• spring security


    Spring Security

     

    一、 Spring Security 简介

    1 概括

    Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI
    和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系
    统安全而编写大量重复代码的工作。
    使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE
    的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同
    时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器
    环境,还有大量工作去重新配置你的应用程序。使用 Spring Security
    解决了这些问题,也为你提供许多其他有用的、可定制的安全功能。
    正如你可能知道的两个应用程序的两个主要区域是“认证”和“授
    权”(或者访问控制)。这两点也是 Spring Security 重要核心功能。“认
    证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,
    设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说
    就是系统认为用户是否能登录。“授权”指确定一个主体是否允许在你
    的应用程序执行一个动作的过程。通俗点讲就是系统判断用户是否有
    权限去做某些事情。

    2 历史

    Spring Security 以“The Acegi Secutity System for Spring” 的名字
    始于 2003 年年底。其前身为 acegi 项目。起因是 Spring 开发者邮件列表中一个问题,有人提问是否考虑提供一个基于 Spring 的安全实
    现。限制于时间问题,开发出了一个简单的安全实现,但是并没有深
    入研究。几周后,Spring 社区中其他成员同样询问了安全问题,代码
    提供给了这些人。2004 年 1 月份已经有 20 人左右使用这个项目。随
    着更多人的加入,在 2004 年 3 月左右在 sourceforge 中建立了一个项
    目。在最开始并没有认证模块,所有的认证功能都是依赖容器完成的,
    而 acegi 则注重授权。但是随着更多人的使用,基于容器的认证就显
    现出了不足。
    acegi 中也加入了认证功能。大约 1 年后 acegi 成为 Spring
    子项目。
    在 2006 年 5 月发布了 acegi 1.0.0 版本。2007 年底 acegi 更名为
    Spring Security。
     

    二、 第一个 Spring Security 项目

     

    1 导入依赖

    Spring Security 已经被 Spring boot 进行集成,使用时直接引入启
    动器即可。
    <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    2 访问页面
    导入 spring-boot-starter-security 启动器后,Spring Security 已经生效,默认
    拦截全部请求,如果用户没有登录,跳转到内置登录页面。
    在项目中新建 login.html 页面后
    在浏览器输入:http://localhost:8080/login.html 后会显示下面页面
    默认的 username 为 user,password 打印在控制台中。当然了,
    同学们显示的肯定和我的不一样。
    在浏览器中输入账号和密码后会显示 login.html 页面内容。
     
    三、 UserDetailsService 详解
    当什么也没有配置的时候,账号和密码是由 Spring Security 定义
    生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所
    以我们要通过自定义逻辑控制认证逻辑。
    如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即
    可。接口定义如下: 
    1 返回值
     
    返回值 UserDetails 是一个接口,定义如下
      要想返回 UserDetails 的实例就只能返回接口的实现类。Spring
    Security 中提供了如下的实例。对于我们只需要使用里面的 User 类即
    可。注意 User 的全限定路径是:
    org.springframework.security.core.userdetails.User
    此处经常和系统中自己开发的 User 类弄混。 

     

    其中构造方法有两个,调用其中任何一个都可以实例化
    UserDetails 实现类 User 类的实例。而三个参数的构造方法实际上也
    是调用 7 个参数的构造方法。
    username:用户名
    password:密码
    authorities:用户具有的权限。此处不允许为 null 
      此处的用户名应该是客户端传递过来的用户名。而密码应该是从
    数据库中查询出来的密码。Spring Security 会根据 User 中的 password
    和客户端传递过来的 password 进行比较。如果相同则表示认证通过,
    如果不相同表示认证失败。
     
     
      authorities 里面的权限对于后面学习授权是很有必要的,包含的
    所有内容为此用户具有的权限,如有里面没有包含某个权限,而在做
    某个事情时必须包含某个权限则会出现 403。通常都是通过
    AuthorityUtils.commaSeparatedStringToAuthorityList(“”) 来 创 建
    authorities 集合对象的。参数时一个字符串,多个权限使用逗号分隔。 
     
     
    2 方法参数
    方法参数表示用户名。此值是客户端表单传递过来的数据。默认
    情况下必须叫 username,否则无法接收。
    3 异常
    UsernameNotFoundException 用 户 名 没 有 发 现 异 常 。 在
    loadUserByUsername 中是需要通过自己的逻辑从数据库中取值的。如
    果 通 过 用 户 名 没 有 查 询 到 对 应 的 数 据 , 应 该 抛 出
    UsernameNotFoundException,系统就知道用户名没有查询到。
    四、 PasswordEncoder 密码解析器详解
    Spring Security 要求容器中必须有 PasswordEncoder 实例。所以当
    自定义登录逻辑时要求必须给容器注入 PaswordEncoder 的 bean 对象
    1 接口介绍
    encode():把参数按照特定的解析规则进行解析。
    matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回 true;如果不匹配,则返回 false。
    第一个参数表示需要被解析的密码。第二个参数表示存储的密码。
    upgradeEncoding():如果解析的密码能够再次进行解析且达到更
    安全的结果则返回 true,否则返回 false。默认返回 false。

