spring Version = 4.3.6.RELEASE

springSecurityVersion = 4.2.1.RELEASE

Gradle 3.0 + Eclipse Neno(4.6)

这篇文章同样是使用的Java配置,而非XML配置,如果你对于Java配置的Spring MVC开发还不太熟悉,可以先看我这篇文章

Authority

创建一个 Authority ,实现自 org.springframework.security.core.GrantedAuthority 类,getAuthority 方法只返回一个表示权限名称的字符串,如 AUTH_USERAUTH_ADMINAUTH_DBA 等。

public class Authority implements GrantedAuthority {

    private static final long serialVersionUID = 1L;

    private String authority;

    public Authority() {  }

    public Authority(String authority) {

        this.setAuthority(authority);

    }

    @Override

    public String getAuthority() {

        return this.authority;

    }

    public void setAuthority(String authority) {

        this.authority = authority;

    }

}

User

User 类实现自 org.springframework.security.core.userdetails.UserDetails 接口,包含一组权限的集合 authorities

public class User implements UserDetails {

    private static final long serialVersionUID = 1L;

    private String username;

    private String password;

    private List<Authority> authorities;

    @Override

    public String getUsername() {

        return username;

    }

    public void setUsername(String username) {

        this.username = username;

    }

    @Override

    public String getPassword() {

        return password;

    }

    public void setPassword(String password) {

        this.password = password;

    }

    @Override

    public Collection<? extends GrantedAuthority> getAuthorities() {

        return this.authorities;

    }

    public void setAuthorities(List<Authority> authorities) {

        this.authorities = authorities;

    }

    @Override

    public boolean isAccountNonExpired() {

        return true;

    }

    @Override

    public boolean isAccountNonLocked() {

        return true;

    }

    @Override

    public boolean isCredentialsNonExpired() {

        return true;

    }

    @Override

    public boolean isEnabled() {

        return true;

    }

}

UserDetailsService

MyUserDetailsService 实现了 org.springframework.security.core.userdetails.UserDetailsServiceloadUserByUsername 方法,该方法根据用户名查询符合条件的用户,若没有找到符合条件的用户,必须抛出 UsernameNotFoundException 异常,而不能返回空。这里可以调用 DAO 层,从数据库查询用户,我为了简单,直接将用户临时放到一个常量内,模拟从数据库查询用户。

@Service

public class MyUserDetailsService implements UserDetailsService {

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        List<User> userList = Constants.userList;

        for (int i = 0, len = userList.size(); i < len; i++) {

            User user = userList.get(i);

            if (user.getUsername().equals(username)) {

                return user;

            }

        }

        throw new UsernameNotFoundException("用户不存在!");

    }

}

SecurityConfig

SecurityConfig 类继承 org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapterWebSecurityConfigurerAdapter 提供了一些默认的配置,方便创建一个实例。

进入 configure 方法中,首先允许任何情况下的对csrfTokenApi 的请求,该 API 返回一个 csrfToken ,默认情况下除 GETHEADTRACEOPTIONS外,所有请求都必须经过 CSRF 认证。接下来对不同的API请求设置不同的权限,并且确保所有对 /api/ 下的请求都经过了认证。

这里向 access 方法传递的表达式中的权限名称,对应上面提到的 Authority 类中 getAuthority 返回的字符串的值,详细的表达式介绍,请移步至这里

接着,对登录表单进行配置。通过 loginProcessingUrl 配置表单提交地址,这个地址对应的API不需要自己写,Spring Security 会自动拦截提交到此地址请求,将其视为登录请求。如果希望登录成功后通过服务器转发到其他页面,可以调用 successForwardUrl(String forwardUrl) 方法指定跳转的地址,对应地,指定失败后跳转地址的方法是 failureForwardUrl(String forwardUrl)

这里我使用了RESTful,故不需要配置服务端的转发,而是配置了另外两处:successHandlerfailureHandlersuccessHandler 方法接收一个 AuthenticationSuccessHandler 对象,认证通过之后,Spring Security 将调用该对象的 onAuthenticationSuccess 方法,类似地,failureHandler 方法接收一个 AuthenticationFailureHandler 对象,认证失败之后,将调用该对象的 onAuthenticationFailure 方法。

配置完登录相关信息之后,接着配置和登出有关的信息。和配置登录表单提交地址类似,这里需要配置登出请求提交地址,这里调用 logoutUrl 方法,指定登出的链接地址,该地址和前面提到的 loginProcessingUrl 都不需要自己写,这两个都是全权交由 Spring Security 来处理。当用户请求 logoutUrl 方法指定的地址时,Spring Security 将对用户执行登出操作。和前面提到的 successForwardUrl 类似,这里提供了 logoutSuccessUrl 方法指定登出成功之后转发的地址。不过我用了RESTful,就不再调用此方法,而是调用 logoutSuccessHandler 传入 LogoutSuccessHandler 对象,登出成功后将调用该对象的 onLogoutSuccess 方法。

