Springsecurity

maven  导 security包

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

配置  注解

@Configuration
//@EnableWebSecurity   有配置时就不需要了
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    
　　@Bean   密码
    public PasswordEncoder getPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }
    @Autowired
    private DataSource datasource;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()  // 表单登陆
        .loginPage("/login")   // 登陆页面
        .defaultSuccessUrl("/index") 
        .failureUrl("/login?error")
        .permitAll()  // 放行
        .and()
        .rememberMe()    
        .tokenValiditySeconds(1209600)
        .key("mykey")
        .and()
        .logout()
            .logoutUrl("/logout")
            .logoutSuccessUrl("/logout-success")
            .permitAll()
        .and().authorizeRequests()
        // 权限管理
        .antMatchers("/login").permitAll()
        .antMatchers("/admin/**").hasRole("ROLE_ADMIN")
        .antMatchers("/user/**").hasRole("ROLE_USER")
        .anyRequest().authenticated();
    }
    
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
        .userDetailsService(userService);
        // 从内存中获取用户名
        //.inMemoryAuthentication().withUser("mxz").password("mxz").roles("admin")
        //.and().and()
        //  从数据库中获取用户 角色
        //.jdbcAuthentication().dataSource(datasource)
        //    .usersByUsernameQuery("select user_name,password from users where user_name = ?"); 
    }

实体类实现 userDetail

服务类 实现  UserDetailService

 记住登陆状态

.rememberMe().tokenValiditySeconds(1209600).tokenRepository(tokenRepository()).key("mykey")

@Bean
private PersistentTokenRepository tokenRepository() {
JdbcTokenRepositoryImpl jtr = new JdbcTokenRepositoryImpl();
jtr.setDataSource(dataSource);
return jtr;
}

JdbcTokenRepositoryImpl  中有贱表语句

　　

public static final String CREATE_TABLE_SQL = "create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, "
+ "token varchar(64) not null, last_used timestamp not null)";

角色管理 

1.权限管理过滤器继承于AbstractSecurityInterceptor   实时监控用户的行为，防止用户访问被授权的资源。

2.权限配置资源 管理器   判断用户访问的资源是否在受保护的范围之内

3.权限决断器 实现了AccessDecisionManager 重载decide函数  在访问资源时，决断器判断用户拥有的角色是否对资源拥有访问权限。

 注册为bean

 

整体架构图

AuthenticationManager  就是拦截的校验管理器 

　　内部含有一系列校验方式，手机登陆，账号密码登陆，又向登陆等

AuthenticationProvider   校验处理

UserDetailService  从数据库拿数据来校验