     

    3 BCryptPasswordEncoder 简介
    BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析
    器,平时多使用这个解析器。
    BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是
    基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,
    默认 10.
    4 代码演示
    在 项 目 src/test/java 下 新 建 com.bjsxt.MyTest 测 试BCryptPasswordEncoder 用法。
    @SpringBootTest
    @RunWith(SpringRunner.class)
    public class MyTest {
    @Test
    public void test(){
    //创建解析器
    PasswordEncoder encoder = new BCryptPasswordEncoder();
    //对密码进行加密
    String password = encoder.encode("123");
    System.out.println("------------"+password);
    //判断原字符加密后和内容是否匹配
    boolean result = encoder.matches("123",password);
    System.out.println("============="+result);
    }
    }
     
     
    五、 自定义登录逻辑
    当 进 行 自 定 义 登 录 逻 辑 时 需 要 用 到 之 前 讲 解 的
    UserDetailsService 和 PasswordEncoder。但是 Spring Security 要求:当
    进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不
    能直接 new 对象。
    1 编写配置类
    新建类 com.bjsxt.config.SecurityConfig 编写下面内容
    @Configuration
    public class SecurityConfig {
    @Bean
    public PasswordEncoder getPwdEncoder(){
    return new BCryptPasswordEncoder();
    }
    }2 自定义逻辑
    在 Spring Security 中实现 UserDetailService 就表示为用户详情服
    务。在这个类中编写用户认证逻辑。
    @Service
    public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private PasswordEncoder encoder;
    @Override
    public UserDetails loadUserByUsername(String username) throws
    UsernameNotFoundException {
    //1. 查询数据库判断用户名是否存在,如果不存在抛出
    UsernameNotFoundException
    if(!username.equals("admin")){
    throw new UsernameNotFoundException("用户名不存在");
    }
    //把查询出来的密码进行解析,或直接把 password 放到构造方法中。
    //理解:password 就是数据库中查询出来的密码,查询出来的内容不是 123
    String password = encoder.encode("123");
    return new User(username,password,
    AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
    }
    3 查看效果
    重启项目后,在浏览器中输入账号:admin,密码:123。后可以
    正确进入到 login.html 页面。
    六、 自定义登录页面
    虽然 Spring Security 给我们提供了登录页面,但是对于实际项目
    中,大多喜欢使用自己的登录页面。所以 Spring Security 中不仅仅提供了登录页面,还支持用户自定义登录页面。实现过程也比较简单,
    只需要修改配置类即可。
    1 编写登录页面
    别写登录页面,登录页面中<form>的 action 不编写对应控制器也
    可以。
    <!DOCTYPE html>
    <html lang="en">
    <head>
    <meta charset="UTF-8">
    <title>内容</title>
    </head>
    <body>
    <form action="/login" method="post">
    <input type="text" name="username"/>
    <input type="password" name="password"/>
    <input type="submit" value="提交"/>
    </form>
    </body>
    </html>
    2 修改配置类
    修改配置类中主要是设置哪个页面是登录页面。配置类需要继承
    WebSecurityConfigurerAdapte,并重写 configure 方法。
    successForwardUrl()登录成功后跳转地址
    loginPage() 登录页面
    loginProcessingUrl 登录页面表单提交地址,此地址可以不真实存
    在。
    antMatchers():匹配内容
    permitAll():允许@Configuration
    public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    // 表单认证
    http.formLogin()
    .loginProcessingUrl("/login")
    //当发现/login 时认为是登录,需
    要执行 UserDetailsServiceImpl
    .successForwardUrl("/toMain")
    //此处是 post 请求
    .loginPage("/login.html");
    // url 拦截
    http.authorizeRequests()
    .antMatchers("/login.html").permitAll() //login.html 不需要被认
    .anyRequest().authenticated();//所有的请求都必须被认证。必须登录
    后才能访问。
    //关闭 csrf 防护
    http.csrf().disable();
    }
    @Bean
    public PasswordEncoder getPe(){
    return new BCryptPasswordEncoder();
    }
    }
    3 编写控制器
    编写控制器,当用户登录成功后跳转 toMain 控制器。编写完成
    控制器后编写 main.html。页面中随意写上一句话表示 main.html 页面
    内容即可。而之前的/login 控制器方法是不执行的,所以可以删除了。
    @Controller
    public class LoginController {
    //
    该方法不会被执行
    //
    @RequestMapping("/login")
    //
    public String login(){
    //
    System.out.println("执行了 login 方法");//
    return "redirect:main.html";
    //
    }
    @PostMapping("/toMain")
    public String toMain(){
    return "redirect:/main.html";
    }
    }
    七、 认证过程其他常用配置
    1 失败跳转
    表单处理中成功会跳转到一个地址,失败也可以跳转到一个地址
    中。
    1.1编写页面
    在 src/main/resources/static 下新建 fail.html 并编写如下内容
    <!DOCTYPE html>
    <html lang="en">
    <head>
    <meta charset="UTF-8">
    <title>Title</title>
    </head>
    <body>
    操作失败,请重新登录. <a href="/login.html">跳转</a>
    </body>
    </html>
    1.2修改表单配置
    在配置方法中表单认证部分添加 failureForwardUrl()方法,表示登
    录失败跳转的 url。此处依然是 POST 请求,所以跳转到可以接收 POST
    请求的控制器/fail 中。
    // 表单认证http.formLogin()
    .loginProcessingUrl("/login")
    //当发现/login 时认为是登录,需要执行
    UserDetailsServiceImpl
    .successForwardUrl("/toMain")
    //此处是 post 请求
    .failureForwardUrl("/fail")
    //登录失败跳转地址
    .loginPage("/login.html");
    1.3添加控制器方法
    在控制器类中添加控制器方法,方法映射路径/fail。此处要注意:
    由于是 POST 请求访问/fail。所以如果返回值直接转发到 fail.html 中,
    及时有效果,控制台也会报警告,提示 fail.html 不支持 POST 访问方
    式。
    @PostMapping("/fail")
    public String fail(){
    return "redirect:/fail.html";
    }
    1.4设置 fail.html 不需要认证
    认证失败跳转到 fail.html 页面中,所以必须配置 fail.html 不需要
    被认证。需要修改配置类中内容
    // url 拦截
    http.authorizeRequests()
    .antMatchers("/login.html").permitAll() //login.html 不需要被认证
    .antMatchers("/fail.html").permitAll()
    //fail.html 不需要被认证
    .anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才能访
    问。
    2 设置请求账户和密码的参数名
    2.1源码简介
    当进行登录时会执行 UsernamePasswordAuthenticationFilter 过滤
    器。
     
