目录
稻草人项目
13. 用户登录-准备工作
14. 用户登录-基于内存验证的模拟登录
15. 用户登录-UserDetailsService接口
16. 用户登录-查询数据库验证登录
17. 用户登录-关于访问控制(相当于拦截器)
18. 用户登录-更换自定义登录页
19. 关于访问权限控制
在开发注册功能时,在SecurityConfig
类中配置以如下代码:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
}
以上代码的作用是关闭跨域攻击,如果没有以上代码,则执行异步请求时就会出错!
一旦添加了以上代码,却没有添加更多详细配置之前,Spring Security的登录拦截将不生效!为了便于开发登录功能,先暂时将以上代码去除(删除,或添加为注释)。
另外,在SecurityConfig
中还有:
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
以上代码的作用是创建密码加密器对象并交给Spring容器进行管理,以至于需要执行密码加密时,直接自动装配密码加密器即可!
目前,为了保证能够正确登录,需要将以上密码加密器去除,因为,开发完注册功能后,用户注册成功后的密码已经使用密文的形式存储在数据库中了,并且添加了{bcrypt}
前缀用于声明加密时使用的算法,Spring Security会自动使用以上代码装配的PasswordEncoder
执行1次加密,还会再因为{bcrypt}
前缀再执行1次加密,就会导致登录验证失败!
【小结】密文使用
${bcrypt}
前缀,和让Spring容器管理BcryptPasswordEncoder
这2个做法只能二选一!
一旦去除以上代码,就会导致Spring容器中没有PasswordEncoder
对象了,但是,在UserServiceImpl
中还需要使用到它,则应该将其调整为自行创建的模式,即:
// @Autowired // 需要去除自动装配注解
PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
先将application.properties中配置的Spring Security的用户名和密码去除!
然后,在SecurityConfig
类(继承自WebSecurityConfigurerAdapter
的配置类)中重写protected void configure(AuthenticationManagerBuilder auth)
方法,并在这个方法中配置允许使用的用户名、密码及该账号的权限:
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("java")
.password("{bcrypt}$2a$10$tsM03ULkiifEpSCWtQ5Mq.yrLZIPKVr5vHwU1FGjtT9B1vPlswa.C")
.authorities("/test");
}
以上密文密码的原文是1234。
注意:配置以上代码时,必须调用authorities( )
以配置授权范围,如果没有配置,将会启动失败,由于当前尚未配置各请求所需要具备的权限,所以,关于以上范围,可以暂时使用任意字符串表示。
Spring Security定义了UserDetailsService
接口,在接口存在抽象方法:
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
该方法的作用是:给定用户名,需要返回用户详情(UserDetails
类型的对象),Spring Security获取到该用户详情后,会自动完成用户身份的验证,包括验证成功之后的用户权限信息,都是由框架处理的,作为开发人员,只需要解决“根据用户名获取用户详情”的问题即可!
可以在cn.tedu.straw.portal.security
包中创建UserDetailsServiceImpl
类,实现以上接口,模拟实现获取用户数据:
@Component
public class UserDetailsServiceImpl implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 假设正确的用户名是security
// 假设用户名是正确值:security
if ("security".equals(username)) {
// 通过Spring-Security提供的User类来构建UserDetails对象
UserDetails userDetails = User.builder()
.username("security")
.password("{bcrypt}$2a$10$tsM03ULkiifEpSCWtQ5Mq.yrLZIPKVr5vHwU1FGjtT9B1vPlswa.C")
.authorities("test")
.build();
return userDetails;
}
return null;
}
}
注意:以上类必须在组件扫描的包中,并添加@Component
注解,则Spring框架会自动创建以上类的对象并管理,后续就可以直接装配这个类的对象了!
