SpringBoot2.1版本的个人开发框架 —— 八( spring security进阶)

前言

本篇作为SpringBoot2.1版本的个人开发框架 子章节,请先阅读SpringBoot2.1版本的个人开发框架再次阅读本篇文章

  • 掘金笔记地址

  • 项目已发布到GitHub:项目地址,如果有帮助到你,点一点star,感谢

  • 上一篇:spring security学习笔记

  • 下一篇:整合vue

参考:

  • Spring Security 从入门到进阶系列教程
  • Spring Security的详细配置

在上一篇文章我们对spring security有了初步认识以后,我们这篇主要实现 从数据库查询用户来进行用户是否具有登陆的认证。

数据库表的设计

参考:

  • RBAC权限管理 这篇文章讲的非常详细,只不过有点久远,12年我还在上高一。。。

我们在做用户登陆之前,我们先要设计数据库表,RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。

SpringBoot2.1版本的个人开发框架 —— 八( spring security进阶)_第1张图片
按照我参考的博客中的设计好了五张基础表,字段的话可以根据自己的需求变化,生成的sql文件我放到我项目中了。

表结构确定好以后,我们在项目中把系统用户的entity、dao、service、以及dao对应的xml都设置好,这里我就不一一展示代码了,可以拿之前的MybatisPlus的自动生成,正好自己又可以复习一遍之前的,添加好以后可以现在测试类中确认一下,没有错误再进行下一步。

security核心类

在上一篇笔记中我们知道security的核心类之一的WebSecurityConfigurerAdapter,我们可以在这个配置类中创建自己的用户,放行哪个请求,认证什么请求,在这篇笔记我们要实现从数据库中查询用户,所以我们要对以下核心类做实现。

  • UserDetails接口
  • UserDetailsService接口

UserDetails接口

UserDetails接口是security为我们提供的可扩展的用户信息接口,保存一些非敏感类的信息,在security模块下entity包中实现此接口类,其实就是一个实体类。

package com.ywh.security.entity;

import com.fasterxml.jackson.annotation.JsonIgnore;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.Collections;

/**
 * CreateTime: 2019-01-24 16:10
 * ClassName: SecurityUserDetails
 * Package: com.ywh.security.entity
 * Describe:
 * security的用户详情类
 *
 * @author YWH
 */
public class SecurityUserDetails implements UserDetails {


    /**
     * 用户的密码
     */
    private String password;

    /**
     * 用户的名字
     */
    private String username;

    /**
     * 用户状态,1 表示有效用户, 0表示无效用户
     */
    private Integer state;

    /**
     * 用户的权限,可以把用户的角色信息的集合先放进来,角色代表着权限
     */
    private Collection<? extends GrantedAuthority> authorties;


    public SecurityUserDetails(String password, String username, Integer state, Collection<? extends GrantedAuthority> authorties) {
        this.password = password;
        this.username = username;
        this.state = state;
        this.authorties = authorties;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorties;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    /**
     * 指示用户的帐户是否已过期。过期的帐户无法通过身份验证。
     * @return true如果用户的帐户有效(即未过期), false如果不再有效(即已过期)
     */
    @JsonIgnore
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 指示用户是锁定还是解锁。锁定的用户无法进行身份验证。
     * @return true是未锁定,false是已锁定
     */
    @JsonIgnore
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /**
     * 指示用户的凭据(密码)是否已过期。过期的凭据会阻止身份验证
     * @return true如果用户的凭证有效(即未过期), false如果不再有效(即已过期)
     */
    @JsonIgnore
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 指示用户是启用还是禁用。禁用的用户无法进行身份验证。
     * @return true用户已启用,false用户已经禁用
     */
    @JsonIgnore
    @Override
    public boolean isEnabled() {
        return state == 1;
    }
}

UserDetailsService接口

此接口主要重写一个方法就好了loadUserByUsername,这个方法主要作用就是通过用户名查询用户的详细信息,然后放到我们的UserDetails 实现的子类中,保存在security的SecurityContextHolder中,上一篇我们通过这个来获取用户信息的。