     
    usernamePasrameter:账户参数名
    passwordParameter:密码参数名
    postOnly=true:默认情况下只允许 POST 请求。
     
     
    2.2修改配置
    // 表单认证
    http.formLogin()
    .loginProcessingUrl("/login")
    //当发现/login 时认为是登录,需要执行
    UserDetailsServiceImpl
    .successForwardUrl("/toMain")
    //此处是 post 请求
    .failureForwardUrl("/fail")
    //登录失败跳转地址
    .loginPage("/login.html")
    .usernameParameter("myusername")
    .passwordParameter("mypassword");
    2.3修改页面
    修改 login.html
    <form action = "/login" method="post">
    用户名:<input type="text" name="myusername"/><br/>
    密码:<input type="password" name="mypassword"/><br/>
    <input type="submit" value="登录"/>
    </form>3 自定义登录成功处理器
    3.1源码分析
    使用 successForwardUrl()时表示成功后转发请求到地址。内部是
    通过 successHandler()方法进行控制成功后交给哪个类进行处理
    ForwardAuthenticationSuccessHandler 内部就是最简单的请求转
    发。由于是请求转发,当遇到需要跳转到站外或在前后端分离的项目
    中就无法使用了。
    当需要控制登录成功后去做一些事情时,可以进行自定义认证成
    功控制器。
    3.2代码实现
    3.2.1 自定义类
    新建类 com.bjsxt.handler.MyAuthenticationSuccessHandler 编写如
    下:
    public class MyAuthenticationSuccessHandler implements
    AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest,HttpServletResponse httpServletResponse, Authentication authentication) throws
    IOException, ServletException {
    //Principal 主体,存放了登录用户的信息
    User user = (User)authentication.getPrincipal();
    System.out.println(user.getUsername());
    System.out.println(user.getPassword());//密码输出为 null
    System.out.println(user.getAuthorities());
    //重定向到百度。这只是一个示例,具体需要看项目业务需求
    httpServletResponse.sendRedirect("http://www.baidu.com");
    }
    }
    3.2.2 修改配置项
    使用 successHandler()方法设置成功后交给哪个对象进行处理
    // 表单认证
    http.formLogin()
    .loginProcessingUrl("/login")
    //当发现/login 时认为是登录,需要执行
    UserDetailsServiceImpl
    .successHandler(new MyAuthenticationSuccessHandler())
    //.successForwardUrl("/toMain")
    //此处是 post 请求
    .failureForwardUrl("/fail")
    //登录失败跳转地址
    .loginPage("/login.html");
    4 自定义登录失败处理器
    4.1源码分析
    failureForwardUrl()内部调用的是 failureHandler()方法
    ForwardAuthenticationFailureHandler 中也是一个请求转发,并在
    request 作用域中设置 SPRING_SECURITY_LAST_EXCEPTION 的 key,内容为异常对象。 
    4.2代码实现
    4.2.1 新建控制器
    新建 com.bjsxt.handler.MyForwardAuthenticationFailureHandler 实
    现 AuthenticationFailureHandler。在方法中添加重定向语句
    public class MyForwardAuthenticationFailureHandler implements
    AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest,
    HttpServletResponse httpServletResponse, AuthenticationException e) throws
    IOException, ServletException {
    httpServletResponse.sendRedirect("/fail.html");
    }
    }
    4.2.2 修改配置类
    修改配置类中表单登录部分。设置失败时交给失败处理器进行操
    作。failureForwardUrl 和 failureHandler 不可共存。
    // 表单认证
    http.formLogin()
    .loginProcessingUrl("/login")
    //当发现/login 时认为是登录,需
    要执行 UserDetailsServiceImpl
    .successHandler(new MyAuthenticationSuccessHandler())
    //.successForwardUrl("/toMain")
    //此处是 post 请求
    .failureHandler(new MyForwardAuthenticationFailureHandler())
    //
    .failureForwardUrl("/fail")
    //登录失败跳转地址
    .loginPage("/login.html");八、 访问控制 url 匹配
    在前面讲解了认证中所有常用配置,主要是对 http.formLogin()
    进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控
    制,也就是我们所说的授权(访问控制)。http.authorizeRequests()
    也支持连缀写法,总体公式为:
    url 匹配规则.权限控制方法
    通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。
    这些内容进行各种组合就形成了 Spring Security 中的授权。
    在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权
    效果,越是具体的应该放在前面,越是笼统的应该放到后面。
    1 anyRequest()
    在之前认证过程中我们就已经使用过 anyRequest(),表示匹配所
    有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认
    证。
    代码示例:
    anyRequest().authenticated();
    2 antMatcher()
    方法定义如下:
    public C antMatchers(String... antPatterns)
    参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL规则。
    规则如下:
    ? 匹配一个字符
    * 匹配 0 个或多个字符
    ** 匹配 0 个或多个目录
    在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件
    夹下所有脚本文件。
    .antMatchers("/js/**").permitAll()
    还有一种配置方式是只要是.js 文件都放行
    antMatchers("/**/*.js").permitAll()
    3 regexMatchers()
    3.1介绍
    使用正则表达式进行匹配。和 antMatchers()主要的区别就是参
    数,antMatchers()参数是 ant 表达式,regexMatchers()参数是正则表
    达式。
    演示所有以.js 结尾的文件都被放行。
    .regexMatchers(".+[.]js").permitAll()
    3.2两个参数时使用方式
    无论是 antMatchers()还是 regexMatchers()都具有两个参数的方
    法,其中第一个参数都是 HttpMethod,表示请求方式,当设置了
    HttpMethod 后表示只有设定的特定的请求方式才执行对应的权限设置。
    枚举类型 HttpMethod 内置属性如下:
    4 mvcMatchers()
    mvcMatchers()适用于配置了 servletPath 的情况。
    servletPath 就是所有的 URL 的统一前缀。在 SpringBoot 整合
    SpringMVC 的项目中可以在 application.properties 中添加下面内容设
    置 ServletPath
    spring.mvc.servlet.path= /bjsxt
    在 Spring Security 的配置类中配置.servletPath()是 mvcMatchers()
    返回值特有的方法,antMatchers()和 regexMatchers()没有这个方法。
    在 servletPath()中配置了 servletPath 后,mvcMatchers()直接写 Spring
    MVC 中@RequestMapping()中设置的路径即可。
    .mvcMatchers("demo").servletPath("/bjsxt").permitAll()
    如果不习惯使用 mvcMatchers()也可以使用 antMatchers(),下面
    代码和上面代码是等效的
    antMatchers("/bjsxt/demo").permitAll()九、 内置访问控制方法介绍
    Spring Security 匹配了 URL 后调用了 permitAll()表示不需要认证,
    随意访问。在 Spring Security 中提供了多种内置控制。
    1 permitAll()
    permitAll()表示所匹配的 URL 任何人都允许访问。 
    2 authenticated()
    authenticated()表示所匹配的 URL 都需要被认证才能访问。

