜单表(Menu)实体类
*
* @author makejava
* @since 2021-11-24 15:30:08
*/
@TableName(value="sys_menu")
@Data
@AllArgsConstructor
@NoArgsConstructor
@JsonInclude(JsonInclude.Include.NON_NULL)
public class Menu implements Serializable {
private static final long serialVersionUID = -54979041104113736L;
@TableId
private Long id;
/**
* 菜单名
*/
private String menuName;
/**
* 路由地址
*/
private String path;
/**
* 组件路径
*/
private String component;
/**
* 菜单状态(0显示 1隐藏)
*/
private String visible;
/**
* 菜单状态(0正常 1停用)
*/
private String status;
/**
* 权限标识
*/
private String perms;
/**
* 菜单图标
*/
private String icon;
private Long createBy;
private Date createTime;
private Long updateBy;
private Date updateTime;
/**
* 是否删除(0未删除 1已删除)
*/
private Integer delFlag;
/**
* 备注
*/
private String remark;
}
创建mybatis的xml进行sql语句的编写,当然你可以使用LambdaQueryWrapper()进行查询
<!-- 根据userId查询对应的权限信息-->
<select id="selectPermsByUserId" resultType="java.lang.String">
<!-- 需要进行去重-->
<!-- 因为一个用户可以拥有多个角色,但是每个角色可能有些权限是相同的 -->
select
DISTINCT sm.perms
FROM
sys_user_role sur
left join sys_role sr on sr.id = sur.role_id
LEFT JOIN sys_role_menu srm on srm.role_id = sr.id
LEFT JOIN sys_menu sm on sm.id = srm.menu_id
where
sur.user_id = #{userId}
and sr.`status` = 0
and sm.`status` = 0;
</select>
将原本写死的换为数据库查询
List<String> list = new ArrayList<>(Arrays.asList("test")); // 进行替换
// 最终的权限
List<String> list = menuMapper.selectPermsByUserId(user.getId());
5.自定义失败处理器
在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
有两个异常处理器,一个是认证失败的,一个是权限不足的处理器,我们都想让他返回的格式我们统一的格式
认证异常处理器:AuthenticationEntryPoint
权限异常处理器:AccessDeniedHandler
我们就去自定义两个异常处理器
AccessDeniedHandlerImpl(权限异常处理器)
/**
* 全局异常把你异常捕获了,然后我们需要手动捕获,注意这里还不够完善如果是其他问题应该还要有其他的异常处理(所以可以自定义一 个全局异常处理,如果不是这两个就打印我们全局异常处理的结果)
* 授权过程中出现的异常
* 然后要将其加入到springsecurity
*/
@Component // 放进容器里面
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
// 重写方法
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
// 处理异常
ResponseResult result = new ResponseResult(HttpStatus.FORBIDDEN.value(), "权限不足");
String res = JSON.toJSONString(result);
// 响应结果的修改
WebUtils.renderString(response,res);
}
}
AuthenticationEntryPointImpl(认证异常处理器)
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
// 请重新登录 使用的是HttpStatus的枚举类
ResponseResult result = new ResponseResult(HttpStatus.UNAUTHORIZED.value(), "认证失败请重新登录");
String json = JSON.toJSONString(result);
WebUtils.renderString(response,json);
}
}
下面就是将其加入大其作用的地方
在SecurityConfig里面进行配置
先注入对应的处理器
// 认证失败异常处理器
@Autowired
private AuthenticationEntryPointImpl authenticationEntryPoint;
@Autowired
private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
/**
* 配置过滤器链的配置
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http
//关闭csrf()
.csrf().disable()
//不通过Session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
// 对于登录接口 允许匿名访问
.antMatchers("/user/login").anonymous()
// 除上面外的所有请求全部需要鉴权认证
.anyRequest().authenticated();
// 指定我们自定义过滤器链放在的位置
http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
// 配置异常处理器(自定义的)
http.exceptionHandling().
// 认证失败处理器
authenticationEntryPoint(authenticationEntryPoint).
// 授权失败处理器
accessDeniedHandler(accessDeniedHandler);
}
进行测试
![](https://images.anlemon.cn/springsecurity/14.png)
![](https://images.anlemon.cn/springsecurity/15.png)
6.跨域
首先是springboot的配置(都是写好的网上一找就是)
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
// 设置允许跨域的路径
registry.addMapping("/**")
// 设置允许跨域请求的域名
.allowedOriginPatterns("*")
// 是否允许cookie
.allowCredentials(true)
// 设置允许的请求方式
.allowedMethods("GET", "POST", "DELETE", "PUT")
// 设置允许的header属性
.allowedHeaders("*")
// 跨域允许时间
.maxAge(3600);
}
}
其次是springsecurity的配置
在configure里面配置
//允许跨域
http.cors();
启动项目里面的前端demo,最终测试通过
7.其它权限校验方法
hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。
@PreAuthorize("hasAnyAuthority('admin','test','system:dept:list')")
public String hello(){
return "hello";
}
下面是角色
hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上 ROLE_ 后再去比较。所以这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。
@PreAuthorize("hasRole('system:dept:list')")
public String hello(){
return "hello";
}
hasAnyRole 有任意的角色就可以访问。它内部也会把我们传入的参数拼接上 ROLE_ 后再去比较。所以这种情况下要用用户对应的权限也要有 ROLE_ 这个前缀才可以。
@PreAuthorize("hasAnyRole('admin','system:dept:list')")
public String hello(){
return "hello";
}
7.1.自定义权限校验方法
这个是最简单的,可能不能满足,只是写一个实例出来
@Component("ex") // 取名字 后面好取出来
public class LemonExpression {
// 当然这个很局限的
public boolean hasAuthority(String authority){
// 获取当前用户的权限
// 获取到用户的权限
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
// 直接进行类型转换
LoginUserVo loginUserVo = (LoginUserVo) authentication.getPrincipal();
List<String> permissions = loginUserVo.getPermissions();
// 判断用户权限集合中是否存在 authority
return permissions.contains(authority);
}
}
CSRF
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。
https://blog.csdn.net/freeking101/article/details/86537087
SpringSecurity去防止CSRF攻击的方式就是通过csrf_token。后端会生成一个csrf_token,前端发起请求的时候需要携带这个csrf_token,后端会有过滤器进行校验,如果没有携带或者是伪造的就不允许访问。
我们可以发现CSRF攻击依靠的是cookie中所携带的认证信息。但是在前后端分离的项目中我们的认证信息其实是token,而token并不是存储中cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击也就不用担心了。
以上所有流程使用apiPost的话,需要在header上加上token(登录成功后)