在security模块中的service/impl中实现此接口,selectByUserName方法就是一个普通的dao接口,在mapper.xml文件中定义好sql语句,由于很简单我就不贴了

package com.ywh.security.service.impl;

/**
 * CreateTime: 2019-01-25 16:39
 * ClassName: SecurityUserDetailsServiceImpl
 * Package: com.ywh.security.service.impl
 * Describe:
 * UserDetailService的实现类
 * 这个@Primary表示这个类所继承的接口有多个实现类,当不知道引入哪个的时候,优先使用@Primary所注解的类
 * @author YWH
 */
@Primary
@Service
public class SecurityUserDetailsServiceImpl implements UserDetailsService {

	// 用户查询接口
    private SysUserDao sysUserDao;

    @Autowired
    public SecurityUserDetailsServiceImpl(SysUserDao sysUserDao) {
        this.sysUserDao = sysUserDao;
    }

	@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUserEntity sysUserEntity = sysUserDao.selectByUserName(username);
        if(sysUserEntity != null){
            // stream java8的新特性,Stream 使用一种类似用 SQL 语句从数据库查询数据的直观方式来提供一种对 Java 集合运算和表达的高阶抽象。
            // 参考http://www.runoob.com/java/java8-streams.html
            List<SimpleGrantedAuthority> collect = sysUserEntity.getRoles().stream().map(SysRoleEntity::getSysRoleName)
                    .map(SimpleGrantedAuthority::new).collect(Collectors.toList());
            return new SecurityUserDetails(sysUserEntity.getSysUserPassword(),sysUserEntity.getSysUserName(),sysUserEntity.getSysUserState(),collect);
        }
        throw MyExceptionUtil.mxe(String.format("'%s'.这个用户不存在", username));
    }
}

修改WebSecurityConfigurerAdapter实现类

在上一篇中我们对此类进行了重写,我们知道用户配置是重写configure(AuthenticationManagerBuilder auth)方法,我们是通过内存管理器来创建用户的,这回我们实现了UserDetailsService接口,我们就可以通过这个来查询用户并使用。
具体修改如下:

package com.ywh.security.config;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {

	private UserDetailsService userDetailsService;


    @Autowired
    public SecurityConfigurer(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }
    
    /**
     * 用户信息配置
     * @param auth 用户信息管理器
     * @throws Exception 异常信息
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//修改以前
//        auth
//                .inMemoryAuthentication()
//                .withUser("root")
//                .password("root")
//                .roles("user")
//                .and()
//                .passwordEncoder(CharEncoder.getINSTANCE());

//修改以后
        auth
                .userDetailsService(this.userDetailsService)
                .passwordEncoder(passwordEncoder());

    }
    
	/**
     * 密码加密
     * @return 返回加密后的密码
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

重启项目后我们可以看到效果如下,ywh这个用户是数据库中的,这个用户的密码是我手动调用PasswordEncoder 加密过后放到数据库中的,密码都是123。

@Autowired
private PasswordEncoder passwordEncoder;
@Test
public void getOneTest(){
    System.out.println("password:" + passwordEncoder.encode("123"));
}

SpringBoot2.1版本的个人开发框架 —— 八( spring security进阶)_第2张图片
如果输入一个数据库中没有的用户,则会提示你查无此人
SpringBoot2.1版本的个人开发框架 —— 八( spring security进阶)_第3张图片

自定义登陆

参考:Spring Security自定义用户登陆认证

到此步之后我们完成了从数据库中查询用户登陆的操作,但是登陆页面是security给我们默认的页面。

想使用我们自定义的页面,security继续替我们认证,在core模块下的resource文件下创建public目录后创建我们自定义的login.html登陆页面


