视频学习链接:
狂神说SpringBoot18:集成SpringSecurity
一.SpringSecurity
1.什么是SpringSecurity
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。
2.实际操作
需求:根据用户的权限,限制用户可进入的页面,如用户权限为VIP1可以访问/level1/下的所有页面,用户权限为VIP2可以访问/level2/下的所有页面,用户权限为VIP3可以访问/level3/下的所有页面。
(1) 项目框架
(2) 项目使用的依赖(在pom.xml中)
<!-- 导入thymeleaf模板引擎-->
<dependency>
<groupId>org.thymeleaf</groupId>
<artifactId>thymeleaf-spring5</artifactId>
</dependency>
<!--security-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--thymeleaf与security的整合-->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
(3) 前端界面
Login.html:用户登入页面
<!DOCTYPE html>
<html lang="en" xmlns="http://www.w3.org/1999/html">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<form action="/index" method="post">
<p>账号:</p><input type="text" placeholder="请输入账号" name="userName">
<p>注销:</p><input type="password" placeholder="请输入密码" name="passWord">
</br>
<input type="checkbox" name="remember">记住我
</br>
<input type="submit" value="登入">
</form>
</body>
</html>
index.html:网站主界面
<!DOCTYPE html>
<html lang="en" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<H1>首页</H1>
<div class="right menu">
<!--如果未登入-->
<div sec:authorize="!isAuthenticated()">
<a th:href="@{/tologin}" class="item"/>登入
</div>
<div sec:authorize="isAuthenticated()">
<a class="item">
用户名: <span sec:authentication="name"></span>
角色:<span sec:authentication="principal.authorities"></span>
</a>
</div>
<div sec:authorize="isAuthenticated()">
<a th:href="@{/logout}" class="item"/>注销
</div>
</div>
<div sec:authorize="hasRole('VIP1')">
<h2>level1</h2>
<a href="/level1/1">level1-1</a>
<a href="/level1/2">level1-2</a>
<a href="/level1/3">level1-3</a>
</div>
<div sec:authorize="hasRole('VIP2')">
<h2>level2</h2>
<a href="/level2/1">level2-1</a>
<a href="/level2/2">level2-2</a>
<a href="/level2/3">level2-3</a>
</div>
<div sec:authorize="hasRole('VIP3')">
<h2>level3</h2>
<a href="/level3/1">level3-1</a>
<a href="/level3/2">level3-2</a>
<a href="/level3/3">level3-3</a>
</div>
</body>
</html>
/leve1/X.html随便写写即可
(4) controller层实现页面的跳转
SecurityProjectController类:
(5) SpringSecurity的使用
经过前面操作,基本上可以实现界面的跳转,但是还无法实现根据用户权限的不同,展示不同的页面,这个时候我们需要使用SpringSecurity。
- 导入SpringSecurity的依赖
- 在config中创建SecurityConfig类(自定义Spring Security 配置类)
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// 授权
@Override
protected void configure(HttpSecurity http) throws Exception {
// 定制请求的授权规则
http.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("VIP1")
.antMatchers("/level2/**").hasRole("VIP2")
.antMatchers("/level3/**").hasRole("VIP3");
// 开启登入
http.formLogin().loginPage("/tologin").usernameParameter("userName").passwordParameter("passWord").loginProcessingUrl("/index");
// 注销
http.logout().logoutSuccessUrl("/tologin");
http.csrf().disable();
// 开启记住我功能
http.rememberMe().rememberMeParameter("remember");
}
// 认证
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// 从内存中定义
auth.inMemoryAuthentication()
.passwordEncoder(new BCryptPasswordEncoder())
.withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP1")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP2")
.and()
.withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP3");
}
}
WebSecurityConfigurerAdapter:自定义Security策略(自定义Spring Security 配置类继承该类即可)
@EnableWebSecurity:开启WebSecurity模式
AuthenticationManagerBuilder:自定义认证策略
Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制):
重写configure(HttpSecurity http)方法用于授权
重写configure(AuthenticationManagerBuilder auth)方法用于认证
(6) 运行效果
这个登入界面是使用自己编写的(SpringSecurity本身提供登入界面)
登入admin(权限为VIP1)
登入root(权限为VIP2)
登入guest用户(权限为VIP3)
二.Apache Shiro
1.什么是Apache Shiro
Apache Shiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。如同 Spring security 一样都是是一个权限安全框架,但是与Spring Security相比,在于他使用了和比较简洁易懂的认证和授权方式。
2.三大核心组件
- subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。
- securityManager: 安全管理器,主体进行认证和授权都是通过它进行。
- realm:领域,可以理解为DAO,通过它存取认证、授权相关数据。
3.四大核心功能
- Authentication:认证即登录,用于用户身份识别。
- Authorization: 授权即访问控制,判断用户是否有权限去访问受保护的资源。
- Cryptography: 通过加密算法保护数据安全。
- Session Management:会话管理,即用户访问你应用自身携带的数据,甚至可以在非Web程序
4.实际操作
需求:通过查询用户的perms字段的值,如果为user:add表示该用户可以进入add.html;如果为user:update表示该用户进入update.html
(1) 项目结构
(2) 导入依赖(在pom.xml中)
<!--导入shiro依赖-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-spring</artifactId>
<version>1.4.1</version>
</dependency>
<!--数据库-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.19</version>
</dependency>
<dependency>
<groupId>log4j</groupId>
<artifactId>log4j</artifactId>
<version>1.2.17</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>druid</artifactId>
<version>1.1.12</version>
</dependency>
<dependency>
<groupId>org.mybatis.spring.boot</groupId>
<artifactId>mybatis-spring-boot-starter</artifactId>
<version>2.1.1</version>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<dependency>
