环境准备

需求分析

image.png
login.html 页面:不需要登录就可以访问
index.html 页面:登录后才能访问,在该页面中有 业务1,业务2、日志管理 和 用户管理 共4个连接
syslog.html 页面、sysuser.html 页面: 登录后,需要 admin用户才能访问
bizi1.html 页面、biz2.html 页面:登录后,就可以访问

创建父工程

父工程的工程名:spring-security-demo,在父工程中 声明使用 SpringBoot的版本号

  1. <dependencyManagement>
  2.         <dependencies>
  3.             <dependency>
  4.                 <groupId>org.springframework.boot</groupId>
  5.                 <artifactId>spring-boot-starter-parent</artifactId>
  6.                 <version>2.2.4.RELEASE</version>
  7.                 <type>pom</type>
  8.                 <scope>import</scope>
  9.             </dependency>
  10.         </dependencies>
  11.     </dependencyManagement>

创建子工程

子工程的工程名:basic-server,主要引入 web 和 thymeleaf 依赖

  1.                 <dependency>
  2.             <groupId>org.springframework.boot</groupId>
  3.             <artifactId>spring-boot-starter-web</artifactId>
  4.         </dependency>
  6.         <dependency>
  7.             <groupId>org.springframework.boot</groupId>
  8.             <artifactId>spring-boot-starter-thymeleaf</artifactId>
  9.         </dependency>

创建 application.yml

在该文件中定义端口号

  1. server:
  2.   port: 9999

创建页面

页面存放的位置以及名称如图:
image.png

html 文件放在 static 和 templates 文件夹下的区别? html 文件放在 static 是不需要经过模板引擎的渲染,即可直接访问到 而放在 templates 下的html是经过模板引擎渲染的,也就是需要 controller 类中的方法返回字符串(视图名)

login页面

  1. <!DOCTYPE html>
  2. <html lang="en">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <title>登录页面</title>
  6. </head>
  7. <body>
  9. <form action="/login" method="post">
  10.     <span>用户名称</span><input type="text" name="username" /> <br>
  11.     <span>用户密码</span><input type="password" name="password" /> <br>
  12.     <input type="submit" value="登陆">
  13. </form>
  15. </body>
  16. </html>

index页面

  1. <!DOCTYPE html>
  2. <html>
  3. <head lang="en">
  4.     <meta charset="UTF-8" />
  5. </head>
  6. <body>
  8. <br>
  9. <a href="/syslog">日志管理</a>
  10. <br>
  11. <a href="/sysuser">用户管理</a>
  12. <br>
  13. <a href="/biz1">具体业务一</a>
  14. <br>
  15. <a href="/biz2">具体业务二</a>
  18. </body>
  19. </html>

业务1页面

  1. <h1>具体业务一</h1>

业务2页面

  1. <h1>具体业务二</h1>

日志管理页面

  1. <h1>日志管理</h1>

用户管理页面

  1. <h1>用户管理</h1>

main方法

  1. @SpringBootApplication
  2. public class Application {
  4.     public static void main(String[] args) {
  5.         SpringApplication.run(Application.class, args);
  6.     }
  8. }

controller处理请求

  1. @Controller
  2. public class HelloController {
  3.     // 首页
  4.     @GetMapping("/index")
  5.     public String index() {
  6.         return "index";
  7.     }
  9.     // 日志管理
  10.     @GetMapping("/syslog")
  11.     public String showOrder() {
  12.         return "syslog";
  13.     }
  15.     // 用户管理
  16.     @GetMapping("/sysuser")
  17.     public String addOrder() {
  18.         return "sysuser";
  19.     }
  21.     // 具体业务一
  22.     @GetMapping("/biz1")
  23.     public String updateOrder() {
  24.         return "biz1";
  25.     }
  27.     // 具体业务二
  28.     @GetMapping("/biz2")
  29.     public String deleteOrder() {
  30.         return "biz2";
  31.     }
  33. }

