本篇作为SpringBoot2.1版本的个人开发框架 子章节,请先阅读 SpringBoot2.1版本的个人开发框架 再次阅读本篇文章
项目地址: SpringBoot2.1版本的个人应用开发框架
参考:
SpringSecurity 是专门针对基于Spring项目的安全框架,充分利用了AOP和Filter来实现安全功能。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。他提供了强大的企业安全服务,如:认证授权机制、Web资源访问控制、业务方法调用访问控制、领域对象访问控制Access Control List(ACL)、单点登录(SSO),Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)等等。
核心功能:认证(你是谁)、授权(你能干什么)、攻击防护(防止伪造身份)。
而jwt全称叫做JSON WEB TOKEN,网上对于jwt的概念还是很多的,而我的理解就是把用户的信息封装成一串加密的字符串,而jwt的格式例如:A.B.C,有三个部分组成,中间有 . 相隔,每一节都是base 64编码的。
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SY 复制代码
A的部分叫做Header,必须指定用于签署JWT的算法。 B的部分叫做body,本节包含了JWT编码的所有声明,例如可以把我们用户的信息编进去。 最后一部分是signature,它的组成是前两部分,它通过在头文件中指定的算法通过header和body的组合来计算。 更详细的介绍,可以参考: jjwt的github文档
配置Security之前我们先对ywh-starter-security模块进行划分,以下包的命名和功能完全可以自己规定。
创建完以后,我们需要对项目进行以下小的修改,让项目识别我们security下的东西
@MapperScan(basePackages = "com.ywh.**.dao") 复制代码
mapper-locations: classpath*:/mybatis-mappers/*,classpath*:/security-mybatis-mappers/* 复制代码
<!--security的依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.1.2.RELEASE</version> </dependency> 复制代码
当我们引入依赖后,什么也不做我们就可以使用到Security给我们带来的登陆功能,启动项目后访问我们的任意接口会被跳转到login页面,账户和密码Security也给我们默认了。
我们在控制台中可以看到以下内容: Using generated security password: 5dd9438d-1c10-44c2-bc45-6864ba4308ae
这个是Security给我们自动生成的登陆密码,账户是什么呢?我们进入到图片中标红的类 UserDetailsServiceAutoConfiguration 可以看到以下内容:
@Lazy public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) { User user = properties.getUser(); List<String> roles = user.getRoles(); return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()}); } private String getOrDeducePassword(User user, PasswordEncoder encoder) { String password = user.getPassword(); if (user.isPasswordGenerated()) { // 这个就是我们在控制台中看到的那句话的代码,是通过user.getPassword()来获取密码的 logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword())); } return encoder == null && !PASSWORD_ALGORITHM_PATTERN.matcher(password).matches() ? "{noop}" + password : password; } 复制代码
很明显Security是通过User这个类来进行管理默认的用户信息的,在内部类User中替我们设置了默认的账户“user”,密码是一个随机的UUID,我们通过账户和密码登陆以后就可以访问我的接口了。
public static class User { private String name = "user"; private String password = UUID.randomUUID().toString(); private List<String> roles = new ArrayList(); private boolean passwordGenerated = true; public User() { } 。。。此处省略了以下代码 } 复制代码
如果我们想要自己设置登陆的账号和密码,可以在application.yml文件中添加以下内容就可以了。
spring: security: user: name: admin password: admin 复制代码
参考:
spring security之httpSecurity使用实例 ,虽然这个是15年作者发布的,但是还是有参考价值的,新版本跟旧版本不一样时还可以加深我们对新版本的认识。
spring security参考手册,版本也是有点旧的,只供参考
在上面其实什么也没有动,只是最简单的引入了依赖而已,启动项目以后Security自动为我们配置了认证安全机制,很显然这对于我们来说是不够的,所以我们需要对security进行自己定制化配置。
除了在我们的yml文件中配置默认的登陆账户和密码以外,我们还可以通过继承WebSecurityConfigurerAdapter 类来实现,这是核心类之一。
在这个类中有三个configure方法
方法 | 描述 |
---|---|
configure(AuthenticationManagerBuilder auth) | 用户信息的配置 |
configure(WebSecurity web) | 配置Spring Security的Filter链 |
configure(HttpSecurity http) | 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过 |
