1、Security简介

1.1 基础概念

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作。

1.2 核心API解读

1)、SecurityContextHolder

最基本的对象,保存着当前会话用户认证,权限,鉴权等核心数据。SecurityContextHolder默认使用ThreadLocal策略来存储认证信息,与线程绑定的策略。用户退出时,自动清除当前线程的认证信息。

初始化源码:明显使用ThreadLocal线程。

private static void initialize() {

    if (!StringUtils.hasText(strategyName)) {

        strategyName = "MODE_THREADLOCAL";

    }

    if (strategyName.equals("MODE_THREADLOCAL")) {

        strategy = new ThreadLocalSecurityContextHolderStrategy();

    } else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) {

        strategy = new InheritableThreadLocalSecurityContextHolderStrategy();

    } else if (strategyName.equals("MODE_GLOBAL")) {

        strategy = new GlobalSecurityContextHolderStrategy();

    } else {

        try {

            Class<?> clazz = Class.forName(strategyName);

            Constructor<?> customStrategy = clazz.getConstructor();

            strategy = (SecurityContextHolderStrategy)customStrategy.newInstance();

        } catch (Exception var2) {

            ReflectionUtils.handleReflectionException(var2);

        }

    }

    ++initializeCount;

}

2)、Authentication

public interface Authentication extends Principal, Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;

}

源码分析

  1. getAuthorities,权限列表,通常是代表权限的字符串集合;
  2. getCredentials,密码,认证之后会移出,来保证安全性;
  3. getDetails,请求的细节参数;
  4. getPrincipal, 核心身份信息,一般返回UserDetails的实现类。

3)、UserDetails

封装了用户的详细的信息。

public interface UserDetails extends Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();

}

4)、UserDetailsService

实现该接口,自定义用户认证流程,通常读取数据库,对比用户的登录信息,完成认证,授权。

public interface UserDetailsService {

    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;

}

5)、AuthenticationManager

认证流程顶级接口。可以通过实现AuthenticationManager接口来自定义自己的认证方式,Spring提供了一个默认的实现,ProviderManager。

public interface AuthenticationManager {

    Authentication authenticate(Authentication var1) throws AuthenticationException;

}

2、SpringBoot整合SpringSecurity

2.1 流程描述

1)、三个页面分类,page1、page2、page3

2)、未登录授权都不可以访问

3)、登录后根据用户权限,访问指定页面

4)、对于未授权页面,访问返回403:资源不可用

2.2 核心依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

2.3 核心配置

/**

 * EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持

 */

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**

     * 权限配置

     */

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // 配置拦截规则

        http.authorizeRequests().antMatchers("/").permitAll()

                 .antMatchers("/page1/**").hasRole("LEVEL1")

                 .antMatchers("/page2/**").hasRole("LEVEL2")

                 .antMatchers("/page3/**").hasRole("LEVEL3");

        // 配置登录功能

        http.formLogin().usernameParameter("user")

                .passwordParameter("pwd")

                .loginPage("/userLogin");

        // 注销成功跳转首页

        http.logout().logoutSuccessUrl("/");

        //开启记住我功能

        http.rememberMe().rememberMeParameter("remeber");

    }

    /**

     * 自定义认证数据源

     */

    @Override

    protected void configure(AuthenticationManagerBuilder builder) throws Exception{

        builder.userDetailsService(userDetailService())

                .passwordEncoder(passwordEncoder());

    }

    @Bean

    public UserDetailServiceImpl userDetailService (){

        return new UserDetailServiceImpl () ;

    }

    /**

     * 密码加密

     */

    @Bean

    public BCryptPasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();

    }

    /*

     * 硬编码几个用户

    @Autowired

    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication()

                .withUser("spring").password("123456").roles("LEVEL1","LEVEL2")

                .and()

                .withUser("summer").password("123456").roles("LEVEL2","LEVEL3")

                .and()

                .withUser("autumn").password("123456").roles("LEVEL1","LEVEL3");

    }

    */

}

2.4 认证流程

@Service

public class UserDetailServiceImpl implements UserDetailsService {

    @Resource

    private UserRoleMapper userRoleMapper ;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 这里可以捕获异常,使用异常映射,抛出指定的提示信息

        // 用户校验的操作

        // 假设密码是数据库查询的 123

        String password = "$2a$10$XcigeMfToGQ2bqRToFtUi.sG1V.HhrJV6RBjji1yncXReSNNIPl1K";

        // 假设角色是数据库查询的

        List<String> roleList = userRoleMapper.selectByUserName(username) ;

        List<GrantedAuthority> grantedAuthorityList = new ArrayList<>() ;

        /*

         * Spring Boot 2.0 版本踩坑

         * 必须要 ROLE_ 前缀, 因为 hasRole("LEVEL1")判断时会自动加上ROLE_前缀变成 ROLE_LEVEL1 ,

         * 如果不加前缀一般就会出现403错误

         * 在给用户赋权限时,数据库存储必须是完整的权限标识ROLE_LEVEL1

         */

        if (roleList != null && roleList.size()>0){

            for (String role : roleList){

                grantedAuthorityList.add(new SimpleGrantedAuthority(role)) ;

            }

        }

        return new User(username,password,grantedAuthorityList);

    }

}

2.5 测试接口

@Controller

public class PageController {

    /**

     * 首页

     */

    @RequestMapping("/")

    public String index (){

        return "home" ;

