spring security简介
什么是spring security
spring security 是基于 spring 的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上,spring security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。是一个轻量级的安全框架。它与 Spring MVC 有很好地集成.
spring security 核心功能
(1)认证(你是谁,用户/设备/系统)
(2)验证(你能干什么,也叫权限控制/授权,允许执行的操作)。
spring security 原理
基于 Filter , Servlet, AOP 实现身份认证和权限验证
spring security实例
初探spring security
- 创建 maven 项目
- 加入依赖:spring boot 依赖, spring security 依赖
<!--加入 spring boot --> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-parent</artifactId> <version>2.0.6.RELEASE</version> </parent> <!--web 开发相关依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!--spring security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
- 创建 Controller,接收请求
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
/**
* @author tao
* @date 2021-04-04 9:45
* 概要:
*/
@Controller
@RequestMapping()
public class HelloSecurityController {
@RequestMapping("/test1")
@ResponseBody
public String sayHello() {
return "Hello Spring Secuirty 安全管理框架";
}
}
- 框架生成的用户
用户名: user
密码: 在启动项目时,生成的临时密码。uuid
日志中生成的密码
generated security password: 9717464c-fafd-47b3-9995-2c18b24f7336 - 自定义用户名和密码
需要在 springboot 配置文件中设置登录的用户名和密码
在 resource 目录下面创建 spring boot 配置文件
application.yml(application.properties)security: user: name: Nick password: Nickname:自定义用户名称
password:自定义密码
-
关闭验证
//排除Security的配置,让他不启用 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) //@SpringBootApplication public class SercurityTest1Application { public static void main(String[] args) { SpringApplication.run(SercurityTest1Application.class, args); } }
使用内存中的用户信息
使用内存中的用户信息是指在服务器的内存中简单的配置用户信息,进行权限相应的配置,可以更灵活的进行功能测试,并没有使用数据库。
1)使用:WebSecurityConfigurerAdapter 控制安全管理的内容。
需要做的使用:继承 WebSecurityConfigurerAdapter,重写方法。实现
自定义的认证信息。重写下面的方法。
protected void configure(AuthenticationManagerBuilder auth)
2)spring security 5 版本要求密码进行加密,否则报错
java.lang.IllegalArgumentException: There is no PasswordEncoder
mapped for the id "null"
实现密码加密:
- 创建用来加密的实现类(选择一种加密的算法)
@Bean
public PasswordEncoder passwordEncoder(){
//创建 PasawordEncoder 的实现类, 实现类是加密算法
return new BCryptPasswordEncoder();
}
- 给每个密码加密
PasswordEncoder pe = passwordEncoder();
pe.encode("123456")
3)示例代码如下
package cn.kt.sercurity_test1.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
/**
* @author tao
* @date 2021-04-04 10:39
* 概要:使用内存中的用户信息
*/
/*
* @EnableGlobalMethodSecurity:启用方法级别的认证
* prePostEnabled:默认是false
* true:表示可以使用@PreAuthorize 和 @PostAuthorize
*/
@Configuration
@EnableWebSecurity
public class MySecurityConfig {
//在方法中配置用户和密码的信息、作为登录信息
//定义两个角色 normal admin
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
PasswordEncoder pe = passwordEncoder();
auth.inMemoryAuthentication().withUser("admin").password(pe.encode("admin")).roles();
auth.inMemoryAuthentication().withUser("Nick").password(pe.encode("Nick")).roles();
auth.inMemoryAuthentication().withUser("Amy").password(pe.encode("Amy")).roles();
}
//创建密码的加密类
@Bean
public PasswordEncoder passwordEncoder() {
//创建PasswordEncoder的实现类,实现类是加密算法
return new BCryptPasswordEncoder();
}
}
注解:
1. @Configuration :表示当前类是一个配置类(相当于是 spring 的 xml
配置文件),在这个类方法的返回值是 java 对象,这些对象放入到
spring 容器中。
2. @EnableWebSecurity:表示启用 spring security 安全框架的功能
3. @Bean:把方法返回值的对象,放入到 spring 容器中。
基于角色 Role 的身份认证
基于角色的实现步骤:
1、设置用户的角色
继承 WebSecurityConfigurerAdapter
重写 configure 方法。指定用户的 roles
auth.inMemoryAuthentication().withUser("admin").password(pe.encode("admin")).roles("admin","normal");
2、在类的上面加入启用方法级别的注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
}
加上@EnableGlobalMethodSecurity(prePostEnabled = true)注解之后在方法层面,就可以手动使用使用@PreAuthorize 指定在方法之前进行角色的认证,指定方法可以访问的角色列表。
如:hasAnyRole('角色名称 1','角色名称 N');
