devbox
weixin_40725706
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringBoot中的Security简单入门实现_spring-boot-starter-security

作者:weixin_40725706 | 2024-06-11 05:53:01

spring-boot-starter-security

1 目录

  1. 理解什么是权限

  2. 学习Spring Security框架的基本概练和用法

  3. 能够使用Spring Security写一个入门级的安全应用

2 怎么在SpringBoot应用Security

为了让我们的接口能够根据用户的权限进行一定限制,我们引入了Security,通过权限,我们能让其在登陆后一段时间,能自由访问权限内的接口,但是不能访问权限外的接口方法。

为此我们需要对之前的项目进行改造,具体内容在以下几个部分;

2.1 导入maven依赖

  1. <!--        springboot启动器-->
  2.         <dependency>
  3.             <groupId>org.springframework.boot</groupId>
  4.             <artifactId>spring-boot-starter</artifactId>
  5.         </dependency>
  6. <!--        lombok-->
  7.         <dependency>
  8.             <groupId>org.projectlombok</groupId>
  9.             <artifactId>lombok</artifactId>
  10.             <optional>true</optional>
  11.         </dependency>
  12. <!--        test测试-->
  13.         <dependency>
  14.             <groupId>org.springframework.boot</groupId>
  15.             <artifactId>spring-boot-starter-test</artifactId>
  16.             <scope>test</scope>
  17.         </dependency>
  18. <!--        Web-->
  19.         <dependency>
  20.             <groupId>org.springframework.boot</groupId>
  21.             <artifactId>spring-boot-starter-web</artifactId>
  22.         </dependency>
  24. <!--       mybatis和mysql驱动-->
  25.         <!--        mybatis-->
  26.         <dependency>
  27.             <groupId>org.mybatis.spring.boot</groupId>
  28.             <artifactId>mybatis-spring-boot-starter</artifactId>
  29.             <version>${mybatis.springboot.version}</version>
  30.         </dependency>
  31.         <!--        mysqsl-->
  32.         <dependency>
  33.             <groupId>mysql</groupId>
  34.             <artifactId>mysql-connector-java</artifactId>
  35.             <version>${mysql.version}</version>
  36.         </dependency>
  38. <!--        分页-->
  39.         <dependency>
  40.             <groupId>com.github.pagehelper</groupId>
  41.             <artifactId>pagehelper-spring-boot-starter</artifactId>
  42.             <version>1.4.3</version>
  43.         </dependency>
  45.         <dependency>
  46.             <groupId>com.github.pagehelper</groupId>
  47.             <artifactId>pagehelper</artifactId>
  48.             <version>5.3.1</version>
  49.         </dependency>
  51. <!--        导入JPA依赖 -->
  52.         <dependency>
  53.             <groupId>org.springframework.boot</groupId>
  54.             <artifactId>spring-boot-starter-data-jpa</artifactId>
  55.         </dependency>
  56.         <dependency>
  57.             <groupId>mysql</groupId>
  58.             <artifactId>mysql-connector-java</artifactId>
  59.         </dependency>
  60. <!--        Swagger-->
  61.         <dependency>
  62.             <groupId>io.springfox</groupId>
  63.             <artifactId>springfox-swagger2</artifactId>
  64.             <version>2.9.2</version>
  65.         </dependency>
  66.         <dependency>
  67.             <groupId>io.springfox</groupId>
  68.             <artifactId>springfox-swagger-ui</artifactId>
  69.             <version>2.9.2</version>
  70.         </dependency>
  71.         <dependency>
  72.             <groupId>net.minidev</groupId>
  73.             <artifactId>json-smart</artifactId>
  74.         </dependency>
  75. <!--        redis-->
  76.         <dependency>
  77.             <groupId>org.springframework.boot</groupId>
  78.             <artifactId>spring-boot-starter-data-redis</artifactId>
  79.         </dependency>
  80. <!--      日志收集-->
  81.         <dependency>
  82.             <groupId>org.aspectj</groupId>
  83.             <artifactId>aspectjweaver</artifactId>
  84.             <version>1.9.7</version>
  85.             <scope>compile</scope>
  86.         </dependency>
  87. <!--        Security-->
  88.         <dependency>
  89.             <groupId>org.springframework.boot</groupId>
  90.             <artifactId>spring-boot-starter-security</artifactId>
  91.         </dependency>

