初步理解Spring Security并實(shí)踐

Spring Security主要做兩件事咐蚯，一件是認(rèn)證，一件是授權(quán)。

1.Spring Security初體驗(yàn)

Spring Security如何使用煞抬，先在你的項(xiàng)目pom.xml文件中聲明依賴狼钮。

<dependency>
    <!-- 由于我使用的spring boot所以我是引入spring-boot-starter-security而且我使用了spring io所以不需要填寫依賴的版本號(hào) -->
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后創(chuàng)建一個(gè)類并繼承WebSecurityConfigurerAdapter這個(gè)方法碳柱，并在之類中重寫configure的3個(gè)方法，其中3個(gè)方法中參數(shù)包括為HttpSecurity（HTTP請(qǐng)求安全處理）熬芜，AuthenticationManagerBuilder（身份驗(yàn)證管理生成器）和WebSecurity（WEB安全）莲镣。

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

       @Override
       protected void configure(AuthenticationManagerBuilder auth){
            super.configure(auth);
       }

       @Override
       protected void configure(HttpSecurity http){
            super.configure(http);
       }

       @Override
       protected void configure(WebSecurity web){
            super.configure(web);
       }
｝

接下來我們先看看protected void configure(HttpSecurity http)這個(gè)方法提供了一個(gè)默認(rèn)的配置。

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .httpBasic();
}

http.authorizeRequests()其中這里的意思是指通過authorizeRequests()方法來開始請(qǐng)求權(quán)限配置涎拉。
而接著的.anyRequest().authenticated()是對(duì)http所有的請(qǐng)求必須通過授權(quán)認(rèn)證才可以訪問瑞侮。

直觀描述

方法描述

而and()是返回一個(gè)securityBuilder對(duì)象的圆，formLogin()和httpBasic()是授權(quán)的兩種方式。

httpBasic()授權(quán)認(rèn)證

formLogin()授權(quán)認(rèn)證

當(dāng)然這些界面都是spring security原生的界面区岗，我們也可以自定義我們的formLogin頁面略板！

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            //指定登錄頁的路徑
            .loginPage("/login") 
            //必須允許所有用戶訪問我們的登錄頁（例如未驗(yàn)證的用戶，否則驗(yàn)證流程就會(huì)進(jìn)入死循環(huán)）
            //這個(gè)formLogin().permitAll()方法允許所有用戶基于表單登錄訪問/login這個(gè)page慈缔。
            .permitAll();        
}

提示一下叮称，這個(gè)自定義表單登錄的自定義頁面中的登錄名參數(shù)必須被命名為username
密碼參數(shù)必須被命名為password。
而接下來當(dāng)我們需要對(duì)某些開放的url藐鹤，給與任何人訪問的時(shí)候瓤檐，我們應(yīng)該如何設(shè)置呢？答案很簡(jiǎn)單我們先看著代碼慢慢深入娱节！

protected void configure(HttpSecurity http) throws Exception {
    http
        //http.authorizeRequests()方法有多個(gè)子節(jié)點(diǎn)挠蛉，每個(gè)macher按照他們的聲明順序執(zhí)行     
        .authorizeRequests()      

             //我們指定任何用戶都可以訪問多個(gè)URL的模式。
             //任何用戶都可以訪問以"/resources/","/signup", 或者 "/about"開頭的URL肄满。                                                     
            .antMatchers("/resources/**", "/signup", "/about").permitAll()     

             //以 "/admin/" 開頭的URL只能讓擁有 "ROLE_ADMIN"角色的用戶訪問谴古。
             //請(qǐng)注意我們使用 hasRole 方法，沒有使用 "ROLE_" 前綴稠歉。               
            .antMatchers("/admin/**").hasRole("ADMIN")               
 
             //任何以"/db/" 開頭的URL需要同時(shí)具有 "ROLE_ADMIN" 和 "ROLE_DBA"權(quán)限的用戶才可以訪問掰担。
             //和上面一樣我們的 hasRole 方法也沒有使用 "ROLE_" 前綴。              
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")       

             //任何以"/db/" 開頭的URL只需要擁有 "ROLE_ADMIN" 和 "ROLE_DBA"其中一個(gè)權(quán)限的用戶才可以訪問怒炸。
            //和上面一樣我們的 hasRole 方法也沒有使用 "ROLE_" 前綴带饱。          
            .antMatchers("/db/**").hasAnyRole("ADMIN", "DBA")    

             //尚未匹配的任何URL都要求用戶進(jìn)行身份驗(yàn)證
            .anyRequest().authenticated()                                                
            .and()
        // ...
        .formLogin();
}

