- 1A.5.[数据标注]:基于Label studio的训练数据标注指南:情感分析任务观点词抽取、属性抽取_label studio 自然语言 训练
- 2torch使用gpu的环境配置_torch gpu
- 3基于python的XGboost原理及其实现_xgboost python原理
- 4智能化运维最佳实践-自动化_试图搭建一个操作系统的智能运维模型,建立起系统内所有程序和应用的关联关系,以期
- 5【云上探索实验室】编程范式变革进行时——CodeWhisperer实践全流程及测评分析报告
- 6PT100铂热电阻三种测温方法介绍_铂电阻法测量导线温度
- 7跨时钟域(CDC)设计方法之多bit信号篇(一)
- 8Python使用opencv轮廓提取的实现和优化【一】简单实现_opencv轮廓优化
- 9C++——优先级队列(priority_queue)的使用及实现_priorityqueue c++用法
- 10BERT的革命性:如何改变自然语言处理的世界
Springboot——整合SpringSecurity_springboot集成springsecurity
赞
踩
一、核心概念
SpringSecurity的核心包括认证和授权两个部分。
认证
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。
SpringSecurity提供的认证其实是一种接口,他允许你自定义认证方式,这种设计更像是一种规范设计。
授权
AccessDecisionVoter 是一个投票器,投票器会检查用户是否具备应有的角色,进而投出赞成、反对或者弃权票;
AccessDecisionManager 则是一个决策器,来决定此次访问是否被允许。
过滤链
开发者所见到的 Spring Security 提供的功能,都是通过这些过滤器来实现的,这些过滤器按照既定的优先级排列,最终形成一个过滤器链。
需要注意的是,默认过滤器并不是直接放在 Web 项目的原生过滤器链中,而是通过一个FilterChainProxy 来统一管理。Spring Security 中的过滤器链通过 FilterChainProxy 嵌入到 Web项目的原生过滤器链中,如下图所示。
二、Springboot整合SpringSecurity核心流程
在将SpringSecurity整合到Springboot之前,我们需要知道整体的流程以便于我们更好的理解验证过程。
- 引入
spring-boot-starter-security依赖 - 创建
SecurityConfig配置文件 - 重写
UserDetailsService
第2点中,又可以拆分为登录、登出、错误处理、自动登录、过滤器等配置,如果完全不配置,SpringSecurity也会为你提供一套默认配置,从引入依赖开始就能够正常工作了。
第3点中,重写UserDetailsService.loadUserByUsername(String username)方法可以让你自定义验证的过程。如验证时,你希望通过查询MySQL数据库,如果数据库中存在该用户并且密码验证正确,就返回SpringSecurity中的User对象,这些过程都可以自定义实现。
三、Springboot整合SpringSecurity
3.1 引入依赖
在pom.xml文件中引入依赖后,SpringSecurity在Springboot启动时就能开始正常工作了。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
- 1
- 2
- 3
- 4
3.2 创建SecurityConfig配置文件
如果什么都不配置,那么该配置文件的内容应该这样的,剩下的事情SpringSecurity会帮你设置默认配置。
package com.example.demo.config.security;
@Configuration
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception { }
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在SecurityFilterChain中配置。
比较简单的配置:
package com.example.demo.config.security; @Configuration public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception { // 登录页为/login.html,请求/login路径验证登录信息,成功后重定向到/index.html页 httpSecurity.formLogin() .loginProcessingUrl("/login") .loginPage("/login.html") .defaultSuccessUrl("/index.html"); // 允许登录页和登录的url不需要验证即可访问,因为那个时候还没有登录信息 httpSecurity.authorizeRequests() .antMatchers("/login*").permitAll() .anyRequest().authenticated(); httpSecurity.csrf().disable(); return httpSecurity.build(); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
更全的配置:
其中,SpringSecurity整合JwtToken可以看另一篇文章。
package com.example.demo.config.security; /** * @Author : HuangJiajian * @create 2022/10/18 17:49 */ @Configuration public class SecurityConfig { @Autowired UserDetailServiceImpl userDetailService; @Autowired PersistentTokenRepository persistentTokenRepository; @Autowired private JwtFilter jwtFilter; @Bean public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception { // 登录,自定义登录界面为/login.html,通过请求/login路径验证身份 httpSecurity.formLogin() .loginProcessingUrl("/login") .loginPage("/login.html") .successHandler(new AuthenticationSuccessConfig()) .failureHandler(new AuthenticationFailConfig()); // 退出,自定义退出成功时的操作,如响应的数据 httpSecurity.logout() .logoutUrl("/logout") .logoutSuccessHandler(new LogoutSuccessConfig()); // 过滤器,除了/test/*和/login*的url请求不需要验证身份外,其他的请求都需要身份验证 httpSecurity.authorizeRequests() .antMatchers("/test/*").permitAll() .antMatchers("/login*").permitAll() .anyRequest().authenticated(); // 错误处理,自定义认证失败的错误处理,如403返回权限不足等 httpSecurity.exceptionHandling() .accessDeniedHandler(new AccessDeniedConfig()) .authenticationEntryPoint(new AuthenticationEntryPointConfig()); // 整合JwtToken验证身份 httpSecurity.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class); httpSecurity.csrf().disable(); return httpSecurity.build(); } @Bean public PasswordEncoder getPasswordEncoder() { // 选择非对称加密为SpringSecurity的加密方法 return new BCryptPasswordEncoder(); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