测试

访问登录页面:http://localhost:9999/login.html
访问首页:http://localhost:9999/index

HttpBasic模式登录认证

引入依赖

  1.         <dependency>
  2.             <groupId>org.springframework.boot</groupId>
  3.             <artifactId>spring-boot-starter-security</artifactId>
  4.         </dependency>

编写配置类

  1. @Configuration
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  4.     @Override
  5.     protected void configure(HttpSecurity http) throws Exception {
  6.         http.httpBasic()//开启httpbasic认证
  7.                 .and()
  8.                 .authorizeRequests()
  9.                 .anyRequest()
  10.                 .authenticated();//所有请求都需要登录认证才能访问
  11.     }
  12. }

测试

运行 main 方法,访问页面此时我们会发现,之前能访问的页面都需要输入用户名、密码才能访问了
用户名为:user,密码在控制台打出:
image.png

自定义用户名密码

我们可以在 application.yml 文件中定义用户名和密码

  1. spring:
  2.     security:
  3.       user:
  4.         name: admin
  5.         password: admin

重新运行 main 方法,然后使用上述定义好的用户名密码试试

formLogin登录认证模式

引入依赖

我们在之前步骤已经引入过了该依赖

  1.         <dependency>
  2.             <groupId>org.springframework.boot</groupId>
  3.             <artifactId>spring-boot-starter-security</artifactId>
  4.         </dependency>

删除自定义用户名、密码

我们在 HttpBasic 模式登录认证的时候,有在 application.yml 文件中定义用户名、密码。

  1. spring:
  2.     security:
  3.       user:
  4.         name: admin
  5.         password: admin

配置类

以下代码是修改后的配置类。主要做的几件事
①、加载用户信息到内存。我们这次使用的是硬编码,加载用户以及用户的角色、权限到内存。
②、往容器中注入密码的加密和校验的接口实现类。
③、定义了登录认证的逻辑(即接收登录参数、登录成功后逻辑)
④、定义了资源访问控制逻辑,即访问哪些资源,需要什么样的权限

  1. @Configuration
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  4.     @Override
  5.     protected void configure(HttpSecurity http) throws Exception {
  6.         http.csrf().disable() //禁用跨站csrf攻击防御,后面的章节会专门讲解
  7.                 .formLogin()
  8.                 .loginPage("/login.html")//一旦用户的请求没有权限就跳转到这个页面
  9.                 .loginProcessingUrl("/login")//登录表单form中action的地址,也就是处理认证请求的路径
  10.                 .usernameParameter("username")///登录表单form中用户名输入框input的name名,不修改的话默认是username
  11.                 .passwordParameter("password")//form中密码输入框input的name名,不修改的话默认是password
  12.                 .defaultSuccessUrl("/")//登录认证成功后默认转跳的路径
  13.                 .and()
  14.                 .authorizeRequests()
  15.                 .antMatchers("/login.html","/login").permitAll()//不需要通过登录验证就可以被访问的资源路径
  16.                 .antMatchers("/","/biz1","/biz2") //资源路径匹配
  17.                 .hasAnyAuthority("ROLE_user","ROLE_admin")  //user角色和admin角色都可以访问
  18.                 .antMatchers("/syslog","/sysuser")  //资源路径匹配
  19.                 .hasAnyRole("admin")  //admin角色可以访问
  20.                 //.antMatchers("/syslog").hasAuthority("sys:log")
  21.                 //.antMatchers("/sysuser").hasAuthority("sys:user")
  22.                 .anyRequest().authenticated();
  23.     }
  25.     @Override
  26.     public void configure(WebSecurity web) {
  27.         //将项目中静态资源路径开放出来
  28.         web.ignoring().antMatchers( "/css/**", "/fonts/**", "/img/**", "/js/**");
  29.     }
  30.     @Override
  31.     public void configure(AuthenticationManagerBuilder auth) throws Exception {
  32.         auth.inMemoryAuthentication()
  33.                 .withUser("user")
  34.                 .password(passwordEncoder().encode("123456"))
  35.                 .roles("user")
  36.                 .and()
  37.                 .withUser("admin")
  38.                 .password(passwordEncoder().encode("123456"))
  39.                 //.authorities("sys:log","sys:user")
  40.                 .roles("admin")
  41.                 .and()
  42.                 .passwordEncoder(passwordEncoder());//配置BCrypt加密
  43.     }
  45.     @Bean
  46.     public PasswordEncoder passwordEncoder(){
  47.         return new BCryptPasswordEncoder();
  48.     }
  49. }

