SpringBoot2.1版本的个人应用开发框架 - 使用SpringSecurity管理我们的访问权限1
本篇作为SpringBoot2.1版本的个人开发框架 子章节,请先阅读 SpringBoot2.1版本的个人开发框架 再次阅读本篇文章
项目地址: SpringBoot2.1版本的个人应用开发框架
参考:
- Spring Security 从入门到进阶系列教程 作者: SpringForAll
- Spring Security的详细配置
SpringSecurity和jjwt简介
SpringSecurity 是专门针对基于Spring项目的安全框架,充分利用了AOP和Filter来实现安全功能。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。他提供了强大的企业安全服务,如:认证授权机制、Web资源访问控制、业务方法调用访问控制、领域对象访问控制Access Control List(ACL)、单点登录(SSO),Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)等等。
核心功能:认证(你是谁)、授权(你能干什么)、攻击防护(防止伪造身份)。
而jwt全称叫做JSON WEB TOKEN,网上对于jwt的概念还是很多的,而我的理解就是把用户的信息封装成一串加密的字符串,而jwt的格式例如:A.B.C,有三个部分组成,中间有 . 相隔,每一节都是base 64编码的。
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SY 复制代码
A的部分叫做Header,必须指定用于签署JWT的算法。 B的部分叫做body,本节包含了JWT编码的所有声明,例如可以把我们用户的信息编进去。 最后一部分是signature,它的组成是前两部分,它通过在头文件中指定的算法通过header和body的组合来计算。 更详细的介绍,可以参考: jjwt的github文档
简单配置Spring Security
创建
配置Security之前我们先对ywh-starter-security模块进行划分,以下包的命名和功能完全可以自己规定。
- controller包:登陆接口以及其他系统接口
- dao包:查询系统用户的接口
- entity包:实体类
- fiter包:拦截器
- service和impl包:service层和实现类
- utils包:工具包
- config包:配置类
- resources/security-mybatis-mappers:系统类的mapper.xml文件
修改
创建完以后,我们需要对项目进行以下小的修改,让项目识别我们security下的东西
- 在core模块下启动类上的@MapperScan注解修改如下
@MapperScan(basePackages = "com.ywh.**.dao") 复制代码
- 在core模块中的application-dev.yml文件中设置mapper-locations属性,多路径以逗号相隔
mapper-locations: classpath*:/mybatis-mappers/*,classpath*:/security-mybatis-mappers/* 复制代码
- 在Security模块的pom.xml中引入springsecurity的依赖如下:
<!--security的依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.1.2.RELEASE</version> </dependency> 复制代码
开始
当我们引入依赖后,什么也不做我们就可以使用到Security给我们带来的登陆功能,启动项目后访问我们的任意接口会被跳转到login页面,账户和密码Security也给我们默认了。
我们在控制台中可以看到以下内容: Using generated security password: 5dd9438d-1c10-44c2-bc45-6864ba4308ae
这个是Security给我们自动生成的登陆密码,账户是什么呢?我们进入到图片中标红的类 UserDetailsServiceAutoConfiguration 可以看到以下内容:
@Lazy
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
User user = properties.getUser();
List<String> roles = user.getRoles();
return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()});
}
private String getOrDeducePassword(User user, PasswordEncoder encoder) {
String password = user.getPassword();
if (user.isPasswordGenerated()) {
// 这个就是我们在控制台中看到的那句话的代码,是通过user.getPassword()来获取密码的
logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
}
return encoder == null && !PASSWORD_ALGORITHM_PATTERN.matcher(password).matches() ? "{noop}" + password : password;
}
复制代码
很明显Security是通过User这个类来进行管理默认的用户信息的,在内部类User中替我们设置了默认的账户“user”,密码是一个随机的UUID,我们通过账户和密码登陆以后就可以访问我的接口了。
public static class User {
private String name = "user";
private String password = UUID.randomUUID().toString();
private List<String> roles = new ArrayList();
private boolean passwordGenerated = true;
public User() {
}
。。。此处省略了以下代码
}
复制代码
如果我们想要自己设置登陆的账号和密码,可以在application.yml文件中添加以下内容就可以了。
spring:
security:
user:
name: admin
password: admin
复制代码
定制Spring Security配置
参考:
-
spring security之httpSecurity使用实例 ,虽然这个是15年作者发布的,但是还是有参考价值的,新版本跟旧版本不一样时还可以加深我们对新版本的认识。
-
spring security参考手册,版本也是有点旧的,只供参考
在上面其实什么也没有动,只是最简单的引入了依赖而已,启动项目以后Security自动为我们配置了认证安全机制,很显然这对于我们来说是不够的,所以我们需要对security进行自己定制化配置。
除了在我们的yml文件中配置默认的登陆账户和密码以外,我们还可以通过继承WebSecurityConfigurerAdapter 类来实现,这是核心类之一。
在这个类中有三个configure方法
| 方法 | 描述 |
|---|---|
| configure(AuthenticationManagerBuilder auth) | 用户信息的配置 |
| configure(WebSecurity web) | 配置Spring Security的Filter链 |