    }

    /**

     * 登录页

     */

    @RequestMapping("/userLogin")

    public String loginPage (){

        return "pages/login" ;

    }

    /**

     * page1 下页面

     */

    @PreAuthorize("hasAuthority('LEVEL1')")

    @RequestMapping("/page1/{pageName}")

    public String onePage (@PathVariable("pageName") String pageName){

        return "pages/page1/"+pageName ;

    }

    /**

     * page2 下页面

     */

    @PreAuthorize("hasAuthority('LEVEL2')")

    @RequestMapping("/page2/{pageName}")

    public String twoPage (@PathVariable("pageName") String pageName){

        return "pages/page2/"+pageName ;

    }

    /**

     * page3 下页面

     */

    @PreAuthorize("hasAuthority('LEVEL3')")

    @RequestMapping("/page3/{pageName}")

    public String threePage (@PathVariable("pageName") String pageName){

        return "pages/page3/"+pageName ;

    }

}

2.6 登录界面

这里要和Security的配置文件相对应。

<div align="center">

    <form th:action="@{/userLogin}" method="post">

        用户名:<input name="user"/><br>

        密   码:<input name="pwd"><br/>

        <input type="checkbox" name="remeber"> 记住我<br/>

        <input type="submit" value="Login">

    </form>

</div>

(十三)整合 SpringSecurity 框架,实现用户权限管理的更多相关文章

  1. (十二)整合 Shiro 框架,实现用户权限管理

    整合 Shiro 框架,实现用户权限管理 1.Shiro简介 1.1 基础概念 1.2 核心角色 1.3 核心理念 2.SpringBoot整合Shiro 2.1 核心依赖 2.2 Shiro核心配置 ...

  2. [原]Jenkins(十三)---jenkins用户权限管理

    * 版权声明:本博客欢迎转发,但请保留原作者信息! http://www.cnblogs.com/horizonli/p/5337874.html 两种策略的比较

  3. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(21)-用户角色权限基本的实现说明

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(21)-用户角色权限基本的实现说明     ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框 ...

  4. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(19)-用户信息的修改和浏览

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(19)-用户信息的修改和浏览  ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建    ...

  5. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(17)-注册用户功能的细节处理(各种验证)

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(17)-注册用户功能的细节处理(各种验证) ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框 ...

  6. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(16)-类库架构扩展以及DLL文件生成修改和用户的简单添加

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(16)-类库架构扩展以及DLL文件生成修改和用户的简单添加 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇) ...

  7. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(15)-用户登录详细错误和权限数据库模型设计

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(15)-用户登录详细错误和权限数据库模型设计     ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)    ...

  8. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建  ...

  9. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(14)-主框架搭建

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(14)-主框架搭建    ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建    (2 ...

随机推荐

  1. JavaScript获取页面元素方法

  2. MySQL查询区分大小写敏感问题

    由于mysql是不区分大小写的,所以当你查询的时候,例如数据库里有条数据用户名为UpYou(用户名唯一),当你输入:upyou时发现也可以查询,在某些需求下这样是不允许的,可以在查询语句中加入bina ...

  3. Spring boot JPA读取数据库方法

    方法1: 1 StringBuffer sb = new StringBuffer(300); 2 sb.append("SELECT v.id, v.container_number, v ...

  4. Docker环境下升级PostgreSQL

    查阅PostgreSQL官方文档可以得知,官方提供了两种方式对数据库进行升级--pg_dumpall与pg_upgrade. pg_dumpall是将数据库转储成一个脚本文件,然后在新版数据库中可以直 ...

  5. 地图开发笔记(一):百度地图介绍、使用和Qt内嵌地图Demo

    前言   Qt在地图方面的研发.   百度地图 介绍   百度的地图分为多个开发,都是在线的(离线的需要自己提取,本篇解说在线地图).  百度地图JavaScript API支持HTTP和HTTPS, ...

  6. 美业黑科技 ▏肌肤管家SkinRun V3S智能肌肤测试仪,实现“护肤”私人定制

    肌肤如同身体,也需要定时的"健康检查",但仅凭肉眼难以窥见深层的肌肤问题.而现在,肌肤管家SkinRun前沿黑科技护肤测试仪--SkinRun V3S便能帮助用户对症下药.肌肤管家 ...

  7. java8新特性之stream流

    Stream 流是 Java 8 提供给开发者一套新的处理集合的API,他把我们将要处理的集合作为流,就像流水线一样,我们可以对其中的元素进行筛选,过滤,排序等中间操作,只不过这种操作更加简洁高效. ...

  8. java调用js代码

    jdk8里使用脚本引擎调用js 1.定义一个js方法: function getRouteInfo(province){ //注意,参数不要带var..在java里执行会报错.. if (provin ...

  9. three.js 之cannon.js物理引擎

    今天郭先生说的是一个物理引擎,它十分小巧并且操作简单,没错他就是cannon.js.这些优点都源自于他是基于js编写的,对于js使用者来说cannon.js拥有其他物理引擎没有的纯粹性.从学习成本来看 ...

  10. 【Linux】linux中通过date命令获取昨天或明天时间的方法

    date +"%F" 输出格式:2011-12-31 date +"%F %H:%M:%S" 输出格式:2011-12-31 16:29:50 这都是打印出系统 ...