devbox
从前慢现在也慢
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Spring Boot安全管理_spring-boot-starter-security

作者:从前慢现在也慢 | 2024-06-20 21:04:30

spring-boot-starter-security

一.Spring Security快速⼊⻔

1.添加security启动器

在项⽬的 pom.xml ⽂件中引⼊ Spring Security 安全框架的依赖启动器 spring-boot-starter-security
<!-- Spring Security 提供的安全管理依赖启动器 -->
<dependency>
<groupId> org.springframework.boot </groupId>
<artifactId> spring-boot-starter-security </artifactId>
</dependency>
上述引⼊的依赖 spring-boot-starter-security 就是 Spring Boot 整合 Spring Security 安全框架⽽提供的依赖启动器,
其版本号由 Spring Boot 进⾏统⼀管理。需要说明的是,⼀旦项⽬引⼊ spring-boot-starter-security 启动器, MVC
Security WebFlux Security 负责的安全功能都会⽴即⽣效( WebFlux Security ⽣效的另⼀个前提是项⽬属于
WebFlux Web 项⽬);对于 OAuth2 安全管理功能来说,则还需要额外引⼊⼀些其他安全依赖。

项⽬启动测试

项⽬启动时会在控制台⾃动⽣成⼀个安全密码( security password 这个密码在每次启动项⽬时都是随机⽣成
的)。通过在浏览器访问 http://localhost:8080 查看项⽬⾸⻚,效果如下图所示。

 这种默认安全管理⽅式存在诸多问题。例如,只有唯⼀的默认登录⽤户user,密码随机⽣成且过于暴露、登录⻚⾯ 及错误提示⻚⾯不是我们想要的等。

1.MVC Security安全配置介绍

1.下⾯我们通过Spring Security API查看WebSecurityConfigurerAdapter的主要⽅法,具体如下表

  1. @EnableWebSecurity // 开启MVC Security安全⽀持
  2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  3.  
  4. //定制基于HTTP请求的⽤户访问控制
  5.     @Override
  6.     protected void configure(HttpSecurity http) throws Exception {
  7.         super.configure(http);
  8.     }
  9. //定制⽤户认证管理器来实现⽤户认证
  10.     @Override
  11.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  12.         super.configure(auth);
  13.     }
  14. }

 4 ⾃定义⽤户认证

        1.In-Memory Authentication:内存身份认证

        2.JDBC Authentication:JDBC身份认证

        3.UserDetailsService:身份详情服务

        4.LDAP Authentication:LDAP身份认证

        5.AuthenticationProvider:身份认证提供商

4.1.2 使⽤内存进⾏身份认证   写一个配置类即可

  1. package com.cy.config;
  2. import
  3. org.springframework.security.config.annotation.authentication.builders.AuthenticationMa
  4. nagerBuilder;
  5. import
  6. org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  7. import
  8. org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerA
  9. dapter;
  10. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  11. /**
  12. * MVC Security管理配置的⾃定义WebSecurityConfigurerAdapter类
  13. */
  14. @EnableWebSecurity // 开启MVC Security安全⽀持
  15. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  16.  /** ⽤户身份认证⾃定义配置 */
  17.  @Override
  18.  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  19.  // 密码需要设置编码器
  20.  BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
  21.  // 1.使⽤内存⽤户信息,作为测试使⽤(设置⽤户名、密码和⻆⾊)
  22.  auth.inMemoryAuthentication().passwordEncoder(encoder)
  23. .withUser("tom").password(encoder.encode("123456")).roles("common")
  24.  .and()
  25.  .withUser("李四").password(encoder.encode("123456")).roles("vip");
  26.  }
  27. }
(1) Spring Security 5 开始,⾃定义⽤户认证必须设置密码编码器⽤于保护密码,否则控制台会出现
“IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"” 异常错误。
(2) Spring Security 提供了多种密码编码器,包括 BCryptPasswordEncoder Pbkdf2PasswordEncoder
ScryptPasswordEncoder 等。
(3) ⾃定义⽤户认证时,可以定义⽤户⻆⾊ roles ,也可以定义⽤户权限 authorities 。在进⾏赋值时,权限通常是在
⻆⾊值的基础上添加 ROLE_ 前缀。例如, roles("common") authorities("ROLE_common") 是等效的。
(4) ⾃定义⽤户认证时,可以为某个⽤户⼀次指定多个⻆⾊或权限,例如, roles("common", "vip")
authorities("ROLE_common", "ROLE_vip")

