Spring Security介绍

Spring Security是Spring全家桶中的处理身份和权限问题的一员。Spring Security可以根据使用者的需要定制相关的角色身份和身份所具有的权限,完成黑名单操作、拦截无权限的操作等等。

本文将讲解Springboot中使用spring security。

引入依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

由于SpringBoot的自动配置的特性,引入了Spring Security依赖之后,已经默认帮我们配置了。不信,现在访问应用的根目录:

居然跳到了一个登陆页面,我们什么都没有写呀。我们把spring security的依赖去掉,重启应用,然后再次访问根目录:

这次,熟悉的页面出来了。其实这就是Springboot的魅力之处——自动配置。我们只是引入了Spring Security的依赖,就自动帮我们配置完了。

默认账号密码

我们可以通过SecurityProperties的源码查看,其默认账号是user,密码是启动的时候随机生成的,可以在日志里找到:

修改默认账号密码

我们可以通过配置文件修改Spring Security的默认账号密码,如下:

spring.security.user.name=happyjava

spring.security.user.password=123456

springboot1.x版本为:

security.user.name=admin

security.user.password=admin

如果是一个普通的个人网站,如个人博客等。配置到这一步,已经可以充当一个登陆控制模块来使用了(当然还需要配置不需要登陆就可以访问的url)。

使用Spring Security定制化鉴权模块

虽然默认已经帮我们实现了一个简单的登陆认证模块,但是在实际开发中,这还是远远不够的。比如,我们有多个用户,有多中角色等等。一切,还是需要手动来开发。下面就一步一步来使用Spring Security:

配置不需要登陆的路径

我们当然需要配置不需要登陆就能访问的路径啦,比如:登陆接口(不然你怎么访问)。

有如下接口:

新建SecurityConfig,然后配置拦截的路径,配置路径白名单:

/**

 * @author Happy

 */

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean

    public PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder();

    }

    @Override

    protected void configure(HttpSecurity httpSecurity) throws Exception {

        httpSecurity.antMatcher("/api/**")

                .authorizeRequests()

                .antMatchers("/api/notneedlogin/**").permitAll()

                .anyRequest().authenticated();

    }

}

排版乱请看图片版

通过antMatchers("url").permitAll()方法,配置了/api/notneedlogin/**路径会被Spring Security放行。

启动项目验证下:

需要登陆的接口拦截了返回403.

配置了白名单的路径成功的获取到了数据。

其实,这个时候已经可以拿来当做一个普通个人网站的权限验证模块了,比如个人博客什么的。

抛弃默认配置,自定义鉴权方式

很多时候,我们都需要自定义鉴权方式啦。比如,我不用session来鉴权了,改用无状态的jwt方式(json web token)。这时候,我们就要对Spring Security进行定制化了。

首先,我们需要创建UserDetails的实现,这个就是Spring Security管理的用户权限对象:

@Data

@AllArgsConstructor

@NoArgsConstructor

public class AdminUser implements UserDetails {

    private String username;

    @Override

    @SuppressWarnings("unchecked")

    public Collection<? extends GrantedAuthority> getAuthorities() {

        // 这里可以定制化权限列表

        return Collections.EMPTY_LIST;

    }

    @Override

    public String getPassword() {

        return null;

    }

    @Override

    public String getUsername() {

        return username;

    }

    @Override

    public boolean isAccountNonExpired() {

        // 这里设置账号是否已经过期

        return true;

    }

    @Override

    public boolean isAccountNonLocked() {

        // 这里设置账号是否已经被锁定

        return true;

    }

    @Override

    public boolean isCredentialsNonExpired() {

        // 这里设置凭证是否过期

        return true;

    }

    @Override

    public boolean isEnabled() {

        // 是否可用

        return true;

    }

}

其次,我们还需要一个过滤器,拦截请求判断是否登陆,组装UserDetails:

AuthFilter.class

@Component

public class AuthFilter extends OncePerRequestFilter {

    @Autowired

    private UserDetailsServiceImpl userDetailsService;

