转载

SpringBoot2.1版本的个人应用开发框架 - 使用SpringSecurity管理我们的访问权限1

本篇作为SpringBoot2.1版本的个人开发框架 子章节,请先阅读 SpringBoot2.1版本的个人开发框架 再次阅读本篇文章

项目地址: SpringBoot2.1版本的个人应用开发框架

参考:

  • Spring Security 从入门到进阶系列教程 作者: SpringForAll
  • Spring Security的详细配置

SpringSecurity和jjwt简介

SpringSecurity 是专门针对基于Spring项目的安全框架,充分利用了AOP和Filter来实现安全功能。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。他提供了强大的企业安全服务,如:认证授权机制、Web资源访问控制、业务方法调用访问控制、领域对象访问控制Access Control List(ACL)、单点登录(SSO),Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)等等。

核心功能:认证(你是谁)、授权(你能干什么)、攻击防护(防止伪造身份)。

而jwt全称叫做JSON WEB TOKEN,网上对于jwt的概念还是很多的,而我的理解就是把用户的信息封装成一串加密的字符串,而jwt的格式例如:A.B.C,有三个部分组成,中间有 . 相隔,每一节都是base 64编码的。

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SY
复制代码

A的部分叫做Header,必须指定用于签署JWT的算法。 B的部分叫做body,本节包含了JWT编码的所有声明,例如可以把我们用户的信息编进去。 最后一部分是signature,它的组成是前两部分,它通过在头文件中指定的算法通过header和body的组合来计算。 更详细的介绍,可以参考: jjwt的github文档

简单配置Spring Security

创建

配置Security之前我们先对ywh-starter-security模块进行划分,以下包的命名和功能完全可以自己规定。

  • controller包:登陆接口以及其他系统接口
  • dao包:查询系统用户的接口
  • entity包:实体类
  • fiter包:拦截器
  • service和impl包:service层和实现类
  • utils包:工具包
  • config包:配置类
  • resources/security-mybatis-mappers:系统类的mapper.xml文件

修改

创建完以后,我们需要对项目进行以下小的修改,让项目识别我们security下的东西

  • 在core模块下启动类上的@MapperScan注解修改如下
@MapperScan(basePackages = "com.ywh.**.dao")
复制代码
  • 在core模块中的application-dev.yml文件中设置mapper-locations属性,多路径以逗号相隔
mapper-locations: classpath*:/mybatis-mappers/*,classpath*:/security-mybatis-mappers/*
复制代码
  • 在Security模块的pom.xml中引入springsecurity的依赖如下:
<!--security的依赖-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
	<version>2.1.2.RELEASE</version>
</dependency>
复制代码

开始

当我们引入依赖后,什么也不做我们就可以使用到Security给我们带来的登陆功能,启动项目后访问我们的任意接口会被跳转到login页面,账户和密码Security也给我们默认了。

SpringBoot2.1版本的个人应用开发框架 - 使用SpringSecurity管理我们的访问权限1

我们在控制台中可以看到以下内容: Using generated security password: 5dd9438d-1c10-44c2-bc45-6864ba4308ae

SpringBoot2.1版本的个人应用开发框架 - 使用SpringSecurity管理我们的访问权限1

这个是Security给我们自动生成的登陆密码,账户是什么呢?我们进入到图片中标红的类 UserDetailsServiceAutoConfiguration 可以看到以下内容:

@Lazy
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
    User user = properties.getUser();
    List<String> roles = user.getRoles();
    return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()});
}

private String getOrDeducePassword(User user, PasswordEncoder encoder) {
    String password = user.getPassword();
    if (user.isPasswordGenerated()) {
    	// 这个就是我们在控制台中看到的那句话的代码,是通过user.getPassword()来获取密码的
        logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
    }

    return encoder == null && !PASSWORD_ALGORITHM_PATTERN.matcher(password).matches() ? "{noop}" + password : password;
}
复制代码

很明显Security是通过User这个类来进行管理默认的用户信息的,在内部类User中替我们设置了默认的账户“user”,密码是一个随机的UUID,我们通过账户和密码登陆以后就可以访问我的接口了。

public static class User {
        private String name = "user";
        private String password = UUID.randomUUID().toString();
        private List<String> roles = new ArrayList();
        private boolean passwordGenerated = true;

        public User() {
        }

        。。。此处省略了以下代码
    }
复制代码

如果我们想要自己设置登陆的账号和密码,可以在application.yml文件中添加以下内容就可以了。

spring:
  security:
    user:
      name: admin
      password: admin
复制代码

定制Spring Security配置

参考:

  • spring security之httpSecurity使用实例 ,虽然这个是15年作者发布的,但是还是有参考价值的,新版本跟旧版本不一样时还可以加深我们对新版本的认识。

