一、 Spring Security简介
1 概括
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。
使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。使用Spring Security 解决了这些问题,也为你提供许多其他有用的、可定制的安全功能。
正如你可能知道的两个应用程序的两个主要区域是“认证”和“授权”(或者访问控制)。这两点也是Spring Security重要核心功能。“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。“授权”指确定一个主体是否允许在你的应用程序执行一个动作的过程。通俗点讲就是系统判断用户是否有权限去做某些事情。
2 历史
Spring Security 以“The Acegi Secutity System for Spring” 的名字始于2003年年底。其前身为acegi项目。起因是Spring开发者邮件列表中一个问题,有人提问是否考虑提供一个基于Spring的安全实现。限制于时间问题,开发出了一个简单的安全实现,但是并没有深入研究。几周后,Spring社区中其他成员同样询问了安全问题,代码提供给了这些人。2004年1月份已经有20人左右使用这个项目。随着更多人的加入,在2004年3月左右在sourceforge中建立了一个项目。在最开始并没有认证模块,所有的认证功能都是依赖容器完成的,而acegi则注重授权。但是随着更多人的使用,基于容器的认证就显现出了不足。acegi中也加入了认证功能。大约1年后acegi成为Spring子项目。
在2006年5月发布了acegi 1.0.0版本。2007年底acegi更名为Spring Security。
二、 自定义登录逻辑(数据库访问方式)
1 新建数据库表结构
create table user(id bigint primary key auto_increment,username varchar(20) unique not null,password varchar(20)
);insert into user values(1,'张三','zs');
insert into user values(2,'李四','ls');create table role(id bigint primary key auto_increment,name varchar(20)
);insert into role values(1,'管理员');
insert into role values(2,'普通用户');create table role_user(uid bigint,rid bigint
);insert into role_user values(1,1);
insert into role_user values(2,2);create table menu(id bigint primary key auto_increment,name varchar(20),url varchar(100),parentid bigint,permission varchar(20));insert into menu values(1,'系统管理','',0,'menu:sys');
insert into menu values(2,'用户管理','',0,'menu:user');create table role_menu(mid bigint,rid bigint
);insert into role_menu values(1,1);
insert into role_menu values(2,1);
insert into role_menu values(2,2);
2 在项目中添加依赖
添加MyBatis相关依赖
<dependency><groupId>org.mybatis.spring.boot</groupId><artifactId>mybatis-spring-boot-starter</artifactId><version>2.1.1</version>
</dependency>
<dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>5.1.48</version>
</dependency>
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>
3 编写配置文件
在配置文件中添加Mybatis配置
spring:datasource:username: rootpassword: 1234driver-class-name: com.mysql.jdbc.Driverurl: jdbc:mysql://localhost:3306/security# 加载mapper文件路径
mybatis:mapper-locations: classpath:mybatis/*.xml
# 别名
mybatis: type-aliases-package: com.bjsxt.springscuritydemo.pojo
4 新建Mapper
新建com.bjsxt.springscuritydemo.mapper.UserMapper
//告诉Spring boot当前类为Mybatis的接口类
@Mapper
@Component
public interface UserMapper {User selectByUsername(String username);
}
5 修改自定义service逻辑
修改com.bjsxt.springscuritydemo.service.impl.MyUserDetailsServiceImpl
@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {@Autowiredprivate UserMapper userMapper;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userMapper.selectByUsername(username);if(user==null){throw new UsernameNotFoundException("用户名不存在");}return new org.springframework.security.core.userdetails.User(username,user.getPassword(),AuthorityUtils.commaSeparatedStringToAuthorityList("随意给的权限"));}
}
三、 自定义登录页面
虽然Spring Security给我们提供了登录页面,但是对于实际项目中,大多喜欢使用自己的登录页面。所以Spring Security中不仅仅提供了登录页面,还支持用户自定义登录页面。实现过程也比较简单,只需要修改配置类即可。
1 编写登录页面
编写登录页面,登录页面中<form>的action不编写对应控制器也可以。
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>内容</title>
</head>
<body>
<form action="/login" method="post"><input type="text" name="username"/><input type="password" name="password"/><input type="submit" value="提交"/>
</form></body>
</html>
2 修改配置类
修改配置类中主要是设置哪个页面是登录页面。配置类需要继承WebSecurityConfigurerAdapter,并重写configure方法。
successForwardUrl()登录成功后跳转地址
loginPage() 登录页面
loginProcessingUrl 登录页面表单提交地址,此地址可以不真实存在。
antMatchers():匹配内容
permitAll():允许
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity httpSecurity) throws Exception {// 表单认证httpSecurity.formLogin().loginProcessingUrl("/login") //登录提交地址.successForwardUrl("/toMain") //此处是post请求.loginPage("/login.html"); //登录页面// url 拦截httpSecurity.authorizeRequests().antMatchers("/login.html").permitAll() //login.html不需要被认证.anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才能访问。//关闭csrf防护httpSecurity.csrf().disable();}@Beanpublic PasswordEncoder getPe(){return new BCryptPasswordEncoder();}
}
3 编写控制器
编写控制器,当用户登录成功后跳转toMain控制器。编写完成控制器后编写main.html。页面中随意写上一句话表示main.html页面内容即可。而之前的/login控制器方法是不执行的,所以可以删除了。
@Controller
public class LoginController {// 该方法不会被执行
// @RequestMapping("/login")
// public String login(){
