您现在的位置是:首页 > 文章详情
Spring Boot 2.X(十八):集成 Spring Security-登录认证和权限控制
日期:2019-11-25点击:329收藏
前言
在企业项目开发中,对系统的安全和权限控制往往是必需的,常见的安全框架有 Spring Security、Apache Shiro 等。本文主要简单介绍一下 Spring Security,再通过 Spring Boot 集成开一个简单的示例。
Spring Security
什么是 Spring Security?
Spring Security 是一种基于 Spring AOP 和 Servlet 过滤器 Filter 的安全框架,它提供了全面的安全解决方案,提供在 Web 请求和方法调用级别的用户鉴权和权限控制。
Web 应用的安全性通常包括两方面:用户认证(Authentication)和用户授权(Authorization)。
用户认证指的是验证某个用户是否为系统合法用户,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证。
用户授权指的是验证某个用户是否有权限执行某个操作。
2.原理
Spring Security 功能的实现主要是靠一系列的过滤器链相互配合来完成的。以下是项目启动时打印的默认安全过滤器链(集成5.2.0):
[ org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@5054e546, org.springframework.security.web.context.SecurityContextPersistenceFilter@7b0c69a6, org.springframework.security.web.header.HeaderWriterFilter@4fefa770, org.springframework.security.web.csrf.CsrfFilter@6346aba8, org.springframework.security.web.authentication.logout.LogoutFilter@677ac054, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@51430781, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@4203d678, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@625e20e6, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@19628fc2, org.springframework.security.web.session.SessionManagementFilter@471f8a70, org.springframework.security.web.access.ExceptionTranslationFilter@3e1eb569, org.springframework.security.web.access.intercept.FilterSecurityInterceptor@3089ab62 ]- WebAsyncManagerIntegrationFilter
- SecurityContextPersistenceFilter
- HeaderWriterFilter
- CsrfFilter
- LogoutFilter
- UsernamePasswordAuthenticationFilter
- RequestCacheAwareFilter
- SecurityContextHolderAwareRequestFilter
- AnonymousAuthenticationFilter
- SessionManagementFilter
- ExceptionTranslationFilter
- FilterSecurityInterceptor
详细解读可以参考:https://blog.csdn.net/dushiwodecuo/article/details/78913113
3.核心组件
SecurityContextHolder
用于存储应用程序安全上下文(Spring Context)的详细信息,如当前操作的用户对象信息、认证状态、角色权限信息等。默认情况下,SecurityContextHolder 会使用 ThreadLocal 来存储这些信息,意味着安全上下文始终可用于同一执行线程中的方法。
获取有关当前用户的信息
因为身份信息与线程是绑定的,所以可以在程序的任何地方使用静态方法获取用户信息。例如获取当前经过身份验证的用户的名称,代码如下:
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal(); if (principal instanceof UserDetails) { String username = ((UserDetails)principal).getUsername(); } else { String username = principal.toString(); }其中,getAuthentication() 返回认证信息,getPrincipal() 返回身份信息,UserDetails 是对用户信息的封装类。
Authentication
认证信息接口,集成了 Principal 类。该接口中方法如下:
| 接口方法 | 功能说明 |
|---|---|
| getAuthorities() | 获取权限信息列表,默认是 GrantedAuthority 接口的一些实现类,通常是代表权限信息的一系列字符串 |
| getCredentials() | 获取用户提交的密码凭证,用户输入的密码字符窜,在认证过后通常会被移除,用于保障安全 |
| getDetails() | 获取用户详细信息,用于记录 ip、sessionid、证书序列号等值 |
| getPrincipal() | 获取用户身份信息,大部分情况下返回的是 UserDetails 接口的实现类,是框架中最常用的接口之一 |
AuthenticationManager
认证管理器,负责验证。认证成功后,AuthenticationManager 返回一个填充了用户认证信息(包括权限信息、身份信息、详细信息等,但密码通常会被移除)的 Authentication 实例。然后再将 Authentication 设置到 SecurityContextHolder 容器中。
AuthenticationManager 接口是认证相关的核心接口,也是发起认证的入口。但它一般不直接认证,其常用实现类 ProviderManager 内部会维护一个 List<AuthenticationProvider> 列表,存放里多种认证方式,默认情况下,只需要通过一个 AuthenticationProvider 的认证,就可被认为是登录成功。
UserDetailsService
负责从特定的地方加载用户信息,通常是通过JdbcDaoImpl从数据库加载实现,也可以通过内存映射InMemoryDaoImpl实现。
UserDetails
该接口代表了最详细的用户信息。该接口中方法如下:
| 接口方法 | 功能说明 |
|---|---|
| getAuthorities() | 获取授予用户的权限 |
| getPassword() | 获取用户正确的密码,这个密码在验证时会和 Authentication 中的 getCredentials() 做比对 |
| getUsername() | 获取用于验证的用户名 |
| isAccountNonExpired() | 指示用户的帐户是否已过期,无法验证过期的用户 |
