1,概述
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。
它是用于保护基于Spring的应用程序的实际标准。
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。
与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求
springboot对于springSecurity提供了自动化配置方案,可以使用更少的配置来使用springsecurity
而在项目开发中,主要用于对用户的认证和授权
官网:https://spring.io/projects/spring-security
2,SpringSecurity 和 shiro 比较
shiro
Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理身份验证、授权、管理会话以及密码加密。
利用其易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro 主要分为两个部分就是认证和授权,就是查询数据库做相应的判断,Shiro是一个框架,其中的内容需要自己的去构建,前后是自己的,中间是Shiro帮我们去搭建和配置好的。
springsecurity
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI( 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
众所周知,想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。
3,使用支持sql的数据库为mybatis-plus
4,整体结构
5,使用的依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--mybatis-plus-->
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.0.5</version>
</dependency>
<dependency>
<groupId>com.h2database</groupId>
<artifactId>h2</artifactId>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-configuration-processor</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
6,application.properties配置文件
#端口号配置
server.port=8081
#登录时可以使用的账号密码
#spring.security.user.name=zhenghuisheng
#spring.security.user.password=123456
#数据库连接基本参数
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?serverTimezone=GMT%2B8&useSSL=false&useUnicode=true&characterEncoding=utf8
spring.datasource.username=root
spring.datasource.password=zhs03171812
#日志输出,使用默认的控制台输出
mybatis-plus.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl
7,对应的数据库
8,实体类,在实体类@TableId(type = IdType.AUTO)设为自增的同时,在数据库中也要设置为自增,不然运行直接报错
package com.zhenghuisheng.demo.pojo;
import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableId;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import java.io.Serializable;
@Data
@NoArgsConstructor
@AllArgsConstructor
public class Users implements Serializable {
//设置为自增
@TableId(type = IdType.AUTO)
private Integer id;
private String username;
private String password;
}
9,在mapper包下新建UserMapper类,并且继承BaseMapper
package com.zhenghuisheng.demo.mapper;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.zhenghuisheng.demo.pojo.Users;
import org.springframework.stereotype.Repository;
@Repository
public interface UserMapper extends BaseMapper<Users> {
}
10,在主程序中加入mapper的扫描文件
//增加扫描的配置文件
@MapperScan("com.zhenghuisheng.demo.mapper")
该注解开启之后可以通过注解实现用户的权限登录
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnable = true,prePostEnable = true)
11,测试数据库是否可以连通
package com.zhenghuisheng.demo;
import com.zhenghuisheng.demo.mapper.UserMapper;
import com.zhenghuisheng.demo.pojo.Users;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;
@SpringBootTest
class DemoApplicationTests {
@Autowired
private UserMapper usermapper;
@Test
void contextLoads() {
}
@Test
public void userInsert(){
Users users = new Users();
users.setUsername("admin");
users.setPassword("123456");
usermapper.insert(users);
System.out.println(users + "输出成功");
}
}
12,controller层新建HelloSecurity类
package com.zhenghuisheng.demo.controller;
import org.springframework.security.access.annotation.Secured;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/test")
public class HelloSecurity {
@GetMapping("/login")
public String Hello(){
return "hello world";
}
@RequestMapping("/index")
public String toLogin(){
return "登录成功";
}
//使用注解测试用户权限
@GetMapping("/secured")
@Secured({
"ROLE_admins","ROLE_manager"})
public String secured(){
return "secured login successful";
}
}
13,config下新建一个SecurityTest继承WebSecurityConfigurerAdapter
package com.zhenghuisheng.demo.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;
import javax.sql.DataSource;
@Configuration
public class SecurityTest extends WebSecurityConfigurerAdapter {
@Autowired
//UserDetailsService:用于查询数据库名和数据库密码的过程
private UserDetailsService userDetailService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService).passwordEncoder(passwordEncoder());
}
@Bean
PasswordEncoder passwordEncoder(){
//返回一个具体的实现类
return new BCryptPasswordEncoder();
}
}
14,运行,输入localhost:8081,输入数据库中的用户名和密码就能登录成功了,即认证完成。再可以测试controller中的接口了
15,接下来重点来了,一般开发中不会有人真的使用这个默认的登录界面吧,static包下将即将使用的页面写好
login.html:登录界面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录界面</title>
</head>
<body>
<form action="/user/login" method="post">
姓名:<input type="text" name="username"><br>
密码:<input type="password" name="password"><br>
<input type="checkbox" name="remember-me" title="记住密码">自动登录
<input type="submit" value="登录">
</form>
</body>
</html>
success.html:登录成功后跳转的页面,并在界面中有一个退出文件,可以在一下的config中设置退出的路径以及退出后跳转的路径,原理和session的删除一致,只不过内部帮我们优化了
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h2>登录成功</h2>
<a href="/logout">退出</a>
</body>
</html>
unauth.html:403没有权限问时的页面,当用户登录成功却没有权限时,即会跳转到该路径
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>没有权限访问</h1>
</body>
</html>
16,点开WebSecurityConfigurerAdapter类,分析源码可知,在该方法中可以设置自定义登录
16,在SecurityTest类中重写configure方法即可,并且注意参数为HttpSecurity http。在以下都写了非常详细的注解
//自定义用户的操作,如登录页面等
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/login.html") //设置登录页面
.loginProcessingUrl("/user/login") //登录访问路径
.defaultSuccessUrl("/success.html").permitAll() //登录成功后的跳转路径
.and().authorizeRequests()
.antMatchers("/","/test/login","/user/login").permitAll() //设置哪些路径可以访问,不需要认证
.antMatchers("/test/login").hasAuthority("admins") //授权,只有当用户为admins的时候,才能访问该路径
.anyRequest().authenticated() //所有请求都能访问
// .and().rememberMe().tokenRepository(persistentTokenRepository()) //记住我,并设置操作数据库的对象
// .tokenValiditySeconds(60) //有效时长
// .userDetailsService(userDetailService)
.and().csrf().disable(); //关闭crsf防护
//配置没有权限访问跳转的自定义页面
http.exceptionHandling().accessDeniedPage("/unauth.html");
//配置退出
http.logout().logoutUrl("/logout") //退出
.logoutSuccessUrl("/test/login") // 退出成功所返回的路径
.permitAll();
}
17,再分析一波,
.antMatchers("/test/login").hasAuthority("admins") //授权,
只有当用户为admins的时候,才能访问该路径,这就相当于增加了一道令牌token。而在数据库中,每个用户都有每个用户的职位,如经理,管理员,员工等
List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admins");
在这个"ROLE_admins"参数即为员工的职责,如果员工的职责与增加令牌token中能通过的角色一直时,则该员工可以访问该路径,否则不行,即实现了授权机制
而如果在使用hasRole方法和hasAnyRole方法时,看上面的图片就知道了,这个源码是有多无聊,自动在角色前面增加了一个 “ROLE_”。当然如果使用hasAnyAuthority方法和hasAuthority方法就不需要了。
这里是因为使用的注解开发了,在controller中使用了@Secured,当然也能使用@PreAuthorize和@PostAuthorize了!
18,测试
运行后直接输入:http://localhost:8081/login.html
账号密码为数据库中的值,登录成功后
在进行注解测试,看能否测试成功,这里发现也能成功!
最后退出测试,即删除session,
http.logout().logoutUrl("/logout") //退出
.logoutSuccessUrl("/test/login") // 退出成功所返回的路径
.permitAll();
点击退出之后
再去访问 /test/index 发现已经不能访问了,没有权限访问,即session已经删除,则验证成功!