3.3 重写UserDetailsService
Spring Security 中定义了 UserDetails 接口来规范开发者自定义的用户对象,这样方便一些旧系统、用户表已经固定的系统集成到 Spring Security 认证体系中。而负责提供用户数据源的接口是 UserDetailsService, UserDetailsService 中只有一个查询用户的方法,那就是loadUserByUsername。
换句话说,我们可以使用UserDetailsService.loadUserByUsername(String username)方法来自定义查询用户的过程。这部分的代码,只需要关心loadUserByUsername的自定义逻辑即可。注意这里的User类是来自于SpringSecurity的,而非自己在Entity中定义的User类。
package com.example.demo.service.impl; /** * @Author : HuangJiajian * @create 2022/10/19 10:03 */ @Service @Component public class UserDetailServiceImpl implements UserDetailsService { @Autowired UserMapper userMapper; @Autowired UserRoleMapper userRoleMapper; @Autowired RoleMapper roleMapper; @Autowired private StringRedisTemplate stringRedisTemplate; /** * @Author HJJ * @Date 2022-12-27 9:43 * @Params String username * @Return User * @Description SpringSecurity方法,验证并获取用户权限信息,并将User数据写入Redis缓存 */ @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { String cacheUser = stringRedisTemplate.opsForValue().get("username::" + username); // 如果有缓存,直接返回,如果没有缓存,否则需要查询数据库并写入Redis缓存 if (!Objects.isNull(cacheUser)) { return JSON.parseObject(cacheUser, UserDetails.class); } else { UserEntity userEntity = getUserEntityByUsername(username); User user = new User(username, userEntity.getUserPassword(), getAuthoritiesByUserId(userEntity.getUserId())); String strUser = JSONObject.toJSONString(user); System.out.println(username+"查询了数据库并写入Redis缓存:" + strUser); // 将User对象转换成String并写入缓存 stringRedisTemplate.opsForValue().set("username::" + username, strUser, 60, TimeUnit.SECONDS); return user; } } /** * @Author HJJ * @Date 2022-12-27 9:42 * @Params * @Return * @Description 查询数据库,获取用户信息 */ public UserEntity getUserEntityByUsername(String username) { QueryWrapper<UserEntity> queryWrapper = new QueryWrapper<>(); queryWrapper.eq("userName", username); UserEntity userEntity = userMapper.selectOne(queryWrapper); if (Objects.isNull(userEntity)) { System.out.println("没有此用户:" + username); throw new UsernameNotFoundException("没有此用户"); } return userEntity; } /** * @Author HJJ * @Date 2022-12-27 9:55 * @Params * @Return * @Description 查询数据库,获取用户权限信息 */ public List<GrantedAuthority> getAuthoritiesByUserId(int userId) { StringBuilder roles = new StringBuilder(); QueryWrapper<UserRole> queryWrapper1 = new QueryWrapper<>(); queryWrapper1.eq("userId", userId); List<UserRole> userRoles = userRoleMapper.selectList(queryWrapper1); for (int i = 0; i < userRoles.size(); i++) { UserRole userRole = userRoles.get(i); int roleId = userRole.getRoleId(); QueryWrapper<Role> queryWrapper2 = new QueryWrapper<>(); queryWrapper2.eq("roleId", roleId); Role role = roleMapper.selectOne(queryWrapper2); String roleName = role.getRoleName(); if (Objects.equals(userRoles.size() - 1, i)) { roles.append(roleName); break; } roles.append(roleName).append(","); } return AuthorityUtils.commaSeparatedStringToAuthorityList(roles.toString()); } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
- 61
- 62
- 63
- 64
- 65
- 66
- 67
- 68
- 69
- 70
- 71
- 72
- 73
- 74
- 75
- 76
- 77
- 78
- 79
- 80
- 81
- 82
- 83
- 84
- 85
- 86
- 87
- 88
以上即是Springboot整合SpringSecurity的整体过程。
参考文献
- 深入浅出SpringSecurity-王松
