认识SpringSecurity
Spring Security
是针对
Spring
项目的安全框架,也是
Spring Boot
底层安全模块默认的技术选型,他可以实现强大的Web安全控制进行少量的配置,即可实现强大的安全管理!
记住几个类:
WebSecurityConfigurerAdapter
: 自定义
Security
策略
AuthenticationManagerBuilder
:自定义认证策略
@EnableWebSecurity
:开启
WebSecurity
模式
Spring Security
的两个主要目标是
“
认证
”
和
“
授权
”
(访问控制)。
“
认证
”
(
Authentication
)
身份验证是关于验证您的凭据,如用户名
/
用户
ID
和密码,以验证您的身份。
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用
“
授权
”
(
Authorization
)
授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置, 几乎任何内容)的完全权限。
这个概念是通用的,而不是只在
Spring Security
中存在。
参考官网:
https://spring.io/projects/spring-security
查看我们自己项目中的版本,找到对应的帮助文档:
https://docs.spring.io/spring-security/site/docs/5.3.0.RELEASE/reference/html5
#servlet
applications 8.16.4
SpringSecurity 特点:
⚫
和 Spring 无缝整合。
⚫
全面的权限控制。
⚫
专门为 Web 开发而设计。
◼
旧版本不能脱离 Web 环境使用。
◼
新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独
引入核心模块就可以脱离 Web 环境。
⚫
重量级。
入门案例
添加一个配置类:
@EnableWebSecurity
public class websecurity extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin() // 表单登录
.and()
.authorizeRequests() // 认证配置
.anyRequest() // 任何请求
.authenticated(); // 都需要身份验证
}
}
Controller
package com.example.security1.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class RouterController {
@RequestMapping({"/", "/index"})
public String index() {
return "index";
}
@RequestMapping("/toLogin")
public String toLogin() {
return "views/login";
}
@RequestMapping("/level1/{id}")
public String level1(@PathVariable("id") int id) {
return "views/level1/" + id;
}
@RequestMapping("/level2/{id}")
public String level2(@PathVariable("id") int id) {
return "views/level2/" + id;
}
@RequestMapping("/level3/{id}")
public String level3(@PathVariable("id") int id) {
return "views/level3/" + id;
}
}
访问默认到达登录界面
基本原理
SpringSecurity
本质是一个过滤器链: 从启动是可以获取到过滤器链:
UserDetailsService 接口讲解
当什么也没有配置的时候,账号和密码是由
Spring Security
定义生成的。而在实际项目中
账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。
如果需要自定义逻辑时,只需要实现
UserDetailsService
接口即可。接口定义如下
// 表示获取登录用户所有权限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户名
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();
以下是 UserDetails 实现类,以后我们只需要使用
User
这个实体类即可!
PasswordEncoder 接口讲解
// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回
false。默认返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false; }
接口实现类
BCryptPasswordEncoder
是
Spring Security
官方推荐的密码解析器,平时多使用这个解析
器。
BCryptPasswordEncoder
是对
bcrypt
强散列方法的具体实现。是基于
Hash
算法实现的单
向加密。可以通过
strength
控制加密强度,默认
10
@Test
public void test01(){
// 创建密码解析器
BCryptPasswordEncoder bCryptPasswordEncoder = new
BCryptPasswordEncoder();
// 对密码进行加密
String atguigu = bCryptPasswordEncoder.encode("atguigu");
// 打印加密之后的数据
System.out.println("加密之后数据:\t"+atguigu);
//判断原字符加密后和加密之前是否匹配
boolean result = bCryptPasswordEncoder.matches("atguigu", atguigu);
// 打印比较结果
System.out.println("比较结果:\t"+result);
}
如何加载