然后,回到SecurityConfig
类,应用以上类的对象:
@Autowired
UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}
注意:以上全局属性声明为UserDetailsServiceImpl
类型,不可以声明为其接口类型,因为接口类型的对象不只1个。
先在IUserService
接口中添加抽象方法:
UserDetails login(String username);
严格意义上来说,以上方法并不是“登录”方法,只是一个“获取用户详情”的方法,甚至都不知道登录成功与否,所以,在参数列表中也没有密码,后续,将由Spring Security获取以上方法返回的对象,并验证密码是否正确等。
然后,在UserServiceImpl
实现类中重写以上抽象方法:
@Override
public UserDetails login(String username) {
// 根据参数username查询用户信息
QueryWrapper queryWrapper = new QueryWrapper<>();
queryWrapper.eq("username", username);
User
user = userMapper.selectOne(queryWrapper);
// 判断查询结果是否为null,即:有没有这个用户
// 注意:后续的验证和最终的界面是由Spring-Security显示的,此处不要抛出异常
if (user == null) {
return null;
}
// 组织“用户详情”对象
// TODO 未完
UserDetails userDetails = org.springframework.security.core.userdetails.User
.builder()
.username(user.getUsername())
.password(user.getPassword())
.authorities("test")
.build();
return userDetails;
}
完成后,在src/test/java下的cn.tedu.straw.portal.service.UserServiceTests
编写并执行单元测试:
@Test
void login() {
String username = "13988139111";
UserDetails userDetails = userService.login(username);
log.debug("login, user details={}", userDetails);
}
如果测试通过,就可以把以上获取得到的UserDetails
对象应用到UserDetailsServiceImpl
的返回值中:
@Component
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private IUserService userService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
return userService.login(username);
}
}
在SecurityConfig
中重写protected void configure(HttpSecurity http)
方法:
@Override
protected void configure(HttpSecurity http) throws Exception {
// 准备白名单,是不需要登录就可以访问的路径
String[] antMatchers = {
"/index.html"
};
// 授权设置,是相对固定的配置
// csrf().disable() > 关闭跨域攻击
// authorizeRequests() > 对请求进行授权
// antMatchers() > 配置访问白名单
// permitAll() > 对白名单中的路径进行授权
// anyRequest() > 其它的请求
// authenticated() > 仅经过授权的允许访问,也可以理解为“未被授权将不允许访问”
// and.formLogin() > 未被授权的将通过登录表单进行验证登录并授权
http.csrf().disable()
.authorizeRequests()
.antMatchers(antMatchers).permitAll()
.anyRequest().authenticated()
.and().formLogin();
}
关于以上代码:
调用参数对象http
的链式方法的配置是相对固定的,可以尝试理解,也可以直接套用;
以上调用的antMatchers( )
相当于使用SpringMVC拦截器时配置白名单,方法的参数中,应该将所有需要被直接放行(不登录即可访问的位置)的路径都添加进来,例如:
String[] antMatchers = {
"/index.html",
"/bower_components/**",
"/css/**",
"/img/**",
"/js/**"
};
至今,主页index.html
是不需要登录即可访问的,而其它页面暂时都是需要登录才允许访问的!
首先,在项目中添加Thymeleaf的依赖:
org.thymeleaf.extras
thymeleaf-extras-springsecurity5
org.springframework.boot
spring-boot-starter-thymeleaf
自定义的登录页面,将是被设计为HTML模版页,当请求登录的网址时,转发到该HTML模版页,则在项目的src/main/resoueces下创建templates文件夹,这是SpringBoot项目默认使用的模版页面文件夹,不需要配置,在转发时默认就会在这个文件夹中查询HTML模版文件,当文件夹创建完成后,将static文件夹下的login.html文件拖拽到templates文件夹下。
接下来,自定义控制器,设计登录页面的请求路径,在处理该路径的请求时,直接转发到/templates/login.html文件,由于Thymeleaf在整合时已经将前缀配置为了/templates/
,把后缀配置为了.html
,所以在控制器返回的视图名就是login
:
@Controller
public class SystemController {
@GetMapping("/login.html")
public String login() {
return "login";
}
// 适用于使用@RestController时
// public ModelAndView login() {
// return new ModelAndView("login");
// }
}
然后,还需要将以上设计的请求路径添加到配置的白名单中。
完成后,重启项目,在浏览器通过http://localhost:8080/login.html
即可看到自定义的登录页面。
目前,通过http://localhost:8080/login.html
可以访问到自定义的登录页,并且,通过http://localhost:8080/login
