SpringBoot之整合Spring Security,为自己的系统提供安全保障
需求:
1.权限控制:角色有多种角色,每个角色对应多个用户,每个角色又对应不同的菜单权限
2.资源控制:
①有些地址只能当用户登录之后才能访问
②有些地址可以对无状态用户开放,例如API
③对不同角色的用户的访问的权限进行控制
...
3.系统登录与注销:登录成功后将用户信息保存在系统中,转向成功页面,否则重新指向到登录页面,并提示错误信息
初步解决方案:
使用filter完成所有需求:
①将用户登录的信息保存在session中,在filter进行判断,请求的地址是否是在登录 之后才能访问,然后写一堆if判断,解决问题1
②解决方法和问题①一样的,在filter中进行过滤
③对不同角色有不同的权限则也可以在filter中操作,根据用户信息查到用户所属角 色,再进行判断,解决问题。
④系统的登录和注销可以使用一个action,在action中进行这些逻辑处理。解决问题
遇到的问题:
在使用如上方法完成需求之后,反过来看,会发现有好多冗余代码,使系统变得臃肿,光 filter里面就会出现大量的if语句,而且系统代码并不能被下一个系统直接复用,没有将功能进行模块化的开发。
最终解决方案:
使用springboot 对spring security进行整合:
为什么使用security?
①Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架;
②Spring Security 完美的解决了我以上的需求
③有了security我可以更加便捷的管理我的系统,拦截一个地址,不再需要我去配置一 个filter,只需要添加一个配置就能搞定了,废话不多说进入正题吧:
开始coding吧
spring security的starterMaven包:
一、首先进行安全入口的配置:
WebSecurityConfig.java
WebSecurityConfig 继承WebSecurityConfigurerAdapter重写config,configureGlobal方法
这里面可以配置不需要拦截的url,和登录,注销后的处理页面,还能添加认证数据源,再登录时获取额外的参数,例如后面提到的验证码等参数
这个方法用来加载 处理登录的逻辑代码(用户名,密码,验证码等逻辑验证)
二、用户验证
CustAuthenticationProvider.java 实现AuthenticationProvider接口中的authenticate方法进行登录认证
三、封装用户信息类
CustUserDetails.java 实现UserDetails接口
四、根据用户名获取用户信息
SnailUserDetailsService.java 实现UserDetailsService接口中的loadUserByUsername方法,从数据库中加载用户信息并封装到CustUserDetails中返回
五、添加额外参数验证:
在普通的认证中,我们只能对用户名和密码进行验证,不能够获取表单中额外参数进行验证(如验证码),但是security给我们打开了一扇门,还记得步骤一中的authenticationDetailsSource这个源码,这个就是加载额外数据源参数,我们只需创建一个类实现AuthenticationDetailsSource接口中的buildDetails方法,将我们需要的额外参数加载进来即可
CustomAuthenticationDetailsSource.java实现AuthenticationDetailsSource接口
创建CustomWebAuthenticationDetails.java继承WebAuthenticationDetails加载参数
六、到这里,所有代码都写完了,我们还有一个需求就是如何在项目中获取用户信息:security提供了SecurityContextHolder这个类,能够帮助我们获取用户的所有信息,使用方式如下:
附上所有代码下载链接,使用时请大家根据自己的开发环境进行相应的调整,如果没有积分的可以留言,我会上传到百度云中,提供你们下载。
csdn:https://download.csdn.net/download/weixin_34311210/10400629
百度云:https://pan.baidu.com/s/1NNgCgk_2iqjMgq6tgeJEog
