代码底层流程:重点看三个过滤器:
1.FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。
super.beforeInvocation(fi) 表示查看之前的filter 是否通过。
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。
2.ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常
3.UsernamePasswordAuthenticationFilter :对/login的POST请求做拦截,校验表单中用户名,密码。
UserDetailsService接口讲解
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。
如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:
package org.springframework.security.core.userdetails;
public interface UserDetailsService {
UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}
⚫ 返回值UserDetails
这个类是系统默认的用户“主体”
// 表示获取登录用户所有权限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();
以下是UserDetails实现类
package org.springframework.security.core.userdetails;
import java.io.Serializable;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
以后我们只需要使用User 这个实体类即可!
⚫ 方法参数 username
表示用户名。此值是客户端表单传递过来的数据。默认情况下必须叫username,否则无法接收。
PasswordEncoder 接口讲解
// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回true;如果不匹配,则返回false。第一个参数表示需要被解析的密码。第二个参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回true,否则返回false。默认返回false。
default boolean upgradeEncoding(String encodedPassword) { return false; }
接口实现类
BCryptPasswordEncoder是Spring Security官方推荐的密码解析器,平时多使用这个解析器。
BCryptPasswordEncoder是对bcrypt强散列方法的具体实现。是基于Hash算法实现的单向加密。可以通过strength控制加密强度,默认10.
⚫ 查用方法演示
public static void main(String[] args) {
// 创建密码解析器
BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
// 对密码进行加密
String hello = bCryptPasswordEncoder.encode("hello");
// 打印加密之后的数据
System.out.println("加密之后数据:\t" + hello);
// 判断原字符加密后和加密之前是否匹配
boolean result = bCryptPasswordEncoder.matches("hello", hello);
// 打印比较结果
System.out.println("比较结果:\t" + result);
}
打印結果
SpringSecurity Web权限方案
启动类
@SpringBootApplication
@MapperScan("com.security.mapper")
public class SecurityApplication {
public static void main(String[] args) {
SpringApplication.run(SecurityApplication.class, args);
}
}
设置登录系统的账号、密码
方式一:在application.properties
spring.security.user.name=用户名
spring.security.user.password=密码
方式二:编写配置类
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//密码加密
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
auth.inMemoryAuthentication().withUser("yzh").password(passwordEncoder.encode("123")).roles("user");
}
//需要手动注入该类
@Bean
PasswordEncoder password() {
return new BCryptPasswordEncoder();
}
}
方式三:自定义登录,从数据库中查询用户名密码
第一部与编写配置类,设置使用那份 UserDetailsService 的实现类
/**
* @author
* @create 2020-12-19 11:44
* 第一部与编写配置类,设置使用那份 UserDetailsService 的实现类
*/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
UserDetailsService userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(password());
}
@Bean
PasswordEncoder password() {
return new BCryptPasswordEncoder();
}
}
**
第二步,定义UserDetailsService 实现类 返回User对象,user对象有操作用户名密码,和操作权限
查询数据库
@Service("userDetailsService")//和配置类注入的service对应起来
public class MyUserDetailService implements UserDetailsService {
@Autowired
UserMapper userMapper;
/**
* @param s 表单提交的用户名
* @return
*/
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
//根据用户名查询数据库
QueryWrapper<Users> queryWrapper = new QueryWrapper<>();
queryWrapper.eq("username", s);
Users users = userMapper.selectOne(queryWrapper);
if (users == null) {
throw new UsernameNotFoundException("用户名不存在");
}
//此处集合应该是从数据空中查出的权限
List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
//从数据库中查询名密码,权限不能是null
return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword()),auths);
}
}
UserDetailsService 详细配置
/**
* @author
* @create 2020-12-19 11:44
* 第一部与编写配置类,设置使用那份 UserDetailsService 的实现类
*/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
UserDetailsService userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(password());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()//自定义编写登录页面
//登录页面设置
.loginPage("/login.html")
//登录访问路径,点击登录后,form表单提交到那个controller