| isAccountNonLocked() | 指示用户的账号是否被锁定,无法验证被锁定的用户 |
| isCredentialsNonExpired() | 指示用户的凭据(密码)是否已过期,无法验证凭证过期的用户 |
| isEnabled() | 指示用户是否被启用,无法验证被禁用的用户 |
Spring Security 实战
1.系统设计
本文主要使用 Spring Security 来实现系统页面的权限控制和安全认证,本示例不做详细的数据增删改查,sql 可以在完整代码里下载,主要是基于数据库对页面 和 ajax 请求做权限控制。
1.1 技术栈
- 编程语言:Java
- 编程框架:Spring、Spring MVC、Spring Boot
- ORM 框架:MyBatis
- 视图模板引擎:Thymeleaf
- 安全框架:Spring Security(5.2.0)
- 数据库:MySQL
- 前端:Layui、JQuery
1.2 功能设计
- 实现登录、退出
- 实现菜单 url 跳转的权限控制
- 实现按钮 ajax 请求的权限控制
- 防止跨站请求伪造(CSRF)攻击
1.3 数据库层设计
t_user 用户表
| 字段 | 类型 | 长度 | 是否为空 | 说明 |
|---|---|---|---|---|
| id | int | 8 | 否 | 主键,自增长 |
| username | varchar | 20 | 否 | 用户名 |
| password | varchar | 255 | 否 | 密码 |
t_role 角色表
| 字段 | 类型 | 长度 | 是否为空 | 说明 |
|---|---|---|---|---|
| id | int | 8 | 否 | 主键,自增长 |
| role_name | varchar | 20 | 否 | 角色名称 |
t_menu 菜单表
| 字段 | 类型 | 长度 | 是否为空 | 说明 |
|---|---|---|---|---|
| id | int | 8 | 否 | 主键,自增长 |
| menu_name | varchar | 20 | 否 | 菜单名称 |
| menu_url | varchar | 50 | 是 | 菜单url(Controller 请求路径) |
t_user_roles 用户权限表
| 字段 | 类型 | 长度 | 是否为空 | 说明 |
|---|---|---|---|---|
| id | int | 8 | 否 | 主键,自增长 |
| user_id | int | 8 | 否 | 用户表id |
| role_id | int | 8 | 否 | 角色表id |
t_role_menus 权限菜单表
| 字段 | 类型 | 长度 | 是否为空 | 说明 |
|---|---|---|---|---|
| id | int | 8 | 否 | 主键,自增长 |
| role_id | int | 8 | 否 | 角色表id |
| menu_id | int | 8 | 否 | 菜单表id |
实体类这里不详细列了。
2.代码实现
2.0 相关依赖
<dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> <exclusions> <exclusion> <groupId>org.junit.vintage</groupId> <artifactId>junit-vintage-engine</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> <!-- 热部署模块 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-devtools</artifactId> <optional>true</optional> <!-- 这个需要为 true 热部署才有效 --> </dependency> <!-- mysql 数据库驱动. --> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <scope>runtime</scope> </dependency> <!-- mybaits --> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency> <!-- thymeleaf --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <!-- alibaba fastjson --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.47</version> </dependency> <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> </dependencies>2.1 继承 WebSecurityConfigurerAdapter 自定义 Spring Security 配置
/** prePostEnabled :决定Spring Security的前注解是否可用 [@PreAuthorize,@PostAuthorize,..] secureEnabled : 决定是否Spring Security的保障注解 [@Secured] 是否可用 jsr250Enabled :决定 JSR-250 annotations 注解[@RolesAllowed..] 是否可用. */ @Configurable @EnableWebSecurity //开启 Spring Security 方法级安全注解 @EnableGlobalMethodSecurity @EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true,jsr250Enabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter{ @Autowired private CustomAccessDeniedHandler customAccessDeniedHandler; @Autowired private UserDetailsService userDetailsService; /** * 静态资源设置 */ @Override public void configure(WebSecurity webSecurity) { //不拦截静态资源,所有用户均可访问的资源 webSecurity.ignoring().antMatchers( "/", "/css/**", "/js/**", "/images/**", "/layui/**" ); } /** * http请求设置 */ @Override public void configure(HttpSecurity http) throws Exception { //http.csrf().disable(); //注释就是使用 csrf 功能 http.headers().frameOptions().disable();//解决 in a frame because it set 'X-Frame-Options' to 'DENY' 问题 //http.anonymous().disable(); http.authorizeRequests() .antMatchers("/login/**","/initUserData","/main")//不拦截登录相关方法 .permitAll() //.antMatchers("/user").hasRole("ADMIN") // user接口只有ADMIN角色的可以访问 // .anyRequest() // .authenticated()// 