4.3 UserDetailsService身份认证

1.1.在项⽬的pom.xml⽂件中添加Mybaits依赖启动器和lombok依赖。

<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
    <version>3.5.2</version>
</dependency>
<dependency>
<groupId> org.projectlombok </groupId>
<artifactId> lombok </artifactId>
</dependency> 
  1. package com.example.demo.service.imp;
  2.  
  3. import com.example.demo.pojo.Authority;
  4. import com.example.demo.pojo.Customer;
  5. import com.example.demo.service.CustomerService;
  6. import org.springframework.beans.factory.annotation.Autowired;
  7. import org.springframework.security.core.authority.SimpleGrantedAuthority;
  8. import org.springframework.security.core.userdetails.User;
  9. import org.springframework.security.core.userdetails.UserDetails;
  10. import org.springframework.security.core.userdetails.UserDetailsService;
  11. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  12. import org.springframework.stereotype.Service;
  13. import java.util.List;
  14. import java.util.stream.Collectors;
  15. /** ⾃定义⼀个UserDetailsService接⼝实现类进⾏⽤户认证信息封装 */
  16. @Service
  17. public class UserDetailsServiceImpl implements UserDetailsService {
  18.     @Autowired
  19.     /* 内有提供自定义用户查询和权限查询的方法
  20.     * getCustomer  根据名字查询用户信息 的方法
  21.     * 
  22.     * getCustomerAuthority  根据名字查询用户权限 的方法
  23.     * */
  24.     
  25.     private CustomerService customerService;
  26.     @Override
  27.     public UserDetails loadUserByUsername(String username) throws
  28.             UsernameNotFoundException {
  29.         // 通过业务⽅法获取⽤户及权限信息
  30.         Customer customer = customerService.getCustomer(username);
  31.         List<Authority> authorities = customerService.getCustomerAuthority(username);
  32.         // 对⽤户权限进⾏封装
  33.         List<SimpleGrantedAuthority> list = authorities.stream().map(authority -> new
  34.                 SimpleGrantedAuthority(authority.getAuthority())).collect(Collectors.toList());
  35.         // 返回封装的UserDetails⽤户详情类
  36.         if (customer != null) {
  37.             UserDetails userDetails = new User(customer.getUsername(),
  38.                     customer.getPassword(), list);
  39.             return userDetails;
  40.         } else {
  41.             // 如果查询的⽤户不存在(⽤户名不存在),必须抛出此异常
  42.             throw new UsernameNotFoundException("当前⽤户不存在!");
  43.         }}}
  1. package com.example.demo.config;
  2.  
  3. import org.springframework.beans.factory.annotation.Autowired;
  4. import org.springframework.context.annotation.Bean;
  5. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  6. import org.springframework.security.config.annotation.web.WebSecurityConfigurer;
  7. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  8. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  9. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  10. import org.springframework.security.core.userdetails.UserDetailsService;
  11. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  12. import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
  13.  
  14. import javax.sql.DataSource;
  15. import java.util.Date;
  16. import java.util.HashMap;
  17.  
  18. //开启安全管理的支持
  19. @EnableWebSecurity
  20. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  21.     @Autowired //Hikari连接池,自动将mysql配置信息加载连接池对象上
  22.     private DataSource dataSource;
  23.     //1.用户身份认证的配置
  24.     @Autowired
  25.     private UserDetailsService userDetailsService;
  26.  
  27.     @Override
  28.     protected void configure(HttpSecurity http) throws Exception {
  29.         http.authorizeRequests() // 开启基于HttpServletRequest请求访问的限制
  30.                 .antMatchers("/").permitAll() // 开启Ant⻛格的路径匹配。⽆条件对请求进⾏放⾏
  31.                 .antMatchers("/login/**").permitAll()
  32.                 .antMatchers("/detail/common/**").hasRole("common") // 匹配⽤户是否有某⼀个⻆⾊
  33.                 .antMatchers("/detail/vip/**").hasRole("vip")
  34.                 .anyRequest().authenticated()// 匹配任何请求。匹配已经登录认证的⽤户
  35.                 .and() // 功能连接符
  36.                 .formLogin(); // 开启基于表单的⽤户登录
  37.               http.formLogin() // 开启基于表单的⽤户登录
  38.                 // ⽤户登录⻚⾯跳转路径,默认为get请求的/login。⽆条件对请求进⾏放⾏
  39.                 .loginPage("/userLogin").permitAll()
  40.                 .usernameParameter("name") // 登录⽤户的⽤户名参数, 默认为username
  41.                 .passwordParameter("pwd") // 登录⽤户的密码参数,默认为password
  42.                 .defaultSuccessUrl("/") // ⽤户直接登录后默认跳转地址
  43.                 .failureUrl("/userLogin?error"); // ⽤户登录失败后的跳转地址,默认为/login?erro
  44.         // ⾃定义⽤户退出控制
  45.         http.logout()
  46.                 .logoutUrl("/mylogout")
  47.                 .logoutSuccessUrl("/");
  48.  
  49.         // 定制Remember-me记住我功能
  50.         http.rememberMe()
  51.                 .rememberMeParameter("rememberme")
  52.                 .tokenValiditySeconds(200)
  53.                 // 对Cookie信息进⾏持久化管理
  54.                 .tokenRepository(tokenRepository());
  55.     }
  56.  
  57.     @Bean
  58.     /** 持久化Token存储 */
  59.     public JdbcTokenRepositoryImpl tokenRepository() {
  60.         JdbcTokenRepositoryImpl jti = new JdbcTokenRepositoryImpl();
  61.         jti.setDataSource(dataSource);
  62.         //自动创建数据库表字段
  63.         jti.setCreateTableOnStartup(true);
  64.         return jti;
  65.     }
  66.     @Override
  67.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  68.         // 密码需要设置编码器
  69.         BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
  70.  
  71.         auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
  72.  
  73.     }
  74.     }
  75.