2.2 创建一个index门户接口

当前接口用于测试我们的权限认证和授权

  1. import lombok.extern.slf4j.Slf4j;
  2. import org.springframework.security.access.prepost.PreAuthorize;
  3. import org.springframework.security.core.Authentication;
  4. import org.springframework.security.core.context.SecurityContext;
  5. import org.springframework.security.core.context.SecurityContextHolder;
  6. import org.springframework.web.bind.annotation.RequestMapping;
  7. import org.springframework.web.bind.annotation.RestController;
  8. @RestController
  9. @Slf4j
  10. public class IndexController {
  12.     //test 1 : anyone could access
  13.     @RequestMapping("/index")
  14.     public String getAllUsers() {
  15.         log.info("访问 index..");
  16.         return "访问 index....";
  17.     }
  19.     //test 2 : someone has the Authority:'cx:updates_user'  could access
  20.     @RequestMapping("/users")
  21.     @PreAuthorize("hasAuthority('cx:updates_user')")// 授权:有cx:updates_user权限才能做该操作 否则报错403
  22.     public String update() {
  23.         //获取上下文
  24.         SecurityContext securityContext = SecurityContextHolder.getContext();
  25.         Authentication authentication = securityContext.getAuthentication();
  26.         //在页面返回当前登录用户的所有权限
  27.         return authentication.toString();
  28.     }
  30. }
 

2.3 创建Security配置类WebSecurityConfigure
 

  1. import org.springframework.beans.factory.annotation.Autowired;
  2. import org.springframework.context.annotation.Bean;
  3. import org.springframework.context.annotation.Configuration;
  4. import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
  5. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  6. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  7. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  8. import org.springframework.security.core.userdetails.UserDetailsService;
  9. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  10. import org.springframework.security.crypto.password.PasswordEncoder;
  12. // 这个有了以下任何一个注解都可以不用这个注解
  13. // @Configuration
  14. // 这个表示启用Web安全的注解,如果你已经是是一个web 项目,不需要使用此注解,
  15. // @EnableWebSecurity //Springboot的自动配置机制WebSecurityEnablerConfiguration已经引入了该注解
  17. //开启这个来判断用户对某个控制层的方法是否具有访问权限(见ProductController的@PreAuthorize)
  18. // 这个注解很重要,如果没有这个注解,那么Controller里的方法将不受约束,只要登录成功就能访问。
  19. @EnableGlobalMethodSecurity(prePostEnabled = true) //至关重要的注解,缺失导致验证不起效
  20. @EnableWebSecurity
  21. public class WebSecurityConfigure extends WebSecurityConfigurerAdapter {
  23.     @Autowired
  24.     private UserDetailsService userDetailsService;
  26.     // 参数: HttpSecurity http
  27.     //**http.authorizeRequests()**
  28.     // 下添加了多个匹配器,每个匹配器用来控制不同的URL接受不同的用户访问。
  29.     // 简单讲,http.authorizeRequests()就是在进行请求的权限配置。
  30.     @Override
  31.     protected void configure(HttpSecurity http) throws Exception {
  32.         //第二步:我们用我们自己的数据库数据来完成权限验证
  33.         http.authorizeRequests()
  34.                 .antMatchers("/index").permitAll()//放行
  35.                 .anyRequest().authenticated()
  36.                 .and()
  37.                 .formLogin()
  38.     }
  39.     
  40.     //这里配置密码为 BCrypt 加密方式,这样创建用户时,会对密码进行加密。而不是明文存储。
  41.     @Bean
  42.     public PasswordEncoder passwordEncoder() {
  43.         return new BCryptPasswordEncoder();
  44.     }
  45. }
 

2.4 配置yml文件
 

spring中加入security(注意层级)
 

spring:
  security:
    user:
      name: jing
      password: 1234
 

完成到这里,我们已经能够对无权访问的接口进行限制了。
 

尝试访问接口
 

http://localhost:8080/users
 

接下来进一步完善我们的security
 

2.5 创建UserDetails
 

使用之前的User实体类 实现UserDetails接口并实现其方法
 

 