     3 anonymous()

    anonymous()表示可以匿名访问匹配的 URL。和 permitAll()效果类
    似,只是设置为 anonymous()url 会执行 filter 链中
    官方源码定义如下:
     
    4 denyAll()
    denyAll()表示所匹配的 URL 都不允许被访问。
     

     5 rememberMe()

    被“remember me”的用户允许访问

     6 fullyAuthenticated()

    如果用户不是被 remember me 的,才可以访问。

     十、 角色权限判断

    除了之前讲解的内置权限控制。Spring Security 中还支持很多其
    他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否
    具有特定的要求。
    1 hasAuthority(String)
    判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑
    中创建 User 对象时指定的。
    下图中 admin 就是用户的权限。admin 严格区分大小写。

     在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才

    能访问。
    .antMatchers("/main1.html").hasAuthority("admin")2 hasAnyAuthority(String ...)
    如果用户具备给定权限中某一个,就允许访问。
    下面代码中由于大小写和用户的权限不相同,所以用户无权访问
    /main1.html
    .antMatchers("/main1.html").hasAnyAuthority("adMin","admiN")
    3 hasRole(String)
    如果用户具备给定角色就允许访问。否则出现 403
    参数取值来源于自定义登录逻辑 UserDetailsService 实现类中创
    User 对象时给 User 赋予的授权。
    在给用户赋予角色时角色需要以:ROLE_ 开头,后面添加角色名
    称。例如:ROLE_abc 其中 abc 是角色名,ROLE_是固定的字符开头。
    使用 hasRole()时参数也只写 abc 即可。否则启动报错。
    给用户赋予角色: 

     

     可以通过 request.getRemoteAddr()获取 ip 地址。

    需要注意的是在本机进行测试时 localhost 127.0.0.1 输出的 ip
    地址是不一样的。
    当浏览器中通过 localhost 进行访问时控制台打印的内容:

     十一、

    自定义 403 处理方案
    使用 Spring Security 时经常会看见 403(无权限),默认情况下
    显示的效果如下:
     

     而在实际项目中可能都是一个异步请求,显示上述效果对于用户

    就不是特别友好了。Spring Security 支持自定义权限受限。
    1 新建类
    新建类实现 AccessDeniedHandler
    @Component
    public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponsehttpServletResponse, AccessDeniedException e) throws IOException,
    ServletException {
    httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
    httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8")
    ;
    PrintWriter out = httpServletResponse.getWriter();
    out.write("{"status":"error","msg":"权限不足,请联系管理
    员!"}");
    out.flush();
    out.close();
    }
    }
    2 修改配置类
    配置类中重点添加异常处理器。设置访问受限后交给哪个对象进
    行处理。
    myAccessDeniedHandler 是在配置类中进行自动注入的。
    //异常处理
    http.exceptionHandling()
    .accessDeniedHandler(myAccessDeniedHandler);
    十二、
    基于表达式的访问控制
    1 access()方法使用
    之前学习的登录用户权限判断实际上底层实现都是调用
    access(表达式)
     
    可以通过 access()实现和之前学习的权限控制完成相同的功能。
    1.1hasRole permitAll 举例
    下面代码和直接使用 permitAll()hasRole()是等效的。

     2 使用自定义方法

    虽然这里面已经包含了很多的表达式(方法)但是在实际项目中很
    有可能出现需要自己自定义逻辑的情况。
    判断登录用户是否具有访问当前 URL 权限。
     
     
    2.1新建接口及实现类
    新建接口 com.bjsxt.service.MyService 后新建实现类。
    public interface MyService {
    boolean hasPermission(HttpServletRequest request, Authentication
    authentication);
    }
    @Component
    public class MyServiceImpl implements MyService {
    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication
    authentication) {
    Object obj = authentication.getPrincipal();
    if(obj instanceof UserDetails){
    UserDetails user = (UserDetails) obj;
    Collection<? extends GrantedAuthority> authorities =
    user.getAuthorities();
    return authorities.contains(new
    SimpleGrantedAuthority(request.getRequestURI()));
    }
    return false;
    }
    }
    2.2修改配置类
    access 中通过@bean id .方法(参数)的形式进行调用
    配置类中修改如下:
    // url 拦截 (授权)
    http.authorizeRequests()
    .antMatchers("/login.html").access("permitAll")
    .antMatchers("/fail.html").permitAll()
    .anyRequest().access("@myServiceImpl.hasPermission(request,authenticat
    ion)");十三、
    基于注解的访问控制
    Spring Security 中提供了一些访问控制的注解。这些注解都是
    默认是都不可用的,需要通过@EnableGlobalMethodSecurity 进行开启
    后使用。
    如果设置的条件允许,程序正常执行。如果不允许会报 500
     