<html>
<head>
    <title>登陆页面title>
head>

<body>
<h2>表单登录h2>
<form action="/core/login" method="post">
    <table>
        <tr>
            <td>用户名:td>
            <td>
                <input type="text" placeholder="用户名" name="username" required="required" />
            td>
        tr>
        <tr>
            <td>密码:td>
            <td>
                <input type="password" placeholder="密码" name="password" required="required" />
            td>
        tr>
        <tr>
            <td colspan="2">
                <button type="submit">登录button>
            td>
        tr>
    table>
form>
body>
html>

要注意form表单中的action属性,这里的值要与后面在security配置类中的loginProcessingUrl("/login")相同,我写成/core/login是因为我配置了context-path,如果你没配置不用写/core前缀

访问的index.html


<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>测试title>
head>
<body>

登陆了!!!

body>
html>

修改security配置类的configure(HttpSecurity httpSecurity)方法

	/**
     * 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过,允许对特定的http请求基于安全考虑进行配置
     * @param httpSecurity http
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                // 暂时禁用csrc否则无法提交
                .csrf().disable()
                // 设置最多一个用户登录,如果第二个用户登陆则第一用户被踢出,并跳转到登陆页面
                .sessionManagement().maximumSessions(1).expiredUrl("/login.html");
        httpSecurity
                // 开始认证
                .authorizeRequests()
                // 对静态文件和登陆页面放行
                .antMatchers("/static/**").permitAll()
                .antMatchers("/auth/**").permitAll()
                .antMatchers("/login.html").permitAll()
                // 其他请求需要认证登陆
                .anyRequest().authenticated();
        httpSecurity
                // 表单登陆
                .formLogin()
                // 设置跳转的登陆页面
                .loginPage("/login.html")
                // .failureUrl("/auth/login?error") 设置如果出错跳转到哪个页面
                // security默认使用的就是login路径认证,如果想使用自定义自行修改就可以了
                .loginProcessingUrl("/login")
                // 如果直接访问登录页面,则登录成功后重定向到这个页面,否则跳转到之前想要访问的页面
                .defaultSuccessUrl("/index.html");
    }

loginPage()中也可以填写接口路径,通过接口来返回登陆页面;通过以上代码实现了我们自己定义的登陆页面,security会为我们拦截并认证的,只是创建了两个页面和增加了两个属性。

想要自定义实现登陆成功的逻辑,可以配置successHandler()方法,要实现的接口为AuthenticationSuccessHandler,重写其中的方法为onAuthenticationSuccess()。

自定义退出

想要实现自定义退出功能的逻辑,需要实现AuthenticationFailureHandler 接口,重写其中的onAuthenticationFailure方法。或者在配置中的方法中写匿名内部类。

而关于security中的退出,也有给我们默认实现,通过“/logout”就可以实现退出功能了,在index.html界面添加一个 a 标签即可。

<a href="/core/logout">退出a>

再次提示我这里写/core是因为我配置了context-path,如果你没有配置直接写/logout即可,默认security机制会进行如下操作:

  • 使HttpSession无效
  • 清理记住密码
  • 清理SecurityContextHolder
  • 重定向/login?logout

当然我们也可以自定义退出,在configure(HttpSecurity httpSecurity)方法中添加以下内容,这里我只实现了最简单的操作

httpSecurity
                // 登出
                .logout()
                // 登出处理,使用security默认的logout,也可以自定义路径,实现即可
                .logoutUrl("/logout")
                // 登出成功后跳转到哪个页面
                .logoutSuccessUrl("/login.html")
                .logoutSuccessHandler((request, response, authentication) -> {
                    //登出成功处理函数
                    System.out.println("logout success");
                    response.sendRedirect("/core/login.html");
                })
                .addLogoutHandler((request, response, authentication) ->{
                    //登出处理函数
                    System.out.println("logout------");
                })
                // 清理Session
                .invalidateHttpSession(true);

关于security上面我们实现了最基本的功能,它还可以做更多的事情,比如记住我的密码,第三方登录等等。

你可能感兴趣的:(Java)