二、HttpSecurity:
1、作用:
HttpSecurity 实际上对应了 Spring Security 命名空间配置方式中 xml 文件内的标签。允许我们为特定的 http 请求配置安全策略。HttpSecurity 首先被设计为链式调用,在执行每个方法后,都会返回一个预期的上下文,便于连续调用,除非使用 and() 方法结束当前标签,上下文才会回到 HttpSecurity ,否则链式调用的上下文将自动进入对应的标签域。
2、主要方法:
HttpSecurity 提供了很多配置相关的方法,分别对应命名空间配置中的子标签 <http>,如:
(1)authorizeRequests():对应 <intercept-url>标签,该方法实际上返回了一个 URL 拦截注册器,我们可以调用它提供的 anyRequest()、antMatchers() 和 regexMatchers() 等方法来匹配系统的 URL ,并为其指定安全策略。
(2)formLogin():对应<form-login>,formLogin.loginPage("/myLogin.html") 指定自定义的登录页为 /myLogin.html ,同时,Spring Security 会用 /myLogin.html 注册一个 POST 路由,用于接收登录请求。
(3)httpBasic() :对应<http-basic>标签,formLogin() 和 httpBasic() 方法都声明了需要 Spring Security 提供的表单认证方式,分别返回对应的配置器。
(4) csrf() :对应 <csrf>标签 ,是 Spring Security 提供的跨站请求伪造防护功能,当我们继承 WebSecurityConfigurerAdapter 会默认开启 csrf() 方法
三、AuthenticationManager认证
1、介绍:
在前面的拦截器中也介绍了Spring Security中认证是由AuthenticationManager
接口来负责的:
public interface AuthenticationManager {
Authentication authenticate(Authentication authentication)
throws AuthenticationException;
}
-
返回 Authentication 表示认证成功
-
返回 AuthenticationException 异常,表示认证失败。
2、流程
// 调用链
AuthenticationManager.authenticate() --> ProviderManager.authenticate() --> DaoAuthenticationProvider(AbstractUserDetailsAuthenticationProvider).authenticate()
// 处理
在最后的 authenticate() 方法中,调用了 UserDetailsService.loadUserByUsername() 并进行了密码校验,校验成功就构造一个认证过的 UsernamePasswordAuthenticationToken 对象放入 SecurityContext.
(1)认证入口
AuthenticationManager主要实现类是ProviderManager,这里看下ProviderManager的认证方法
public class ProviderManager implements AuthenticationManager, MessageSourceAware,
InitializingBean {
// authenticate 方法
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
// getProviders() -> debug发现其实就一个 DaoAuthenticationProvider.class
for (AuthenticationProvider provider : getProviders()) {
// toTest == UsernamePasswordAuthenticationToken.class
// 其实就是判断 toTest 是不是UsernamePasswordAuthenticationToken类,成立
if (!provider.supports(toTest)) {
continue;
}
try {
=========================================================================================
// 最终 DaoAuthenticationProvider.authenticate()
result = provider.authenticate(authentication);
=========================================================================================
}
(2)
3、使用
3.1、默认配置
springboot 对 security 进行自动配置时自动在工厂中创建一个全局 AuthenticationManager,默认找当前项目中是否存在自定义 UserDetailService 实例 自动将当前项目 UserDetailService 实例设置为数据源。
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
@Autowired
public void initialize(AuthenticationManagerBuilder builder) {
//builder..