我们需要通过重写configure(AuthenticationManagerBuilder auth)来配置我们的用户,以下方式在security5.0以前这么写是没有问题的,security默认使用的是NoOpPasswordEncoder编码,就是没有加密的方式,纯文本编码,你输入root那么密码就是明文显示的root了,现在NoOpPasswordEncoder已经被废弃了,因为不安全。
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfigurer extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("root") .password("root") .roles("user"); } } 复制代码
按照上面方式配置用户的话,控制台会报错**java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"**大概意思就是说我们没有设置加密的方式。
而NoOpPasswordEncoder已经废弃了,所以我们来实现一个类似的内部类做测试使用即可,仅仅做测试时使用,重新启动项目时我们会在控制台看见依旧输出password,但是已经不生效了,使用自己设置的root登陆即可,如果想设置多个用户的话,通过.and()连接后再次设置就好了。
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfigurer extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("root") .password("root") .roles("user") .and() .passwordEncoder(CharEncoder.getINSTANCE()); } //以下方式就是设计模式中的单例模式的饿汉式,正好练习一下。 public static class CharEncoder implements PasswordEncoder { public static CharEncoder INSTANCE = new CharEncoder(); public static CharEncoder getINSTANCE(){ return INSTANCE; } @Override public String encode(CharSequence rawPassword) { return rawPassword.toString(); } @Override public boolean matches(CharSequence rawPassword, String encodedPassword) { return rawPassword.toString().equals(encodedPassword); } } } 复制代码
以上配置好以后security对我们所有的请求都进行了拦截,我们静态文件和其他不需要认证的都被拦截显然不是我们所希望的,所以我们要对某些请求放开,这个就需要我们重写configure(HttpSecurity http)这个方法了,首先我们看一下默认的方法。
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfigurer extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurity http) throws Exception { ((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.authorizeRequests() .anyRequest()).authenticated() .and()) .formLogin() .and()) .httpBasic(); } } 复制代码
而我们想要对某些接口对外开放,比如ExampleController下的securityTest1接口放行和对是 post 类型的securityTest2放行,其他接口进行拦截。
@Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfigurer extends WebSecurityConfigurerAdapter { /** * 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过,允许对特定的http请求基于安全考虑进行配置 * @param httpSecurity http * @throws Exception 异常 */ @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity .authorizeRequests() .antMatchers("/example/securityTest1").permitAll() .antMatchers(HttpMethod.POST,"/example/securityTest2").permitAll() .anyRequest().authenticated() .and() .formLogin(); } } 复制代码
当我们定义了一个securityTest2接口是GET请求的话,就不会放行,只有是POST类型的securityTest2才会被放行通过,这就好像是你拿着别人的身份证去办银行卡,银行当然不可能给你放行。
当我们登陆以后,我们想要获取一下登陆用户的信息,在Spring Security中,用户信息保存在SecurityContextHolder中,我们可以通过以下代码获取用户的信息。
@GetMapping("securityTest2") public Result securityTest2(){ Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal(); if(principal instanceof UserDetails){ String name = ((UserDetails) principal).getUsername(); return Result.successJson("登陆的用户是:" + name); }else { String name = principal.toString(); return Result.successJson("登陆的用户是:" + name); } } 复制代码
在我们上面的配置过后我们对security初步的有了一个认识,但是我们知道对于网站来说,用户的信息都是存在数据库中的,不可能向我们这样写死在代码中的,实现从数据库中查询实现登陆我将在下一篇笔记中记录,一篇文章太多了,看不进去。