任何尚未匹配的URL只需要验证用户即可访问 .anyRequest() .access("@rbacPermission.hasPermission(request, authentication)")//根据账号权限访问 .and() .formLogin() .loginPage("/") .loginPage("/login") //登录请求页 .loginProcessingUrl("/login") //登录POST请求路径 .usernameParameter("username") //登录用户名参数 .passwordParameter("password") //登录密码参数 .defaultSuccessUrl("/main") //默认登录成功页面 .and() .exceptionHandling() .accessDeniedHandler(customAccessDeniedHandler) //无权限处理器 .and() .logout() .logoutSuccessUrl("/login?logout"); //退出登录成功URL } /** * 自定义获取用户信息接口 */ @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } /** * 密码加密算法 * @return */ @Bean public BCryptPasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } }2.2 自定义实现 UserDetails 接口,扩展属性
public class UserEntity implements UserDetails { /** * */ private static final long serialVersionUID = -9005214545793249372L; private Long id;// 用户id private String username;// 用户名 private String password;// 密码 private List<Role> userRoles;// 用户权限集合 private List<Menu> roleMenus;// 角色菜单集合 private Collection<? extends GrantedAuthority> authorities; public UserEntity() { } public UserEntity(String username, String password, Collection<? extends GrantedAuthority> authorities, List<Menu> roleMenus) { this.username = username; this.password = password; this.authorities = authorities; this.roleMenus = roleMenus; } public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getPassword() { return password; } public void setPassword(String password) { this.password = password; } public List<Role> getUserRoles() { return userRoles; } public void setUserRoles(List<Role> userRoles) { this.userRoles = userRoles; } public List<Menu> getRoleMenus() { return roleMenus; } public void setRoleMenus(List<Menu> roleMenus) { this.roleMenus = roleMenus; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { return this.authorities; } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } @Override public boolean isEnabled() { return true; } }2.3 自定义实现 UserDetailsService 接口
/** * 获取用户相关信息 * @author charlie * */ @Service public class UserDetailServiceImpl implements UserDetailsService { private Logger log = LoggerFactory.getLogger(UserDetailServiceImpl.class); @Autowired private UserDao userDao; @Autowired private RoleDao roleDao; @Autowired private MenuDao menuDao; @Override public UserEntity loadUserByUsername(String username) throws UsernameNotFoundException { // 根据用户名查找用户 UserEntity user = userDao.getUserByUsername(username); System.out.println(user); if (user != null) { System.out.println("UserDetailsService"); //根据用户id获取用户角色 List<Role> roles = roleDao.getUserRoleByUserId(user.getId()); // 填充权限 Collection<SimpleGrantedAuthority> authorities = new HashSet<SimpleGrantedAuthority>(); for (Role role : roles) { authorities.add(new SimpleGrantedAuthority(role.getRoleName())); } //填充权限菜单 List<Menu> menus=menuDao.getRoleMenuByRoles(roles); return new UserEntity(username,user.getPassword(),authorities,menus); } else { System.out.println(username +" not found"); throw new UsernameNotFoundException(username +" not found"); } } }2.4 自定义实现 URL 权限控制
/** * RBAC数据模型控制权限 * @author charlie * */ @Component("rbacPermission") public class RbacPermission{ private AntPathMatcher antPathMatcher = new AntPathMatcher(); public boolean hasPermission(HttpServletRequest request, Authentication authentication) { Object principal = authentication.getPrincipal(); boolean hasPermission = false; // 读取用户所拥有的权限菜单 List<Menu> menus = ((UserEntity) principal).getRoleMenus(); System.out.println(menus.size()); for (Menu menu : menus) { if (antPathMatcher.match(menu.getMenuUrl(), request.getRequestURI())) { hasPermission = true; break; } } return hasPermission; } }2.5 实现 AccessDeniedHandler