// System.out.println("执行了login方法");
// return "redirect:main.html";
// }@PostMapping("/toMain")public String toMain(){return "redirect:/main.html";}
}
四、 认证过程其他常用配置
1 失败跳转
表单处理中成功会跳转到一个地址,失败也可以跳转到一个地址中。
1.1 编写页面
在src/main/resources/static下新建fail.html并编写如下内容
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>操作失败,请重新登录. <a href="/login.html">跳转</a>
</body>
</html>
1.2 修改表单配置
在配置方法中表单认证部分添加failureForwardUrl()方法,表示登录失败跳转的url。此处依然是POST请求,所以跳转到可以接收POST请求的控制器/fail中。
// 表单认证
http.formLogin().loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl.successForwardUrl("/toMain") //此处是post请求.failureForwardUrl("/fail") //登录失败跳转地址.loginPage("/login.html");
1.3 添加控制器方法
在控制器类中添加控制器方法,方法映射路径/fail。此处要注意:由于是POST请求访问/fail。所以如果返回值直接转发到fail.html中,及时有效果,控制台也会报警告,提示fail.html不支持POST访问方式。
@PostMapping("/fail")
public String fail(){return "redirect:/fail.html";
}
1.4 设置fail.html不需要认证
认证失败跳转到fail.html页面中,所以必须配置fail.html不需要被认证。需要修改配置类中内容
// url 拦截
http.authorizeRequests().antMatchers("/login.html").permitAll() //login.html不需要被认证.antMatchers("/fail.html").permitAll() //fail.html不需要被认证.anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才能访问。
2 设置请求账户和密码的参数名
2.1 源码简介
当进行登录时会执行UsernamePasswordAuthenticationFilter过滤器。
usernamePasrameter:账户参数名
passwordParameter:密码参数名
postOnly=true:默认情况下只允许POST请求。
2.2 修改配置
// 表单认证
http.formLogin().loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl.successForwardUrl("/toMain") //此处是post请求.failureForwardUrl("/fail") //登录失败跳转地址.loginPage("/login.html").usernameParameter("myusername").passwordParameter("mypassword");
2.3 修改页面
修改login.html中账户参数名和密码参数名
<form action = "/login" method="post">用户名:<input type="text" name="myusername"/><br/>密码:<input type="password" name="mypassword"/><br/><input type="submit" value="登录"/>
</form>
3 自定义登录成功处理器
3.1 源码分析
使用successForwardUrl()时表示成功后转发请求到地址。内部是通过successHandler()方法进行控制成功后交给哪个类进行处理
ForwardAuthenticationSuccessHandler内部就是最简单的请求转发。由于是请求转发,当遇到需要跳转到站外或在前后端分离的项目中就无法使用了。
当需要控制登录成功后去做一些事情时,可以进行自定义认证成功控制器。
3.2 代码实现
3.2.1 自定义类
新建类com.bjsxt.handler.MyAuthenticationSuccessHandler编写如下:
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {@Overridepublic void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {//Principal 主体,存放了登录用户的信息User user = (User)authentication.getPrincipal();System.out.println(user.getUsername());System.out.println(user.getPassword());//密码输出为nullSystem.out.println(user.getAuthorities());//重定向到百度。这只是一个示例,具体需要看项目业务需求httpServletResponse.sendRedirect("http://www.baidu.com");}
}
3.2.2 修改配置项
使用successHandler()方法设置成功后交给哪个对象进行处理
// 表单认证
http.formLogin().loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl.successHandler(new MyAuthenticationSuccessHandler())//.successForwardUrl("/toMain") //此处是post请求.failureForwardUrl("/fail") //登录失败跳转地址.loginPage("/login.html");
4 自定义登录失败处理器
4.1 源码分析
failureForwardUrl()内部调用的是failureHandler()方法
ForwardAuthenticationFailureHandler中也是一个请求转发,并在request作用域中设置SPRING_SECURITY_LAST_EXCEPTION的key,内容为异常对象。
4.2 代码实现
4.2.1 新建控制器
新建com.bjsxt.handler.MyForwardAuthenticationFailureHandler实现AuthenticationFailureHandler。在方法中添加重定向语句
public class MyForwardAuthenticationFailureHandler implements AuthenticationFailureHandler {@Overridepublic void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {httpServletResponse.sendRedirect("/fail.html");}
}
4.2.2 修改配置类
修改配置类中表单登录部分。设置失败时交给失败处理器进行操作。failureForwardUrl和failureHandler不可共存。
// 表单认证http.formLogin().loginProcessingUrl("/login") //当发现/login时认为是登录,需要执行UserDetailsServiceImpl.successHandler(new MyAuthenticationSuccessHandler())//.successForwardUrl("/toMain") //此处是post请求.failureHandler(new MyForwardAuthenticationFailureHandler())
// .failureForwardUrl("/fail") //登录失败跳转地址.loginPage("/login.html");
五、 完整认证流程(包含自定义页面和自定义登录逻辑)
- 用户在浏览器中随意输入一个URL
- Spring Security 会判断当前是否已经被认证(登录)如果已经认证,正常访问URL。如果没有被认证跳转到loginPage()对应的URL中,显示登录页面。
- 用户输入用户名和密码点击登录按钮后,发送登录url
- 如果url和loginProcessingUrl()一样才执行登录流程。否则需要重新认证。
- 执行登录流程时首先被UsernamePasswordAuthenticationFilter进行过滤,取出用户名和密码,放入到容器中。根据usernameParameter和passwordParameter进行取用户名和密码,如果没有配置这两个方法,默认为请求参数名username和password
- 执行自定义登录逻辑UserDetailsService的实现类。判断用户名是否存在和数据库中密码是否和客户端传递过来的密码匹配。
- 如果登录成功,跳转到successForwardUrl(转发)/successHandler(自己控制跳转方式)配置的URL
- 如果登录失败,跳转到failureForwardUrl/failureHandler
)
)
)
![[信息安全] 1.密码工具箱](http://pic.xiahunao.cn/[信息安全] 1.密码工具箱)
