SpringBoot2.1版本的个人开发框架 —— 八( spring security进阶)
前言
本篇作为SpringBoot2.1版本的个人开发框架 子章节,请先阅读SpringBoot2.1版本的个人开发框架再次阅读本篇文章
-
掘金笔记地址
-
项目已发布到GitHub:项目地址,如果有帮助到你,点一点star,感谢
-
上一篇:spring security学习笔记
-
下一篇:整合vue
参考:
- Spring Security 从入门到进阶系列教程
- Spring Security的详细配置
在上一篇文章我们对spring security有了初步认识以后,我们这篇主要实现 从数据库查询用户来进行用户是否具有登陆的认证。
数据库表的设计
参考:
- RBAC权限管理 这篇文章讲的非常详细,只不过有点久远,12年我还在上高一。。。
我们在做用户登陆之前,我们先要设计数据库表,RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。
按照我参考的博客中的设计好了五张基础表,字段的话可以根据自己的需求变化,生成的sql文件我放到我项目中了。
表结构确定好以后,我们在项目中把系统用户的entity、dao、service、以及dao对应的xml都设置好,这里我就不一一展示代码了,可以拿之前的MybatisPlus的自动生成,正好自己又可以复习一遍之前的,添加好以后可以现在测试类中确认一下,没有错误再进行下一步。
security核心类
在上一篇笔记中我们知道security的核心类之一的WebSecurityConfigurerAdapter,我们可以在这个配置类中创建自己的用户,放行哪个请求,认证什么请求,在这篇笔记我们要实现从数据库中查询用户,所以我们要对以下核心类做实现。
- UserDetails接口
- UserDetailsService接口
UserDetails接口
UserDetails接口是security为我们提供的可扩展的用户信息接口,保存一些非敏感类的信息,在security模块下entity包中实现此接口类,其实就是一个实体类。
package com.ywh.security.entity;
import com.fasterxml.jackson.annotation.JsonIgnore;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Collection;
import java.util.Collections;
/**
* CreateTime: 2019-01-24 16:10
* ClassName: SecurityUserDetails
* Package: com.ywh.security.entity
* Describe:
* security的用户详情类
*
* @author YWH
*/
public class SecurityUserDetails implements UserDetails {
/**
* 用户的密码
*/
private String password;
/**
* 用户的名字
*/
private String username;
/**
* 用户状态,1 表示有效用户, 0表示无效用户
*/
private Integer state;
/**
* 用户的权限,可以把用户的角色信息的集合先放进来,角色代表着权限
*/
private Collection<? extends GrantedAuthority> authorties;
public SecurityUserDetails(String password, String username, Integer state, Collection<? extends GrantedAuthority> authorties) {
this.password = password;
this.username = username;
this.state = state;
this.authorties = authorties;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return authorties;
}
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return username;
}
/**
* 指示用户的帐户是否已过期。过期的帐户无法通过身份验证。
* @return true如果用户的帐户有效(即未过期), false如果不再有效(即已过期)
*/
@JsonIgnore
@Override
public boolean isAccountNonExpired() {
return true;
}
/**
* 指示用户是锁定还是解锁。锁定的用户无法进行身份验证。
* @return true是未锁定,false是已锁定
*/
@JsonIgnore
@Override
public boolean isAccountNonLocked() {
return true;
}
/**
* 指示用户的凭据(密码)是否已过期。过期的凭据会阻止身份验证
* @return true如果用户的凭证有效(即未过期), false如果不再有效(即已过期)
*/
@JsonIgnore
@Override
public boolean isCredentialsNonExpired() {
return true;
}
/**
* 指示用户是启用还是禁用。禁用的用户无法进行身份验证。
* @return true用户已启用,false用户已经禁用
*/
@JsonIgnore
@Override
public boolean isEnabled() {
return state == 1;
}
}
UserDetailsService接口
此接口主要重写一个方法就好了loadUserByUsername,这个方法主要作用就是通过用户名查询用户的详细信息,然后放到我们的UserDetails 实现的子类中,保存在security的SecurityContextHolder中,上一篇我们通过这个来获取用户信息的。
在security模块中的service/impl中实现此接口,selectByUserName方法就是一个普通的dao接口,在mapper.xml文件中定义好sql语句,由于很简单我就不贴了
package com.ywh.security.service.impl;
/**
* CreateTime: 2019-01-25 16:39
* ClassName: SecurityUserDetailsServiceImpl
* Package: com.ywh.security.service.impl
* Describe:
* UserDetailService的实现类
* 这个@Primary表示这个类所继承的接口有多个实现类,当不知道引入哪个的时候,优先使用@Primary所注解的类
* @author YWH
*/
@Primary
@Service
public class SecurityUserDetailsServiceImpl implements UserDetailsService {
// 用户查询接口
private SysUserDao sysUserDao;
@Autowired
public SecurityUserDetailsServiceImpl(SysUserDao sysUserDao) {
this.sysUserDao = sysUserDao;
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUserEntity sysUserEntity = sysUserDao.selectByUserName(username);
if(sysUserEntity != null){
// stream java8的新特性,Stream 使用一种类似用 SQL 语句从数据库查询数据的直观方式来提供一种对 Java 集合运算和表达的高阶抽象。
// 参考http://www.runoob.com/java/java8-streams.html
List<SimpleGrantedAuthority> collect = sysUserEntity.getRoles().stream().map(SysRoleEntity::getSysRoleName)
.map(SimpleGrantedAuthority::new).collect(Collectors.toList());
return new SecurityUserDetails(sysUserEntity.getSysUserPassword(),sysUserEntity.getSysUserName(),sysUserEntity.getSysUserState(),collect);
}
throw MyExceptionUtil.mxe(String.format("'%s'.这个用户不存在", username));
}
}