测试

重新运行 main 方法,访问其他页面,都会被跳转到登录页面
使用用户名(user/123456)登录,登录到首页,发现业务1、业务2正常访问。而日志管理、用户管理访问报错,如下
image.png
使用用户名(admin/123456),登录后可以访问所有资源。

自定义权限访问异常信息处理

当我们访问资源的时候,可能会出现这2种情况。
情况一: 未登录,直接访问资源。默认情况会跳转到登录页面。
情况二:登录系统,访问某些资源没有权限,默认情况会返回 403 的错误页面

解决方法:
情况一:返回 JSON 数据,告知需要先登录才能访问
情况二:返回 JSON 数据,告知权限不足

定义返回消息

  1. public class AjaxResult extends HashMap<String, Object> {
  2.     private static final long serialVersionUID = 1L;
  4.     /**
  5.      * 状态码
  6.      */
  7.     public static final String CODE_TAG = "code";
  9.     /**
  10.      * 返回内容
  11.      */
  12.     public static final String MSG_TAG = "msg";
  14.     /**
  15.      * 数据对象
  16.      */
  17.     public static final String DATA_TAG = "data";
  19.     /**
  20.      * 状态类型
  21.      */
  22.     public enum Type {
  23.         /**
  24.          * 成功
  25.          */
  26.         SUCCESS(0),
  27.         /**
  28.          * 警告
  29.          */
  30.         WARN(301),
  31.         /**
  32.          * 错误
  33.          */
  34.         ERROR(500);
  35.         private final int value;
  37.         Type(int value) {
  38.             this.value = value;
  39.         }
  41.         public int value() {
  42.             return this.value;
  43.         }
  44.     }
  46.     /**
  47.      * 初始化一个新创建的 AjaxResult 对象,使其表示一个空消息。
  48.      */
  49.     public AjaxResult() {
  50.     }
  52.     /**
  53.      * 初始化一个新创建的 AjaxResult 对象
  54.      *
  55.      * @param type 状态类型
  56.      * @param msg  返回内容
  57.      */
  58.     public AjaxResult(Type type, String msg) {
  59.         super.put(CODE_TAG, type.value);
  60.         super.put(MSG_TAG, msg);
  61.     }
  63.     /**
  64.      * 初始化一个新创建的 AjaxResult 对象
  65.      *
  66.      * @param type 状态类型
  67.      * @param msg  返回内容
  68.      * @param data 数据对象
  69.      */
  70.     public AjaxResult(Type type, String msg, Object data) {
  71.         super.put(CODE_TAG, type.value);
  72.         super.put(MSG_TAG, msg);
  73.         if (null != data && data != "") {
  74.             super.put(DATA_TAG, data);
  75.         }
  76.     }
  78.     /**
  79.      * 方便链式调用
  80.      *
  81.      * @param key   键
  82.      * @param value 值
  83.      * @return 数据对象
  84.      */
  85.     @Override
  86.     public AjaxResult put(String key, Object value) {
  87.         super.put(key, value);
  88.         return this;
  89.     }
  91.     /**
  92.      * 返回成功消息
  93.      *
  94.      * @return 成功消息
  95.      */
  96.     public static AjaxResult success() {
  97.         return AjaxResult.success("操作成功");
  98.     }
  100.     /**
  101.      * 返回成功数据
  102.      *
  103.      * @return 成功消息
  104.      */
  105.     public static AjaxResult success(Object data) {
  106.         return AjaxResult.success("操作成功", data);
  107.     }
  109.     /**
  110.      * 返回成功消息
  111.      *
  112.      * @param msg 返回内容
  113.      * @return 成功消息
  114.      */
  115.     public static AjaxResult success(String msg) {
  116.         return AjaxResult.success(msg, null);
  117.     }
  119.     /**
  120.      * 返回成功消息
  121.      *
  122.      * @param msg  返回内容
  123.      * @param data 数据对象
  124.      * @return 成功消息
  125.      */
  126.     public static AjaxResult success(String msg, Object data) {
  127.         return new AjaxResult(Type.SUCCESS, msg, data);
  128.     }
  130.     /**
  131.      * 返回警告消息
  132.      *
  133.      * @param msg 返回内容
  134.      * @return 警告消息
  135.      */
  136.     public static AjaxResult warn(String msg) {
  137.         return AjaxResult.warn(msg, null);
  138.     }
  140.     /**
  141.      * 返回警告消息
  142.      *
  143.      * @param msg  返回内容
  144.      * @param data 数据对象
  145.      * @return 警告消息
  146.      */
  147.     public static AjaxResult warn(String msg, Object data) {
  148.         return new AjaxResult(Type.WARN, msg, data);
  149.     }
  151.     /**
  152.      * 返回错误消息
  153.      *
  154.      * @return
  155.      */
  156.     public static AjaxResult error() {
  157.         return AjaxResult.error("操作失败");
  158.     }
  160.     /**
  161.      * 返回错误消息
  162.      *
  163.      * @param msg 返回内容
  164.      * @return 警告消息
  165.      */
  166.     public static AjaxResult error(String msg) {
  167.         return AjaxResult.error(msg, null);
  168.     }
  170.     /**
  171.      * 返回错误消息
  172.      *
  173.      * @param msg  返回内容
  174.      * @param data 数据对象
  175.      * @return 警告消息
  176.      */
  177.     public static AjaxResult error(String msg, Object data) {
  178.         return new AjaxResult(Type.ERROR, msg, data);
  179.     }
  180. }

