spring security 基本介紹
這里就不對spring security進行過多的介紹了,具體的可以參考官方文檔
我就只說下springsecurity核心功能:
- 認證(你是誰)
- 授權(quán)(你能干什么)
- 攻擊防護(防止偽造身份)
基本環(huán)境搭建
這里我們以springboot作為項目的基本框架,我這里使用的是maven的方式來進行的包管理,所以這里先給出集成spring security的方式
|
1
2
3
4
5
6
7
8
|
<dependencies> ... <dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-security</artifactid> </dependency> ...</dependencies> |
然后建立一個web層請求接口
|
1
2
3
4
5
6
7
8
|
@restcontroller@requestmapping("/user")public class usercontroller { @getmapping public string getusers() { return "hello spring security"; }} |
接下來可以直接進行項目的運行,并進行接口的調(diào)用看看效果了。
通過網(wǎng)頁的調(diào)用
我們首先通過瀏覽器進行接口的調(diào)用,直接訪問http://localhost:8080/user,如果接口能正常訪問,那么應(yīng)該顯示“hello spring security”。
但是我們是沒法正常訪問的,出現(xiàn)了下圖的身份驗證輸入框
這是因為在springboot中,默認的spring security就是生效了的,此時的接口都是被保護的,我們需要通過驗證才能正常的訪問。 spring security提供了一個默認的用戶,用戶名是user,而密碼則是啟動項目的時候自動生成的。
我們查看項目啟動的日志,會發(fā)現(xiàn)如下的一段log
using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c
當(dāng)然你看到的password肯定和我是不一樣的,我們直接用user和啟動日志中的密碼進行登錄。
登錄成功后,就跳轉(zhuǎn)到了接口正常調(diào)用的頁面了。
如果不想一開始就使能spring security,可以在配置文件中做如下的配置:
|
1
2
|
# security 使能security.basic.enabled = false |
剛才看到的登錄框是springsecurity是框架自己提供的,被稱為httpbasiclogin。顯示它不是我們產(chǎn)品上想要的,我們前端一般是通過表單提交的方式進行用戶登錄驗證的,所以我們就需要自定義自己的認證邏輯了。
自定義用戶認證邏輯
每個系統(tǒng)肯定是有自己的一套用戶體系的,所以我們需要自定義自己的認證邏輯以及登錄界面。
這里我們需要先對springsecurity進行相應(yīng)的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
|
@configurationpublic class browersecurityconfig extends websecurityconfigureradapter { @override protected void configure(httpsecurity http) throws exception { http.formlogin() // 定義當(dāng)需要用戶登錄時候,轉(zhuǎn)到的登錄頁面。 .and() .authorizerequests() // 定義哪些url需要被保護、哪些不需要被保護 .anyrequest() // 任何請求,登錄后可以訪問 .authenticated(); }} |
接下來再配置用戶認證邏輯,因為我們是有自己的一套用戶體系的
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
@componentpublic class myuserdetailsservice implements userdetailsservice { private logger logger = loggerfactory.getlogger(getclass()); @override public userdetails loaduserbyusername(string username) throws usernamenotfoundexception { logger.info("用戶的用戶名: {}", username); // todo 根據(jù)用戶名,查找到對應(yīng)的密碼,與權(quán)限 // 封裝用戶信息,并返回。參數(shù)分別是:用戶名,密碼,用戶權(quán)限 user user = new user(userame, "123456", authorityutils.commaseparatedstringtoauthoritylist("admin")); return user; }} |
這里我們沒有進行過多的校驗,用戶名可以隨意的填寫,但是密碼必須得是“123456”,這樣才能登錄成功。
同時可以看到,這里user對象的第三個參數(shù),它表示的是當(dāng)前用戶的權(quán)限,我們將它設(shè)置為”admin”。
運行一下程序進行測試,會發(fā)現(xiàn)登錄界面有所改變
這是因為我們在配置文件中配置了http.formlogin()
我們這里隨便填寫一個user,然后password寫填寫一個錯誤的(非123456)的。這時會提示校驗錯誤:
同時在控制臺,也會打印出剛才登錄時填寫的user
現(xiàn)在我們再來使用正確的密碼進行登錄試試,可以發(fā)現(xiàn)就會通過校驗,跳轉(zhuǎn)到正確的接口調(diào)用頁面了。
userdetails
剛剛我們在寫myuserdetailsservice的時候,里面實現(xiàn)了一個方法,并返回了一個userdetails。這個userdetails 就是封裝了用戶信息的對象,里面包含了七個方法
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
public interface userdetails extends serializable { // 封裝了權(quán)限信息 collection<? extends grantedauthority> getauthorities(); // 密碼信息 string getpassword(); // 登錄用戶名 string getusername(); // 帳戶是否過期 boolean isaccountnonexpired(); // 帳戶是否被凍結(jié) boolean isaccountnonlocked(); // 帳戶密碼是否過期,一般有的密碼要求性高的系統(tǒng)會使用到,比較每隔一段時間就要求用戶重置密碼 boolean iscredentialsnonexpired(); // 帳號是否可用 boolean isenabled();} |
