Spring Security 是 Spring 家族中一个提供安全认证服务的强大框架
主要提供以下功能
-
认证
我们获取用户时可以从mysql、redis、oracle中获取用户的信息、如账户名和密码。交给spring security框架校验 -
授权
对已校验成功的用户进行授权,服务器的资源只能被有特定权限的用户访问 -
加密/解密
让敏感信息如密码等,不再以明文方式存储到数据库
有加密,就有解密。主要用于校验数据
一般比较常用的技术栈组合
SSM+Shiro
Spring Boot/Cloud +Spring Security
因为spring boot和spring cloud尚未学习到,所以这里用到的是ssm+spring security
下面是具体使用
- 创建web项目,导入以下依赖
<dependencies>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.1.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.1.RELEASE</version>
</dependency>
</dependencies>
- 配置web.xml
<!-- 加载springsecurity配置文件-->
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
注意 springSecurityFilterChain不能改
通过阅读源码可知,springsecurity在创建HttpSecurityBeanDefinitionParser类的对象的时候,就已经注册了一个名为springSecurityFilterChain的bean,所以不能任意命名。
配置spring security.xml
由于spring security框架的认证
是通过UserDetailService来规范的
所以必须让自己的UserService来实现此接口
public interface IUserService extends UserDetailsService {
···
}
再通过Service的具体实现类 实现此接口
对接口的方法进行重写
UserDetails是一个接口,我们可以认为UserDetails作用是于封装当前进行认证的用户信息,但由于其是一个接口,所以我们可以对其进行实现,也可以使用Spring Security提供的一个UserDetails的实现类User来完成
操作
因为还需要获取到用户的角色,所以这里封装了一个getAuthority方法,来获取用户的角色信息,并一起封装到user信息里。
如果想要对信息进行加密存储,我们需要在spring security中配置加密的bean对象,也可以封装成一个utils方便我们调用
<!-- 配置加密类 -->
<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
封装成utils:
public class BCryptPasswordEncoderutils {
private static BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
public static String encrypt(String string){
return bCryptPasswordEncoder.encode(string);
}
IUserDao
最终成果展示:
登录成功后跳转到主页:
在这里插入图片描述