Spring Security修炼手册（一）————初识Security

    在以前做东西的时候，对于认证鉴权的框架技术选型，通常使用Apache Shiro，可能是接触比较早，感觉用起来比较方便的原因,知道最近接了一个好大好大的项目分布式应用+大数据数据库+私有IaaS云+PaaS，埋头苦学一星期，算是吃透了Spring Security的一半，那么一是为了记录在学习过程中的知识点，二是为了让没有接触过安全框架，或者还在使用数据库，自己写Filter比较原始方式做权限控制的朋友提供一个学习的参考。那么废话不说太多，下面开始一步一步来。

  一、初识Spring Security

        首先看名字就可以看出来，这个框架出自于Pivotal 的Spring系列。Spring Security 提供了基于javaEE的企业应用，全面的安全服务。 大家使用Spring Secruity的原因有很多，但是大部分都是发现了由于javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景所需的深度。 那么Security提供的 “认证”和“授权”（或者访问控制） 是整个框架也是本系列博客所要讲解的重要内容。

二、引入Security依赖

    Security官方链接：https://projects.spring.io/spring-security/

    打开你的IED，在Maven坐标如下：想使用其他版本请去如上链接，如果你之前接触过Spring IO那么无需指定Version.

<dependencies>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.0.5.RELEASE</version>
    </dependency>
</dependencies>

  Gradle如下：

dependencies {
    compile 'org.springframework.security:spring-security-web:5.0.5.RELEASE'
}

三、Security的基本认证功能的使用

    首先明确一个事情，Spring Security所有提供给开发者的认证和鉴权功能都是基于过滤器链的，而我看到的大部分讲解Security的博客和资料中，却很少提及每个功能作用的过滤器是谁？过滤器的执行流程是怎么样的！我之前在学习Docker和K8S的时候买的一本书讲解的非常透彻，作者不仅仅在讲怎么用！而是从：是什么？怎么用？为什么？这三方面来说，因此我会在文中通过Debug或流程图，为大家深入的讲解这款框架的东西。

    3.1、HttpBasic认证

        那么当你引入了Security的依赖后，无需做其他任何的事情，启动项目，访问的时候你就会发现你的应用已经有了一个基本的认证功能,其实前面说的话不是完全正确的，由于笔者之前使用的Spring Boot版本为1.5，依赖的Security 4.X版本，所以无需任何配置，启动项目访问则会弹出默认的httpbasic认证，那么本次Demo是基于security5.X ，Spring Boot2.X版本去做的，经过我翻阅官方文档和Spring Boot2.X的properties，在这个5.X的版本中已经将默认的认证方式更改为表单认证，并且security.basic.enabled属性同样是过期了的。

                                        

    下面的图是官方给出的属性配置，已经无security.basic.enabled

    

        在这里笔者十分负责任的说，如果想开启httpbasic认证，需要在配置类中进行配置才可以，亲测通过properties配置不生效，开启httpbasic认证的代码如下：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter
;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		
		http
		   .httpBasic()//开启httpbasic认证
		.and()
		   .authorizeRequests()//Security表达式
	             .anyRequest().authenticated();//所有请求都需要认证
	}

}

    启动项目，在启动的时候会发现控制台有如下输出，这个字符串就是Security默认生成的认证密码。

    访问应用，弹出httpbasic，通过生成的默认密码进行认证，不过这种方式基本不太会使用，不着重介绍。

    3.2、表单认证

        表单认证是大部分业务场景中都需要使用的一种认证方式，那么如何配置，又有哪些可配置的呢？看如下代码：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurer
Adapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		
		http
		.formLogin()
			.loginPage("/loginPage.html")//用户未认证时，转跳到认证的页面
			.loginProcessingUrl("/toLogin")//form中action的地址，也就是处理认证请求的URL	
			.usernameParameter("UM")//form中用户名密码的name名
			.passwordParameter("PW")
			.defaultSuccessUrl("/index")//认证成功后默认转跳的URL
		.and()
		.authorizeRequests()
			.antMatchers("/loginPage.html","/toLogin").permitAll()//最后不要忘记将自定义的
                                                                           //如上不需要认证的URL加进来
			.anyRequest().authenticated();
	}