  • spring security参考手册,版本也是有点旧的,只供参考

在上面其实什么也没有动,只是最简单的引入了依赖而已,启动项目以后Security自动为我们配置了认证安全机制,很显然这对于我们来说是不够的,所以我们需要对security进行自己定制化配置。

除了在我们的yml文件中配置默认的登陆账户和密码以外,我们还可以通过继承WebSecurityConfigurerAdapter 类来实现,这是核心类之一。

在这个类中有三个configure方法

方法 描述
configure(AuthenticationManagerBuilder auth) 用户信息的配置
configure(WebSecurity web) 配置Spring Security的Filter链
configure(HttpSecurity http) 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过

我们需要通过重写configure(AuthenticationManagerBuilder auth)来配置我们的用户,以下方式在security5.0以前这么写是没有问题的,security默认使用的是NoOpPasswordEncoder编码,就是没有加密的方式,纯文本编码,你输入root那么密码就是明文显示的root了,现在NoOpPasswordEncoder已经被废弃了,因为不安全。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
	@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("root")
                .password("root")
                .roles("user");
    }
}
复制代码

按照上面方式配置用户的话,控制台会报错**java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"**大概意思就是说我们没有设置加密的方式。

而NoOpPasswordEncoder已经废弃了,所以我们来实现一个类似的内部类做测试使用即可,仅仅做测试时使用,重新启动项目时我们会在控制台看见依旧输出password,但是已经不生效了,使用自己设置的root登陆即可,如果想设置多个用户的话,通过.and()连接后再次设置就好了。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
	@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("root")
                .password("root")
                .roles("user")
                .and()
                .passwordEncoder(CharEncoder.getINSTANCE());
    }

	//以下方式就是设计模式中的单例模式的饿汉式,正好练习一下。
	public static class CharEncoder implements PasswordEncoder {

        public  static CharEncoder INSTANCE = new CharEncoder();

        public static CharEncoder getINSTANCE(){
            return INSTANCE;
        }

        @Override
        public String encode(CharSequence rawPassword) {
            return rawPassword.toString();
        }

        @Override
        public boolean matches(CharSequence rawPassword, String encodedPassword) {
            return rawPassword.toString().equals(encodedPassword);
        }
    }
}
复制代码

以上配置好以后security对我们所有的请求都进行了拦截,我们静态文件和其他不需要认证的都被拦截显然不是我们所希望的,所以我们要对某些请求放开,这个就需要我们重写configure(HttpSecurity http)这个方法了,首先我们看一下默认的方法。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
	protected void configure(HttpSecurity http) throws Exception {
		((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.authorizeRequests()
		.anyRequest()).authenticated()
		.and())
		.formLogin()
		.and())
		.httpBasic();
	}
}
复制代码
  • anyRequest:对于任何的请求都进行拦截认证
  • permitAll() 方法会对指定的路径放行
  • authenticated() 方法会对指定的路径进行拦截认证,如果未登陆则跳转到登陆页面

而我们想要对某些接口对外开放,比如ExampleController下的securityTest1接口放行和对是 post 类型的securityTest2放行,其他接口进行拦截。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
/**
     * 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过,允许对特定的http请求基于安全考虑进行配置
     * @param httpSecurity http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .authorizeRequests()
                .antMatchers("/example/securityTest1").permitAll()
                .antMatchers(HttpMethod.POST,"/example/securityTest2").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin();
    }
}
复制代码

当我们定义了一个securityTest2接口是GET请求的话,就不会放行,只有是POST类型的securityTest2才会被放行通过,这就好像是你拿着别人的身份证去办银行卡,银行当然不可能给你放行。

获取登陆的用户

当我们登陆以后,我们想要获取一下登陆用户的信息,在Spring Security中,用户信息保存在SecurityContextHolder中,我们可以通过以下代码获取用户的信息。

@GetMapping("securityTest2")
public Result securityTest2(){
    Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
    if(principal instanceof UserDetails){
        String name =  ((UserDetails) principal).getUsername();
        return Result.successJson("登陆的用户是:" + name);
    }else {
        String name = principal.toString();
        return Result.successJson("登陆的用户是:" + name);
    }
}
复制代码
SpringBoot2.1版本的个人应用开发框架 - 使用SpringSecurity管理我们的访问权限1

在我们上面的配置过后我们对security初步的有了一个认识,但是我们知道对于网站来说,用户的信息都是存在数据库中的,不可能向我们这样写死在代码中的,实现从数据库中查询实现登陆我将在下一篇笔记中记录,一篇文章太多了,看不进去。

原文  https://juejin.im/post/5caf0677e51d456e7d189f44
正文到此结束
Loading...