  1. package com.wanxi.springboot1018.entity;
  2.  
  3. import com.fasterxml.jackson.annotation.JsonIgnoreProperties;
  4. import io.swagger.annotations.ApiModel;
  5. import io.swagger.annotations.ApiModelProperty;
  6. import lombok.Data;
  7. import org.springframework.security.core.GrantedAuthority;
  8. import org.springframework.security.core.userdetails.UserDetails;
  9. import org.springframework.stereotype.Component;
  10. import java.io.Serializable;
  11. import java.util.Collection;
  12. import java.util.HashSet;
  13. import java.util.Set;
  14.  
  15. @Data
  16. @Component
  17. @ApiModel(value = "用户",description = "用于描述用户对象")
  18. @JsonIgnoreProperties({"enabled","accountNonExpired", "accountNonLocked", "credentialsNonExpired", "authorities"}) //避免把userdetail接口的方法序列化
  19. public class User extends Base implements UserDetails {
  20.  
  21.     @ApiModelProperty(value = "用户ID",example = "123")
  22.     private int id=0;
  23.     @ApiModelProperty(value = "用户密码",example = "abc")
  24.     private String password="";
  25.     @ApiModelProperty(value = "用户姓名",example = "jing")
  26.     private String username="";
  27.     @ApiModelProperty(value = "用户电话",example = "180****8963")
  28.     private String tel="";
  29.     @ApiModelProperty(value = "生产日期",example = "2000-08-13")
  30.     private String birthday="";
  31.     @ApiModelProperty(value = "性别",example = "男")
  32.     private String sex="";
  33.     @ApiModelProperty(value = "授权变量",example = "")
  34.     private Set<? extends GrantedAuthority> authorities=  new HashSet<>();
  35.  
  36.     private Boolean A ;
  37.     private Boolean B ;
  38.  
  39.     public Boolean getA() {
  40.         return A;
  41.     }
  42.  
  43.     public void setA(Boolean a) {
  44.         A = a;
  45.     }
  46.  
  47.     public Boolean getB() {
  48.         return B;
  49.     }
  50.  
  51.     public void setB(Boolean b) {
  52.         B = b;
  53.     }
  54.  
  55.     @Override
  56.     public Collection<? extends GrantedAuthority> getAuthorities() {
  57.         return authorities;
  58.     }
  59.  
  60.     //账号是否过期  count has expired
  61.     @Override
  62.     public boolean isAccountNonExpired() {
  63.         return true;
  64.     }
  65.  
  66.     //账号是否上锁 count has locked
  67.     @Override
  68.     public boolean isAccountNonLocked() {
  69.         return true;
  70.     }
  71.  
  72.     //令牌是否过期 报错:credentials have expired
  73.     @Override
  74.     public boolean isCredentialsNonExpired() {
  75.         return true;
  76.     }
  77.  
  78.     //是否启用  报错:User is disabled 由于没有status状态这个字段,默认启用。
  79.     @Override
  80.     public boolean isEnabled() {
  81.         return true;
  82.     }
  83.  
  84.     @Override
  85.     public String toString() {
  86.         return "User{" +
  87.                 "id=" + id +
  88.                 ", password='" + password + '\'' +
  89.                 ", name='" + username + '\'' +
  90.                 '}';
  91.     }
  92.  
  93.     @Override
  94.     public String getPassword() {
  95.         return this.password;
  96.     }
  97.  
  98.     @Override
  99.     public String getUsername() {
  100.         return this.username;
  101.     }
  102.  
  103. }
  104.  
 

 

2.6 创建GrantedAuthority
 

新建一个类:Permission 表示用户的一个权限
 

并实现GrantedAuthority接口
 

(注意,这个实体类的成员一定要和数据库的字段相对应)
 

 

 

 

  1. import lombok.Data;
  2. import org.springframework.security.core.GrantedAuthority;
  4. import java.util.Date;
  6. /**
  7.  *@description: 授予的权限信息,要实现GrantedAuthority
  8.  */
  9. @Data
  10. // 不使用@Builder时以下@AllArgsConstructor和@NoArgsConstructor都可以不要,使用了就要需要,不然mybatis构建对象时会出错。
  11. //@Builder
  12. //@AllArgsConstructor
  13. //@NoArgsConstructor
  14. public class Permission implements GrantedAuthority {
  16.     private Integer id;
  17.     private Integer pid;
  18.     private String name;
  19.     private String value;
  20.     private String icon;
  21.     private Integer type;
  22.     private String uri;
  23.     private Integer status;
  24.     private Date createTime;
  25.     private String sort;
  27.     //获取权限
  28.     @Override
  29.     public String getAuthority() {
  30.         // 这里返回的内容要和Controller里的@PreAuthorize("hasAuthority('wx:product:read')")匹配
  31.         return this.value;
  32.     }
  33. }
 

