Spring Security介绍

Spring Security是Spring全家桶中的处理身份和权限问题的一员。Spring Security可以根据使用者的需要定制相关的角色身份和身份所具有的权限,完成黑名单操作、拦截无权限的操作等等。

本文将讲解Springboot中使用spring security。

引入依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

由于SpringBoot的自动配置的特性,引入了Spring Security依赖之后,已经默认帮我们配置了。不信,现在访问应用的根目录:

居然跳到了一个登陆页面,我们什么都没有写呀。我们把spring security的依赖去掉,重启应用,然后再次访问根目录:

这次,熟悉的页面出来了。其实这就是Springboot的魅力之处——自动配置。我们只是引入了Spring Security的依赖,就自动帮我们配置完了。

默认账号密码

我们可以通过SecurityProperties的源码查看,其默认账号是user,密码是启动的时候随机生成的,可以在日志里找到:

修改默认账号密码

我们可以通过配置文件修改Spring Security的默认账号密码,如下:

spring.security.user.name=happyjava

spring.security.user.password=123456

springboot1.x版本为:

security.user.name=admin

security.user.password=admin

如果是一个普通的个人网站,如个人博客等。配置到这一步,已经可以充当一个登陆控制模块来使用了(当然还需要配置不需要登陆就可以访问的url)。

使用Spring Security定制化鉴权模块

虽然默认已经帮我们实现了一个简单的登陆认证模块,但是在实际开发中,这还是远远不够的。比如,我们有多个用户,有多中角色等等。一切,还是需要手动来开发。下面就一步一步来使用Spring Security:

配置不需要登陆的路径

我们当然需要配置不需要登陆就能访问的路径啦,比如:登陆接口(不然你怎么访问)。

有如下接口:

新建SecurityConfig,然后配置拦截的路径,配置路径白名单:

/**

 * @author Happy

 */

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean

    public PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder();

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.antMatcher("/api/**")

                .authorizeRequests()

                .antMatchers("/api/notneedlogin/**").permitAll()

                .anyRequest().authenticated();

    }

}

排版乱请看图片版

通过antMatchers("url").permitAll()方法,配置了/api/notneedlogin/**路径会被Spring Security放行。

启动项目验证下:

需要登陆的接口拦截了返回403.

配置了白名单的路径成功的获取到了数据。

其实,这个时候已经可以拿来当做一个普通个人网站的权限验证模块了,比如个人博客什么的。

抛弃默认配置,自定义鉴权方式

很多时候,我们都需要自定义鉴权方式啦。比如,我不用session来鉴权了,改用无状态的jwt方式(json web token)。这时候,我们就要对Spring Security进行定制化了。

首先,我们需要创建UserDetails的实现,这个就是Spring Security管理的用户权限对象:

@Data

@AllArgsConstructor

@NoArgsConstructor

public class AdminUser implements UserDetails {

    private String username;

    @Override

    @SuppressWarnings("unchecked")

    public Collection<? extends GrantedAuthority> getAuthorities() {

        // 这里可以定制化权限列表

        return Collections.EMPTY_LIST;

    }

    @Override

    public String getPassword() {

        return null;

    }

    @Override

    public String getUsername() {

        return username;

    }

    @Override

    public boolean isAccountNonExpired() {

        // 这里设置账号是否已经过期

        return true;

    }

    @Override

    public boolean isAccountNonLocked() {

        // 这里设置账号是否已经被锁定

        return true;

    }

    @Override

    public boolean isCredentialsNonExpired() {

        // 这里设置凭证是否过期

        return true;

    }

    @Override

    public boolean isEnabled() {

        // 是否可用

        return true;

    }

}

其次,我们还需要一个过滤器,拦截请求判断是否登陆,组装UserDetails:

AuthFilter.class

@Component

public class AuthFilter extends OncePerRequestFilter {

    @Autowired

    private UserDetailsServiceImpl userDetailsService;

    @Override

    protected void doFilterInternal(HttpServletRequest request,

                                    HttpServletResponse response, FilterChain filterChain)

            throws ServletException, IOException {

        String username = (String) request.getSession().getAttribute("username");

        if (username != null && !"".equals(username)) {

            UserDetails userDetails = userDetailsService.loadUserByUsername(username);

            if (userDetails != null && userDetails.isEnabled()) {

                UsernamePasswordAuthenticationToken authenticationToken =

                        new UsernamePasswordAuthenticationToken(userDetails,

                                null, userDetails.getAuthorities());

                // 把当前登陆用户放到上下文中

                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(

                        request));

                SecurityContextHolder.getContext().setAuthentication(authenticationToken);

            } else {

                // 用户不合法,清除上下文

                SecurityContextHolder.clearContext();

            }

        }

        filterChain.doFilter(request, response);

    }

}

这个过滤器里的userDetailsService,是Spring Security加载UserDetails的一个接口,代码如下:

它只有一个根据用户名加载当前权限用户的方法,我的实现如下:

@Service

public class UserDetailsServiceImpl implements UserDetailsService {

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // MOCK 模拟从数据库 根据用户名查询用户

        AdminUserEntity adminUser = new AdminUserEntity(1, "happyjava", "123456");

        // 构建 UserDetails 的实现类 => AdminUser

        return new AdminUser(adminUser.getUsername());

    }

}

MOCK这里,需要用户真正的去实现,我这里只是演示使用。其中AdminUserEntity代码如下:

@Data

@NoArgsConstructor

@AllArgsConstructor

public class AdminUserEntity {

    private Integer id;

    private String username;

    private String password;

}

到这里,已经完成了Spring Security的整套配置了。

测试

下面通过三个接口,测试配置是否生效:

