??相信大家都知道登錄功能,初級(jí)程序員的腦海里面就是賬號(hào),密碼,登錄按鈕然后到后臺(tái)數(shù)據(jù)庫查詢一下信息就OK了。但其實(shí)登錄沒有這么簡(jiǎn)單该肴,因?yàn)椋?/p>
1.我們所面臨的登錄認(rèn)證模式很復(fù)雜
- 1.1短信的登錄
- 1.2微信的登錄
- 1.3QQ的登錄
2.我們要支持多種前端渠道
- 2.1網(wǎng)頁登錄
- 2.2APP登錄
3.支持集群環(huán)境,跨應(yīng)用工作藐不,Session控制匀哄,控制用戶權(quán)限,說防護(hù)與身份認(rèn)證相關(guān)的攻擊
??認(rèn)證和授權(quán)如此復(fù)雜雏蛮,因此也誕生了作者對(duì)SpringSecurity系列的學(xué)習(xí)涎嚼。本系列將主要從SpringSecurity,Spring Social,Spring Security OAuth來給大家進(jìn)行講解。其中SpringSecurity作為底層的實(shí)現(xiàn)挑秉,我將在后面的文章中講解它是如何實(shí)現(xiàn)用戶名+密碼認(rèn)證和手機(jī)號(hào)+短信認(rèn)證的法梯。Spring Social主要用于第三方認(rèn)證,比如QQ犀概,微信的接入立哑。APP和后端服務(wù)器通訊的時(shí)候無法存儲(chǔ)Session的問題,所以我們采用token的方式來存儲(chǔ)登錄用戶的認(rèn)證信息姻灶。使用Spring Security OAuth來創(chuàng)建铛绰、分發(fā)、管理Token信息产喉。
4.開始開發(fā)
4.1代碼架構(gòu)
4.1.1工程圖:
4.1.2imooc-security
??主模塊捂掰,只有pom文件,用于打包和發(fā)布
<dependencyManagement>
<dependencies>
<dependency>
<groupId>io.spring.platform</groupId>
<artifactId>platform-bom</artifactId>
<version>Cairo-SR7</version>
<type>pom</type>
<scope>import</scope>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Finchley.RELEASE</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>2.3.2</version>
<configuration>
<source>1.8</source>
<target>1.8</target>
<encoding>UTF-8</encoding>
</configuration>
</plugin>
</plugins>
</build>
<modules>
<module>../imooc-security-app</module>
<module>../imooc-security-browser</module>
<module>../imooc-security-core</module>
<module>../imooc-security-demo</module>
</modules>
??這里引入了spring-cloud以及io.spring.platform的相關(guān)東西曾沈,io.spring.platform的好處是可以幫助我們?cè)谝腩愃苃ibernate和spring的包的時(shí)候可以不用考慮版本不兼容的問題尘颓。最后的modules,引入了圖中的其他4個(gè)模塊晦譬。
4.1.3imooc-security-core
??存放核心登錄邏輯,在本篇文章中互广,我們主要是先讓我們的工程跑起來敛腌,還不會(huì)把具體的代碼放進(jìn)去卧土,我會(huì)在后續(xù)的文章中漸進(jìn)式的將相關(guān)代碼邏輯放進(jìn)去。
4.1.3.1pom.xml
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-config</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-core</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-web</artifactId>
</dependency>
<dependency>
<groupId>commons-lang</groupId>
<artifactId>commons-lang</artifactId>
</dependency>
<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
</dependency>
<dependency>
<groupId>commons-beanutils</groupId>
<artifactId>commons-beanutils</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-configuration-processor</artifactId>
</dependency>
</dependencies>
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
這里面我們放入了對(duì)redis操作的相關(guān)包像樊,更重要的是放入了spring-social尤莺,spring-security的相關(guān)依賴。
4.1.4imooc-security-app
依賴了imooc-security-core生棍,所以它的pom.xml很簡(jiǎn)單
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
<dependencies>
<dependency>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security-core</artifactId>
<version>${imooc.security.version}</version>
</dependency>
</dependencies>
4.1.4imooc-security-browser
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
<dependencies>
<dependency>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security-core</artifactId>
<version>${imooc.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
</dependency>
</dependencies>
??browser除了依賴core還依賴了spring-session-data-redis颤霎,這樣我們就可以把session存放到redis中,并在redis中對(duì)session里面的內(nèi)容作操作涂滴。為什么app不放這個(gè)引用呢友酱。前面我們說了,app和后臺(tái)交互的時(shí)候柔纵,是沒有session的缔杉,是通過token來管理的。
4.1.5imooc-security-demo
4.1.5.1pom.xml
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
<dependencies>
<dependency>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security-browser</artifactId>
<version>${imooc.security.version}</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>1.3.3.RELEASE</version>
<executions>
<execution>
<goals>
<goal>repackage</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
<finalName>demo</finalName>
</build>
這里我們暫時(shí)先引入browser搁料,后期在講token方面的東西的時(shí)候會(huì)引入app或详,另外我們這里還加入了spring-boot-maven-plugin,讓我們打包成可運(yùn)行的jar包郭计,如果說大家不加后面的build霸琴,可以看到你打出來的jar包是沒有把相關(guān)的依賴放進(jìn)去的,是沒法直接執(zhí)行的昭伸。
4.1.5.2DemoApplication
@SpringBootApplication
@RestController
@EnableAutoConfiguration(exclude = {
org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class
})
public class DemoApplication {
public static void main(String[] args) {
try {
SpringApplication.run(DemoApplication.class, args);
} catch (Exception e) {
e.printStackTrace();
} catch(Error e) {
e.printStackTrace();
}
}
@GetMapping("/helloword")
public String helloword() {
return "hello spring security";
}
}
用過SpringBoot的同學(xué)應(yīng)該很熟悉這段配置了梧乘,這里我主要講一下@EnableAutoConfiguration這個(gè)注解為什么要加在頭上,如果不加勋乾,我們直接運(yùn)行我們的工程宋下,然后訪問helloword,我們會(huì)看到下面的示意圖:
這樣會(huì)讓我們輸入用戶名和密碼辑莫,加上了這段注解后学歧,就會(huì)看到瀏覽器上現(xiàn)實(shí)hello spring security,如圖所示:
現(xiàn)在我們使用的是spring-boot2.0之后的版本各吨,以前的版本中枝笨,我們可以在application.properties中寫上security.basic.enable=false來達(dá)到同樣的效果。
4.1.5.3application.properties
spring.datasource.driver-class-name = com.mysql.jdbc.Driver
spring.datasource.url= jdbc:mysql://127.0.0.1:3306/test?useUnicode=yes&characterEncoding=UTF-8&useSSL=false
spring.datasource.username =
spring.datasource.password =
spring.session.store-type=none
#security.basic.enabled=false
在這里我們加入了對(duì)數(shù)據(jù)庫的配置揭蜒,如果不加横浑,我們的springBoot會(huì)因?yàn)橐肓藄pring-boot-starter-jdbc報(bào)錯(cuò),為什么引入spring.session.store-type=none屉更,這是因?yàn)槲覀円肓藄pring-boot-starter-data-redis徙融,spring-session-data-redis,我們要把session放入redis中瑰谜,但是現(xiàn)在我們還沒有搭建redis欺冀,為了讓我們的工程跑起來树绩,所以我們這里設(shè)置為none。
??本篇文章隐轩,我們主要是使用spring-boot2.0先把基本框架搭建好饺饭,后面的文章中,我們將深入講解其他內(nèi)容职车。