    这些注解可以写到 Service 接口或方法上上也可以写到 Controller
    Controller 的方法上。通常情况下都是写在控制器方法上的,控制
    接口 URL 是否允许被访问。
    1 @Secured
    @Secured 是专门用于判断是否具有角色的。能写在方法或类上。
    参数要以 ROLE_开头。
     
     

     1.1实现步骤

    1.1.1 开启注解
    在 启 动 类 ( 也 可 以 在 配 置 类 等 能 够 扫 描 的 类 上 ) 上 添 加
    @EnableGlobalMethodSecurity(securedEnabled = true)@SpringBootApplication
    @EnableGlobalMethodSecurity(securedEnabled = true)
    public class MyApp {
    public static void main(String [] args){
    SpringApplication.run(MyApp.class,args);
    }
    }
    1.1.2 在控制器方法上添加@Secured 注解
    在 LoginController 中方法上添加注解
    @Secured("abc")
    @RequestMapping("/toMain")
    public String toMain(){
    return "redirect:/main.html";
    }
    1.1.3 配置类
    配置类中方法配置保留最基本的配置即可。
    protected void configure(HttpSecurity http) throws Exception {
    // 表单认证
    http.formLogin()
    .loginProcessingUrl("/login")
    //当发现/login 时认为是登录,需要执
    行 UserDetailsServiceImpl
    .successForwardUrl("/toMain")
    //此处是 post 请求
    .loginPage("/login.html");
    // url 拦截
    http.authorizeRequests()
    .antMatchers("/login.html").permitAll() //login.html 不需要被认证
    .anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才
    能访问。
    //关闭 csrf 防护
    http.csrf().disable();
    }
    2 @PreAuthorize/@PostAuthorize
    @PreAuthorize @PostAuthorize 都是方法或类级别注解。