}
}
3.2、自定义配置
一旦通过 configure 方法自定义 AuthenticationManager 实现,即覆盖默认配置,该方法需要在实现中指定认证数据源对象 UserDetaiService 实例。
综上,所以我们可以不覆写WebSecurityConfigurerAdapter的configure(AuthenticationManagerBuilder auth)方法,但是一定要实现UserDetaiService来自定义获取用户名密码。不过为了配置下面的passwordEncoder一般还是需要覆写。
四、用户认证服务接口UserDetailsService :
认证数据源
1、介绍:
Spring Security 支持各种来源的用户数据,包括内存、数据库、LDAP 等。它们被抽象为一个 UserDetailsService 接口,任何实现了 UserDetailsService 接口的对象都可以作为认证数据源。在这种设计模式下,Spring Security 显得尤为灵活。
package org.springframework.security.core.userdetails;
public interface UserDetailsService {
UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}
2、实现类:
(1)InMemoryUserDetailsManager :
将用户数据源寄存在内存里,在一些不需要引入数据库这种重数据源的系统中很有帮助。
(2)JdbcUserDetailsManager:
(3)自定义实现类:
实现UserDetailsService接口。如
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
@Service("jwtUserService")
public class JwtUserServiceImpl implements UserDetailsService {
@Autowired
private UserDOMapper userDOMapper;
@Autowired
private UserMenuMapper userMenuMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
UserDO userDO = userDOMapper.getNonFieldAccountByAccountOrPhone(username);
if(userDO == null){
throw new UsernameNotFoundException("用户不存在");
}
// 查询用户菜单权限
List<MenuVO> menuVOList = userMenuMapper.listMenuByAccount(username,);
return new JwtUser(userDO.getId(),userDO.getAccount()
userDO.getName(), menuVOList);
}
}
其中的用户对象也重写了:
package com.security.demo.dto;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Collection;
import java.util.List;
public class JwtUser implements UserDetails {
//用户id
private String id;
//用户账号
private String account;
//用户名
private String name;
//菜单
private List<MenuVO> menuVOList;
public JwtUser(){
}
public JwtUser(String id,String account,String name,List<MenuVO> menuVOList){
this.id = id;
this.account = account;
this.name = name;
this.menuVOList = menuVOList;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return null;
}
@Override
public String getPassword() {
return null;
}
@Override
public String getUsername() {
return name;
}
@Override
public boolean isAccountNonExpired() {
return false;
}
@Override
public boolean isAccountNonLocked() {
return false;
}
@Override
public boolean isCredentialsNonExpired() {
return false;
}
@Override
public boolean isEnabled() {
return false;
}
}
3、使用方法:
只需要为自定义UserDetailsService数据源类加上@bean 注解,便可被 Spring Security 发现并使用。
五、用户对象接口UserDetails :
1、介绍:
2、主要方法
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
(1)public boolean isAccountNonLocked() :
默认返回的是false
,翻译成人话就是:是否不上锁,否,即上锁。上锁在认证时会抛出异常
org.springframework.security.authentication.LockedException: 用户帐号已被锁定
(2) public boolean isEnabled():
返回false,代表账号禁用。
(3)public boolean isAccountNonExpired()
返回false,代表账号过期。
3、使用方法:
使用时一般实现UserDetails,自定义业务字段即可。如上面的JWTUser。
六、密码编码器接口PasswordEncoder
1、作用:
设置密码加密方式,明文 / 密文。
2、使用
如果用户登陆,表单输入的密码为明文,会抛出异常,即使UserDetailsService返回UserDetails时不返回密码也会抛异常:
需要在WebSecurityConfig的
configure(AuthenticationManagerBuilder auth)
中配置passwordEncoder对密码的处理方式:
2.1、设置加密:
2.2、设置明文:
设置可以使用明文密码
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception{
auth.userDetailsService(userDetailsService).passwordEncoder(new MyPasswordEncoder());
}
import org.springframework.security.crypto.password.PasswordEncoder;
public class MyPasswordEncoder implements PasswordEncoder {
@Override
public String encode(CharSequence charSequence){
return charSequence.toString();
}
@Override
public boolean matches(CharSequence charSequence,String s){
return s.equals(charSequence.toString());
}
}
注意:设置了PasswordEncoder ,因为涉及到pasword参数的引用,所以UserDetails的
public String getPassword()方法需要返回password参数,否则会报空指针。