增加了一个登陆接口,模拟真实用户登陆。其中,needLogin接口,使用了AuthenticationPrincipal注解来获取Spring Security中上下文的用户(这个实在Filter里面设置的)。

未登陆状态,访问test1接口:

直接被拦截掉了,调用登录接口:

再次访问:

成功请求到了接口。

无状态jwt鉴权

本文演示的是使用session来完成鉴权的。使用session来做登录凭证,一个很大的痛点就是session共享问题。虽然springboot解决session共享就几个配置的问题,但终究还是得依赖别的服务,这是有状态的。

现在流行一种使用加密token的验证方式来鉴权,本人在项目中也是使用token的方式的(jjwt)。其主要做法就是,用户调用登陆接口,返回一串加密字符串,这串字符串里面包含用户名(username)等信息。用户后续的请求,把这个token带过来,通过解密的方式验证用户是否拥有权限。

总结

本文讲解了使用Spring Security来做鉴权框架,Spring Security配置起来还是挺繁琐的,但是配置完成之后,后续的获取上下文用户注解什么的,是真的方便。我把代码放到GitHub上,方便大家下载直接复制使用,地址如下:https://github.com/Happy4Java/SpringSecurityDemo

「快学springboot」集成Spring Security实现鉴权功能的更多相关文章

  1. 「快学springboot」SpringBoot整合freeMark模板引擎

    前言 虽然现在流行前后端分离开发和部署,但是有时候还是需要用到服务端渲染页面的.比如:需要考虑到SEO优化等问题的时候,FreeMark其实还是很有作用的.本人的博客本来是用React开发的,但是后来 ...

  2. 「快学springboot」SpringBoot多环境配置文件

    前言 我们都知道springboot的配置卸载application.properties配置文件上(或者application.yml).但是,如果想要把不同的环境(如开发环境,测试环境,生产环境) ...

  3. 「快学SpringBoot」配置文件的加载顺序和配置项默认值设置

    前言 有的时候,配置信息是我们无法在开发过程中就能确定的.比如,给客户开发的项目,客户需要根据自身的情况自定义配置,如数据库配置,加密密钥配置等等.这时候,就需要把配置文件放在外面,让用户自定义配置部 ...

  4. 「快学springboot」16.让swagger帮忙写接口文档

    swagger简介 官方的介绍 THE WORLD'S MOST POPULAR API TOOLING Swagger is the world's largest framework of API ...

  5. Springboot WebFlux集成Spring Security实现JWT认证

    我最新最全的文章都在南瓜慢说 www.pkslow.com,欢迎大家来喝茶! 1 简介 在之前的文章<Springboot集成Spring Security实现JWT认证>讲解了如何在传统 ...

  6. Spring Security入门(3-5)Spring Security 的鉴权 - 决策管理器和投票器

    1.决策管理器的运行原理: 2.Spring Security提供的决策管理器实现 3.用户自定义的决策管理器

  7. 「快学Docker」Docker简介、安装和Hello World实现

    前言 Docker已经成为了一门炙手可热的技术,每个程序员(特别是后端程序员)都应该学习下Docker这门技术. Docker是什么 来自官网的定义:Docker是以Docker容器为资源分割和调度的 ...

  8. Spring Security入门(3-6)Spring Security 的鉴权 - 自定义权限前缀

  9. SpringBoot集成Spring Security

    1.Spring Security介绍 Spring security,是一个强大的和高度可定制的身份验证和访问控制框架.它是确保基于Spring的应用程序的标准 --来自官方参考手册 Spring ...

随机推荐

  1. 题解【洛谷P2853】[USACO06DEC]牛的野餐Cow Picnic

    题目描述 The cows are having a picnic! Each of Farmer John's \(K (1 ≤ K ≤ 100)\) cows is grazing in one ...

  2. 【PAT甲级】1106 Lowest Price in Supply Chain (25分)

    题意:输入一个正整数N(<=1e5),两个小数P和R,分别表示树的结点个数和商品原价以及每下探一层会涨幅的百分比.输出叶子结点深度最小的商品价格和深度最小的叶子结点个数. trick: 测试点1 ...

  3. RedHat7 / CentOS 7 忘记root密码修改

    摘自:https://blog.csdn.net/bubbleyang/article/details/91360856 进入互动式命令环境 开机出现 grub boot loader 开机选项菜单时 ...

  4. UVA 11464 偶数矩阵(递推 | 进制)

    题目链接:https://vjudge.net/problem/UVA-11464 一道比较好的题目. 思路如下: 如果我们枚举每一个数字“变”还是“不变”,那么需要枚举$2^{255}$种情况,很显 ...

  5. 读写json文件

    def read_json(path): """return dict""" with open(path,'r+')as f: retur ...

  6. django removing hardcoded URLs in template --- 使用变量,把url放在变量中 {% url 'namespace:name' %}

    urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^votes/', include("polls.urls", na ...

  7. 解决sublime不能正常使用python3中的input

    执行以下步骤 1.安装SublimeREPL插件 2.打开快捷键设置运行的快捷键 首选项->快捷设置 {"keys":["ctrl+y+h"], &quo ...

  8. opencv:自定义滤波

    卷积核的定义 均值卷积核 // 自定义滤波 - 均值卷积 int k = 15; Mat mkernel = Mat::ones(k, k, CV_32F) / (float)(k * k); Mat ...

  9. opencv:图像卷积

    卷积基本概念 C++代码实现卷积 #include <opencv2/opencv.hpp> #include <iostream> using namespace cv; u ...

  10. go语言下载及安装

    go语言下载地址:https://studygolang.com/dl 在cmd输入go 如果显示这样,说明安装成功 go env -w GOPROXY=https://goproxy.cn,dire ...