SpringBoot+SpringSecurity基本使⽤及个性化登录配置详
解
Spring Security 基本介绍
这⾥就不对Spring Security进⾏过多的介绍了,具体的可以参考
我就只说下SpringSecurity核⼼功能:
1. 认证(你是谁)
2. 授权(你能⼲什么)
3. 攻击防护(防⽌伪造⾝份)
基本环境搭建
这⾥我们以SpringBoot作为项⽬的基本框架,我这⾥使⽤的是maven的⽅式来进⾏的包管理,所以这⾥先给出集成Spring Security的⽅式
<dependencies>
...
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
...
</dependencies>
然后建⽴⼀个Web层请求接⼝
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping
public String getUsers() {
return "Hello Spring Security";
}
}
接下来可以直接进⾏项⽬的运⾏,并进⾏接⼝的调⽤看看效果了。
通过⽹页的调⽤
但是我们是没法正常访问的,出现了下图的⾝份验证输⼊框
这是因为在SpringBoot中,默认的Spring Security就是⽣效了的,此时的接⼝都是被保护的,我们需要通过验证才能正常的访问。 Spring Security提供了⼀个默认的⽤户,⽤户名是user,⽽密码则是启动项⽬的时候⾃动⽣成的。
我们查看项⽬启动的⽇志,会发现如下的⼀段Log
Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c
当然你看到的password肯定和我是不⼀样的,我们直接⽤user和启动⽇志中的密码进⾏登录。
登录成功后,就跳转到了接⼝正常调⽤的页⾯了。
如果不想⼀开始就使能Spring Security,可以在配置⽂件中做如下的配置:
# security 使能
abled = false
刚才看到的登录框是SpringSecurity是框架⾃⼰提供的,被称为httpBasicLogin。显⽰它不是我们产品上想要的,我们前端⼀般是通过表单提交的⽅式进⾏⽤户登录验证的,所以我们就需要⾃定义⾃⼰的认证逻辑了。
⾃定义⽤户认证逻辑
每个系统肯定是有⾃⼰的⼀套⽤户体系的,所以我们需要⾃定义⾃⼰的认证逻辑以及登录界⾯。
这⾥我们需要先对SpringSecurity进⾏相应的配置
public class BrowerSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin() // 定义当需要⽤户登录时候,转到的登录页⾯。
.and()
.authorizeRequests() // 定义哪些URL需要被保护、哪些不需要被保护
.anyRequest() // 任何请求,登录后可以访问
.authenticated();
}
}
接下来再配置⽤户认证逻辑,因为我们是有⾃⼰的⼀套⽤户体系的
@Component
public class MyUserDetailsService implements UserDetailsService {
private Logger logger = Logger(getClass());
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
logger.info("⽤户的⽤户名: {}", username);
// TODO 根据⽤户名,查到对应的密码,与权限
// 封装⽤户信息,并返回。参数分别是:⽤户名,密码,⽤户权限
User user = new User(userame, "123456",
AuthorityUtilsmaSeparatedStringToAuthorityList("admin"));
return user;
}
}
这⾥我们没有进⾏过多的校验,⽤户名可以随意的填写,但是密码必须得是“123456”,这样才能登录成功。
同时可以看到,这⾥User对象的第三个参数,它表⽰的是当前⽤户的权限,我们将它设置为”admin”。
运⾏⼀下程序进⾏测试,会发现登录界⾯有所改变
这是因为我们在配置⽂件中配置了http.formLogin()
我们这⾥随便填写⼀个User,然后Password写填写⼀个错误的(⾮123456)的。这时会提⽰校验错误:
同时在控制台,也会打印出刚才登录时填写的user
现在我们再来使⽤正确的密码进⾏登录试试,可以发现就会通过校验,跳转到正确的接⼝调⽤页⾯了。
UserDetails
刚刚我们在写MyUserDetailsService的时候,⾥⾯实现了⼀个⽅法,并返回了⼀个UserDetails。这个UserDetails 就是封装了⽤户信息的对象,⾥⾯包含了七个⽅法
public interface UserDetails extends Serializable {
// 封装了权限信息
Collection<? extends GrantedAuthority> getAuthorities();
// 密码信息
String getPassword();
// 登录⽤户名
String getUsername();
// 帐户是否过期
boolean isAccountNonExpired();
// 帐户是否被冻结
boolean isAccountNonLocked();
// 帐户密码是否过期,⼀般有的密码要求性⾼的系统会使⽤到,⽐较每隔⼀段时间就要求⽤户重置密码
boolean isCredentialsNonExpired();
// 帐号是否可⽤
boolean isEnabled();
}
我们在返回UserDetails的实现类User的时候,可以通过User的构造⽅法,设置对应的参数
SpringSecurity中有⼀个PasswordEncoder接⼝
public interface PasswordEncoder {
// 对密码进⾏加密
String encode(CharSequence var1);
// 对密码进⾏判断匹配
boolean matches(CharSequence var1, String var2);
}
我们只需要⾃⼰实现这个接⼝,并在配置⽂件中配置⼀下就可以了。
这⾥我暂时以默认提供的⼀个实现类进⾏测试
// BrowerSecurityConfig
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
加密使⽤:
@Component
public class MyUserDetailsService implements UserDetailsService {
private Logger logger = Logger(getClass());
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
logger.info("⽤户的⽤户名: {}", username);
String password = de("123456");
logger.info("password: {}", password);
/
/ 参数分别是:⽤户名,密码,⽤户权限
User user = new User(username, password, AuthorityUtilsmaSeparatedStringToAuthorityList("admin"));
return user;
}
}
这⾥简单的对123456进⾏了加密的处理。我们可以进⾏测试,发现每次打印出来的password都是不⼀样的,这就是配置的BCryptPasswordEncoder所起到的作⽤。
个性化⽤户认证逻辑
⾃定义登录页⾯
在之前的测试中,⼀直都是使⽤的默认的登录界⾯,我相信每个产品都是有⾃⼰的登录界⾯设计的,所以我们这⼀节了解⼀下如何⾃定义登录页⾯。
我们先写⼀个简单的登录页⾯
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录页⾯</title>
</head>
<body>
<h2>⾃定义登录页⾯</h2>
<form action="/user/login" method="post">
<table>
<tr>
<td>⽤户名:</td>
<td><input type="text" name="username"></td>
</tr>
<tr>
<td>密码:</td>
<td><input type="password" name="password"></td>
</tr>
<tr>
<td colspan="2"><button type="submit">登录</button></td>
</tr>
</table>
</form>
</body>
</html>
完成了登录页⾯之后,就需要将它配置进⾏SpringSecurity
// BrowerSecurityConfig.java
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin() // 定义当需要⽤户登录时候,转到的登录页⾯。
.loginPage("/login.html") // 设置登录页⾯
.loginProcessingUrl("/user/login") // ⾃定义的登录接⼝
.
