SpringSecurity核心功能:认证、授权、攻击防护(防止伪造身份)

涉及的依赖如下:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>



  



新建一个项目,添加如上依赖【添加依赖之后默认开始授权验证】,在控制器controller中测试,指定url,比如




@Controller

public class UserController {

    @RequestMapping(value="/hello")

    @ResponseBody

    public String hello(){return "=======Welcome to HelloWorld==============";}

}





  


如上,原本启动项目后,在地址栏中输入http://localhost:8080/hello应该显示返回的内容


然而此次加了安全验证后,不管url中访问的地址是什么,hello还是hello111,均返回login页面,如下




此时系统都没有连DB,用户名和密码是什么?


控制台中有消息,比如Using generated security password: 76dade1c-f190-44f8-915c-7a6b6917fb9a【每次随机生成的密码】


将用户名 user 和 密码 76dade1c-f190-44f8-915c-7a6b6917fb9a 填入上面对话框中,点击按钮Sign in




若之前访问的页面是控制器中配置的页面http://localhost:8080/hello


则此时能成功显示




若之前访问的页面是其他的,控制器中未配置的,则重定向后返回页面不存在。


当前自己的项目中,总不能用系统生成的密码进行登录获得权限,那不要被别人笑死。


进阶阶段:


我简单创建了一张表,希望该表的人输入匹配的用户名和密码后,方能登录。




CREATE TABLE `admin_user`(

`id` int(4) NOT NULL AUTO_INCREMENT,

`username` VARCHAR(100),

`password` VARCHAR(100),

`role` VARCHAR(100),

`realname` VARCHAR(100),

`mobile` VARCHAR(2000),

`state` BIT default 0,

`info` VARCHAR(200),

PRIMARY KEY (`id`)

)ENGINE=InnoDB AUTO_INCREMENT=300;





  塞了几条数据进去,然后我希望用户在页面上进行登录,那我必须还要创建一个User对象,所谓登录就是传入username和password匹配的场景,只要匹配,就登录成功,跳转到之前的url




public class User {

    private int id;

    private String name;

    private String password; 省略 getter and setter}





  




public interface UserService {

    User login(String name, String password);

}





  




@Service

public class UserServiceImpl implements UserService {

    @Autowired

    private JdbcTemplate jdbcTemplate;

    @Override

    public User login(String name, String password) {

        String sql ="select * from admin_user where username =? and password = ?";

        User user =jdbcTemplate.queryForObject(sql,new UserRowMapper(),name,password);

        return user;

    }

}





  




public class UserRowMapper implements RowMapper<User> {

    @Override

    public User mapRow(ResultSet resultSet, int i) throws SQLException {

        //此处要使用表中的字段,不能使用属性

        int id =resultSet.getInt("id");

        String username = resultSet.getString("username");

        String password = resultSet.getString("password");

        //String role = resultSet.getString("role");

        User user = new User();

        user.setId(id);

        user.setName(username);

        user.setPassword(password);

        return user;

    }

}





  


登录的方法啪啪啪很快就写好了,我要怎么让系统知道,所有的请求,要先进行登录呢,登录的URL是什么?


先看看别人的代码,貌似是实现了UserDetailsService 接口,而点进去发现该接口就一个方法




package org.springframework.security.core.userdetails;

public interface UserDetailsService {

    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;

}





  通过一个String类型的变量val1,获取用户的详细信息。。。怎么跟我想的不太一样?


再点进去发现UserDetails 也是一个接口




package org.springframework.security.core.userdetails;

import java.io.Serializable;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

public interface UserDetails extends Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();

}





 一个集合,收集权限,结合做过的项目,有的权限是超级管理员,有的权限是普通管理员,又或者有的删,有新增,有更新等等权限;两个返回String的方法;


还有判断账户是否过期,被锁,验证是否过期,是否开启了。。。


 看来光看别人的代码,还是丈二和尚摸不着头脑呢,去看看官方文档吧


https://spring.io/projects/spring-security


https://spring.io/guides/topicals/spring-security-architecture


英文原文我就不粘贴了,翻译过来,大意就是:


应用程序权限归结于两个独立的问题:


1. 你是谁


2. 你有什么样的权限


一般叫法是权限控制 或者 授权


下面开始讲框架中的源码,通过看源码可以了解设计的思路


1. 授权策略中主要的接口是AuthenticationManager,并且只有一个方法




public interface AuthenticationManager {

  Authentication authenticate(Authentication authentication)

    throws AuthenticationException;

} 




 验证管理员在方法authenticate()可以做三件事


a. 输入的信息是有效的当事人,验证通过,返回Authentication


b. 输入的信息是无效的当事人,验证不通过,返回AuthenticationException


c. 无法判断的时候,返回一个null


看到这儿,就觉得我想通过查询 用户名 = 输入的用户名 且 密码 =输入密码的想法真是异想天开了。


Filter Chains,过滤链,默认对所有的范文url进行过滤,意味着打开这个网站的任何链接,都弹出授权页面


而如果像如下的例子,则可以在foo下的下url不进行授权验证,说白了,不登录,这个url下也可以访问。 想想日常使用场景,比如总要有个注册页面吧,不能全面链接都要求登录。不注册如何登录呢?