完成以上配置基于内存进⾏身份认证  就结束了

接下来是配置的信息

HttpSecurity类的主要⽅法及说明:
方法描述
authorizeRequests()开启基于HttpServletRequest请求访问的限制
formLogin()开启基于表单的⽤户登录
httpBasic()开启基于HTTP请求的Basic认证登录
logout()开启退出登录的⽀持
sessionManagement()开启Session管理配置
rememberMe()开启记住我功能
csrf()配置CSRF跨站请求伪造防护功能
⽤户请求控制相关的主要⽅法及说明
⽅法
描述
antMatchers(java.lang.String... antPtterns)
开启 Ant ⻛格的路径匹配
mvcMatchers(java.lang.String... patterns)
开启 MVC ⻛格的路径匹配(与 Ant ⻛格类似)
regexMatchers(java.lang.Sring...
regexPatterns)
开启正则表达式的路径匹配
and()
功能连接符
anyRequest()
匹配任何请求
rememberMe()
开启记住我功能
access(String attribute)
匹配给定的 SpEL 表达式计算结果是否为 true
hasAnyRole(String... roles)
匹配⽤户是否有参数中的任意⻆⾊
hasRole(Sring role)
匹配⽤户是否有某⼀个⻆⾊
hasAnyAuthority(String... authorities)
匹配⽤户是否有参数中的任意权限
hasAuthority(String authority)
匹配⽤户是否有某⼀个权限
authenticated()
匹配已经登录认证的⽤户
fullyAuthenticated()
匹配完整登录认证的⽤户(⾮ rememberMe 登录⽤ 户)
hasIpAddress(String ipAddressExpression)
匹配某 IP 地址的访问请求
permitAll()
⽆条件对请求进⾏放⾏
formLogin()⽤户登录⽅法中涉及⽤户登录的主要⽅法及说明如下表所示
⽅法
描述
loginPage(String loginPage)
⽤户登录⻚⾯跳转路径,默认为 get 请 求的/login
successForwardUrl(String forwardUrl)
⽤户登录成功后的重定向地址
successHandler(AuthenticationSuccessHandler
authenticationSuccessHandler)
⽤户登录成功后的处理
defaultSuccessUrl(String defaultSuccessUrl)
⽤户直接登录后默认跳转地址
failureForwardUrl(String forwardUrl)
⽤户登录失败后的重定向地址
failureUrl(String authenticationFailureUrl)
⽤户登录失败后的跳转地址,默认
/login?error
failureHandler(AuthenticationFailureHandler
authenticationFailureHandler)
⽤户登录失败后的错误处理
usernameParameter(String usernameParameter)
登录⽤户的⽤户名参数, 默认为
username
passwordParameter(String passwordParameter)
登录⽤户的密码参数,默认为
password
loginProcessingUrl(String loginProcessingUrl)
登录表单提交的路径,默认为 post
求的 /login
permitAll()
permitAll()
⽆条件对请求进⾏放⾏

rememberMe()记住我功能相关涉及记住我的主要⽅法及说明如下表所示
⽅法
描述
rememberMeParameter(String rememberMeParameter)
指示在登录时记住⽤户的 HTTP 参数
key(String key)
记住我认证⽣成的 Token 令牌标识
tokenValiditySeconds(int tokenValiditySeconds)
记住我 Token 令牌有效期,单位为秒
tokenRepository(PersistentTokenRepository
tokenRepository)
指定要使⽤的 PersistentTokenRepository ,⽤来配置持久化 Token 令牌
alwaysRemember(boolean alwaysRemember)
是否应该始终创建记住我 Cookie ,默认为 false
clearAuthentication(boolean clearAuthentication)
是否设置 Cookie 为安全的,如果设置为 true ,则必须通过 HTTPS 进⾏连接请 求
Spring Security安全框架提供了CSRF防御相关⽅法
⽅法
描述
disable()
关闭 Security 默认开启的 CSRF 防御功能
csrfTokenRepository(CsrfTokenRepository
csrfTokenRepository)
指定要使⽤的 CsrfTokenRepository Token 令牌持久化仓库)。默认是由
LazyCsrfTokenRepository 包装的 HttpSessionCsrfTokenRepository
requireCsrfProtectionMatcher(RequestMatcher
requireCsrfProtectionMatcher)
指定针对什么类型的请求应⽤ CSRF 防护功能。默认设置是忽略 GET HEAD TRACE OPTIONS
求,⽽处理并防御其他所有请求

以上就是一些比较常用的配置信息

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/741040
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号