好久没有写笔记,发现学的知识都容易忘记。最近顺便回顾,顺便将笔记写上,方便查看。
简单回顾
之前在写项目的时候写过一篇SpringSecurity和cas整合的文章,看起来有些模棱,还是分开,先明确一个,再明确一下这样接受起来应该会比较容易。这篇介绍了SpringSecurity的使用配置情况,以及本人所遇到的坑注意事项。
一丶最终配置如下
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo
http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!-- http:用于定义相关权限控制指定哪些资源不需要进行权限校验,可以使用通配符
-->
<security:http security="none" pattern="/js/**" />
<security:http security="none" pattern="/css/**" />
<security:http security="none" pattern="/img/**" />
<security:http security="none" pattern="/plugins/**" />
<security:http security="none" pattern="/login.html" />
<security:http auto-config="true" use-expressions="true">
<!--也可以采用如下配置,可以达到一样的效果-->
<security:intercept-url pattern="login.html" access="permitAll()"/>
<security:headers>
<!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
<security:frame-options policy="SAMEORIGIN"></security:frame-options>
</security:headers>
<!--配置拦截规则-->
<!--只要认证通过就可以访问-->
<security:intercept-url pattern="/pages/**" access="isAuthenticated()" />
<!--如果使用自己定义的登录页面,需要进行如下配置-->
<security:form-login
login-processing-url="/login.do"
username-parameter="username"
password-parameter="password"
login-page="/login.html"
default-target-url="/pages/main.html"
></security:form-login>
<!--CSRF是一个过滤器 disabled="true"表示关闭这个过滤器-->
<security:csrf disabled="true"></security:csrf>
<!--
logout:退出登录
logout-url:退出登录操作对应的请求路径
logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>
</security:http>
<!--配置认证管理器-->
<security:authentication-manager>
<security:authentication-provider user-service-ref="springSecurityUserService">
<!--指定密码加密策略-->
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager>
<!--配置密码加密对象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />
</beans>
二丶配置解析
- 配置释放静态资源
<security:http security="none" pattern="/js/**" />
<security:http security="none" pattern="/css/**" />
<security:http security="none" pattern="/img/**" />
<security:http security="none" pattern="/plugins/**" />
<security:http security="none" pattern="/login.html" />
- 匿名访问,使用permitAll(),注意标签所属位置
<security:intercept-url pattern="login.html" access="permitAll()"/>
- 认证信息配置,登录配置
<security:form-login
login-processing-url="/login.do"
username-parameter="username"
password-parameter="password"
login-page="/login.html"
default-target-url="/pages/main.html"
>
- 退出设置,会自动销毁session
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>
- 配置权限认证
<!--只要认证通过就都可以访问-->
<security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>
<!--ROLE_USER此角色才可以访问,还可以配置操作权限-->
<security:intercept-url pattern="/pages/**" access="hasRole('ROLE_USER')"/>hasAuthority(“a.html”)
<security:intercept-url pattern="/pages/**" access="hasAuthority('add')"/>
- 注解配置权限
<!--开启spring注解使用-->
<context:annotation-config></context:annotation-config>
<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />
@PreAuthorize("hasAuthority('add')")
- 加密配置:在配置文件中加入beanBCryptPasswordEncoder 同时在认证管理器标签中配置加密 然后在service中便可以对密码使用BCry进行加密注入BCryptPasswordEncoder。ecoding(密码)便可以进行加密而不用拼接{noop}表明是 明文,代码如下
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置一个具体的用户,后期需要从数据库查询用户
<security:user-service>
<security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
</security:user-service>
-->
<!--指定度密码进行加密的对象-->
<security:authentication-provider user-service-ref="springSecurityUserService">
<!--指定密码加密策略-->
<security:password-encoder ref="passwordEncoder" />
</security:authentication-provider>
</security:authentication-manager>
<!--配置密码加密对象-->
<bean id="passwordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
三丶Java代码可模仿以下demo
public class SpringSecurityUserService2 implements UserDetailsService {
@Autowired
private BCryptPasswordEncoder passwordEncoder;
//模拟数据库中的用户数据
public Map<String, User> map = new HashMap<>();
public void initUserData(){
User user1 = new User();
user1.setUsername("admin");
user1.setPassword(passwordEncoder.encode("admin"));//使用bcrypt提供的方法对密码进行加密
User user2 = new User();
user2.setUsername("xiaoming");
user2.setPassword(passwordEncoder.encode("1234"));
map.put(user1.getUsername(),user1);
map.put(user2.getUsername(),user2);
}
//根据用户名查询用户信息
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
initUserData();
System.out.println("用户输入的用户名为:" + username);
//根据用户名查询数据库获得用户信息(包含数据库中存储的密码信息)
User user = map.get(username);//模拟查询根据用户名查询数据库
if(user == null){
//用户名不存在
return null;
}else{
//将用户信息返回给框架
//框架会进行密码比对(页面提交的密码和数据库中查询的密码进行比对)
List<GrantedAuthority> list = new ArrayList<>();
//为当前登录用户授权,后期需要改为从数据库查询当前用户对应的权限
list.add(new SimpleGrantedAuthority("permission_A"));//授权
list.add(new SimpleGrantedAuthority("permission_B"));
if(username.equals("admin")){
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
list.add(new SimpleGrantedAuthority("add"));//授权
}
org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);
return securityUser;
}
}
}
四丶注意事项
-
授予角色和权限,list内add(new simpleGrantedAuthority(角色或者权限)) 针对项目修改springsecurity。xml配置文件 页面设置为只要认证都可以访问,而增删改查通过注解来控制权限。
-
通过iframe链接的受保护资源,在标签http中增加配置security:headers…固定配置 权限不足的时候可以提示在axiox请求中catch固定写法
-
在登录成功后,框架会将用户信息保存到上下文对象中,(基于session)
-
基于SecurityContextHolder.getContext().getAuthentication ()获得认证对象。getPrincipal()获得user对象,有用户名权限等数据
-
认证和授权 springSecurity 提供一个类实现userdetailservice 在配置登录页面的时候,不需要自己写controller,指定好页面和路径便可以 同时配置跳转页面, 同时因为使用自己配置的登录页面,框架会认为不安全,因此我们需要关闭csrf过滤器,才能跳转到自定义页面,而不用去他提供的 csrf过滤器是根据隐藏域表单一个_csrf字符串进行判断是不是本身的在配置文件中注入实现userdetailservice的类,然后再认证管理器的标签中配置认证提供者位置在实现类中,动态查询数据库的user,并将username和password还有List《GrantedAuthority》 封装到框架中的User中。如果密码是明文不需要处理应该在前边拼接{noop},在配置文件中指定拦截规则和访问所需要的权限或者角色。