引入 fastjson

  1.                         <dependency>
  2.                 <groupId>com.alibaba</groupId>
  3.                 <artifactId>fastjson</artifactId>
  4.                 <version>1.2.76</version>
  5.             </dependency>

定义匿名访问的处理类

  1. public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
  3.     @Override
  4.     public void commence(HttpServletRequest request, HttpServletResponse response,
  5.                          AuthenticationException authException) throws IOException, ServletException {
  6.         response.setCharacterEncoding("utf-8");
  7.         response.setContentType("text/javascript;charset=utf-8");
  8.         response.getWriter().print(JSONObject.toJSONString(AjaxResult.error("未登录,无法直接访问资源,请先登陆!")));
  9.     }
  11. }

定义没有权限访问的处理类

  1. public class CustomAccessDeineHandler implements AccessDeniedHandler {
  3.     @Override
  4.     public void handle(HttpServletRequest request, HttpServletResponse response,
  5.                        AccessDeniedException accessDeniedException) throws IOException, ServletException {
  6.         response.setCharacterEncoding("utf-8");
  7.         response.setContentType("text/javascript;charset=utf-8");
  8.         response.getWriter().print(JSONObject.toJSONString(AjaxResult.error("权限不足,无法访问!")));
  9.     }
  11. }

修改配置类

在 SpringSecurity的配置类中,添加自定义权限的处理
image.png

同账号多端登录踢下线

描述:
例如账号 user,已经登陆了。此时该账号再别处再次登录时会将原来登录的账号踢出下线。

处理策略

此处提供2种策略方案。
第一种是针对 非前后端分离项目的,也就是当该账号再别处登录时,之前登录的账号再刷新后会跳转到登陆页面

第二中是针对 前后端分离项目,当别处登录时,返回 JSON 数据提示用户。

方案一

当账号已在别处登录时,原登录账号再刷新页面时重定向到登录页面

  1. public class CustomExpiredSessionStrategy implements SessionInformationExpiredStrategy {
  4.     //页面跳转的处理逻辑
  5.     private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
  7.     @Override
  8.     public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
  9.         // 是跳转html页面,url代表跳转的地址
  10.         redirectStrategy.sendRedirect(event.getRequest(), event.getResponse(), "/login.html");
  11.     }
  12. }