我們在返回userdetails的實現(xiàn)類user的時候,可以通過user的構(gòu)造方法,設(shè)置對應(yīng)的參數(shù)
密碼加密解密
springsecurity中有一個passwordencoder接口
|
1
2
3
4
5
6
|
public interface passwordencoder { // 對密碼進行加密 string encode(charsequence var1); // 對密碼進行判斷匹配 boolean matches(charsequence var1, string var2);} |
我們只需要自己實現(xiàn)這個接口,并在配置文件中配置一下就可以了。
這里我暫時以默認提供的一個實現(xiàn)類進行測試
|
1
2
3
4
5
|
// browersecurityconfig @beanpublic passwordencoder passwordencoder() { return new bcryptpasswordencoder(); } |
加密使用:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
|
@componentpublic class myuserdetailsservice implements userdetailsservice { private logger logger = loggerfactory.getlogger(getclass()); @autowired private passwordencoder passwordencoder; @override public userdetails loaduserbyusername(string username) throws usernamenotfoundexception { logger.info("用戶的用戶名: {}", username); string password = passwordencoder.encode("123456"); logger.info("password: {}", password); // 參數(shù)分別是:用戶名,密碼,用戶權(quán)限 user user = new user(username, password, authorityutils.commaseparatedstringtoauthoritylist("admin")); return user; }} |
這里簡單的對123456進行了加密的處理。我們可以進行測試,發(fā)現(xiàn)每次打印出來的password都是不一樣的,這就是配置的bcryptpasswordencoder所起到的作用。
個性化用戶認證邏輯
自定義登錄頁面
在之前的測試中,一直都是使用的默認的登錄界面,我相信每個產(chǎn)品都是有自己的登錄界面設(shè)計的,所以我們這一節(jié)了解一下如何自定義登錄頁面。
我們先寫一個簡單的登錄頁面
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
<!doctype html><html lang="en"><head> <meta charset="utf-8"> <title>登錄頁面</title></head><body> <h2>自定義登錄頁面</h2> <form action="/user/login" method="post"> <table> <tr> <td>用戶名:</td> <td><input type="text" name="username"></td> </tr> <tr> <td>密碼:</td> <td><input type="password" name="password"></td> </tr> <tr> <td colspan="2"><button type="submit">登錄</button></td> </tr> </table> </form></body></html> |
完成了登錄頁面之后,就需要將它配置進行springsecurity
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
// browersecurityconfig.java@overrideprotected void configure(httpsecurity http) throws exception { http.formlogin() // 定義當(dāng)需要用戶登錄時候,轉(zhuǎn)到的登錄頁面。 .loginpage("/login.html") // 設(shè)置登錄頁面 .loginprocessingurl("/user/login") // 自定義的登錄接口 .and() .authorizerequests() // 定義哪些url需要被保護、哪些不需要被保護 .antmatchers("/login.html").permitall() // 設(shè)置所有人都可以訪問登錄頁面 .anyrequest() // 任何請求,登錄后可以訪問 .authenticated() .and() .csrf().disable(); // 關(guān)閉csrf防護} |
這樣,每當(dāng)我們訪問被保護的接口的時候,就會調(diào)轉(zhuǎn)到login.html頁面
處理不同類型的請求
因為現(xiàn)在一般都前后端分離了,后端提供接口供前端調(diào)用,返回json格式的數(shù)據(jù)給前端。剛才那樣,調(diào)用了被保護的接口,直接進行了頁面的跳轉(zhuǎn),在web端還可以接受,但是在app端就不行了, 所以我們還需要做進一步的處理。
這里做一下簡單的思路整理
首先來寫自定義的controller,當(dāng)需要身份認證的時候就跳轉(zhuǎn)過來
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
