1. Spring Security
Spring Security是 Spring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spring.io/projects/spring-security
常用的权限框架除了Spring Security,还有Apache的shiro框架。
2. 入门案例
坐标
<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId><version>5.0.5.RELEASE</version></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-config</artifactId><version>5.0.5.RELEASE</version></dependency>
配置web.xml
<!DOCTYPE web-app PUBLIC"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN""://java.sun.com/dtd/web-app_2_3.dtd" ><web-app><display-name>Archetype Created Web Application</display-name><filter><!--DelegatingFilterProxy用于整合第三方框架整合Spring Security时过滤器的名称必须为springSecurityFilterChain,否则会抛出NoSuchBeanDefinitionException异常--><filter-name>springSecurityFilterChain</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class></filter><filter-mapping><filter-name>springSecurityFilterChain</filter-name><url-pattern>/*</url-pattern></filter-mapping><servlet><servlet-name>springmvc</servlet-name><servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class><!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载 --><init-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring-security.xml</param-value></init-param><load-on-startup>1</load-on-startup></servlet><servlet-mapping><servlet-name>springmvc</servlet-name><url-pattern>*.do</url-pattern></servlet-mapping></web-app>
配置spring-security.xml
<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:context="http://www.springframework.org/schema/context"xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"xmlns:mvc="http://www.springframework.org/schema/mvc"xmlns:security="http://www.springframework.org/schema/security"xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans.xsdhttp://www.springframework.org/schema/mvchttp://www.springframework.org/schema/mvc/spring-mvc.xsdhttp://code.alibabatech.com/schema/dubbohttp://code.alibabatech.com/schema/dubbo/dubbo.xsdhttp://www.springframework.org/schema/contexthttp://www.springframework.org/schema/context/spring-context.xsdhttp://www.springframework.org/schema/securityhttp://www.springframework.org/schema/security/spring-security.xsd"><!--http:用于定义相关权限控制auto-config:是否自动配置设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等设置为false时需要显示提供登录表单配置,否则会报错use-expressions:用于指定intercept-url中的access属性是否使用表达式来描述权限--><security:http auto-config="true" use-expressions="true"><!--intercept-url:定义一个拦截规则pattern:对哪些url进行权限控制 /**表示拦截所有请求 /*只能 拦截/a.html /b.html 无法逻辑 /a/b/c.htmlaccess:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,请求的用户只需拥有其中的一个角色就能成功访问对应的URL指定所需的访问角色或者访问权限 hasRole()为表达式 如果表达式没有开启则值直接为角色名称--><security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" /></security:http><!--authentication-manager:认证管理器,用于处理认证操作--><security:authentication-manager><!--authentication-provider:认证提供者,执行具体的认证逻辑--><security:authentication-provider><!--user-service:用于获取用户信息,提供给authentication-provider进行认证--><security:user-service><!--user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息{noop}:表示当前使用的密码为明文--><security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/></security:user-service></security:authentication-provider></security:authentication-manager></beans>
3. 配置可匿名访问的资源
第一步:在项目中创建pages目录,在pages目录中创建a.html和b.html
第二步:在spring-security.xml文件中配置,指定哪些资源可以匿名访问
<!-- 配置资源匿名访问http:用于定义相关权限控制指定哪些资源不需要进行权限校验,可以使用通配符--><security:http security="none" pattern="/pages/a.html"/><security:http security="none" pattern="/pages/b.html"/><security:http security="none" pattern="/pages/**"/>
4. 指定登陆页面
Spring Security 框架默认提供了登陆页面给我们,我们需要自定义为自己的登陆页面
- 配置匿名访问
<security:http security="none" pattern="/login.html" />
- 修改spring-security.xml文件,加入表单登录信息的配置 为security:http子标签
<!--form-login:定义表单登录信息login-page:登陆页面username-parameter:用户输入框对应的namepassword-parameter:密码输入框对应的namelogin-processing-url:提交地址default-target-url:成功后默认跳转地址authentication-failure-url:失败后跳转页面--><security:form-login login-page="/login.html"username-parameter="username"password-parameter="password"login-processing-url="/login.do"default-target-url="/index.html"authentication-failure-url="/login.html"/>
- 修改spring-security.xml文件,关闭CsrfFilter过滤器 为security:http子标签
<!--csrf:对应CsrfFilter过滤器disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)--><security:csrf disabled="true"></security:csrf>
5. 从数据库查询用户信息
实现UserDetailsService接口 实现loadUserByUsername方法 获取到用户名
