当前位置:   article > 正文

SpringBoot+SpringSecurity+mysql实现认证与授权_import asecurity

import asecurity

SprinBoot 系列文章:

Spring Boot入门之Hello Spring Boot
SpringBoot 配置多个JdbcTemplate
SpringBoot 整合Mybatis
CAS统一登录认证(3): CAS 客户端接入实践
SpringBoot 整合Mail实现邮件发送
数据库连接池优化配置(druid,dbcp,c3p0)
SpringBoot+SpringSecurity+mysql实现认证与授

SpringBoot+Spring Security基于内存用户认证 
SpringBoot+WebSocket在线聊天室、消息推送 
SpringBoot+SpringData JPA操作Mysql数据库 
SpringBoot热部署值devtools配置
Spring Boot 资源文件属性配置 
Spring Boot Server等内容的配置
Spring Boot + FreeMarker模板 
SpringBoot+thymeleaf模板

SpringBoot + JDBC 连接MYSQL数据库
Zipkin分布式任务追踪 
SpringBoot应用部署到外置Tomcat 
Spring Boot + Swagger2 自动生成api接口文档 

SpringBoot整合Shiro安全框架          
SpringBoot+CAS Client 实现单点登录

SpringBoot 整合MyBatis-Plus  
SpringBoot + validation 接口参数校验
Springboot+Redis 实现API接口防刷限流
          
ShardingSphere-ShardingJdbc 数据分片(分库、分表)
ShardingSphere-ShardingJdbc 读写分离
ShardingSphere-ShardingJdbc 数据脱敏

            
springboot+sms 集成腾讯云短信平台
SpringBoot+RabbitMQ 实现消息队列
快速从零搭建一个SpringBoot Web项目
从零快速搭建一个SpringBoot Web项目
            
SpringBoot+ElasticSearch 实现全文检索
访问ElasticSearch的几种方式
SpringBoot + Activiti 工作流引擎(一、基本概念与环境搭建)
SpringBoot + Activiti 工作流引擎(二、流程&任务操作)
SpringBoot 定时任务 实现方式
            
SpringBoot + EhCache实现本地缓存
SpringBoot + Redis 实现分布式缓存 

一、Spring Security框架

1. 框架简介

        官方介绍:Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要求。

        Spring Security是一个为基于Spring的企业应用系统提供声明式的安全访问控制解决方式的安全框架(简单说是对访问权限进行控制),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。

        用户认证: 验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

        用户授权: 验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

特征:

  • 对身份验证和授权的全面和可扩展的支持
  • 防止会话固定,点击劫持,跨站点请求伪造等攻击
  • Servlet API集成
  • 可选与Spring Web MVC集成

2. 框架原理

        想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。

Spring Security 框架的主要过滤器(Filter) :

想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。

Spring Security 框架的主要过滤器(Filter) : 

  • WebAsyncManagerIntegrationFilter 
  • SecurityContextPersistenceFilter 
  • HeaderWriterFilter 
  • CorsFilter 
  • LogoutFilter
  • RequestCacheAwareFilter
  • SecurityContextHolderAwareRequestFilter
  • AnonymousAuthenticationFilter
  • SessionManagementFilter
  • ExceptionTranslationFilter
  • FilterSecurityInterceptor
  • UsernamePasswordAuthenticationFilter
  • BasicAuthenticationFilter

  Spring Security框架的核心组件:

  • SecurityContextHolder:提供对SecurityContext的访问
  • SecurityContext:持有Authentication对象和其他可能需要的信息
  • AuthenticationManager:其中可以包含多个AuthenticationProvider
  • ProviderManager:AuthenticationManager接口的实现类
  • AuthenticationProvider:主要用来进行认证操作的类,调用其中的authenticate()方法去进行认证操作
  • Authentication:Spring Security方式的认证主体
  • GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
  • UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
  • UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象 (可以在这里基于自身业务进行自定义的实现,如通过数据库、xml、缓存获取等)  