自定义处理无权请求
/** * 处理无权请求 * @author charlie * */ @Component public class CustomAccessDeniedHandler implements AccessDeniedHandler { private Logger log = LoggerFactory.getLogger(CustomAccessDeniedHandler.class); @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException { boolean isAjax = ControllerTools.isAjaxRequest(request); System.out.println("CustomAccessDeniedHandler handle"); if (!response.isCommitted()) { if (isAjax) { String msg = accessDeniedException.getMessage(); log.info("accessDeniedException.message:" + msg); String accessDenyMsg = "{\"code\":\"403\",\"msg\":\"没有权限\"}"; ControllerTools.print(response, accessDenyMsg); } else { request.setAttribute(WebAttributes.ACCESS_DENIED_403, accessDeniedException); response.setStatus(HttpStatus.FORBIDDEN.value()); RequestDispatcher dispatcher = request.getRequestDispatcher("/403"); dispatcher.forward(request, response); } } } public static class ControllerTools { public static boolean isAjaxRequest(HttpServletRequest request) { return "XMLHttpRequest".equals(request.getHeader("X-Requested-With")); } public static void print(HttpServletResponse response, String msg) throws IOException { response.setCharacterEncoding("UTF-8"); response.setContentType("application/json; charset=utf-8"); PrintWriter writer = response.getWriter(); writer.write(msg); writer.flush(); writer.close(); } } }2.6 相关 Controller
登录/退出跳转
/** * 登录/退出跳转 * @author charlie * */ @Controller public class LoginController { @GetMapping("/login") public ModelAndView login(@RequestParam(value = "error", required = false) String error, @RequestParam(value = "logout", required = false) String logout) { ModelAndView mav = new ModelAndView(); if (error != null) { mav.addObject("error", "用户名或者密码不正确"); } if (logout != null) { mav.addObject("msg", "退出成功"); } mav.setViewName("login"); return mav; } }登录成功跳转
@Controller public class MainController { @GetMapping("/main") public ModelAndView toMainPage() { //获取登录的用户名 Object principal= SecurityContextHolder.getContext().getAuthentication().getPrincipal(); String username=null; if(principal instanceof UserDetails) { username=((UserDetails)principal).getUsername(); }else { username=principal.toString(); } ModelAndView mav = new ModelAndView(); mav.setViewName("main"); mav.addObject("username", username); return mav; } }用于不同权限页面访问测试
/** * 用于不同权限页面访问测试 * @author charlie * */ @Controller public class ResourceController { @GetMapping("/publicResource") public String toPublicResource() { return "resource/public"; } @GetMapping("/vipResource") public String toVipResource() { return "resource/vip"; } }用于不同权限ajax请求测试
/** * 用于不同权限ajax请求测试 * @author charlie * */ @RestController @RequestMapping("/test") public class HttptestController { @PostMapping("/public") public JSONObject doPublicHandler(Long id) { JSONObject json = new JSONObject(); json.put("code", 200); json.put("msg", "请求成功" + id); return json; } @PostMapping("/vip") public JSONObject doVipHandler(Long id) { JSONObject json = new JSONObject(); json.put("code", 200); json.put("msg", "请求成功" + id); return json; } }2.7 相关 html 页面
登录页面