    @Override

    protected void doFilterInternal(HttpServletRequest request,

                                    HttpServletResponse response, FilterChain filterChain)

            throws ServletException, IOException {

        String username = (String) request.getSession().getAttribute("username");

        if (username != null && !"".equals(username)) {

            UserDetails userDetails = userDetailsService.loadUserByUsername(username);

            if (userDetails != null && userDetails.isEnabled()) {

                UsernamePasswordAuthenticationToken authenticationToken =

                        new UsernamePasswordAuthenticationToken(userDetails,

                                null, userDetails.getAuthorities());

                // 把当前登陆用户放到上下文中

                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(

                        request));

                SecurityContextHolder.getContext().setAuthentication(authenticationToken);

            } else {

                // 用户不合法,清除上下文

                SecurityContextHolder.clearContext();

            }

        }

        filterChain.doFilter(request, response);

    }

}

这个过滤器里的userDetailsService,是Spring Security加载UserDetails的一个接口,代码如下:

它只有一个根据用户名加载当前权限用户的方法,我的实现如下:

@Service

public class UserDetailsServiceImpl implements UserDetailsService {

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // MOCK 模拟从数据库 根据用户名查询用户

        AdminUserEntity adminUser = new AdminUserEntity(1, "happyjava", "123456");

        // 构建 UserDetails 的实现类 => AdminUser

        return new AdminUser(adminUser.getUsername());

    }

}

MOCK这里,需要用户真正的去实现,我这里只是演示使用。其中AdminUserEntity代码如下:

@Data

@NoArgsConstructor

@AllArgsConstructor

public class AdminUserEntity {

    private Integer id;

    private String username;

    private String password;

}

到这里,已经完成了Spring Security的整套配置了。

测试

下面通过三个接口,测试配置是否生效:

增加了一个登陆接口,模拟真实用户登陆。其中,needLogin接口,使用了AuthenticationPrincipal注解来获取Spring Security中上下文的用户(这个实在Filter里面设置的)。

未登陆状态,访问test1接口:

直接被拦截掉了,调用登录接口:

再次访问:

成功请求到了接口。

无状态jwt鉴权

本文演示的是使用session来完成鉴权的。使用session来做登录凭证,一个很大的痛点就是session共享问题。虽然springboot解决session共享就几个配置的问题,但终究还是得依赖别的服务,这是有状态的。

现在流行一种使用加密token的验证方式来鉴权,本人在项目中也是使用token的方式的(jjwt)。其主要做法就是,用户调用登陆接口,返回一串加密字符串,这串字符串里面包含用户名(username)等信息。用户后续的请求,把这个token带过来,通过解密的方式验证用户是否拥有权限。

总结

本文讲解了使用Spring Security来做鉴权框架,Spring Security配置起来还是挺繁琐的,但是配置完成之后,后续的获取上下文用户注解什么的,是真的方便。我把代码放到GitHub上,方便大家下载直接复制使用,地址如下:https://github.com/Happy4Java/SpringSecurityDemo

「快学springboot」集成Spring Security实现鉴权功能的更多相关文章

  1. 「快学springboot」SpringBoot整合freeMark模板引擎

    前言 虽然现在流行前后端分离开发和部署,但是有时候还是需要用到服务端渲染页面的.比如:需要考虑到SEO优化等问题的时候,FreeMark其实还是很有作用的.本人的博客本来是用React开发的,但是后来 ...

  2. 「快学springboot」SpringBoot多环境配置文件

    前言 我们都知道springboot的配置卸载application.properties配置文件上(或者application.yml).但是,如果想要把不同的环境(如开发环境,测试环境,生产环境) ...

  3. 「快学SpringBoot」配置文件的加载顺序和配置项默认值设置

    前言 有的时候,配置信息是我们无法在开发过程中就能确定的.比如,给客户开发的项目,客户需要根据自身的情况自定义配置,如数据库配置,加密密钥配置等等.这时候,就需要把配置文件放在外面,让用户自定义配置部 ...

  4. 「快学springboot」16.让swagger帮忙写接口文档

    swagger简介 官方的介绍 THE WORLD'S MOST POPULAR API TOOLING Swagger is the world's largest framework of API ...