<groupId>com.github.theborakompanioni</groupId>
<artifactId>thymeleaf-extras-shiro</artifactId>
<version>2.0.0</version>
</dependency>
(3) 前端界面
index.html:网站首页界面
<!DOCTYPE html>
<html lang="en"
xmlns:th="https://www.thymeleaf.org"
xmlns:shiro="https://shiro.apache.org/jsp-tag-library.html">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>首页</h1>
<p th:text="${msg}" style="color: red;"></p>
<shiro:notAuthenticated>
<a th:href="@{/toLogin}">登入</a>
</shiro:notAuthenticated>
<shiro:authenticated>
<shiro:haspermission name="user:add">
<a th:href="@{/user/add}">add</a>
</shiro:haspermission>
<shiro:haspermission name="user:update">
<a th:href="@{/user/update}">update</a>
</shiro:haspermission>
</shiro:authenticated>
</body>
</html>
login.html:用户登入界面
<!DOCTYPE html>
<html lang="en" xmlns:shiro="https://www.thymeleaf.org/thymeleaf-extras-shiro">
<head>
<meta charset="UTF-8">
<title>登入界面</title>
</head>
<body>
<form th:action="@{/submitLogin}" method="post">
<p th:text="${msg}" style="color: red;"></p>
账号:<input type="text" name="userName">
密码:<input type="password" name="passWord">
<input type="submit" value="登入">
</form>
</body>
</html>
User下的add.html和update.html随便写写即可:
(4) controller层实现页面的跳转
@Controller
public class MyController {
@RequestMapping({
"/","/index"})
public String toIndex(Model model){
model.addAttribute("msg","hello,shiro");
return "index";
}
@RequestMapping("/user/add")
public String add(){
return "/User/add";
}
@RequestMapping("/user/update")
public String update(){
return "/User/update";
}
@RequestMapping("/toLogin")
public String toLogin(){
return "login";
}
@RequestMapping("/submitLogin")
public String login(@RequestParam("userName") String username, @RequestParam("passWord")String passWord, Model model){
// 获取当前对象
Subject subject = SecurityUtils.getSubject();
// 封装用户的登入数据
UsernamePasswordToken token =new UsernamePasswordToken(username,passWord);
System.out.println("进行登入!");
try {
subject.login(token);// 执行登入方法
return "index";
}catch (UnknownAccountException e){
model.addAttribute("msg","用户名错误");
return "login";
}catch (IncorrectCredentialsException e){
model.addAttribute("msg","密码错误");
return "login";
}
}
@ResponseBody
@RequestMapping("/auth")
public String noauth(){
return "没有授权!";
}
}
这里注意登入使用的Subject对象进行登入:
(5) Dao层用户的数据从数据库中获取
数据表结构:
数据:
数据源配置application.yaml中:
spring:
datasource:
username: root
password: root
url: jdbc:mysql://localhost:3306/mybatis?useUnicode=true&characterEncoding=UTF-8&serverTimezone=UTC
driver-class-name: com.mysql.cj.jdbc.Driver
pojo:
Mapper层:
不要忘了扫描一下包:
application.properties中
由于映射文件UserMapper.xml放在Java文件中(资源过滤),不然无法生成该UserMapper.xml:
<resource>
<directory>src/main/java</directory>
<includes>
<include>**/*.xml</include>
</includes>
</resource>
(6) Service层
UserService接口:
UserServiceImpl实现类:
(7) Shiro的使用
- ShiroConfig配置
三个bean对象:(userRealm,DefaultWebSecurityManager,ShiroFilterFactoryBean)
@Configuration
public class ShiroConfig {
// ShiroFilterFactoryBean
@Bean
public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager) {
ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();
// 设置安全管理器
bean.setSecurityManager(defaultWebSecurityManager);
// 添加shiro的内置过滤器
Map<String,String> filterMap =new LinkedHashMap<>();
filterMap.put("/user/add","perms[user:add]");
filterMap.put("/user/update","perms[user:update]");
filterMap.put("/user/*","authc");
bean.setFilterChainDefinitionMap(filterMap);
// 设置登入页面
bean.setLoginUrl("/toLogin");
bean.setUnauthorizedUrl("/auth");
return bean;
}
// DefaultWebSecurityManager
@Bean(name = "securityManager")
public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm) {
// 关联UserRealm
DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();
securityManager.setRealm(userRealm);
return securityManager;
}
// 创建realm对象
@Bean
public UserRealm userRealm() {
return new UserRealm();
}
@Bean
public ShiroDialect shiroDialect(){
return new ShiroDialect();
}
}
- 授权与认证userService类
public class UserRealm extends AuthorizingRealm {
@Autowired
private UserServiceImpl userService;
// 授权
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
System.out.println("执行了=>授权doGetAuthorizationInfo");
// 进行授权
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
// 通过数据库授权
Subject subject = SecurityUtils.getSubject();
User user = (User) subject.getPrincipal();
info.addStringPermission(user.getPerms());
return info;
}
// 认证
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
System.out.println("执行了=>验证doGetAuthenticationInfo");
// // 获取用户名,密码
UsernamePasswordToken userToken = (UsernamePasswordToken) token;
User user = userService.getUserByName(userToken.getUsername());
if (user == null){
return null;
}
// 密码验证
return new SimpleAuthenticationInfo(user,user.getPwd(),"");
}
}
(8) 运行效果
登入admin用户(只有add权限):
登入测试(只有update权限):
