spring security框架入门

spring security简介

　　spring security是一个提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean，充分利用了Spring IoC，DI（控制反转 Inversion of Control ，DI:Dependency Injection 依赖注入）和 AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

入门demo——第一次不使用认证类，直接在配置文件中将用户和密码写死，后面再讲解使用配置类

• 创建war工程，引入相关依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.buwei</groupId>
    <artifactId>spring-security-demo</artifactId>
    <version>1.0-SNAPSHOT</version>
    <packaging>war</packaging>

    <!-- 集中定义依赖版本号 -->
    <properties>
        <spring.version>4.2.4.RELEASE</spring.version>
        <servlet-api.version>2.5</servlet-api.version>
        <mysql.version>5.1.32</mysql.version>
        <druid.version>1.0.9</druid.version>
        <security.version>3.2.3.RELEASE</security.version>
    </properties>

    <dependencies>

        <!--spring security的依赖-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <!-- Spring相关依赖 -->
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-beans</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-aspects</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jms</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-test</artifactId>
            <version>${spring.version}</version>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <!-- java编译插件 -->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.2</version>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!--指定端口号-->
                    <port>8080</port>
                    <!--制定路径-->
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

• 创建web.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">

    <!-- 配置监听扫描spring-security的文件 -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>
            org.springframework.web.context.ContextLoaderListener
        </listener-class>
    </listener>
    <!--配置过滤器,过滤根目录下所有资源,springSecurityFilterChain这个名字不能改变-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>
            org.springframework.web.filter.DelegatingFilterProxy
        </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

• spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
        xmlns="http://www.springframework.org/schema/security"
        xmlns:beans="http://www.springframework.org/schema/beans"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!--设置不拦截页面-->
    <http pattern="/login.html" security="none"/>
    <http pattern="/login_error.html" security="none"/>

    <!-- use-expressions:设置是否启动SpEL表达式，默认值是true。
     启动的时候access设置为access="hasRole('ROLE_USER')"-->
    <http use-expressions="false">
        <!--
            配置SpringSecurity的拦截路径（拦截规则）
            * pattern:配置拦截规则。   /* 代表的是根路径下的所有资源（不包含子路径） /**代表的是根路径下所有的资源（包含子路径）
            * access:设置角色  角色命名 ROLE_角色名称  如：ROLE_USER
        -->
        <intercept-url pattern="/**" access="ROLE_USER"/>
        <!--
        开启表单验证
            login-processing-url:提交的路径的设置 默认值"/login" 可以修改
            username-parameter="username"
            password-parameter="password"
            login-page            :登录页面名称  以 / 开始
            default-target-url    :登录成功后跳转的页面
            authentication-failure-url:登录失败后跳转的页面
        -->
        <form-login login-page="/login.html" default-target-url="/index.html"
                    always-use-default-target="true" authentication-failure-url="/login_error.html"/>
        <!-- 不使用csrf的校验 -->
        <csrf disabled="true"/>
        <!-- 注销的配置 -->
        <logout logout-url="/logout" logout-success-url="/logout.html" />
    </http>

    <!-- 配置认证管理器 -->
    <authentication-manager>
        <!-- 认证的提供者,这里配置固定写死，项目中使用的时候可以配置单独的bean来作为认证的提供者 -->
        <authentication-provider>
            <user-service>
                <user name="buwei" password="123456" authorities="ROLE_USER"/>
            </user-service>
        </authentication-provider>
    </authentication-manager>

</beans:beans>

• index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>
    <h1>恭喜你,登录成功</h1>
    <!--"/logout"为spring security默认提供的登出路径-->
    <a href="/logout">退出登录</a>
</body>
</html>

• login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录界面</title>
</head>
<body>

    <h1>spring security登录测试页面</h1>
    <!--action默认配置提交到"/login",提交形式必须为post-->
    <form action="/login" method="post">
        用户名：<input type="text" name="username"><br>
        密码：<input type="password" name="password"><br>
        <button type="submit" name="submit">登录</button>
    </form>
</body>
</html>

• login_error.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录失败界面</title>
</head>
<body>
    <h1>用户名或密码错误</h1>
</body>
</html>

• logout.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>
    <h1>退出成功</h1>
</body>
</html>

　　启动项目，浏览器中输入地址：http://localhost:8080/index.html，会自动跳转到login.html

　　尝试着输入正确的用户名和密码以及错误的用户名和密码来做测试。

• 但是我们在正常的使用中，用户的信息验证是需要从数据库中查询出来的，这时候的权限验证就需要引入我们的认证类类，下面是认证类：

package com.buwei;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import java.util.ArrayList;
import java.util.List;

/**
 * 认证类
 *
 * @author buwei
 * @date 2018/12/11 9:13
 */
public class UserDetailsServiceImpl implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        System.out.println("经过了认证类");
        // 构建角色列表，实际的验证过程中我们的角色列表是要从数据库中查出来的，这里直接设置了
        List<GrantedAuthority> grandAuths = new ArrayList<GrantedAuthority>();
        // 设置一个访问权限需要的角色名称
        grandAuths.add(new SimpleGrantedAuthority("ROLE_USER"));
        // 在设置一个不是访问权限需要的角色名称
        grandAuths.add(new SimpleGrantedAuthority("ROLE_TEST"));
        // 下面的参数也是假的参数，只是为了简单测试
        return new User("buwei", "123456", grandAuths);
    }
}

•  然后需要修改spring security的配置文件，来使用认证类来验证用户的权限

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
        xmlns="http://www.springframework.org/schema/security"
        xmlns:beans="http://www.springframework.org/schema/beans"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!--设置不拦截页面-->
    <http pattern="/login.html" security="none"/>
    <http pattern="/login_error.html" security="none"/>

    <!-- use-expressions:设置是否启动SpEL表达式，默认值是true。
     启动的时候access设置为access="hasRole('ROLE_USER')"-->
    <http use-expressions="false">
        <!--
            配置SpringSecurity的拦截路径（拦截规则）
            * pattern:配置拦截规则。   /* 代表的是根路径下的所有资源（不包含子路径） /**代表的是根路径下所有的资源（包含子路径）
            * access:设置角色  角色命名 ROLE_角色名称  如：  ROLE_USER
        -->
        <intercept-url pattern="/**" access="ROLE_USER"/>
        <!--
        开启表单验证
            login-processing-url:提交的路径的设置 默认值"/login" 可以修改
            username-parameter="username"
            password-parameter="password"
            login-page            :登录页面名称  以 / 开始
            default-target-url    :登录成功后跳转的页面
            authentication-failure-url:登录失败后跳转的页面
        -->
        <form-login login-page="/login.html" default-target-url="/index.html"
                    always-use-default-target="true" authentication-failure-url="/login_error.html"/>
        <!-- 不使用csrf的校验 -->
        <csrf disabled="true"/>
        <!-- 注销的配置 -->
        <logout logout-url="/logout" logout-success-url="/logout.html" />
    </http>

    <!-- 配置认证管理器 -->
    <authentication-manager>
        <!-- 认证的提供者 -->
        <authentication-provider user-service-ref="userDetailsService">
            <!--<user-service>
                <user name="buwei" password="123456" authorities="ROLE_USER"/>
            </user-service>-->
        </authentication-provider>
    </authentication-manager>

    <!--配置认证类-->
    <beans:bean id="userDetailsService" class="com.buwei.UserDetailsServiceImpl">
    </beans:bean>

</beans:beans>

• 主要也就在于配置认证类的bean和在认证管理器中修改认证的提供者了。输入正确的用户名和密码，可以实现同样的效果。