  5. Springboot WebFlux集成Spring Security实现JWT认证

    我最新最全的文章都在南瓜慢说 www.pkslow.com,欢迎大家来喝茶! 1 简介 在之前的文章<Springboot集成Spring Security实现JWT认证>讲解了如何在传统 ...

  6. Spring Security入门(3-5)Spring Security 的鉴权 - 决策管理器和投票器

    1.决策管理器的运行原理: 2.Spring Security提供的决策管理器实现 3.用户自定义的决策管理器

  7. 「快学Docker」Docker简介、安装和Hello World实现

    前言 Docker已经成为了一门炙手可热的技术,每个程序员(特别是后端程序员)都应该学习下Docker这门技术. Docker是什么 来自官网的定义:Docker是以Docker容器为资源分割和调度的 ...

  8. Spring Security入门(3-6)Spring Security 的鉴权 - 自定义权限前缀

  9. SpringBoot集成Spring Security

    1.Spring Security介绍 Spring security,是一个强大的和高度可定制的身份验证和访问控制框架.它是确保基于Spring的应用程序的标准 --来自官方参考手册 Spring ...

随机推荐

  1. 接入HikariCP遇到问题

    老Tomcat项目在接入HikariCP时遇到报错: Caused by: java.lang.AbstractMethodError: com.mysql.jdbc.Connection.isVal ...

  2. 【C语言】输入一个字符串,统计其中的单词个数,将第一个单词的首字母改为大写,并输出改写后的字符串

    #include<stdio.h> int main() { ]; ; printf("请输入一串字符:"); gets_s(a); ; a[i] != '\0'; i ...

  3. js + jquery 实现分页区翻页

    简单来说,情况是这样的,假如做好了对动漫每一集进行分页,如下图: 但当分页太多就会变得不能看,而且前后箭头也不能只是摆设. 想要得到类似这样效果: 网上搜了一会翻页相关的库没什么效果,也不太合适自己的 ...

  4. mvc 上传文件 HTTP 错误 404.13 - Not Found 请求筛选模块被配置为拒绝超过请求内容长度的请求。 maxRequestLength与 maxReceivedMessageSize 和 maxAllowedContentL区别

    具体的错误信息如下: 在线上遇到了文件上传问题,在测试环境试了好久都没有发现问题到底出在哪里,以为是服务器做了各种限制,然后一点思绪都没有.最后,尝试将线上的代码包拷贝一份,在测试环境运行,刚开始的时 ...

  5. .NET Core部署Windows服务

    创建 首先你要确保你已经安装了.NET Core 3.0或以上版本. 老版本的Windows服务请看 这篇文章 使用命令行创建:  dotnet new worker 使用Visual Studio创 ...

  6. 以C语言为例完成简单的网络聊天程序以及关于socket在Linux下系统调用的分析

    套接字是网络编程中的一种通信机制,是支持TCP/IP的网络通信的基本操作单元,可以看做是不同主机之间的进程进行双向通信的端点,简单的说就是通信的两方的一种约定,用套接字中的相关函数来完成通信过程. 端 ...

  7. Euler Sums系列(一)

    \[\Large\sum_{n=1}^{\infty} \frac{H_{n}}{2^nn^4}\] \(\Large\mathbf{Solution:}\) Let \[\mathcal{S}=\s ...

  8. 【原】python-jenkins信息

    1.官方文档: https://python-jenkins.readthedocs.io/en/latest/examples.html#example-1-get-version-of-jenki ...

  9. vs2013编译soui并创建一个项目

    1.soui.10.sln改为soui.13.sln 2.用nodepad++打开soui.13.sln,作如下修改 注:第一行我是改为13.00,编译后似乎自己变为12.00了 编译结果: 注:这是 ...

  10. Fluent_Python_Part4面向对象,11-iface-abc,协议(接口),抽象基类

    第四部分第11章,接口:从协议到抽象基类(重点讲抽象基类) 接口就是实现特定角色的方法集合. 严格来说,协议是非正式的接口(只由文档约束),正式接口会施加限制(抽象基类对接口一致性的强制). 在Pyt ...