package com.itheima.service;import com.itheima.pojo.User;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import java.util.ArrayList;import java.util.HashMap;import java.util.Map;public class SpringSecurityUserService implements UserDetailsService {//模拟数据库中的用户数据public static Map<String, User> map = new HashMap<>();static {com.itheima.pojo.User user1 = new com.itheima.pojo.User();user1.setUsername("admin");user1.setPassword("admin");com.itheima.pojo.User user2 = new com.itheima.pojo.User();user2.setUsername("xiaoming");user2.setPassword("1234");map.put(user1.getUsername(), user1);map.put(user2.getUsername(), user2);}//根据用户名查询用户信息@Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {System.out.println(s);//根据用户名查询数据库获取用户信息(包含数据库中的信息)User user = map.get(s);if (user == null) {//用户名不存在return null;}//将用户信息返回给框架//框架会进行密码比对(页面与数据库中查询的密码对比)ArrayList<GrantedAuthority> list = new ArrayList<>();//为当前登录用户授权 后期改为数据库中对应的权限list.add(new SimpleGrantedAuthority("permission_A"));//授权list.add(new SimpleGrantedAuthority("permission_B"));list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色org.springframework.security.core.userdetails.User security = new org.springframework.security.core.userdetails.User(s, "{noop}" + user.getPassword(), list);//返回return security;}}
bean 绑定
<!--authentication-manager:认证管理器,用于处理认证操作--><security:authentication-manager><!--authentication-provider:认证提供者,执行具体的认证逻辑user-service-ref 为user实现类的beanid--><security:authentication-provider user-service-ref="userService"></security:authentication-provider></security:authentication-manager><bean id="userService" class="com.itheima.service.SpringSecurityUserService"></bean>
6. 密码加密
前面我们使用的密码都是明文的,这是非常不安全的。一般情况下用户的密码需要进行加密后再保存到数据库中。
常见的密码加密方式有:
3DES、AES、DES:使用对称加密算法,可以通过解密来还原出原始密码
MD5、SHA1:使用单向HASH算法,无法通过计算还原出原始密码,但是可以建立彩虹表进行查表破解
bcrypt:将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题
- 在spring-security.xml文件中指定密码加密对象
```xml
<!--追加 --><security:password-encoder ref="passwordEncoder"/></security:authentication-provider>
2.修改UserService实现类```javapackage com.itheima.service;import com.itheima.pojo.User;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import java.util.ArrayList;import java.util.HashMap;import java.util.Map;public class SpringSecurityUserService2 implements UserDetailsService {@Autowiredprivate BCryptPasswordEncoder passwordEncoder;//模拟数据库中的用户数据public Map<String, User> map = new HashMap<>();public void initUserDate() {User user1 = new User();user1.setUsername("admin");user1.setPassword(passwordEncoder.encode("admin")); //使用bcrypt进行加密User user2 = new User();user2.setUsername("xiaoming");user2.setPassword(passwordEncoder.encode("1234"));map.put(user1.getUsername(), user1);map.put(user2.getUsername(), user2);}//根据用户名查询用户信息@Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {initUserDate();System.out.println(s);//根据用户名查询数据库获取用户信息(包含数据库中的信息)User user = map.get(s);if (user == null) {//用户名不存在return null;}//将用户信息返回给框架//框架会进行密码比对(页面与数据库中查询的密码对比)ArrayList<GrantedAuthority> list = new ArrayList<>();//为当前登录用户授权 后期改为数据库中对应的权限list.add(new SimpleGrantedAuthority("permission_A"));//授权list.add(new SimpleGrantedAuthority("permission_B"));list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色org.springframework.security.core.userdetails.User security = new org.springframework.security.core.userdetails.User(s, user.getPassword(), list);//返回return security;}}
7. 配置多种校验规则
修改spring-security.xml文件:
<!--只要认证通过就可以访问--><security:intercept-url pattern="/index.jsp" access="isAuthenticated()" /><security:intercept-url pattern="/a.html" access="isAuthenticated()" /><!--拥有add权限就可以访问b.html页面--><security:intercept-url pattern="/b.html" access="hasAuthority('add')" /><!--拥有ROLE_ADMIN角色就可以访问c.html页面--><security:intercept-url pattern="/c.html" access="hasRole('ROLE_ADMIN')" /><!--拥有ROLE_ADMIN角色就可以访问d.html页面,注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_--><security:intercept-url pattern="/d.html" access="hasRole('ADMIN')" />
8. 注解权限控制
- 在spring-security.xml文件中配置组件扫描,用于扫描Controller
<mvc:annotation-driven></mvc:annotation-driven><context:component-scan base-package="com.itheima.controller"></context:component-scan>
- 在spring-security.xml文件中开启权限注解支持
<!--开启注解方式权限控制--><security:global-method-security pre-post-annotations="enabled" />
- 创建Controller类并在Controller的方法上加入注解进行权限控制 @PreAuthorize() ```java package com.itheima.controller;
import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.web.bind.annotation.RestController; import org.springframework.web.bind.annotation.RequestMapping;
@RestController @RequestMapping(“/hello”) public class HelloController { @RequestMapping(“/add”) @PreAuthorize(“hasAuthority(‘add’)”)//表示用户必须拥有add权限才能调用当前方法 public String add(){ System.out.println(“add…”); return “success”; }
@RequestMapping("/delete")@PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法public String delete(){System.out.println("delete...");return "success";}
}
<a name="a6e21065"></a># 9. 退出登陆在spring-security.xml文件 配置 为security:http子标签```xml<!--logout:退出登录logout-url:退出登录操作对应的请求路径logout-success-url:退出登录后的跳转页面--><security:logout logout-url="/logout.do"logout-success-url="/login.html" invalidate-session="true"/>
若有收获,就点个赞吧
0 人点赞