上面策略的代码只是做了页面重定向,如果想要在重定向之前弹窗提示用户,可以这么做:

  1. public class CustomExpiredSessionStrategy implements SessionInformationExpiredStrategy {
  4.     //页面跳转的处理逻辑
  5.     //private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
  7.     @Override
  8.     public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
  9.         HttpServletResponse response = event.getResponse();
  10.         response.setContentType("text/html;charset=UTF-8");
  11.         response.setCharacterEncoding("UTF-8");
  12.         PrintWriter out = response.getWriter();
  14.         out.println("<script>");
  15.         out.println("alert('该账号已在别处登录,请重新登录!');");
  16.         out.println("location.href='/login.html'");
  17.         out.println("</script>");
  18.         // 是跳转html页面,url代表跳转的地址
  19. //        redirectStrategy.sendRedirect(event.getRequest(), event.getResponse(), "/login.html");
  20.     }
  21. }

方案二

当账号已在别处登录时,原登录账号再刷新页面时 会得到 JSON数据提示

  1. public class CustomExpiredSessionStrategy implements SessionInformationExpiredStrategy {
  3.     //jackson的JSON处理对象
  4.     private ObjectMapper objectMapper = new ObjectMapper();
  6.     @Override
  7.     public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
  8.         Map<String, Object> map = new HashMap<>();
  9.         map.put("code", 403);
  10.         map.put("msg", "您的登录已经超时或者已经在另一台机器登录,您被迫下线。"
  11.                 + event.getSessionInformation().getLastRequest());
  13.         // Map -> Json
  14.         String json = objectMapper.writeValueAsString(map);
  16.         //输出JSON信息的数据
  17.         event.getResponse().setContentType("application/json;charset=UTF-8");
  18.         event.getResponse().getWriter().write(json);
  19.     }
  20. }

配置策略

image.png

测试

重新运行 main 方法, 使用 user/123456 账号分别在 谷歌 和 火狐浏览器上登录,验证是否会别踢出下线!!

退出功能实现

简单实现

在首页添加如下代码:

  1. <a href="/logout" >退出</a>

在 SpringSecurity 的配置类中添加退出配置

  1. @Override
  2.     protected void configure(HttpSecurity http) throws Exception {
  3.         ....省略....
  4.         http.logout();
  5.     }

测试:
重新运行 main ,使用 user / 123456 登录系统中 index.html 页面,点击页面上 退出按钮后,即将跳转到登录页面

SpringSecurity退出功能默认做了哪些事

  1. 当前session失效,即:logout的核心需求,session失效就是访问权限的回收。
  2. 删除当前用户的 remember-me“记住我”功能信息
  3. clear清除当前的 SecurityContext
  4. 重定向到登录页面,loginPage配置项指定的页面

定制退出功能

我们可以对退出功能做一些个性化配置,如下:

  1.  http.logout()
  2.      .logoutUrl("/signout")
  3.      .logoutSuccessUrl("/aftersignout.html")
  4.      .deleteCookies("JSESSIONID")

如果还嫌不够的话,我们还可以实现 LogoutSuccessHandler 接口,来对我们退出功能进行深度化定制。

  1. @Component
  2. public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
  4.     @Override
  5.     public void onLogoutSuccess(HttpServletRequest request, 
  6.                                 HttpServletResponse response, 
  7.                                 Authentication authentication) 
  8.                                 throws IOException, ServletException {
  9.         //这里书写你自己的退出业务逻辑
  11.         // 重定向到登录页
  12.         response.sendRedirect("/login.html");
  13.     }
  14. }
  16. ======================================================================================
  19. @Configuration
  20. @EnableWebSecurity
  21. public class SecSecurityConfig extends WebSecurityConfigurerAdapter {
  23. @Autowired
  24.     private MyLogoutSuccessHandler myLogoutSuccessHandler;
  26.     @Override
  27.     protected void configure(final HttpSecurity http) throws Exception {
  28.          http.logout()
  29.              .logoutUrl("/signout")
  30.              //.logoutSuccessUrl(``"/aftersignout.html"``)
  31.              .deleteCookies("JSESSIONID")
  32.               //自定义logoutSuccessHandler
  33.              .logoutSuccessHandler(myLogoutSuccessHandler);   
  34.    }
  35. }