     @PreAuthorize 表示访问方法或类在执行之前先判断权限,大多

    情况下都是使用这个注解,注解的参数和 access()方法参数取值相同,
    都是权限表达式。
    @PostAuthorize 表示方法或类执行结束后判断权限,此注解很少
    被使用到。
    2.1实现步骤
    2.1.1 开启注解
    在启动类中开启@PreAuthorize 注解。
    @SpringBootApplication
    @EnableGlobalMethodSecurity(prePostEnabled = true)
    public class MyApp {
    public static void main(String [] args){
    SpringApplication.run(MyApp.class,args);
    }
    }
    2.1.2 添加@PreAuthorize
    在控制器方法上添加@PreAuthorize,参数可以是任何 access()
    持的表达式
    @PreAuthorize("hasRole('abc')")
    @RequestMapping("/toMain")
    public String toMain(){return "redirect:/main.html";
    }
    十四、
    Remember Me 功能实现
    Spring Security Remember Me 为“记住我”功能,用户只需要
    在登录时添加 remember-me 复选框,取值为 trueSpring Security
    自动把用户信息存储到数据源中,以后就可以不登录进行访问。
    1 添加依赖
    Spring Security 实 现 Remember Me 功 能 时 底 层 实 现 依 赖
    Spring-JDBC,所以需要导入 Spring-JDBC。以后多使用 MyBatis 框架而
    很少直接导入 spring-jdbc,所以此处导入 mybatis 启动器
    同时还需要添加 MySQL 驱动
    <dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>2.1.0</version>
    </dependency>
    <dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>5.1.47</version>
    </dependency>
    2 配置数据源
    application.properties 中配置数据源。请确保数据库中已经存
    security 数据库
    spring.datasource.driver-class-name=com.mysql.jdbc.Driver
    spring.datasource.url=jdbc:mysql://127.0.0.1:3306/security
    spring.datasource.username=rootspring.datasource.password=root
    3 编写配置
    新建 com.bjsxt.config.RememberMeConfig 类,并创建 Bean 对象
    @Configuration
    public class RememberMeConfig {
    @Autowired
    private DataSource dataSource;
    @Bean
    public PersistentTokenRepository getPersistentTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new
    JdbcTokenRepositoryImpl();
    jdbcTokenRepositoryImpl.setDataSource(dataSource);
    //自动建表,第一次启动时需要,第二次启动时注释掉
    //
    jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);
    return jdbcTokenRepositoryImpl;
    }
    }
    4 修改 SecurityConfig
    SecurityConfig 中添加 RememberMeConfig UserDetailsService
    实现类对象,并自动注入。
    configure 中添加下面配置内容。
    http.rememberMe()
    .userDetailsService(userDetailsService) //登录逻辑交给哪个对象
    .tokenRepository(repository);
    //持久层对象
    5 在客户端页面中添加复选框
    在客户端登录页面中添加 remember-me 的复选框,只要用户勾
    选了复选框下次就不需要进行登录了。
    <form action = "/login" method="post">用户名:<input type="text" name="username"/><br/>
    密码:<input type="text" name="password"/><br/>
    <input type="checkbox" name="remember-me" value="true"/> <br/>
    <input type="submit" value="登录"/>
    </form>
    6 有效时间
    默认情况下重启项目后登录状态失效了。但是可以通过设置状态
    有效时间,即使项目重新启动下次也可以正常登录。
    //remember Me
    http.rememberMe()
    .tokenValiditySeconds(120)//单位:秒
    .tokenRepository(repository)
    .userDetailsService(userDetailsServiceImpl);
    十五、
    Thymeleaf Spring Security 的使用
    Spring Security 可以在一些视图技术中进行控制显示效果。例如:
    JSP Thymeleaf。在非前后端分离且使用 Spring Boot 的项目中多使
    Thymeleaf 作为视图展示技术。
    Thymeleaf