我們可以在authorizeRequests() 后定義多個(gè)antMatchers()配置器來控制不同的url接受不同權(quán)限的用戶訪問，而其中permitAll() 方法是運(yùn)行所有權(quán)限用戶包含匿名用戶訪問阅羹。
而hasRole("權(quán)限")則是允許這個(gè)url給與參數(shù)中相等的權(quán)限訪問勺疼。
access("hasRole('權(quán)限') and hasRole('權(quán)限')") 是指允許訪問這個(gè)url必須同時(shí)擁有參數(shù)中多個(gè)身份權(quán)限才可以訪問。
hasAnyRole("ADMIN", "DBA")是指允許訪問這個(gè)url必須同時(shí)擁有參數(shù)中多個(gè)身份權(quán)限中的一個(gè)就可以訪問該url捏鱼。

溫馨提示执庐！這里就是為什么在hasRole和hasAnyRole中不需要加"ROLE_" 前綴的因由！

2.Spring Security定制登錄退出行為

我們接下來就簡(jiǎn)單的定制一下登錄登出行為导梆！

protected void configure(HttpSecurity http) throws Exception {
    http
         //通過formlogin方法登錄轨淌，并設(shè)置登錄url為/api/user/login
        .formLogin().loginPage("/api/user/login")
         //指定登錄成功后跳轉(zhuǎn)到/index頁面
        .defaultSuccessUrl("/index")
         //指定登錄失敗后跳轉(zhuǎn)到/login?error頁面
        .failureUrl("/login?error")
        .permitAll()
        .and()
         //開啟cookie儲(chǔ)存用戶信息，并設(shè)置有效期為14天问潭，指定cookie中的密鑰
        .rememberMe().tokenValiditySeconds(1209600).key("mykey")
        .and()
        .logout()
         //指定登出的url
        .logoutUrl("/api/user/logout")
         //指定登場(chǎng)成功之后跳轉(zhuǎn)的url
        .logoutSuccessUrl("/index")
        .permitAll();
}

3.Spring Security定制自定義用戶認(rèn)證

用戶認(rèn)證流程

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

       @Override
       //重寫了configure參數(shù)為AuthenticationManagerBuilder的方法
       protected void configure(AuthenticationManagerBuilder auth){
            //并根據(jù)傳入的AuthenticationManagerBuilder中的userDetailsService方法來接收我們自定義的認(rèn)證方法。
            //且該方法必須要實(shí)現(xiàn)UserDetailsService這個(gè)接口婚被。
            auth.userDetailsService(new myUserDetailsService())
                //密碼使用BCryptPasswordEncoder()方法驗(yàn)證狡忙，因?yàn)檫@里使用了BCryptPasswordEncoder()方法驗(yàn)證。所以在注冊(cè)用戶的時(shí)候在接收前臺(tái)明文密碼之后也需要使用BCryptPasswordEncoder().encode(明文密碼)方法加密密碼址芯。
                .passwordEncoder(new BCryptPasswordEncoder());;
       }

       @Override
       protected void configure(HttpSecurity http){
            super.configure(http);
       }

       @Override
       protected void configure(WebSecurity web){
            super.configure(web);
       }
｝

新建myUserDetailsService方法并實(shí)現(xiàn)UserDetailsService這個(gè)接口

@Component
public class myUserDetailsService implements UserDetailsService {

    @Autowired
    //由于是演示這里就不再創(chuàng)建service層了灾茁，直接注入U(xiǎn)serRepository窜觉。
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        //查詢賬號(hào)是否存在，是就返回一個(gè)UserDetails的對(duì)象北专，否就拋出異常禀挫！
        User user = userRepository.findByName(userName);
        if (user == null) {
            throw new UsernameNotFoundException("UserName " + userName + " not found");
        }
        return new SecurityUser(user);
    }
}

基本的認(rèn)證邏輯就到這里了，對(duì)于有另外的業(yè)務(wù)需求都可以在自定義的myUserDetailsService中處理完成拓颓！

4.Spring Security定制自定義授權(quán)策略

@EnableGlobalAuthentication
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .and()
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/admin").permitAll()
                 //使用自定義授權(quán)策略
                .anyRequest().access("@mySecurity.check(authentication,request)");
    }
}