修改WebSecurityConfigurerAdapter实现类
在上一篇中我们对此类进行了重写,我们知道用户配置是重写configure(AuthenticationManagerBuilder auth)方法,我们是通过内存管理器来创建用户的,这回我们实现了UserDetailsService接口,我们就可以通过这个来查询用户并使用。
具体修改如下:
package com.ywh.security.config;
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
private UserDetailsService userDetailsService;
@Autowired
public SecurityConfigurer(UserDetailsService userDetailsService) {
this.userDetailsService = userDetailsService;
}
/**
* 用户信息配置
* @param auth 用户信息管理器
* @throws Exception 异常信息
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//修改以前
// auth
// .inMemoryAuthentication()
// .withUser("root")
// .password("root")
// .roles("user")
// .and()
// .passwordEncoder(CharEncoder.getINSTANCE());
//修改以后
auth
.userDetailsService(this.userDetailsService)
.passwordEncoder(passwordEncoder());
}
/**
* 密码加密
* @return 返回加密后的密码
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
重启项目后我们可以看到效果如下,ywh这个用户是数据库中的,这个用户的密码是我手动调用PasswordEncoder 加密过后放到数据库中的,密码都是123。
@Autowired
private PasswordEncoder passwordEncoder;
@Test
public void getOneTest(){
System.out.println("password:" + passwordEncoder.encode("123"));
}
如果输入一个数据库中没有的用户,则会提示你查无此人
自定义登陆
参考:Spring Security自定义用户登陆认证
到此步之后我们完成了从数据库中查询用户登陆的操作,但是登陆页面是security给我们默认的页面。
想使用我们自定义的页面,security继续替我们认证,在core模块下的resource文件下创建public目录后创建我们自定义的login.html登陆页面
<html>
<head>
<title>登陆页面title>
head>
<body>
<h2>表单登录h2>
<form action="/core/login" method="post">
<table>
<tr>
<td>用户名:td>
<td>
<input type="text" placeholder="用户名" name="username" required="required" />
td>
tr>
<tr>
<td>密码:td>
<td>
<input type="password" placeholder="密码" name="password" required="required" />
td>
tr>
<tr>
<td colspan="2">
<button type="submit">登录button>
td>
tr>
table>
form>
body>
html>
要注意form表单中的action属性,这里的值要与后面在security配置类中的loginProcessingUrl("/login")相同,我写成/core/login是因为我配置了context-path,如果你没配置不用写/core前缀
访问的index.html
<html lang="en">
<head>
<meta charset="UTF-8">
<title>测试title>
head>
<body>
登陆了!!!
body>
html>
修改security配置类的configure(HttpSecurity httpSecurity)方法
/**
* 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过,允许对特定的http请求基于安全考虑进行配置
* @param httpSecurity http
* @throws Exception 异常
*/
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
// 暂时禁用csrc否则无法提交
.csrf().disable()
// 设置最多一个用户登录,如果第二个用户登陆则第一用户被踢出,并跳转到登陆页面
.sessionManagement().maximumSessions(1).expiredUrl("/login.html");
httpSecurity
// 开始认证
.authorizeRequests()
// 对静态文件和登陆页面放行
.antMatchers("/static/**").permitAll()
.antMatchers("/auth/**").permitAll()
.antMatchers("/login.html").permitAll()
// 其他请求需要认证登陆
.anyRequest().authenticated();
httpSecurity
// 表单登陆
.formLogin()
// 设置跳转的登陆页面
.loginPage("/login.html")
// .failureUrl("/auth/login?error") 设置如果出错跳转到哪个页面
// security默认使用的就是login路径认证,如果想使用自定义自行修改就可以了
.loginProcessingUrl("/login")
// 如果直接访问登录页面,则登录成功后重定向到这个页面,否则跳转到之前想要访问的页面
.defaultSuccessUrl("/index.html");
}
loginPage()中也可以填写接口路径,通过接口来返回登陆页面;通过以上代码实现了我们自己定义的登陆页面,security会为我们拦截并认证的,只是创建了两个页面和增加了两个属性。
想要自定义实现登陆成功的逻辑,可以配置successHandler()方法,要实现的接口为AuthenticationSuccessHandler,重写其中的方法为onAuthenticationSuccess()。
自定义退出
想要实现自定义退出功能的逻辑,需要实现AuthenticationFailureHandler 接口,重写其中的onAuthenticationFailure方法。或者在配置中的方法中写匿名内部类。
而关于security中的退出,也有给我们默认实现,通过“/logout”就可以实现退出功能了,在index.html界面添加一个 a 标签即可。
<a href="/core/logout">退出a>
再次提示我这里写/core是因为我配置了context-path,如果你没有配置直接写/logout即可,默认security机制会进行如下操作:
- 使HttpSession无效
- 清理记住密码
- 清理SecurityContextHolder
- 重定向/login?logout
当然我们也可以自定义退出,在configure(HttpSecurity httpSecurity)方法中添加以下内容,这里我只实现了最简单的操作
httpSecurity
// 登出
.logout()
// 登出处理,使用security默认的logout,也可以自定义路径,实现即可
.logoutUrl("/logout")
// 登出成功后跳转到哪个页面
.logoutSuccessUrl("/login.html")
.logoutSuccessHandler((request, response, authentication) -> {
//登出成功处理函数
System.out.println("logout success");
response.sendRedirect("/core/login.html");
})
.addLogoutHandler((request, response, authentication) ->{
//登出处理函数
System.out.println("logout------");
})
// 清理Session
.invalidateHttpSession(true);
关于security上面我们实现了最基本的功能,它还可以做更多的事情,比如记住我的密码,第三方登录等等。