<form class="layui-form" action="/login" method="post"> <div class="layui-input-inline"> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/> <input type="text" name="username" required placeholder="用户名" autocomplete="off" class="layui-input"> </div> <div class="layui-input-inline"> <input type="password" name="password" required placeholder="密码" autocomplete="off" class="layui-input"> </div> <div class="layui-input-inline login-btn"> <button id="btnLogin" lay-submit lay-filter="*" class="layui-btn">登录</button> </div> <div class="form-message"> <label th:text="${error}"></label> <label th:text="${msg}"></label> </div> </form>防止跨站请求伪造(CSRF)攻击
退出系统
<form id="logoutForm" action="/logout" method="post" style="display: none;"> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"> </form> <a href="javascript:document.getElementById('logoutForm').submit();">退出系统</a>ajax 请求页面
<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" id="hidCSRF"> <button class="layui-btn" id="btnPublic">公共权限请求按钮</button> <br> <br> <button class="layui-btn" id="btnVip">VIP权限请求按钮</button> <script type="text/javascript" th:src="@{/js/jquery-1.8.3.min.js}"></script> <script type="text/javascript" th:src="@{/layui/layui.js}"></script> <script type="text/javascript"> layui.use('form', function() { var form = layui.form; $("#btnPublic").click(function(){ $.ajax({ url:"/test/public", type:"POST", data:{id:1}, beforeSend:function(xhr){ xhr.setRequestHeader('X-CSRF-TOKEN',$("#hidCSRF").val()); }, success:function(res){ alert(res.code+":"+res.msg); } }); }); $("#btnVip").click(function(){ $.ajax({ url:"/test/vip", type:"POST", data:{id:2}, beforeSend:function(xhr){ xhr.setRequestHeader('X-CSRF-TOKEN',$("#hidCSRF").val()); }, success:function(res){ alert(res.code+":"+res.msg); } }); }); }); </script>2.8 测试
测试提供两个账号:user 和 admin (密码与账号一样)
由于 admin 作为管理员权限,设置了全部的访问权限,这里只展示 user 的测试结果。
完整代码
非特殊说明,本文版权归 朝雾轻寒 所有,转载请注明出处.
原文标题:Spring Boot 2.X(十八):集成 Spring Security-登录认证和权限控制
原文地址: https://www.zwqh.top/article/info/27
如果文章有不足的地方,欢迎提点,后续会完善。
如果文章对您有帮助,请给我点个赞,请扫码关注下我的公众号,文章持续更新中...
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
【PHP】快递物流查询接口实现
项目开发中,有些需求难免会用到关于快递的一些Api接口;本篇主要介绍的是快递鸟的查询Api 官方网址: http://www.kdniao.com/reg 即时查询api: http://www.kdniao.com/api-track 需要登录 ,申请一下 用户ID 和 API key 结果: 代码实现: <?php //电商ID defined('EBusinessID') or define('EBusinessID', '123456'); //电商加密私钥,快递鸟提供,注意保管,不要泄漏 defined('AppKey') or define('AppKey', '1234567890'); //请求url:测试地址 //defined('ReqURL') or define('ReqURL', 'http://sandboxapi.kdniao.cc:8080/kdniaosandbox/gateway/exterfaceInvoke.json'); //请求url:正式地址 defined('ReqURL') or define('ReqURL', 'http://...
- 下一篇
采用 php-quickorm/Captcha,用最快的速度在 PHP 语言下实现验证码功能
在做业务开发的过程中,我们常常有需要实现“验证码”功能的场景,早在一年前为了方便使用,我便封装了一套 PHP 快速出二维码的库。前几天和一个同事聊起 composer,顺手搜了一下以前写过的开源库,意外发现这个快速出验证码功能的库居然有 50 个下载量,如今得闲便分享一下,如何使用我写的这个库快速实现验证码功能。 要调用起这个库,门槛十分低,但是建议满足以下几个条件: PHP 5 + PHP GD 扩展 Composer (非必须) 安装方法 首先我们花 30 秒来引入一下这个库,主要有以下两种方式。 其一、使用 Composer 统一管理(推荐): composer require php-quickorm/captcha 其二、直接下载 Github 中的 Captcha.php 和 arial.ttf 文件,并对其进行引用:require "Captcha.php"; 使用方法 最简调用 编写验证码生成文件(排除掉存储的话,代码就两行)。这里假设命名为 captcha.php <?php // 新建实例 $captcha = new Captcha(); // 把生成好的代...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
扫描即可查看该文章
点击排行
推荐阅读
最新文章
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2全家桶,快速入门学习开发网站教程
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- MySQL8.0.19开启GTID主从同步CentOS8
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
微信收款码
支付宝收款码