第一步:
在pom文件中导入相关配置spring-boot-starter-security,fastjson,jjwt
写securityConfig配置类,该配置类需要继承WebSecurityConfigurerAdapter
然后我们可以重写里面的一些方法如 configure(HttpSecurity http)我们可以在里面配置白名单(可以不需要登录既可以访问),禁用csrf(可以防止伪造的跨域攻击),对请求进行相应的认证与授权,是否启用自带的登录页面,添加自定义过滤器(一定要将自定义的JWT过滤器添加在(spring内置的过滤器(UsernamePasswordAuthenticationFilter)之前)),
还可以在里面装配一些之后要用到的组件
,如:AuthenticationManager authenticationManagerBean()(要用自己的账号密码就要有这个配置),
,PasswordEncoder passwordEncoder()(加密需要用这个)
//要用自己的账号密码就要有这个配置
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
//加密需要用这个
@Bean
public PasswordEncoder passwordEncoder() {
log.debug("创建@Bean方法定义的对象:PasswordEncoder");
return new BCryptPasswordEncoder();
// return NoOpPasswordEncoder.getInstance(); // 无操作的密码编码器,即:不会执行加密处理
}
判断密码是否正确:
如果要使用spring security则必须要一个密码编码器,如没有则报错;
当Spring容器中存在密码编码器时,在Spring Security处理认证时会自动调用!
本质上,是调用了密码编码器的以下方法:
boolean matches(CharSequence rawPassword, String encodedPassword);
也就是说,Spring Security会使用用户提交的密码作为以上方法的第1个参数,使用`UserDetails`对象中的密码作为以上方法的第2个参数,然后根据调用以上方法返回的`boolean`结果来判断此用户是否能通过密码验证!
所以,如果配置了`BCryptPasswordEncoder`,则返回的`UserDetails`对象中的密码必须是BCrypt密文
//配置白名单
@Override
protected void configure(HttpSecurity http) throws Exception {
String [] urls={
"/doc.html",
"/**/*.js",
"/**/*.css",
"/swagger-resources",
"/v2/api-docs",
"/admins/login"
};
// 禁用CSRF(防止伪造的跨域攻击)
http.csrf().disable();
//启用spring security的corsFilter过滤器,此过滤器会放行跨域请求,
// ,包括预检的OPTIONS请求
http.cors();
http.authorizeRequests() // 对请求执行认证与授权
.antMatchers(urls) // 匹配某些请求路径
.permitAll() // (对此前匹配的请求路径)不需要通过认证即允许访问
// 以下2行代码是用于对预检的OPTIONS请求直接放行的
// .antMatchers(HttpMethod.OPTIONS, "/**")
// .permitAll()
//
.anyRequest() // 除以上配置过的请求路径以外的所有请求路径
.authenticated(); // 要求是已经通过认证的
//是否启用登录页面
// http.formLogin();
}
第二步
在默认情况下,spring security使用user作为用户名,使用随机的UUID作为密码登录,如果我们想要自定义账号密码来登录需要自定义一个类来实现UserDetailsService接口,然后强制重写loadUserByUsername(String username)方法,这个方法的返回值是
最低0.47元/天 解锁文章
1743
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