@Configuration

@Order(SecurityProperties.BASIC_AUTH_ORDER - 10)

public class ApplicationConfigurerAdapter extends WebSecurityConfigurerAdapter {

  @Override

  protected void configure(HttpSecurity http) throws Exception {

    http.antMatcher("/foo/**")

     ...;

  }

}





  


用户登录了之后,要怎么查看个人信息,传入@AuthenticationPrincipal,当事人对象Principal principal




@RequestMapping("/foo")

public String foo(@AuthenticationPrincipal User user) {

  ... // do stuff with user

}





 




@RequestMapping("/foo")

public String foo(Principal principal) {

  Authentication authentication = (Authentication) principal;

  User = (User) authentication.getPrincipal();

  ... // do stuff with user

}





  


 使用规则介绍完了,花了两天把授权一个可用的项目的代码整理出来,贴上github路径


https://github.com/JasmineQian/buglist


其中用的是springboot 2.1.2 Realease 版本,和以前的版本稍微有一点区别,比如必须对密码加密校验,So存进去的密码处,必须加密之后存入数据库


<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.1.2.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>

程序中验证的用户名和密码




自己建一张表,叫做qa_user,添加如下数据
2 admin $2a$10$A4EZrzoXqj4mVyXiw/fsp.mJ.Ne5aVAMWrMK0mAb2zY7lJ/H6Jryi admin ROLE_USER,ROLE_ADMIN
												


											
springboot学习之授权Spring Security的更多相关文章
	

    
								
  1. 十二、SpringBoot 优雅的集成Spring Security
		
    前言 至于什么是Spring security ,主要两个作用,用户认证和授权.即我们常说的,用户只有登录了才能进行其他操作,没有登录的话就重定向到登录界面.有的用户有权限执行某一操作,而有的用户不能 ...
    
		
    2. 
						
  2. SpringBoot安全篇Ⅵ --- 整合Spring Security
		
    知识储备: 关于SpringSecurity的详细学习可以查看SpringSecurity的官方文档. Spring Security概览 应用程序的两个主要区域是"认证"和&qu ...
    
		
    3. 
						
  3. Spring 学习十四   Spring security安全
		
    Spring security: 我用过的安全机制:   oauth2, filter,  secured方法保护 9.2  保护web请求: 9.2.1  代理Servlet过滤器: Delegat ...
    
		
    4. 
						
  4. Spring Security学习笔记-自定义Spring Security过滤链
		
    Spring Security使用一系列过滤器处理用户请求,下面是spring-security.xml配置文件. <?xml version="1.0" encoding= ...
    
		
    5. 
						
  5. Spring学习日志之Spring Security配置
		
    依赖引入 <dependency> <groupId>org.springframework.security</groupId> <artifactId&g ...
    
		
    6. 
						
  6. SpringBoot学习笔记(2) Spring Boot的一些配置
		
    外部配置 Spring Boot允许使用properties文件.yaml文件或者命令行参数作为外部配置 使用@Value注解,可以直接将属性值注入到你的beans中,并通过Spring的Enviro ...
    
		
    7. 
						
  7. springboot学习章节代码-Spring MVC基础
		
    1.项目搭建. <?xml version="1.0" encoding="UTF-8"?> <project xmlns="htt ...
    
		
    8. 
						
  8. springboot学习章节代码-spring高级话题
		
    1.Spring Aware(获取Spring容器的服务) hi, i am guodaxia! test.txt package com.zhen.highlights_spring4.ch3.aw ...
    
		
    9. 
						
  9. SpringBoot学习笔记:Spring Data Jpa的使用
		
    更多请关注公众号 Spring Data Jpa 简介 JPA JPA(Java Persistence API)意即Java持久化API,是Sun官方在JDK5.0后提出的Java持久化规范(JSR ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 记账本微信小程序开发二
			
    新建一个微信小程序项目 熟悉软件各种操作.
    
			
    2. 
						
  2. shell expr match
			
    expr match "$pwrdm_stat" ".*,\($pwr_state:[0-9]*\)" 不理解 从字符串开始的位置匹配子串的长度   expr  ...
    
			
    3. 
						
  3. ==和equasl、hashmap原理(***)
			
    public class String01 { public static void main(String[] args) { String a="test"; String b ...
    
			
    4. 
						
  4. Web开发相关笔记 #05# MySQL中文无法匹配
			
    2018-06-02 在 Class.forName 的时候记得先尝试 import 一下. 2018-06-04 1.JDBC SELECT 查询,中文条件查不出东西,可能是字符编码问题: Stri ...
    
			
    5. 
						
  5. airtest 记录
			
    from airtest.core.api import * # 通过ADB连接本地Android设备 connect_device("Android:///") #安装待测软件a ...
    
			
    6. 
						
  6. TCP 之 RST 原因分析
			
    5. 往一个对端已经关闭的套接字上写入数据会收到一个RST信号 1.发送端的 发送缓冲区还有数据,但接收端tcp的接收通道已关闭 2. SYN到达某端口但此端口上没有正在监听的服务器.对于UDP,当一 ...
    
			
    7. 
						
  7. MySQL更改relay-bin名称导致同步停止的解决办法
			
    今天在优化io的时候,移动了从库relay-bin的位置,并将hostname部分去掉了,启动后,从库slave状态如下: mysql> show slave status\G; ******* ...
    
			
    8. 
						
  8. linux 计划任务 crontab 简单用法
			
    添加计划任务: 方法1: crontab -e 方法2: vim /etc/crontab #这种方式进去的文件有个sample可供参考 查看已经启动的任务:crontab -l 查看运行状态:ser ...
    
			
    9. 
						
  9. Codeforces Round #423 (Div. 2, rated, based on VK Cup Finals)  Problem D (Codeforces 828D) - 贪心
			
    Arkady needs your help again! This time he decided to build his own high-speed Internet exchange poi ...
    
			
    10. 
						
  10. IDEA安装与破解
			
    今天下午偶然在知乎上看到IDEA和eclipse的软件分析,所以装了一个IDEA,不过肯定是破解,不会购买激活码 IDEA官网:http://www.jetbrains.com/idea/ 安装教程: ...
    
			
    11.