@restcontrollerpublic class browsersecuritycontroller { private logger logger = loggerfactory.getlogger(getclass()); // 原請求信息的緩存及恢復(fù) private requestcache requestcache = new httpsessionrequestcache(); // 用于重定向 private redirectstrategy redirectstrategy = new defaultredirectstrategy(); /** * 當(dāng)需要身份認證的時候,跳轉(zhuǎn)過來 * @param request * @param response * @return */ @requestmapping("/authentication/require") @responsestatus(code = httpstatus.unauthorized) public baseresponse requireauthenication(httpservletrequest request, httpservletresponse response) throws ioexception { savedrequest savedrequest = requestcache.getrequest(request, response); if (savedrequest != null) { string targeturl = savedrequest.getredirecturl(); logger.info("引發(fā)跳轉(zhuǎn)的請求是:" + targeturl); if (stringutils.endswithignorecase(targeturl, ".html")) { redirectstrategy.sendredirect(request, response, "/login.html"); } } return new baseresponse("訪問的服務(wù)需要身份認證,請引導(dǎo)用戶到登錄頁"); }} |
當(dāng)然還需要將配置文件進行相應(yīng)的修改, 這里我就不貼代碼了。 就是將該接口開放出來 。
擴展:
這里我們是寫死了如果是從網(wǎng)頁訪問的接口,那么就跳轉(zhuǎn)到”/login.html”頁面,其實我們可以擴展一下,將該跳轉(zhuǎn)地址配置到配置文件中,這樣會更方便的。
自定義處理登錄成功/失敗
在之前的測試中,登錄成功了都是進行了頁面的跳轉(zhuǎn)。
在前后端分離的情況下,我們登錄成功了可能需要向前端返回用戶的個人信息,而不是直接進行跳轉(zhuǎn)。登錄失敗也是同樣的道理。
這里涉及到了spring security中的兩個接口authenticationsuccesshandler和authenticationfailurehandler。我們可以實現(xiàn)這個接口,并進行相應(yīng)的配置就可以了。 當(dāng)然框架是有默認的實現(xiàn)類的,我們可以繼承這個實現(xiàn)類再來自定義自己的業(yè)務(wù)
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
@component("myauthenctiationsuccesshandler")public class myauthenctiationsuccesshandler extends simpleurlauthenticationsuccesshandler { private logger logger = loggerfactory.getlogger(getclass()); @autowired private objectmapper objectmapper; @override public void onauthenticationsuccess(httpservletrequest request, httpservletresponse response, authentication authentication) throws ioexception, servletexception { logger.info("登錄成功"); response.setcontenttype("application/json;charset=utf-8"); response.getwriter().write(objectmapper.writevalueasstring(authentication)); }} |
這里我們通過response返回一個json字符串回去。
這個方法中的第三個參數(shù)authentication,它里面包含了登錄后的用戶信息(userdetails),session的信息,登錄信息等。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
@component("myauthenctiationfailurehandler")public class myauthenctiationfailurehandler extends simpleurlauthenticationfailurehandler { private logger logger = loggerfactory.getlogger(getclass()); @autowired private objectmapper objectmapper; @override public void onauthenticationfailure(httpservletrequest request, httpservletresponse response, authenticationexception exception) throws ioexception, servletexception { logger.info("登錄失敗"); response.setstatus(httpstatus.internal_server_error.value()); response.setcontenttype("application/json;charset=utf-8"); response.getwriter().write(objectmapper.writevalueasstring(new baseresponse(exception.getmessage()))); }} |
這個方法中的第三個參數(shù)authenticationexception,包括了登錄失敗的信息。
同樣的,還是需要在配置文件中進行配置,這里就不貼出全部的代碼了,只貼出相應(yīng)的語句
|
1
2
|
.successhandler(myauthenticationsuccesshandler) // 自定義登錄成功處理 .failurehandler(myauthenticationfailurehandler) // 自定義登錄失敗處理 |
代碼
完整的代碼可以點我查看
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持服務(wù)器之家。
原文鏈接:https://blog.csdn.net/u013435893/article/details/79596628