    Spring
    Security
    thymeleaf-extras-springsecurityX 中,目前最新版本为 5。所以需要在
    项目中添加此 jar 包的依赖和 thymeleaf 的依赖。
    <dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    </dependency>
    <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    html 页面中引入 thymeleaf 命名空间和 security 命名空间<html xmlns="http://www.w3.org/1999/xhtml"
    xmlns:th="http://www.thymeleaf.org"
    xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-spri
    ngsecurity5">
    1 获取属性
    可 以 在 html 页 面 中 通 过
    sec:authentication="" 获 取
    UsernamePasswordAuthenticationToken 中所有 getXXX 的内容,包含父
    类中的 getXXX 的内容。
    根据源码得出下面属性:
    name:登录账号名称
    principal:登录主体,在自定义登录逻辑中是 UserDetails
    credentials:凭证
    authorities:权限和角色
    details:实际上是 WebAuthenticationDetails 的实例。可以获取
    remoteAddress(客户端 ip)sessionId(当前 sessionId)
    1.1实现步骤:
    1.1.1 新建 demo.html
    在项目 resources 中新建 templates 文件夹,在 templates 中新建
    demo.html 页面
     
    1.1.2 编写 demo.html 
     
    demo.html 中编写下面内容,测试获取到的值
    <!DOCTYPE html>
    <html xmlns="http://www.w3.org/1999/xhtml"
    xmlns:th="http://www.thymeleaf.org"
    xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
    <head>
    <meta charset="UTF-8">
    <title>Title</title>
    </head>
    <body>
    登录账号:<span sec:authentication="name">123</span><br/>
    登录账号:<span sec:authentication="principal.username">456</span><br/>
    凭证:<span sec:authentication="credentials">456</span><br/>
    权限和角色:<span sec:authentication="authorities">456</span><br/>
    客户端地址:<span sec:authentication="details.remoteAddress">456</span><br/>
    sessionId:<span sec:authentication="details.sessionId">456</span><br/>
    </body>
    </html>
    1.1.3 编写控制器
    thymeleaf 页面需要控制转发,在控制器类中编写下面方法
    @RequestMapping("/demo")
    public String demo(){
    return "demo";
    }
    2 权限判断
    html 页面中可以使用 sec:authorize=”表达式进行权限控制,
    判断是否显示某些内容。表达式的内容和 access(表达式)的用法相同。如果用户具有指定的权限,则显示对应的内容;如果表达式不成立,
    则不显示对应的元素。
    2.1不同权限的用户显示不同的按钮
    2.1.1 设置用户角色和权限
    设定用户具有 admin/insert/delete 权限 ROLE_abc 角色。
    return new User(username,password,
    AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_abc,/insert,/de
    lete"));
    2.1.2 控制页面显示效果
    在页面中根据用户权限和角色判断页面中显示的内容
    通过权限判断:
    <button sec:authorize="hasAuthority('/insert')">新增</button>
    <button sec:authorize="hasAuthority('/delete')">删除</button>
    <button sec:authorize="hasAuthority('/update')">修改</button>
    <button sec:authorize="hasAuthority('/select')">查看</button>
    <br/>
    通过角色判断:
    <button sec:authorize="hasRole('abc')">新增</button>
    <button sec:authorize="hasRole('abc')">删除</button>
    <button sec:authorize="hasRole('abc')">修改</button>
    <button sec:authorize="hasRole('abc')">查看</button>
    十六、
    退出登录
    用户只需要向 Spring Security 项目中发送/logout 退出请求即可。
    1 退出实现
    实现退出非常简单,只要在页面中添加/logout 的超链接即可。
    <a href="/logout">退出登录</a>为了实现更好的效果,通常添加退出的配置。默认的退出 url
    /logout,退出成功后跳转到/login?logout
     