package cn.kt.sercurity_test1.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
/**
* @author tao
* @date 2021-04-04 11:10
* 概要:
*/
@RestController
public class AuthorizeSecurityController {
//指定 normal和admin都可以访问的通用的方法
@RequestMapping("/testUser")
@PreAuthorize(value = "hasAnyRole('admin','normal')")
public String testUser() {
return "Hello Spring Secuirty normal和admin都可以访问的通用的方法";
}
//指定 admin访问的专有的方法
@RequestMapping("/testAdmin")
@PreAuthorize(value = "hasAnyRole('admin')")
public String testAdmin() {
return "Hello Spring Secuirty admin访问的专有的方法";
}
}
3、或者在配置类中,进行权限的统一配置
如以下编写的配置类:
package cn.kt.securitytest2.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
// @EnableWebSecurity已经自动导入了配置注解@Configuration,可以不不用重复添加
@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
//super.configure(http);
//定制请求的授权规则
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("VIP1")
.antMatchers("/level2/**").hasRole("VIP2")
.antMatchers("/level3/**").hasRole("VIP3");
//开启自动配置的登陆功能,效果,如果没有登陆,没有权限就会来到登陆页面
http.formLogin().usernameParameter("user").passwordParameter("pwd")
.loginPage("/userlogin");
//1、/login来到登陆页
//2、重定向到/login?error表示登陆失败
//3、更多详细规定
//4、默认post形式的 /login代表处理登陆,
//5、自定义登录后,默认POST的账号为username参数,密码而password参数,可以通过usernameParameter()和passwordParameter()自定义修改
//6、一但定制loginPage;那么 loginPage的post请求就是登陆
//开启自动配置的注销功能。
http.logout().logoutSuccessUrl("/");//注销成功以后来到首页
//1、访问 /logout 表示用户注销,清空session
//2、注销成功会返回 /login?logout 页面;
//开启记住我功能
http.rememberMe().rememberMeParameter("remeber");
//登陆成功以后,将cookie发给浏览器保存,以后访问页面带上这个cookie,只要通过检查就可以免登录
//点击注销会删除cookie
//自已的登陆页面记住我功能需要传递一个remember-me的布尔型参数判断是否记住登录,可以通过rememberMeParameter()来自定义记住我传递的参数名
// 静态资源等等不需要认证
http.authorizeRequests().antMatchers(
HttpMethod.GET,
"/*.html",
"/**/*.html",
"/**/*.css",
"/**/*.js",
"/webSocket/**"
).permitAll();
}
//定义认证规则
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//super.configure(auth);
PasswordEncoder pe = passwordEncoder();
auth.inMemoryAuthentication()
.withUser("zhangsan").password(pe.encode("123456")).roles("VIP1", "VIP2")
.and()
.withUser("lisi").password(pe.encode("123456")).roles("VIP2", "VIP3")
.and()
.withUser("wangwu").password(pe.encode("123456")).roles("VIP1", "VIP3");
}
//创建密码的加密类
@Bean
public PasswordEncoder passwordEncoder() {
//创建 PasawordEncoder 的实现类, 实现类是加密算法
return new BCryptPasswordEncoder();
}
}
注意:
1. 重写protected void configure(HttpSecurity http) throws Exception {}方法进行权限的授权控制
2. http.authorizeRequests().antMatchers("/").permitAll()表示所有人可以访问”/“首页;http.authorizeRequests().antMatchers("/level1/").hasRole("VIP1")表示只有有"VIP1"权限的人,才可以访问”/level1/xxx"页面下的内容。相应的很有必要添加静态资源不需要授权。**
3. http.formLogin()开启自动配置的登陆功能,效果:如果没有登陆,没有权限就会来到登陆页面,相应的也可以按照代码中的注释来自定义登录规则
4. http.logout().logoutSuccessUrl("/")开启自动配置的注销功能,注销成功以后来到首页,并且清空session
5. http.rememberMe()开启记住我功能,会将cookie发给浏览器保存,以后访问页面带上这个cookie,只要通过检查就可以免登录
基于数据库认证
集成步骤
1、 数据库脚本
DROP TABLE IF EXISTS `role`; CREATE TABLE `role` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键', `nameEN` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色英文名称', `nameZh` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色中文名称', PRIMARY KEY (`id`) USING BTREE ) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact; INSERT INTO `role` VALUES (1, 'VIP1', 'I类VIP'); INSERT INTO `role` VALUES (2, 'VIP2', 'II类VIP'); INSERT INTO `role` VALUES (3, 'VIP3', 'III类VIP'); DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键', `username` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '用户名', `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '用户密码', `enabled` tinyint(1) NULL DEFAULT NULL COMMENT '是否启用', `locked` tinyint(1) NULL DEFAULT NULL COMMENT '是否被锁定', `expired` tinyint(1) NULL DEFAULT