SpringSecurity认证相关

好久没有写笔记，发现学的知识都容易忘记。最近顺便回顾，顺便将笔记写上，方便查看。

简单回顾

之前在写项目的时候写过一篇SpringSecurity和cas整合的文章，看起来有些模棱，还是分开，先明确一个，再明确一下这样接受起来应该会比较容易。这篇介绍了SpringSecurity的使用配置情况，以及本人所遇到的坑注意事项。

一丶最终配置如下

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                      http://www.springframework.org/schema/security
                      http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- http：用于定义相关权限控制指定哪些资源不需要进行权限校验，可以使用通配符
    -->
    <security:http security="none" pattern="/js/**" />
    <security:http security="none" pattern="/css/**" />
    <security:http security="none" pattern="/img/**" />
    <security:http security="none" pattern="/plugins/**" />
    <security:http security="none" pattern="/login.html" />
    

    <security:http auto-config="true" use-expressions="true">
     <!--也可以采用如下配置，可以达到一样的效果-->
    <security:intercept-url pattern="login.html" access="permitAll()"/>     
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面，默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则-->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />

        <!--如果使用自己定义的登录页面，需要进行如下配置-->
        <security:form-login
                login-processing-url="/login.do"
                username-parameter="username"
                password-parameter="password"
                login-page="/login.html"
                default-target-url="/pages/main.html"
        ></security:form-login>

        <!--CSRF是一个过滤器 disabled="true"表示关闭这个过滤器-->
        <security:csrf disabled="true"></security:csrf>

        <!--
          logout：退出登录
          logout-url：退出登录操作对应的请求路径
          logout-success-url：退出登录后的跳转页面
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>


    <!--配置认证管理器-->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--指定密码加密策略-->
            <security:password-encoder ref="passwordEncoder" />
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />
</beans>

二丶配置解析

• 配置释放静态资源

	<security:http security="none" pattern="/js/**" />
    <security:http security="none" pattern="/css/**" />
    <security:http security="none" pattern="/img/**" />
    <security:http security="none" pattern="/plugins/**" />
    <security:http security="none" pattern="/login.html" />

• 匿名访问，使用permitAll()，注意标签所属位置

<security:intercept-url pattern="login.html" access="permitAll()"/>

• 认证信息配置，登录配置

 <security:form-login
                login-processing-url="/login.do"
                username-parameter="username"
                password-parameter="password"
                login-page="/login.html"
                default-target-url="/pages/main.html"
        >

• 退出设置，会自动销毁session

 <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

• 配置权限认证

<!--只要认证通过就都可以访问-->
<security:intercept-url pattern="/pages/**"  access="isAuthenticated()"/> 
<!--ROLE_USER此角色才可以访问，还可以配置操作权限-->
 <security:intercept-url pattern="/pages/**"  access="hasRole('ROLE_USER')"/>hasAuthority（“a.html”）
 <security:intercept-url pattern="/pages/**"  access="hasAuthority（'add'）"/>

• 注解配置权限

 <!--开启spring注解使用-->
    <context:annotation-config></context:annotation-config>
<!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />

@PreAuthorize("hasAuthority('add')") 

• 加密配置:在配置文件中加入beanBCryptPasswordEncoder 同时在认证管理器标签中配置加密 然后在service中便可以对密码使用BCry进行加密注入BCryptPasswordEncoder。ecoding（密码）便可以进行加密而不用拼接{noop}表明是 明文,代码如下

<!--配置认证管理器-->
    <security:authentication-manager>
    <!--配置一个具体的用户，后期需要从数据库查询用户
	<security:user-service>
	<security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
    </security:user-service>
   -->
            <!--指定度密码进行加密的对象-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--指定密码加密策略-->
            <security:password-encoder ref="passwordEncoder" />
        </security:authentication-provider>
    </security:authentication-manager>
    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

三丶Java代码可模仿以下demo

public class SpringSecurityUserService2 implements UserDetailsService {
    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    //模拟数据库中的用户数据
    public  Map<String, User> map = new HashMap<>();

    public void initUserData(){
        User user1 = new User();
        user1.setUsername("admin");
        user1.setPassword(passwordEncoder.encode("admin"));//使用bcrypt提供的方法对密码进行加密

        User user2 = new User();
        user2.setUsername("xiaoming");
        user2.setPassword(passwordEncoder.encode("1234"));

        map.put(user1.getUsername(),user1);
        map.put(user2.getUsername(),user2);
    }

    //根据用户名查询用户信息
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        initUserData();

        System.out.println("用户输入的用户名为：" + username);
        //根据用户名查询数据库获得用户信息(包含数据库中存储的密码信息)
        User user = map.get(username);//模拟查询根据用户名查询数据库
        if(user == null){
            //用户名不存在
            return null;
        }else{
            //将用户信息返回给框架
            //框架会进行密码比对(页面提交的密码和数据库中查询的密码进行比对)
            List<GrantedAuthority> list = new ArrayList<>();
            //为当前登录用户授权,后期需要改为从数据库查询当前用户对应的权限
            list.add(new SimpleGrantedAuthority("permission_A"));//授权
            list.add(new SimpleGrantedAuthority("permission_B"));

            if(username.equals("admin")){
                list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
                list.add(new SimpleGrantedAuthority("add"));//授权
            }
            org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);
            return securityUser;
        }
    }
}

四丶注意事项

• 授予角色和权限，list内add（new simpleGrantedAuthority（角色或者权限）） 针对项目修改springsecurity。xml配置文件 页面设置为只要认证都可以访问，而增删改查通过注解来控制权限。

• 通过iframe链接的受保护资源，在标签http中增加配置security:headers…固定配置 权限不足的时候可以提示在axiox请求中catch固定写法

• 在登录成功后，框架会将用户信息保存到上下文对象中，(基于session)

• 基于SecurityContextHolder.getContext().getAuthentication ()获得认证对象。getPrincipal（）获得user对象，有用户名权限等数据

• 认证和授权 springSecurity 提供一个类实现userdetailservice 在配置登录页面的时候，不需要自己写controller，指定好页面和路径便可以 同时配置跳转页面， 同时因为使用自己配置的登录页面，框架会认为不安全，因此我们需要关闭csrf过滤器，才能跳转到自定义页面，而不用去他提供的 csrf过滤器是根据隐藏域表单一个_csrf字符串进行判断是不是本身的在配置文件中注入实现userdetailservice的类，然后再认证管理器的标签中配置认证提供者位置在实现类中，动态查询数据库的user，并将username和password还有List《GrantedAuthority》 封装到框架中的User中。如果密码是明文不需要处理应该在前边拼接{noop}，在配置文件中指定拦截规则和访问所需要的权限或者角色。