最后,配置对异常的处理 exceptionHandling ,和上面介绍的 successHandlerfailureHandler 以及 logoutSuccessHandler 差不多,authenticationEntryPoint 接收一个 AuthenticationEntryPoint 对象,当用户请求的操作需要登录时,将抛出 AuthenticationException 异常,并且将该异常传入到 AuthenticationEntryPoint 对象的 commence 方法。

accessDeniedHandler 方法接收一个 AccessDeniedHandler 对象,该对象的 handle 方法将在权限不足时调用。

配置完这些,看 configureGlobalSecurity 方法,给 AuthenticationManagerBuilder 配置一个 UserDetailsService 对象,当用户执行登录时,Spring Security 将调用该对象的 loadUserByUsername 方法,将 username 传入此方法,根据 username 获取一个 UserDetails 对象。

另外,由于不能在数据库中保存明文密码,这里对密码进行 bcrypt 加密后保存,验证密码是否正确时,需要对用户输入的明文密码进行 bcrypt 加密后比较密文是否一致,故这里需要提供一个 BCryptPasswordEncoder 对象。

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${api.csrftoken}")

    private String csrfTokenApi;

    @Value("${api.login}")

    private String loginApi;

    @Value("${api.logout}")

    private String logoutApi;

    @Autowired

    private MyUserDetailsService userDetailsService;

    @Autowired

    private PasswordEncoder passwordEncoder;

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests().antMatchers(csrfTokenApi).permitAll()

        .antMatchers("/api/user/**").access("hasAuthority('USER')")

        .antMatchers("/api/admin/**").access("hasAuthority('ADMIN')")

        .antMatchers("/api/dba/**").access("hasAuthority('DBA')")

        .antMatchers("/api/**").fullyAuthenticated()

        .and().formLogin().loginProcessingUrl(loginApi)

        .successHandler(new RestAuthenticationSuccessHandler())

        .failureHandler(new RestAuthenticationFailureHandler())

        .and().logout().logoutUrl(logoutApi)

        .logoutSuccessHandler(new RestLogoutSuccessHandler())

        .and().exceptionHandling().authenticationEntryPoint(new RestAuthenticationEntryPoint())

        .accessDeniedHandler(new RestAccessDeniedHandler());

    }

    @Autowired

    public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);

    }

    @Bean

    public PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder(11);

    }

}

WebAppConfig

因为采用RESTful风格,这里配置响应视图为json格式。

@Configuration

@EnableWebMvc

@ComponentScan(basePackages = "org.xueliang.springsecuritystudy")

@PropertySource({"classpath:config.properties"})

public class WebAppConfig extends WebMvcConfigurerAdapter {

    @Bean

    public RequestMappingHandlerAdapter requestMappingHandlerAdapter(@Autowired MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter, @Autowired ContentNegotiationManager mvcContentNegotiationManager) {

        RequestMappingHandlerAdapter requestMappingHandlerAdapter = new RequestMappingHandlerAdapter();

        requestMappingHandlerAdapter.setMessageConverters(Collections.singletonList(mappingJackson2HttpMessageConverter));

        requestMappingHandlerAdapter.setContentNegotiationManager(mvcContentNegotiationManager);

        return requestMappingHandlerAdapter;

    }

    @Bean

    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {

        return new MappingJackson2HttpMessageConverter();

    }

    /**

     * 设置欢迎页

     * 相当于web.xml中的 welcome-file-list > welcome-file

     */

    @Override

    public void addViewControllers(ViewControllerRegistry registry) {

        registry.addRedirectViewController("/", "/index.html");

    }

}

WebAppInitializer

Spring Security 架构是完全基于标准的 Servlet 过滤器的,这里我们需要在 WebInitializer 中引入 DelegatingFilterProxy 过滤器。

public class WebAppInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    @Override

    public void onStartup(ServletContext servletContext) throws ServletException {

        servletContext.addFilter("springSecurityFilterChain", new DelegatingFilterProxy("springSecurityFilterChain")).addMappingForUrlPatterns(null, false, "/api/*");

        // 静态资源映射

        servletContext.getServletRegistration("default").addMapping("*.html", "*.ico");

        super.onStartup(servletContext);

    }

    @Override

    protected Class<?>[] getRootConfigClasses() {

        return new Class[] { WebAppConfig.class };

    }

    @Override

    protected Class<?>[] getServletConfigClasses() {

        return null;

    }

    @Override

    protected String[] getServletMappings() {

        return new String[] { "/" };

    }

    @Override

    protected Filter[] getServletFilters() {

        return new Filter[] { new CharacterEncodingFilter("UTF-8", true) };

    }

}

Source

本文使用到的项目源码已经放到 Github 上,你可以下载后运行。

原文链接http://xueliang.org/article/detail/20170302232815082

Spring MVC + Security 4 初体验(Java配置版)的更多相关文章

  1. 【原创】Spring MVC项目搭建(使用Java配置)

    一.使用Intellij idea,新建maven项目,选择maven-archetype-webapp. 二.在src/main下新建文件夹,命名为java,并标注为source folder. 三 ...