| configure(HttpSecurity http) | 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过 |
我们需要通过重写configure(AuthenticationManagerBuilder auth)来配置我们的用户,以下方式在security5.0以前这么写是没有问题的,security默认使用的是NoOpPasswordEncoder编码,就是没有加密的方式,纯文本编码,你输入root那么密码就是明文显示的root了,现在NoOpPasswordEncoder已经被废弃了,因为不安全。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("root")
.password("root")
.roles("user");
}
}
复制代码
按照上面方式配置用户的话,控制台会报错**java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"**大概意思就是说我们没有设置加密的方式。
而NoOpPasswordEncoder已经废弃了,所以我们来实现一个类似的内部类做测试使用即可,仅仅做测试时使用,重新启动项目时我们会在控制台看见依旧输出password,但是已经不生效了,使用自己设置的root登陆即可,如果想设置多个用户的话,通过.and()连接后再次设置就好了。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("root")
.password("root")
.roles("user")
.and()
.passwordEncoder(CharEncoder.getINSTANCE());
}
//以下方式就是设计模式中的单例模式的饿汉式,正好练习一下。
public static class CharEncoder implements PasswordEncoder {
public static CharEncoder INSTANCE = new CharEncoder();
public static CharEncoder getINSTANCE(){
return INSTANCE;
}
@Override
public String encode(CharSequence rawPassword) {
return rawPassword.toString();
}
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
return rawPassword.toString().equals(encodedPassword);
}
}
}
复制代码
以上配置好以后security对我们所有的请求都进行了拦截,我们静态文件和其他不需要认证的都被拦截显然不是我们所希望的,所以我们要对某些请求放开,这个就需要我们重写configure(HttpSecurity http)这个方法了,首先我们看一下默认的方法。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
protected void configure(HttpSecurity http) throws Exception {
((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.authorizeRequests()
.anyRequest()).authenticated()
.and())
.formLogin()
.and())
.httpBasic();
}
}
复制代码
- anyRequest:对于任何的请求都进行拦截认证
- permitAll() 方法会对指定的路径放行
- authenticated() 方法会对指定的路径进行拦截认证,如果未登陆则跳转到登陆页面
而我们想要对某些接口对外开放,比如ExampleController下的securityTest1接口放行和对是 post 类型的securityTest2放行,其他接口进行拦截。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
/**
* 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过,允许对特定的http请求基于安全考虑进行配置
* @param httpSecurity http
* @throws Exception 异常
*/
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.authorizeRequests()
.antMatchers("/example/securityTest1").permitAll()
.antMatchers(HttpMethod.POST,"/example/securityTest2").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
}
复制代码
当我们定义了一个securityTest2接口是GET请求的话,就不会放行,只有是POST类型的securityTest2才会被放行通过,这就好像是你拿着别人的身份证去办银行卡,银行当然不可能给你放行。
获取登陆的用户
当我们登陆以后,我们想要获取一下登陆用户的信息,在Spring Security中,用户信息保存在SecurityContextHolder中,我们可以通过以下代码获取用户的信息。
@GetMapping("securityTest2")
public Result securityTest2(){
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if(principal instanceof UserDetails){
String name = ((UserDetails) principal).getUsername();
return Result.successJson("登陆的用户是:" + name);
}else {
String name = principal.toString();
return Result.successJson("登陆的用户是:" + name);
}
}
复制代码
在我们上面的配置过后我们对security初步的有了一个认识,但是我们知道对于网站来说,用户的信息都是存在数据库中的,不可能向我们这样写死在代码中的,实现从数据库中查询实现登陆我将在下一篇笔记中记录,一篇文章太多了,看不进去。
正文到此结束
- 本文标签: Authorization AOP 加密 root ip cat 管理 实例 example 文章 IO equals web pom 数据库 IDE DOM 企业 Word 图片 ArrayList java tab 银行 数据 App provider http 自动生成 token spring authenticate tar UI CEO 开发 core mapper springboot rmi 认证 配置 设计模式 mybatis entity ORM Spring Security classpath js map 代码 list src Service id 测试 https 安全 GitHub XML Security 希望 rand 定制 git 网站 FIT json build
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