二、SpringBoot 整合Spring Security

1. 项目环境

(1)JDK版本:1.8

(2)Spring Boot:2.1.2.RELEASE

(3)Spring Security 5.1.3

(4)IntelliJ IDEA 2016.3.4

2.建库建表

建表语句如下,用户对应的密码已经使用md5加密。

  1. SET FOREIGN_KEY_CHECKS=0;
  2. -- ----------------------------
  3. -- Table structure for `user`
  4. -- ----------------------------
  5. DROP TABLE IF EXISTS `user`;
  6. CREATE TABLE `user` (
  7. `Id` int(11) NOT NULL AUTO_INCREMENT,
  8. `userName` varchar(255) DEFAULT NULL COMMENT '姓名',
  9. `password` varchar(255) DEFAULT NULL COMMENT '密码',
  10. `roles` varchar(255) DEFAULT NULL,
  11. PRIMARY KEY (`Id`)
  12. ) ENGINE=MyISAM AUTO_INCREMENT=4 DEFAULT CHARSET=utf8 COMMENT='用户表';
  13. -- ----------------------------
  14. -- Records of user
  15. -- ----------------------------
  16. INSERT INTO `user` VALUES ('1', 'ouyang', 'bbd126f4856c57f68d4e30264da6a4e6', 'ROLE_ADMIN,ROLE_USER');
  17. INSERT INTO `user` VALUES ('2', 'admin', 'bbd126f4856c57f68d4e30264da6a4e6', 'ROLE_ADMIN');
  18. INSERT INTO `user` VALUES ('3', 'user', 'bbd126f4856c57f68d4e30264da6a4e6', 'ROLE_USER');

3.添加依赖并配置yml

依赖pom.xml:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  3. xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  4. <modelVersion>4.0.0</modelVersion>
  5. <parent>
  6. <groupId>org.springframework.boot</groupId>
  7. <artifactId>spring-boot-starter-parent</artifactId>
  8. <version>2.1.2.RELEASE</version>
  9. <relativePath/> <!-- lookup parent from repository -->
  10. </parent>
  11. <groupId>com.oycbest</groupId>
  12. <artifactId>springsecuritytest</artifactId>
  13. <version>0.0.1-SNAPSHOT</version>
  14. <name>springsecuritytest</name>
  15. <description>springsecurity 安全认证框架实战项目</description>
  16. <properties>
  17. <java.version>1.8</java.version>
  18. </properties>
  19. <dependencies>
  20. <dependency>
  21. <groupId>org.springframework.boot</groupId>
  22. <artifactId>spring-boot-starter-web</artifactId>
  23. </dependency>
  24. <dependency>
  25. <groupId>org.projectlombok</groupId>
  26. <artifactId>lombok</artifactId>
  27. <optional>true</optional>
  28. </dependency>
  29. <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
  30. <dependency>
  31. <groupId>org.apache.commons</groupId>
  32. <artifactId>commons-lang3</artifactId>
  33. <version>3.8.1</version>
  34. </dependency>
  35. <!--Spring Boot热加载 -->
  36. <dependency>
  37. <groupId>org.springframework.boot</groupId>
  38. <artifactId>spring-boot-devtools</artifactId>
  39. <optional>true</optional>
  40. </dependency>
  41. <!--Spring Security-->
  42. <dependency>
  43. <groupId>org.springframework.boot</groupId>
  44. <artifactId>spring-boot-starter-security</artifactId>
  45. </dependency>
  46. <!--thymeleaf-->
  47. <dependency>
  48. <groupId>org.springframework.boot</groupId>
  49. <artifactId>spring-boot-starter-thymeleaf</artifactId>
  50. </dependency>
  51. <!--JDBC-->
  52. <dependency>
  53. <groupId>mysql</groupId>
  54. <artifactId>mysql-connector-java</artifactId>
  55. <version>5.1.29</version>
  56. </dependency>
  57. <!--spring-data-jpa-->
  58. <dependency>
  59. <groupId>org.springframework.boot</groupId>
  60. <artifactId>spring-boot-starter-data-jpa</artifactId>
  61. </dependency>
  62. <dependency>
  63. <groupId>org.springframework.boot</groupId>
  64. <artifactId>spring-boot-starter-test</artifactId>
  65. <scope>test</scope>
  66. </dependency>
  67. <dependency>
  68. <groupId>org.springframework.security</groupId>
  69. <artifactId>spring-security-test</artifactId>
  70. <scope>test</scope>
  71. </dependency>
  72. </dependencies>
  73. <build>
  74. <plugins>
  75. <plugin>
  76. <groupId>org.springframework.boot</groupId>
  77. <artifactId>spring-boot-maven-plugin</artifactId>
  78. </plugin>
  79. </plugins>
  80. </build>
  81. </project>

application.yml配置:

  1. server:
  2. port: 8082
  3. spring:
  4. datasource:
  5. url: jdbc:mysql://127.0.0.1:3306/springsecurity?autoReconnect=true&autoReconnectForPools=true&useUnicode=true&characterEncoding=utf8
  6. username: ouyangcheng
  7. password: 123456
  8. driver-class-name: com.mysql.jdbc.Driver
  9. druid:
  10. initialSize: 1
  11. minIdle: 1
  12. maxActive: 50
  13. maxWait: 6000
  14. timeBetweenEvictionRunsMillis: 6000
  15. minEvictableIdleTimeMillis: 30000
  16. testWhileIdle: true
  17. testOnBorrow: true
  18. testOnReturn: true
  19. validationQuery: SELECT 1 from dual
  20. connectionProperties: config.decrypt=false

4.创建spring security 的配置文件

  1. package com.oycbest.config;
  2. import com.oycbest.domain.User;
  3. import com.oycbest.service.PasswordEncoder;
  4. import com.oycbest.service.UserService;
  5. import org.springframework.beans.factory.annotation.Autowired;
  6. import org.springframework.context.annotation.Configuration;
  7. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  8. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  9. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
  10. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  11. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  12. import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
  13. import javax.annotation.Resource;
  14. /**
  15. * @Author: oyc
  16. * @Date: 2019/1/29 13:45
  17. * @Description:
  18. */
  19. @Configuration
  20. @EnableWebSecurity
  21. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  22. @Resource
  23. private UserService<User> userService;
  24. @Autowired
  25. public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
  26. auth.userDetailsService(userService).passwordEncoder(new PasswordEncoder());
  27. }
  28. @Override
  29. protected void configure(HttpSecurity http) throws Exception {
  30. //允许基于HttpServletRequest使用限制访问
  31. http.authorizeRequests()
  32. //不需要身份认证
  33. .antMatchers("/", "/home","/toLogin","/**/customer/**").permitAll()
  34. .antMatchers("/js/**", "/css/**", "/images/**", "/fronts/**", "/doc/**", "/toLogin").permitAll()
  35. .antMatchers("/user/**").hasAnyRole("USER")
  36. //.hasIpAddress()//读取配置权限配置
  37. .antMatchers("/**").access("hasRole('ADMIN')")
  38. .anyRequest().authenticated()
  39. //自定义登录界面
  40. .and().formLogin().loginPage("/toLogin").loginProcessingUrl("/login").failureUrl("/toLogin?error").permitAll()
  41. .and().logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
  42. .and().exceptionHandling().accessDeniedPage("/toLogin?deny")
  43. .and().httpBasic()
  44. .and().sessionManagement().invalidSessionUrl("/toLogin")
  45. .and().csrf().disable();
  46. }
  47. }

5.创建UserService实现了UserDetialsServer的类

        这个类主要是实现了loadUserByname方法, 然后我们可以在这个类中注入我们的service、repository或者mapper接口, 然后方法内部根据username获得该用户, 然后再获取这个用户的权限。通过用户名到数据库进行查询,如果没有查到这个用户,则登录失败留在原网页,如果查出这个用户,则把用户的账号密码和查出的用户拥有的所有权限,封装到security自己的User类中返回(得到的形式是这样的org.springframework.security.core.userdetails.User@c41325a7: Username: ouyang; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN,ROLE_USER),接下来security会把前台发过来的密码和查到的密码进行比较,看是否登录成功,失败停留在原网页,这一步框架自己解决,不需要我们来判断,只需要返回User即可。

        我这里直接注入UserRepository,使用UserRepository直接获取用户的信息和权限,对UserRepository有疑问可参考上节Spring Boot入门系列八(SpringBoot 整合SpringData JPA操作Mysql数据库): https://blog.csdn.net/u014553029/article/details/86662518