and()
.authorizeRequests() // 定义哪些URL需要被保护、哪些不需要被保护
.antMatchers("/login.html").permitAll() // 设置所有⼈都可以访问登录页⾯
.anyRequest() // 任何请求,登录后可以访问
.authenticated()
.and()
.csrf().disable(); // 关闭csrf防护
}
这样,每当我们访问被保护的接⼝的时候,就会调转到login.html页⾯
处理不同类型的请求
因为现在⼀般都前后端分离了,后端提供接⼝供前端调⽤,返回JSON格式的数据给前端。刚才那样,
调⽤了被保护的接⼝,直接进⾏了页⾯的跳转,在web端还可以接受,但是在App端就不⾏了,所以我们还需要做进⼀步的处理。
这⾥做⼀下简单的思路整理
⾸先来写⾃定义的Controller,当需要⾝份认证的时候就跳转过来
@RestController
public class BrowserSecurityController {
private Logger logger = Logger(getClass());
// 原请求信息的缓存及恢复
private RequestCache requestCache = new HttpSessionRequestCache();
// ⽤于重定向
private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
/**
* 当需要⾝份认证的时候,跳转过来
* @param request
* @param response
* @return
*/
@RequestMapping("/authentication/require")
@ResponseStatus(code = HttpStatus.UNAUTHORIZED)
public BaseResponse requireAuthenication(HttpServletRequest request, HttpServletResponse response) throws IOException {
SavedRequest savedRequest = Request(request, response);
if (savedRequest != null) {
String targetUrl = RedirectUrl();
logger.info("引发跳转的请求是:" + targetUrl);
if (dsWithIgnoreCase(targetUrl, ".html")) {
redirectStrategy.sendRedirect(request, response, "/login.html");
}
}
return new BaseResponse("访问的服务需要⾝份认证,请引导⽤户到登录页");
}
}
当然还需要将配置⽂件进⾏相应的修改,这⾥我就不贴代码了。就是将该接⼝开放出来。
扩展:
这⾥我们是写死了如果是从⽹页访问的接⼝,那么就跳转到”/login.html”页⾯,其实我们可以扩展⼀下,将该跳转地址配置到配置⽂件中,这样会更⽅便的。
⾃定义处理登录成功/失败
在之前的测试中,登录成功了都是进⾏了页⾯的跳转。
在前后端分离的情况下,我们登录成功了可能需要向前端返回⽤户的个⼈信息,⽽不是直接进⾏跳转。登录失败也是同样的道理。
这⾥涉及到了Spring Security中的两个接⼝AuthenticationSuccessHandler和AuthenticationFailureHandler。我们可以实现这个接⼝,并进⾏相应的配置就可以了。当然框架是有默认的实现类的,我们可以继承这个实现类再来⾃定义⾃⼰的业务
@Component("myAuthenctiationSuccessHandler")
public class MyAuthenctiationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
private Logger logger = Logger(getClass());
@Autowired
private ObjectMapper objectMapper;
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
Authentication authentication) throws IOException, ServletException {
logger.info("登录成功");
response.setContentType("application/json;charset=UTF-8");
}
}
这⾥我们通过response返回⼀个JSON字符串回去。
这个⽅法中的第三个参数Authentication,它⾥⾯包含了登录后的⽤户信息(UserDetails),Session的信息,登录信息等。
@Component("myAuthenctiationFailureHandler")
public class MyAuthenctiationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
private Logger logger = Logger(getClass());
@Autowired
private ObjectMapper objectMapper;
@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
AuthenticationException exception) throws IOException, ServletException {
logger.info("登录失败");
response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
response.setContentType("application/json;charset=UTF-8");
}
}
这个⽅法中的第三个参数AuthenticationException,包括了登录失败的信息。
同样的,还是需要在配置⽂件中进⾏配置,这⾥就不贴出全部的代码了,只贴出相应的语句
.successHandler(myAuthenticationSuccessHandler) // ⾃定义登录成功处理
.failureHandler(myAuthenticationFailureHandler) // ⾃定义登录失败处理
代码
完整的代码可以
以上就是本⽂的全部内容,希望对⼤家的学习有所帮助,也希望⼤家多多⽀持。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论