2.7 创建UserDetailsService
 

不同与之前的UserService,这个接口实现类会调用userService的方法,并被Security调用
 

  1. import com.wanxi.springboot1018.entity.Permission;
  2. import com.wanxi.springboot1018.entity.User;
  3. import com.wanxi.springboot1018.service.UserService;
  4. import org.springframework.security.core.userdetails.UserDetails;
  5. import org.springframework.security.core.userdetails.UserDetailsService;
  6. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  7. import org.springframework.stereotype.Service;
  8. import javax.annotation.Resource;
  9. import java.util.HashSet;
  10. import java.util.List;
  12. /**
  13.  *@description: UserDetailsService的实现类,Security 安全框架会调用这个接口的loadUserByUsername。
  14.  *               这个类是Security 框架定义的接口,不是我们自己业务定义的接口,
  15.  *               要想Security 按照我们的逻辑起作用,我们需要实现它
  16.  */
  17. @Service("userDetailsService")
  18. public class UserDetailServiceImpl implements UserDetailsService {
  19.     @Resource
  20.     UserService userService;
  22.     @Override
  23.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  24.         //通过用户名  访问数据库拿到  当前用户对象
  25.         User user= userService.getUserByName(username);
  26.         //一定要设置为加密后的密码
  27.         //user.setName(username);
  28.         user.setName("jing");
  29.         user.setPassword("$2a$10$1M8F40YGBvgZrp0/UYtGxOTTFjiWxdXik1x1b.qliRk2tnOyWBv2i");
  30.         // 紧接着 调用getPermissionsByUserId 方法 获取当前用户的 权限(用户->角色->权限)
  31.         List<Permission> permissionList= userService.getPermissionsByUserId(user.getId());
  32.         // 创建 HashSet 取代 List
  33.         HashSet<Permission> permissions = new HashSet<>(permissionList);
  34.         // 存入user对象
  35.         user.setAuthorities(permissions);
  36.         // 返回对象,包含该用户的所有权限
  37.         return user;
  38.     }
  39. }
 

2.8 修改Config配置类
 

 

 

 

  1.  http.authorizeRequests()
  2.                 .antMatchers("/index").permitAll()//放行
  3.                 .anyRequest().authenticated()
  4.                 .and()
  5.                 .formLogin()
  6.                 .and()
  7.                 // 这一步,告诉Security 框架,我们要用自己的UserDetailsService实现类
  8.                 // 来传递UserDetails对象给框架,框架会把这些信息生成Authorization对象使用
  9.                 .userDetailsService(userDetailsService);
 

在这里加上后面的userDetailsService。
 

 

@PreAuthorize("hasAuthority('cx:updates_user')")// 授权:有cx:updates_user权限才能做该操作 否则报错403
 

这里的注解已经加上了
 

所以直接访问测试即可
 

2.10 访问测试
 

登录
 

 

 

 

报错403:权限不够
 

 

 

 

证明了我们的权限能够正常生效。并且拦截正确
 

2.11 其他验证:
 

一、把@PreAuthorize("hasAuthority('wx:product:read')") 这个值改一改,改成没有的试试
 

如果有注解但是没有权限:
 

 

 

 

如果没有注解:能够拿到数据
 

 

 

 

二、 把Config 类的@EnableGlobalMethodSecurity注解去掉,看看权限是否生效
 

恢复上面的注解
 

我们吧@EnableGlobalMethodSecurity去掉后,
 

尝试直接跨过登录访问无权限限制的接口:
 

 

 

 

尝试直接跨过登录访问无权限限制的接口:回到了登录界面
 

 

 

 

 

登录后再进行无权访问的接口:
 

可以看到,只要能登陆进来,就能访问,权限就是摆设
 

 

 

 

 

3
 

3.1
 

4 概念图
 

这些图需要在看完代码构成后,才能真正去的立体化去理解流程。
 

4.1 权限六表概念图
 

 

 

 

4.2 Secutity 流程图
 

 

 

 

4.3 Secutity 构成
 

 

 

 

以上是10月31日对29日的Security学习进行日常总结。

                

        
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/701983
推荐阅读
相关标签
Copyright ©  2003-2013 www.wpsshop.cn  版权所有,并保留所有权利。

  
闽ICP备14008679号