}

我们访问任意需要认证的URL，发现会自动转跳到配置的认证页面。

 我们暂时先使用内存用户，在properties中配置一个admin用户，模拟登录。

 登陆后，自动转跳到index的controller中，对了！如果你使用了自己的登录页面，记得将CSRF防护功能关掉哦，否则你讲无法进行认证。

四、基于Spring的配置

    那么通过以上代码的讲解，你应该对于认证功能的基本使用有了一定的了解，但是上面的代码中有一个开发界非常难以容忍的问题，就是含有大量的硬编码！！！那么我们如何解决的？

首先我们创建三个类，分别叫：SecurityProperties、ToLoginProperties、LoginProperties，代码分别如下：

public class LoginProperties {
	
	private String loginPage = "/loginPage.html";
	
	private String loginProcessingUrl = "/toLogin";
	
	private String usernameParameter = "UM";
	
	private String passwordParameter = "PW";
	
	private String defaultSuccessUrl = "/index";

	public String getLoginPage() {
		return loginPage;
	}

	public void setLoginPage(String loginPage) {
		this.loginPage = loginPage;
	}

	public String getLoginProcessingUrl() {
		return loginProcessingUrl;
	}

	public void setLoginProcessingUrl(String loginProcessingUrl) {
		this.loginProcessingUrl = loginProcessingUrl;
	}

	public String getUsernameParameter() {
		return usernameParameter;
	}

	public void setUsernameParameter(String usernameParameter) {
		this.usernameParameter = usernameParameter;
	}

	public String getPasswordParameter() {
		return passwordParameter;
	}

	public void setPasswordParameter(String passwordParameter) {
		this.passwordParameter = passwordParameter;
	}

	public String getDefaultSuccessUrl() {
		return defaultSuccessUrl;
	}

	public void setDefaultSuccessUrl(String defaultSuccessUrl) {
		this.defaultSuccessUrl = defaultSuccessUrl;
	}
	
	
}

public class ToLoginProperties {
	
	private LoginProperties loginProperties = new LoginProperties();

	public LoginProperties getLoginProperties() {
		return loginProperties;
	}

	public void setLoginProperties(LoginProperties loginProperties) {
		this.loginProperties = loginProperties;
	}

}

import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties(prefix = "jy.security")
public class SecurityProperties {

	private ToLoginProperties toLoginProperties = new ToLoginProperties();

	public ToLoginProperties getToLoginProperties() {
		return toLoginProperties;
	}

	public void setToLoginProperties(ToLoginProperties toLoginProperties) {
		this.toLoginProperties = toLoginProperties;
	}
	
}

    通过以上代码，我们就可以读取到配置文件中，以“jy.security”开头的属性，并将属性对应的值注入到其中，这样当我们配置了对应属性的时候，值即被替换，未配置的时候则走我们的默认值。

然后我们把securityconfig类在修改一下，不在使用硬编码，而是将SecurityProperties类注入。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import com.spring.demo.peoperties.SecurityProperties;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	
	@Autowired
	private SecurityProperties securityProperties;
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		
		http
			.formLogin()
				.loginPage(securityProperties.getToLoginProperties().getLoginProperties().getLoginPage())//用户未认证时，转跳到认证的页面
				.loginProcessingUrl(securityProperties.getToLoginProperties().getLoginProperties().getLoginProcessingUrl())//form中action的地址，也就是处理认证请求的URL	
				.usernameParameter(securityProperties.getToLoginProperties().getLoginProperties().getUsernameParameter())//form中用户名密码的name名
				.passwordParameter(securityProperties.getToLoginProperties().getLoginProperties().getPasswordParameter())
				.defaultSuccessUrl(securityProperties.getToLoginProperties().getLoginProperties().getDefaultSuccessUrl())//认证成功后默认转跳的URL
		.and()
		.authorizeRequests()
			.antMatchers(securityProperties.getToLoginProperties().getLoginProperties().getLoginPage(),
					     securityProperties.getToLoginProperties().getLoginProperties().getLoginProcessingUrl()).permitAll()
			.anyRequest().authenticated()
		.and()
			.csrf().disable()
			;
	}
	
	

}

    最后我们做一个测试，证明通过配置文件的方式，可以对我们的配置类修改，我们修改未认证时转跳的认证页面的URL为“/loginTest”

重启项目，访问/index，结果如下：404是由于我根本没写这个页面，但已经可以证明我们的配置生效，避免了硬编码的问题

 在下一篇博客里，我会介绍自定义身份认证和一些处理器的用法及源码，敬请关注！