还能访问到Spring Security内置的登录页,也就是说,这2个登录页面是共存的!应该通过配置,使得Spring Security始终自动使用我们自定义的登录页!需要在SecurityConfig
类的配置中补充添加:
package cn.tedu.straw.portal.security;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// @Bean
// public PasswordEncoder passwordEncoder() {
// return new BCryptPasswordEncoder();
// }
// @Override
// protected void configure(HttpSecurity http) throws Exception {
// http.csrf().disable();
// }
@Autowired
UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// 登录页面的URL
String loginPageUrl = "/login.html";
// 处理登录请求的URL
String loginProcessingUrl = "/login";
// 登录失败后的URL
String loginFailureUrl = "/login.html?error";
// 登录成功后的URL
String loginSuccessUrl = "/index.html";
// 退出登录的URL
String logoutUrl = "/logout";
// 退出登录成功后的URL
String logoutSuccessUrl = "/login.html?logout";
// 准备白名单,是不需要登录就可以访问的路径
String[] antMatchers = {
loginPageUrl,
"/index.html",
"/bower_components/**",
"/css/**",
"/img/**",
"/js/**"
};
// 授权设置,是相对固定的配置
// csrf().disable() > 关闭跨域攻击
// authorizeRequests() > 对请求进行授权
// antMatchers() > 配置访问白名单
// permitAll() > 对白名单中的路径进行授权
// anyRequest() > 其它的请求
// authenticated() > 仅经过授权的允许访问,也可以理解为“未被授权将不允许访问”
// and.formLogin() > 未被授权的将通过登录表单进行验证登录并授权
http.csrf().disable()
.authorizeRequests()
.antMatchers(antMatchers).permitAll()
.anyRequest().authenticated()
.and().formLogin()
.loginPage(loginPageUrl)
.loginProcessingUrl(loginProcessingUrl)
.failureUrl(loginFailureUrl)
.defaultSuccessUrl(loginSuccessUrl)
.and().logout()
.logoutUrl(logoutUrl)
.logoutSuccessUrl(logoutSuccessUrl);
}
}
先准备一下测试使用的URL:
@RestController
@RequestMapping("/test")
public class TestController {
@Autowired
private IUserService userService;
// http://localhost:8080/test/user/1
@GetMapping("/user/{id}")
public User getUserById(@PathVariable("id") Integer id) {
return userService.getById(id);
}
}
在设计请求路径时,可以在请求路径中使用
{}
框住某个名称,用于表示某个变量,后续,当客户端提交请求时,{}
占位符对应的位置可以是任何数据,都会被匹配到!当请求路径中使用了
{ }
占位符,在处理请求的方法的参数列表中,在参数的声明之前添加@PathVariable
注解即可获取到占位符的值!将核心参数放在URL中,这是一种RESTful风格的API。
完成后,可以通过http://localhost:8080/test/user/1进行访问。
如果需要限制以上URL的访问,例如某些用户可以访问,但其他某些用户不可以访问,可以自行设计一个“权限字符串”,例如"a"
或"hello"
等均可!一般推荐使用URL的风格来定义访问权限,例如使用"test:user:info"
或"/user/user/info"
。
注意:权限字符串的设计与URL的设计没有任何关联!
可以在处理请求的方法之前配置@PreAuthorize
注解,用于声明“访问该请求路径时必须具备某种权限”,例如:
@GetMapping("/user/{id}")
@PreAuthorize("hasAuthority('test:user:info')")
public User getUserById(@PathVariable("id") Integer id) {
return userService.getById(id);
}
关于以上注解配置:
注解名称@PreAuthorize
表示“在处理请求之前验证权限”;
注解属性中的hasAuthority
表示“需要具备某种权限”;
注解属性中的test:user:info
是自定义的权限字符串,只是一种标识。
然后,还需要在SecurityConfig
类的声明之前添加@EnableGlobalMethodSecurity(prePostEnabled = true)
注解,以允许执行访问权限的检查!例如:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// 忽略类中的代码
}
如果再次访问http://localhost:8080/test/user/1,由于没有权限,会导致AccessDeniedException
,并且,由于当前项目中使用了统一处理异常的机制,所有未知的异常也会被处理,可以看到表示错误信息的JSON数据。
可以尝试直接添加权限,使得用户可以访问以上URL,例如,在业务层实现类中,在处理“获取用户详情”时,为该用户详情封装匹配的权限字符串(与控制器要求的权限字符串保持一致即可):
// 权限字符串数组
String[] authorities = {
"test:user:info"
};
// 组织“用户详情”对象
// TODO 未完
UserDetails userDetails = org.springframework.security.core.userdetails.User
.builder()
.username(user.getUsername())
.password(user.getPassword())
.authorities(authorities)
.build();
根据用户的id,查出该用户所具有的权限(List
)。