  1. package com.oycbest.service;
  2. import com.oycbest.domain.User;
  3. import com.oycbest.repository.UserRepository;
  4. import org.apache.commons.lang3.StringUtils;
  5. import org.springframework.security.core.authority.SimpleGrantedAuthority;
  6. import org.springframework.security.core.userdetails.UserDetails;
  7. import org.springframework.security.core.userdetails.UserDetailsService;
  8. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  9. import org.springframework.stereotype.Service;
  10. import javax.annotation.Resource;
  11. import java.util.ArrayList;
  12. import java.util.List;
  13. /**
  14. * @Author: oyc
  15. * @Date: 2019/1/29 14:19
  16. * @Description: 用户服务类
  17. */
  18. @Service
  19. public class UserService<T extends User> implements UserDetailsService {
  20. @Resource
  21. private UserRepository<User> repository;
  22. @Override
  23. public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  24. try {
  25. User user = repository.findByUserName(username);
  26. if (user == null) {
  27. throw new UsernameNotFoundException("用户名不存在");
  28. }
  29. //用户权限
  30. List<SimpleGrantedAuthority> authorities = new ArrayList<>();
  31. if (StringUtils.isNotBlank(user.getRoles())) {
  32. String[] roles = user.getRoles().split(",");
  33. for (String role : roles) {
  34. if (StringUtils.isNotBlank(role)) {
  35. authorities.add(new SimpleGrantedAuthority(role.trim()));
  36. }
  37. }
  38. }
  39. return new org.springframework.security.core.userdetails.User(user.getUserName(), user.getPassword(), authorities);
  40. } catch (Exception e) {
  41. e.printStackTrace();
  42. return null;
  43. }
  44. }
  45. }

6.其他

使用到的login.html、MD5Util和PasswordEncoder,代码如下:

login.html

  1. <!DOCTYPE html>
  2. <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
  3. xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
  4. <head>
  5. <title>Spring Security Example </title>
  6. </head>
  7. <body>
  8. <div th:if="${param.error}" style="color: red;">
  9. Invalid username and password.
  10. </div>
  11. <div th:if="${param.logout}" style="color: red;">
  12. You have been logged out.
  13. </div>
  14. <form th:action="@{/login}" method="post">
  15. <div><label> User Name : <input type="text" name="username"/> </label></div>
  16. <div><label> Password: <input type="password" name="password"/> </label></div>
  17. <div><input type="submit" value="submit"/> <input type="reset" value="reset"/></div>
  18. </form>
  19. <p>Click <a th:href="@{/home}">here</a> go to home page.</p>
  20. </body>
  21. </html>

MD5Util.java

  1. package com.oycbest.util;
  2. import java.io.UnsupportedEncodingException;
  3. import java.math.BigInteger;
  4. import java.security.MessageDigest;
  5. import java.security.NoSuchAlgorithmException;
  6. /**
  7. * @Author: oyc
  8. * @Date: 2018/12/3 11:11
  9. * @Description: MD5加密工具
  10. */
  11. public class MD5Util {
  12. public static final int time = 5;
  13. public static final String SALT = "springsecurity";
  14. /**
  15. * 密码加密方法
  16. *
  17. * @param password
  18. * @return
  19. */
  20. public static String encode(String password) {
  21. MessageDigest digest;
  22. try {
  23. digest = MessageDigest.getInstance("MD5");
  24. } catch (NoSuchAlgorithmException e) {
  25. throw new IllegalStateException("MD5 algorithm not available. Fatal (should be in the JDK).");
  26. }
  27. try {
  28. for (int i = 0; i < time; i++) {
  29. byte[] bytes = digest.digest((password + SALT).getBytes("UTF-8"));
  30. password = String.format("%032x", new BigInteger(1, bytes));
  31. }
  32. return password;
  33. } catch (UnsupportedEncodingException e) {
  34. throw new IllegalStateException("UTF-8 encoding not available. Fatal (should be in the JDK).");
  35. }
  36. }
  37. public static void main(String[] args) {
  38. System.out.println(MD5Util.encode("123456"));
  39. }
  40. }

PasswordEncoder.java

  1. package com.oycbest.service;
  2. import com.oycbest.util.MD5Util;
  3. /**
  4. * @Author: oyc
  5. * @Date: 2018/12/3 10:29
  6. * @Description: 密码加密类
  7. */
  8. public class PasswordEncoder implements org.springframework.security.crypto.password.PasswordEncoder {
  9. @Override
  10. public String encode(CharSequence rawPassword) {
  11. return MD5Util.encode((String) rawPassword);
  12. }
  13. @Override
  14. public boolean matches(CharSequence rawPassword, String encodedPassword) {//user Details Service验证
  15. return encodedPassword.equals(MD5Util.encode((String) rawPassword));
  16. }
  17. }

三、测试

        先使用用户ouyang登录,因为ouayng拥有所有权限,所以可以访问admin和user;当使用admin用户登录的时候,可以正常访问到admin,但是访问user路径时候,就被拦截的,因为admin用户不具备访问user路径的权限。

 

UserService中的loadUserByUsername在认证过程获取数据如下:

源码地址:https://github.com/oycyqr/SpringSecurity

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/922003
推荐阅读
相关标签
  

闽ICP备14008679号