     

     如果不希望使用默认值,可以通过下面的方法进行修改。

    http.logout()
    .logoutUrl("/logout")
    .logoutSuccessUrl("/login.html");
     
     
     
     
    2 logout 其他常用配置源码解读
    2.1addLogoutHandler(LogoutHandler)
    默认是 contextLogoutHandler
     
     
    2.2clearAuthentication(boolean)

    是否清除认证状态,默认为 true

     2.3invalidateHttpSession(boolean)

     

    也 可 以 自 己 进 行 定 义 退 出 成 功 处 理 器 。 只 要 实 现 了
    LogoutSuccessHandler 接口。与之前讲解的登录成功处理器和登录失
    败处理器极其类似。
    十七、
    Spring Security CSRF
    从刚开始学习 Spring Security 时,在配置类中一直存在这样一行
    代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这
    行代码的含义是:关闭 csrf 防护。
    1 什么是 CSRF
    CSRFCross-site request forgery)跨站请求伪造,也被称为“One
    Click Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点
    的非法请求访问。
    跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域
    请求。
    客户端与服务进行交互时,由于 http 协议本身是无状态协议,
    所以引入了 cookie 进行记录客户端身份。在 cookie 中会存放 session id
    用来识别客户端身份的。在跨域的情况下,session id 可能被第三方
    恶意劫持,通过这个 session id 向服务端发起请求时,服务端会认为
    这个请求是合法的,可能发生很多意想不到的事情。
    2 Spring Security CSRF
    Spring Security4 开始 CSRF 防护默认开启。默认会拦截请求。
    进行 CSRF 处理。CSRF 为了保证不是其他第三方网站访问,要求访问
    时携带参数名为_csrf 值为 token(token 在服务端产生)的内容,如果
    token 和服务端的 token 匹配成功,则正常访问。
    2.1实现步骤
    2.1.1 编写控制器方法
    编写控制器方法,跳转到 templates login.html 页面。
    @GetMapping("/showLogin")
    public String showLogin() {
    return "login";}
    2.1.2 新建 login.html
    在项目 resources 下新建 templates 文件夹,并在文件夹中新建
    login.html 页面。红色部分是必须存在的否则无法正常登录。
    <!DOCTYPE html>
    <html xmlns="http://www.w3.org/1999/xhtml"
    xmlns:th="http://www.thymeleaf.org">
    <head>
    <meta charset="UTF-8">
    <title>Title</title>
    </head>
    <body>
    <form action = "/login" method="post">
    <input type="hidden" th:value="${_csrf.token}" name="_csrf"
    th:if="${_csrf}"/>
    用户名:<input type="text" name="username"/><br/>
    密码:<input type="password" name="password"/><br/>
    <input type="submit" value="登录"/>
    </form>
    </body>
    </html>
    2.1.3 修改配置类
    在配置类中注释掉 CSRF 防护失效
    //关闭 csrf 防护
    //http.csrf().disable();
    3 anonymous()
    anonymous()表示可以匿名访问匹配的 URL。和 permitAll()效果类
    似,只是设置为 anonymous()url 会执行 filter 链中
    官方源码定义如下:4 denyAll() 
  • 相关阅读:
    linux下RTP编程(使用JRTPLIB)(转)
    omap 移植qt4.7.0
    mknod指令详解
    mplayer 在线播放错误
    移植Mplayer到OK6410开发板
    海量数据处理算法—Bit-Map
    海量数据面试题----分而治之/hash映射 + hash统计 + 堆/快速/归并排序
    并行、并发、同步和互斥
    阿里巴巴集团2014年校园招聘北京笔试题
    动态规划之矩阵连乘
  • 原文地址:https://www.cnblogs.com/wq-9/p/12160239.html
Copyright © 2020-2023  润新知