记住我功能实现

简单实现

登录表单

在登陆表单中添加记住我的复选框

  1. <label><input type="checkbox" name="remember-me"/>记住密码</label>

配置记住我的功能

在 SpringSecurity的配置文件中,添加记住我的配置 http.rememberMe(); 

  1. @Configuration
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  3.     @Override
  4.     protected void configure(HttpSecurity http) throws Exception {
  5.         http.rememberMe();   //实现记住我自动登录配置,核心的代码只有这一行
  6.     }
  7. }

测试

重新运行 main 方法,先登录,然后重启浏览器,再次直接访问系统资源,发现不需要再次登录。

实现原理

  1. 当我们登陆的时候,除了用户名、密码,我们还可以勾选remember-me。
  2. 如果我们勾选了remember-me,当我们登录成功之后服务端会生成一个Cookie返回给浏览器,这个Cookie的名字默认是remember-me;值是一个token令牌。
  3. 当我们在有效期内再次访问应用时,经过RememberMeAuthenticationFilter,读取Cookie中的token进行验证。验正通过不需要再次登录就可以进行应用访问

个性化设置

  1. @Configuration
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  3.     @Override
  4.     protected void configure(HttpSecurity http) throws Exception {
  5.         http.rememberMe()
  6.             .rememberMeParameter("remember-me-new")
  7.             .rememberMeCookieName("remember-me-cookie")
  8.             .tokenValiditySeconds(2 * 24 * 60 * 60);
  9.     }
  10. }

设置了http.rememberMe() .rememberMeParameter(“remember-me-new”) 我们需要修改记住我复选框中的name属性值

Token令牌持久化功能

经过上述步骤,我们已经实现了记住我功能,但现在存在一个问题。就是 token 令牌与用户的对应关系 这些数据是存放在内存中的。也就是说当 我们的应用重启后,用户需要重新登录系统。

如何解决?
我们需要将用户和 token令牌的对应关系数据,存放到数据库中进行持久化即可。

引入依赖

  1.         <dependency>
  2.             <groupId>org.springframework.boot</groupId>
  3.             <artifactId>spring-boot-starter-jdbc</artifactId>
  4.         </dependency>
  6.         <dependency>
  7.             <groupId>mysql</groupId>
  8.             <artifactId>mysql-connector-java</artifactId>
  9.         </dependency>

主配置文件

在 application.yml 文件中,添加数据源基本信息

  1. server:
  2.   port: 9999
  4. # 数据库连接基本信息
  5. spring:
  6.   datasource:
  7.     url: jdbc:mysql://localhost:3306/security-demo?useUnicode=true&characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=true&serverTimezone=GMT%2B8
  8.     driver-class-name: com.mysql.cj.jdbc.Driver
  9.     username: root
  10.     password: 123456

创建数据库

创建 security-demo 的数据库,字符编码 utf8mb4

创建表

  1. CREATE TABLE `persistent_logins` (
  2.   `username` varchar(64) NOT NULL,
  3.   `series` varchar(64) NOT NULL,
  4.   `token` varchar(64) NOT NULL,
  5.   `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  6.   PRIMARY KEY (`series`)
  7. ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

修改配置类

在 SpringSecurity的配置类中,我们需要注入 PersistentTokenRepository 类型的bean。同时需要对令牌持久化进行配置
image.png
image.png

测试

重新运行 main 方法,使用账号密码登录系统,然后重新运行main方法,此时发现在访问系统时不需要重新登录
另外,在数据库表中出现如下数据:
image.png