新建MySecurity類

@Component("mySecurity")
public class MySecurity(){

    //這里應(yīng)該注入用戶和該用戶所擁有的權(quán)限（權(quán)限在登錄成功的時(shí)候已經(jīng)緩存起來语婴，當(dāng)需要訪問該用戶的權(quán)限是，直接從緩存取出Ｊ荒馈）砰左，然后驗(yàn)證該請(qǐng)求是否有權(quán)限，有就返回true场航，否則則返回false不允許訪問該Url缠导。
    //而且這里還傳入了request,我也可以使用request獲取該次請(qǐng)求的類型。
    //根據(jù)restful風(fēng)格我們可以使用它來控制我們的權(quán)限溉痢，例如當(dāng)這個(gè)請(qǐng)求是post請(qǐng)求僻造，證明該請(qǐng)求是向服務(wù)器發(fā)送一個(gè)新建資源請(qǐng)求，我們可以使用request.getMethod()來獲取該請(qǐng)求的方式孩饼，然后在配合角色所允許的權(quán)限路徑進(jìn)行判斷和授權(quán)操作髓削！
    public boolean check(Authentication authentication, HttpServletRequest request){
          //如果能獲取到Principal對(duì)象不為空證明，授權(quán)已經(jīng)通過
          Object principal  = authentication.getPrincipal();
          if(principal  != null && principal  instanceof UserDetails){
                  //獲取請(qǐng)求登錄的url
                  System.out.println(((UserDetails)principal).getAuthorities()) ;
                  return true;
          }
          return false;
    }
}

最后編輯于：2017.12.09 16:41:08

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末捣辆，一起剝皮案震驚了整個(gè)濱河市蔬螟，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌汽畴，老刑警劉巖旧巾，帶你破解...
沈念sama閱讀 218,858評(píng)論 6贊 508
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場(chǎng)離奇詭異忍些，居然都是意外死亡鲁猩，警方通過查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 93,372評(píng)論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門罢坝，熙熙樓的掌柜王于貴愁眉苦臉地迎上來廓握，“玉大人，你說我怎么就攤上這事嘁酿∠度” “怎么了？”我有些...
開封第一講書人閱讀 165,282評(píng)論 0贊 356
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵闹司，是天一觀的道長娱仔。經(jīng)常有香客問我，道長游桩，這世上最難降的妖魔是什么牲迫？我笑而不...
開封第一講書人閱讀 58,842評(píng)論 1贊 295
?港島之戀（遺憾婚禮）
正文為了忘掉前任耐朴，我火速辦了婚禮，結(jié)果婚禮上盹憎，老公的妹妹穿的比我還像新娘筛峭。我一直安慰自己，他們只是感情好陪每，可當(dāng)我...
茶點(diǎn)故事閱讀 67,857評(píng)論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布影晓。她就那樣靜靜地躺著，像睡著了一般奶稠。火紅的嫁衣襯著肌膚如雪俯艰。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 51,679評(píng)論 1贊 305
城市分裂傳說
那天锌订，我揣著相機(jī)與錄音竹握，去河邊找鬼。笑死辆飘，一個(gè)胖子當(dāng)著我的面吹牛啦辐，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播蜈项，決...
沈念sama閱讀 40,406評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼芹关，長吁一口氣：“原來是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來了紧卒？” 一聲冷哼從身側(cè)響起侥衬，我...
開封第一講書人閱讀 39,311評(píng)論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎跑芳，沒想到半個(gè)月后轴总，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 45,767評(píng)論 1贊 315
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡博个，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,945評(píng)論 3贊 336
?白月光啟示錄
正文我和宋清朗相戀三年怀樟，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片盆佣。...
茶點(diǎn)故事閱讀 40,090評(píng)論 1贊 350
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡往堡，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出共耍，到底是詐尸還是另有隱情虑灰，我是刑警寧澤，帶...
沈念sama閱讀 35,785評(píng)論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布痹兜，位于F島的核電站穆咐，受9級(jí)特大地震影響，放射性物質(zhì)發(fā)生泄漏佃蚜。R本人自食惡果不足惜庸娱，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,420評(píng)論 3贊 331
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望谐算。院中可真熱鬧熟尉，春花似錦、人聲如沸洲脂。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,988評(píng)論 0贊 22
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽恐锦。三九已至往果，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間一铅，已是汗流浹背陕贮。一陣腳步聲響...
開封第一講書人閱讀 33,101評(píng)論 1贊 271
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留潘飘，地道東北人肮之。一個(gè)月前我還...
沈念sama閱讀 48,298評(píng)論 3贊 372
代替公主和親
正文我出身青樓，卻偏偏與公主長得像卜录，于是被迫代替她去往敵國和親戈擒。傳聞我的和親對(duì)象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,033評(píng)論 2贊 355