SpringSecurity 快速实现项目

  1. 云栖社区>
  2. 博客>
  3. 正文

SpringSecurity 快速实现项目

微笑着生活 2017-11-21 19:55:00 浏览593
展开阅读全文

我的开发环境是springboot(下面简称sb)+freemarker+maven

如大家所知道的,sb里面没有配置文件,需要通过类加载或者解析xml来配置一些东西,这也是初学sb的一个头痛点。(我当时就是,哈哈)

好的不多哔哔,直入正题。但是我还是想告诫一些没有sb读配置文件的经验的小司机。可能会不好理解,但是不要放弃,一步一步跟着我来,就可以

1. pom依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
        </dependency>

第一个依赖是security的核心依赖包,第二个是security对freemarker的标签的支持包。
加了这两个东西之后,重启项目,它就会弹出让你登录的窗口。


img_c49dfd40f86914455e046b5282757567.png

你可能会迷惑,我什么都没配置,为什么就给我要密码?因为security依赖包只要引入了,它会默认给项目加入密码。用户名是user 默认密码在控制台找下。


img_919abb620c802f7732cce5a364939372.png

实际开发中,我们肯定不是这样让用户认证。所以我们要重写security的实现类。

2. 继承重写WebSecurityConfigurerAdapter类

/**
 *
 * Created by Fant.J.
 * 2017/10/26 18:48
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    //返回 BCrypt  加密对象
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
//    @Autowired
//    private AuthenticationSuccessHandler myAuthenticationSuccessHandler;
//    @Autowired
//    private MyAuthenticationFailHandler myAuthenticationFailHandler;


    @Bean
    protected UserDetailsService userDetailServiceImpl(){
        return new UserDetailServiceImpl();
    }
    @Override
    protected void configure(HttpSecurity http)throws Exception{
//        ValidateCodeFilter filter = new ValidateCodeFilter();
//        //写入自定义错误过滤器
//        filter.setAuthenticationFailureHandler(myAuthenticationFailHandler);
        //表单登录
       http.formLogin()         
 //        http.httpBasic()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();

        http
                .headers()
                .frameOptions()
                .sameOrigin();


    }
}

http.formLogin() 表示以表单的形式登录,authorizeRequests()表示什么请求需要验证呢?anyRequest()嗯,所有的请求都需要验证。authenticated();证明是有效的情况下。
自己整段话连起来,大家就懂了这种写法的含义了。
相信一些有心人在上面的类中看到了这段代码

    @Bean
    protected UserDetailsService userDetailServiceImpl(){
        return new UserDetailServiceImpl();
    }

我们来看下这个UserDetailsService这个官方接口
img_b0035c46ba40a1cb796fda0e8ed813d5.png
image.png

根据方法名我们能看出来,它是用来通过username加载User信息的,这和form验证就关系上了。你只需要把这个类注入到类里,它会自动去找这个实现类,那么下面我们来看下我写的这个实现类。

3. UserDetailServiceImpl 实现UserDetailsService接口


/**
 * Created by Fant.J.
 * 2017/10/26 20:54
 */
@Component
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService{
    @Autowired
    UserAdminMapper userAdminMapper;
    @Autowired
    private PasswordEncoder passwordEncoder;
    /** 超级用户 */
    private static final Integer USER_POWER_ADMIN = 1;
    /** 普通用户 */
    private static final Integer USER_POWER_USER = 2;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        try {
            UserAdmin userAdmin = userAdminMapper.selectByUsername(username);
            log.info("登录用户名" + username);
            log.info("数据库密码" + userAdmin.getPassword());
            if (userAdmin == null) {
                throw new UsernameNotFoundException("没有找到");
            }
            //获取用户使用状态
            boolean status = false;
            if (userAdmin.getUserStatus() == 1){
                status = true;
            }
            if (userAdmin.getUserPower() == 1) {
                log.info("ADMIN用户"+userAdmin.getUserAdminName()+"登录");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        status, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));
            } else if (userAdmin.getUserPower() == 2) {
                log.info("ADMIN用户"+userAdmin.getUserAdminName()+"登录");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        true, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("USER"));
            } else {
                log.error("用户权限错误异常,默认为USER普通用户");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        true, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("USER"));
            }
        }catch (Exception e){
            log.error("用户权限错误异常"+e.getMessage());
            throw new MyException("用户权限错误异常");
        }
    }
}

返回类型必须是UserDetails(官方提供类),来看下它的源码

img_d166e8ec2fc8e05203a4ee77f0a3db69.png
image.png

可以看到里面包含了账号密码,和是否过期,是否可用,是否被锁,是否有效四个状态。所以我代码里有
return new User(username, passwordEncoder.encode(userAdmin.getPassword()), status, true, true, true, AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));
大家就能看懂了,AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));这个是自定义添加的用户身份,再开发过程中可把它封装起来。(我在这里由于数据库设计原因定成死的),说明它是个admin身份。passwordEncoder.encode是security提供的加密,(挺高端的,随机生成盐然后插入到密码里。每次登录都不一样,还提供了passwordEncoder.match()方法,两者联合判断用户是否有效),不多说 看源码
img_2eb70ec1eea5bdb0bb711b7fb2e5b732.png
image.png

然后你返回去看我的SecurityConfig类,你会找到

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

这个注入类就是获取impl中从数据库里查出来的密码,然后match判断。所以就要求我们注册用户的时候,先encode()一下再存入数据库,然后读出来直接返回,我的这个impl是从数据库里读出密码然后加密的,因为我怕数据库密码我都会忘记。。
按照需求来吧。

4. 启动项目

img_9abe40167d6db80b7ab657c3c3256c29.png
image.png

security默认有个form表单提交页面。我们输入错误的密码。
img_61b4fda0a4480f92b4bef3c6892aefe2.png
image.png

输入错误的账号
img_4006908bdb3ba03a84e5bd4cbcb7f882.png
image.png

看上去没有提示,因为我们没有捕获这个异常。
我们输入正确的帐号密码
img_d4539964731e2a15d59096863e6868f7.png
image.png

进来了。但是测试的时候你会发现个问题。表单提交的时候会报403无权限访问异常
。好好想想我们引入了两个依赖包,第二个还没用呢!
在每个有form提交的地方都加上
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
这是security框架token认证需要的东西。

网友评论

登录后评论
0/500
评论
微笑着生活
+ 关注