NULL COMMENT '账户是否过期', `credentialsExpire` tinyint(1) NULL DEFAULT NULL COMMENT '凭据是否过期', PRIMARY KEY (`id`) USING BTREE ) ENGINE = InnoDB AUTO_INCREMENT = 12 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact; INSERT INTO `user` VALUES (1, 'zhangsan', '$2a$10$Ch8lK9.urrzsihbr3y9.ruEeWFe0s35JabDkhZt12q.x2bmrIAK7S', 1, 0, 0, 0); INSERT INTO `user` VALUES (2, 'lisi', '$2a$10$NhYY27nG1V8LW4qLW5jfje/MwYpU/f6inh7X5rt/KJmJ1/tSUI9Nm', 1, 0, 0, 0); INSERT INTO `user` VALUES (3, 'wangwu', '$2a$10$Z.YoIEK/Y1LTKOBBcI0U8Os/3nwe3gYsbRjoJnAiNIqbygIalYw2O', 1, 0, 0, 0); DROP TABLE IF EXISTS `user_role`; CREATE TABLE `user_role` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键', `uid` int(11) NULL DEFAULT NULL COMMENT '用户id', `rid` int(11) NULL DEFAULT NULL COMMENT '角色id', PRIMARY KEY (`id`) USING BTREE ) ENGINE = InnoDB AUTO_INCREMENT = 18 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact; INSERT INTO `user_role` VALUES (1, 1, 1); INSERT INTO `user_role` VALUES (2, 1, 2); INSERT INTO `user_role` VALUES (3, 2, 2); INSERT INTO `user_role` VALUES (4, 2, 3); INSERT INTO `user_role` VALUES (5, 3, 3); INSERT INTO `user_role` VALUES (6, 3, 1);
密码明文都为123。
配置数据库
spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/securitydb?characterEncoding=utf8 spring.datasource.username=root spring.datasource.password=123456
2、实体类
User.java
package cn.kt.securitytest2.domin;
/**
* Created by tao.
* Date: 2021/10/27 10:39
* 描述:
*/
import lombok.Getter;
import lombok.Setter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import javax.persistence.*;
import java.io.Serializable;
import java.util.*;
@Entity
@Getter
@Setter
@Table(name = "user")
public class User implements UserDetails, Serializable {
@Id
@Column(name = "id")
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(name = "username")
private String username;
@Column(name = "password")
private String password;
@Column(name = "enabled")
private Boolean enabled;
@Column(name = "locked")
private Boolean locked;
@Column(name = "expired")
private Boolean expired;
@Column(name = "credentialsexpire")
private Boolean credentialsExpire;
@ManyToMany(targetEntity = Role.class, fetch = FetchType.EAGER, cascade = CascadeType.MERGE)
@JoinTable(name = "user_role",
//joinColumns配置当前对象在中间表中的外键(第一个参数是中间表的字段,第二个参数是本表对应的字段)
joinColumns = {@JoinColumn(name = "uid", referencedColumnName = "id")},
//inverseJoinColumns配置对方对象在中间表中的外键
inverseJoinColumns = {@JoinColumn(name = "rid", referencedColumnName = "id")}
)
private Set<Role> roles = new HashSet<Role>();
@Override
public Collection<? extends GrantedAuthority> getAuthorities() { //返回用户的所有角色
List<SimpleGrantedAuthority> authorities = new ArrayList<SimpleGrantedAuthority>();
for (Role role : roles) {
authorities.add(new SimpleGrantedAuthority(role.getNameEN()));
}
return authorities;
}
@Override
public boolean isAccountNonExpired() { //账户是否未过期
return expired;
}
@Override
public boolean isAccountNonLocked() { //账户是否未锁定
return locked;
}
@Override
public boolean isCredentialsNonExpired() { //凭证是否未过期
return credentialsExpire;
}
@Override
public boolean isEnabled() { //账户是否可用
return enabled;
}
@Override
public String toString() {
return "User{" +
"id=" + id +
", username='" + username + '\'' +
", password='" + password + '\'' +
", enabled=" + enabled +
", locked=" + locked +
", expired=" + expired +
", credentialsExpire=" + credentialsExpire +
", roles=" + roles +
'}';
}
}
Role.java
package cn.kt.securitytest2.domin;
import com.fasterxml.jackson.annotation.JsonIgnore;
import lombok.Getter;
import lombok.Setter;
import javax.persistence.*;
import java.io.Serializable;
import java.util.HashSet;
import java.util.Set;
/**
* Created by tao.