.loginProcessingUrl("/user/login")
//登录成功后访问的路径Controller
.defaultSuccessUrl("/success/index").permitAll()
//设置那些路径不需要认证,可以直接访问
.and().authorizeRequests()
.antMatchers("/", "/user/login", "/success/index").permitAll()
//所有请求都可以访问
//.anyRequest().authenticated()
.and().csrf().disable();//关闭csrf防护
}
@Bean
PasswordEncoder password() {
return new BCryptPasswordEncoder();
}
}
权限设置hasAuthority()
hasAuthority()针对单个(某个)权限,用户只有一个权限
第一步在配置类中,配置
第二步,在实现UserDetailService中,加入权限
权限设置hasAnyAuthority()
hasAnyAuthority();可以针对多个权限
角色hasRole()
hasRole(),单个角色
前缀 ROLE_
角色hasAnyRole(“userRole,admin”)
可以设置多个角色权限
退出功能
<a href="/logout">退出</a>
//退出功能,logoutUrl("/logout"):退出请求,logoutSuccessUrl("/success/logoutIndex"):退出后的请求地址
http.logout().logoutUrl("/logout").logoutSuccessUrl("/security/logoutIndex").permitAll();
@RestController
@RequestMapping("/security")
public class SecurityController {
//退出登录后跳转页面
@RequestMapping("/logoutIndex")
public String logout() {
return "index.html";
}
}
自动登录,记住我功能
第一步
配置cookie存储数据库源
本例中使用了 springboot 管理的数据库源,所以注意要配置spring-boot-starter-jdbc的依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
第二部
会自动在数据库创建表
注意:在数据库源配置之前,建议手动在数据库中新增一张保存的cookie表,其数据库脚本在JdbcTokenRepositoryImpl的静态属性中配置了:
因此可以事先执行以下sql 脚本创建表:
create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null);
当然,JdbcTokenRepositoryImpl自身还有一个setCreateTableOnStartup()方法进行开启自动建表操作,但是不建议使用。
当成功登录之后,RememberMeService会将成功登录请求的cookie存储到配置的数据库中
第三部
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
UserDetailsService userDetailsService;
//注入数据源
@Autowired
DataSource dataSource;
//记住我功能
@Bean
public PersistentTokenRepository persistentTokenRepository() {
JdbcTokenRepositoryImpl JdbcTokenRepository = new JdbcTokenRepositoryImpl();
// 将 DataSource 设置到 PersistentTokenRepository
JdbcTokenRepository.setDataSource(dataSource);
// 第一次启动的时候自动建表(可以不用这句话,自己手动建表,源码中有语句的)
// JdbcTokenRepository.setCreateTableOnStartup(true);
return JdbcTokenRepository;
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(password());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()//自定义编写登录页面
//登录页面设置
.loginPage("/login.html")
//登录访问路径,点击登录后,form表单提交到那个controller
.loginProcessingUrl("/user/login")
//登录成功后访问的路径Controller,/success/index
.defaultSuccessUrl("/success/index").permitAll()
//设置那些路径不需要认证,可以直接访问
.and().authorizeRequests()
.antMatchers("/", "/user/login", "/success/index").permitAll()
//hasRole(),只能设置单个角色 'ROLE_"
.antMatchers("/user/add").hasAnyRole("userRole")
//所有请求都可以访问
//.anyRequest().authenticated()
.and()
.rememberMe()//记住我功能
.tokenRepository(persistentTokenRepository())
.tokenValiditySeconds(60)//设置有效时长,单位秒
.userDetailsService(userDetailsService)
.and().csrf().disable();//关闭csrf防护
//自定义没有权限跳转页面
http.exceptionHandling().accessDeniedPage("/403.html");
//退出功能,logoutUrl("/logout"):退出请求,logoutSuccessUrl("/success/logoutIndex"):退出后的请求地址
http.logout().logoutUrl("/logout").logoutSuccessUrl("/security/logoutIndex").permitAll();
}
@Bean
PasswordEncoder password() {
return new BCryptPasswordEncoder();
}
}
第四部
此处:name 属性值必须位remember-me.不能改为其他值
<form action="/user/login" method="post">
用户名:<input type="text" name="username"/>
密码: <input type="text" name="password"/>
记住我:<input type="checkbox"name="remember-me"title="记住密码"/><br/>
<input type="submit" value="登录"/>
</form>
<a href="/logout">退出</a>
CSRF理解
**跨站请求伪造(**英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序
,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。
在登录页面添加一个隐藏域:
<input type="hidden"th:if="${_csrf}!=null"th:value="${_csrf.token}"name="_csrf"/>
<form action="/user/login" method="post">
<input type="hidden"th:if="${_csrf}!=null"th:value="${_csrf.token}"name="_csrf"/>
用户名:<input type="text" name="username"/>
密码: <input type="text" name="password"/>
记住我:<input type="checkbox"name="remember-me"title="记住密码"/><br/>
<input type="submit" value="login"/>
</form>
关闭安全配置的类中的csrf
// http.csrf().disable();