第一步:
在pom文件中导入相关配置spring-boot-starter-security,fastjson,jjwt
写securityConfig配置类,该配置类需要继承WebSecurityConfigurerAdapter
然后我们可以重写里面的一些方法如 configure(HttpSecurity http)我们可以在里面配置白名单(可以不需要登录既可以访问),禁用csrf(可以防止伪造的跨域攻击),对请求进行相应的认证与授权,是否启用自带的登录页面,添加自定义过滤器(一定要将自定义的JWT过滤器添加在(spring内置的过滤器(UsernamePasswordAuthenticationFilter)之前)),
还可以在里面装配一些之后要用到的组件
,如:AuthenticationManager authenticationManagerBean()(要用自己的账号密码就要有这个配置),
,PasswordEncoder passwordEncoder()(加密需要用这个)
//要用自己的账号密码就要有这个配置 @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); }
//加密需要用这个 @Bean public PasswordEncoder passwordEncoder() { log.debug("创建@Bean方法定义的对象:PasswordEncoder"); return new BCryptPasswordEncoder(); // return NoOpPasswordEncoder.getInstance(); // 无操作的密码编码器,即:不会执行加密处理 } 判断密码是否正确: 如果要使用spring security则必须要一个密码编码器,如没有则报错; 当Spring容器中存在密码编码器时,在Spring Security处理认证时会自动调用! 本质上,是调用了密码编码器的以下方法: boolean matches(CharSequence rawPassword, String encodedPassword); 也就是说,Spring Security会使用用户提交的密码作为以上方法的第1个参数,使用`UserDetails`对象中的密码作为以上方法的第2个参数,然后根据调用以上方法返回的`boolean`结果来判断此用户是否能通过密码验证! 所以,如果配置了`BCryptPasswordEncoder`,则返回的`UserDetails`对象中的密码必须是BCrypt密文
//配置白名单 @Override protected void configure(HttpSecurity http) throws Exception { String [] urls={ "/doc.html", "/**/*.js", "/**/*.css", "/swagger-resources", "/v2/api-docs", "/admins/login" }; // 禁用CSRF(防止伪造的跨域攻击) http.csrf().disable(); //启用spring security的corsFilter过滤器,此过滤器会放行跨域请求, // ,包括预检的OPTIONS请求 http.cors(); http.authorizeRequests() // 对请求执行认证与授权 .antMatchers(urls) // 匹配某些请求路径 .permitAll() // (对此前匹配的请求路径)不需要通过认证即允许访问 // 以下2行代码是用于对预检的OPTIONS请求直接放行的 // .antMatchers(HttpMethod.OPTIONS, "/**") // .permitAll() // .anyRequest() // 除以上配置过的请求路径以外的所有请求路径 .authenticated(); // 要求是已经通过认证的 //是否启用登录页面 // http.formLogin(); }
第二步
在默认情况下,spring security使用user作为用户名,使用随机的UUID作为密码登录,如果我们想要自定义账号密码来登录需要自定义一个类来实现UserDetailsService接口,然后强制重写loadUserByUsername(String username)方法,这个方法的返回值是