* Date: 2021/10/27 10:39
* 描述:
*/
@Entity
@Getter
@Setter
@Table(name = "role")
public class Role implements Serializable {
@Id
@Column(name = "id")
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(name = "nameen")
private String nameEN;
@Column(name = "namezh")
private String nameZh;
//多对多关系映射
@ManyToMany(mappedBy = "roles", fetch = FetchType.EAGER)
@JsonIgnore
private Set<User> users = new HashSet<User>();
@Override
public String toString() {
return "Role{" +
"id=" + id +
", nameEN='" + nameEN + '\'' +
", nameZh='" + nameZh + '\'' +
'}';
}
}
这里使用的JPA的的多对多映射关系,这里可以看自己的习惯,不一定要使用多对多。
3、security配置文件
基于数据库认证的配置文件中,和基于内存数据最大的不同是User和Role都来源于数据库。
因此配置文件的配置也是如此。
@Autowired
UserSerivice userService;
//定义认证规则
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//super.configure(auth);
/*PasswordEncoder pe = passwordEncoder();
auth.inMemoryAuthentication()
.withUser("zhangsan").password(pe.encode("123456")).roles("VIP1", "VIP2")
.and()
.withUser("lisi").password(pe.encode("123456")).roles("VIP2", "VIP3")
.and()
.withUser("wangwu").password(pe.encode("123456")).roles("VIP1", "VIP3");*/
auth.userDetailsService(userService);
}
//创建密码的加密类
@Bean
public PasswordEncoder passwordEncoder() {
//创建 PasawordEncoder 的实现类, 实现类是加密算法
return new BCryptPasswordEncoder();
}
4、编写dao层
UserRepository.java
package cn.kt.securitytest2.repository;
import cn.kt.securitytest2.domin.User;
import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.data.jpa.repository.JpaSpecificationExecutor;
/**
* Created by tao.
* Date: 2021/10/27 13:30
* 描述:
*/
public interface UserRepository extends JpaRepository<User, Long>, JpaSpecificationExecutor<User> {
public User findByUsername(String username);
}
- 编写实现了UserDetailsService接口的Sercie层
UserService.java
package cn.kt.securitytest2.service;
import cn.kt.securitytest2.domin.Role;
import cn.kt.securitytest2.domin.User;
import cn.kt.securitytest2.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import java.util.ArrayList;
import java.util.List;
/**
* Created by tao.
* Date: 2021/10/27 14:29
* 描述:
*/
@Service
public class UserSerivice implements UserDetailsService {
@Autowired
private UserRepository userRepository;
/**
* 根据用户名查询用户信息
*/
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
org.springframework.security.core.userdetails.User userdetail = null;
User user = userRepository.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException("用户不存在");
}
if (user.getRoles().size() != 0) {
List<GrantedAuthority> list = new ArrayList<>();
//角色必须以ROLE_开头
for (Role role : user.getRoles()) {
GrantedAuthority authority = new SimpleGrantedAuthority("ROLE_" + role.getNameEN());
list.add(authority);
}
//创建User对象
userdetail = new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), list);
}
return userdetail;
}
}
这里需要注意要把信息数据放在org.springframework.security.core.userdetails.User userdetail = null; 的User实体类里面然后返回。
接下来就可以测试效果了。
测试效果
数据库信息如下
一个需要登录的demo
根据数据库的信息登录之后
可以注销之后登录lisi
Demo源码
链接:https://pan.baidu.com/s/1XwuSRA5cxIf22zXs0KRb9A
提取码:bjz4