  2. (4.1)Spring MVC执行原理和基于Java的配置过程

    一.Spring MVC执行原理和基于Java配置的配置过程 (一)Spring MVC执行过程,大致为7步. 所有的请求都会经过Spring的一个单例的DispacherServlet. Dispa ...

  3. Spring MVC执行原理和基于Java的配置过程

    一.Spring MVC执行原理和基于Java配置的配置过程 (一)Spring MVC执行过程,大致为7步. 所有的请求都会经过Spring的一个单例的DispacherServlet. Dispa ...

  4. Spring MVC内容协商实现原理及自定义配置【享学Spring MVC】

    每篇一句 在绝对力量面前,一切技巧都是浮云 前言 上文 介绍了Http内容协商的一些概念,以及Spring MVC内置的4种协商方式使用介绍.本文主要针对Spring MVC内容协商方式:从步骤.原理 ...

  5. Spring Cloud 负载均衡初体验

    目录 服务搭建 1.注册中心--Eureka Server 2.服务提供方--Service Provider 3.服务消费方--Service Consumer 服务消费 Feign 与断路器 Hy ...

  6. Spring入门(8)-基于Java配置而不是XML

    Spring入门(8)-基于Java配置而不是XML 本文介绍如何应用Java配置而不是通过XML配置Spring. 0. 目录 声明一个简单Bean 声明一个复杂Bean 1. 声明一个简单Bean ...

  7. 215.Spring Boot+Spring Security:初体验

    [视频&交流平台] SpringBoot视频:http://t.cn/R3QepWG Spring Cloud视频:http://t.cn/R3QeRZc SpringBoot Shiro视频 ...

  8. Spring mvc Security安全配置

    Spring Security笔记:自定义Login/Logout Filter.AuthenticationProvider.AuthenticationToken SPRING SECURITY ...

  9. 使用Spring MVC,Mybatis框架等创建Java Web项目时各种前期准备的配置文件内容

    1.pom.xml 首先,pom.xml文件,里面包含各种maven的依赖,代码如下: <project xmlns="http://maven.apache.org/POM/4.0. ...

随机推荐

  1. UWP锁、解屏后无法响应操作

    UWP的Unity项目,在PC上运行时,如果锁屏(手动或自动)再解锁,游戏画面和进度正常,但是无法进行鼠标.键盘或手柄的操作.这Bug在很多线上的Unity项目中存在. 原因:UWP App的系统事件 ...

  2. 响应的系统设置的事件——Configuration类简介

    Configuration类专门用于描述手机设备上的配置信息,这些配置信息既包括用户特定的配置项,也包括系统的动态设置配置. 程序可调用Activity的如下方法来获取系统的Configuration ...

  3. hadoop-1.x的运行实例

    我的环境是hadoop-0.20.2,eclipse:SDK-3.3.2, 源数据为: Apr 23 11:49:54 hostapd: wlan0: STA 14:7d:c5:9e:fb:84 Ap ...

  4. PHP那些最好的轮子

    PHP那些最好的轮子 Databse 数据库ORM Doctrine 2 License : MIT Source Code Allo点评:Doctrine是功能最全最完善的PHP ORM,社区一直很 ...

  5. Canvas rotate- 旋转

    Canvas rotate- 旋转 <!DOCTYPE html> <html lang="en"> <head> <meta chars ...

  6. zabbix3.2.3安装部署

    安装nginx [root@xuegod64 ~]# yum install -y gcc gcc-c++ autoconf automake zlib zlib-devel openssl open ...

  7. B树的查找、插入、删除(附源代码)

    B-Tree Index B-Tree搜索 B-Tree插入 分裂节点 插入节点 B-Tree删除 合并节点 删除节点 Basic B-Tree有两个比较重要的性质: 所有的leaf均在同一个leve ...

  8. http-server 使用介绍

    做一个项目的时候需要服务环境,又不想使用apache,php,于是找到一款比较简单的易用的webserver 就是http-server 首先介绍一个怎么使用吧,http-server 是基于node ...

  9. Codeforce 712A Memory and Crow

    A. Memory and Crow time limit per test:2 seconds memory limit per test:256 megabytes input:standard ...

  10. 关于最优化读写,测试各个加锁:Lock、安全字典、信号量、ReaderWriterLock、ReaderWriterLockSlim

    大家对于自身项目中都有本地缓存的逻辑,但这块的读写何种机制下哪个快,哪个慢,需要测试对比,以下测试报告,期望给大家一个借鉴,如果有更好的测试结果也欢迎大家一起讨论. 以下测试是开启10个并发任务对同一 ...