Spring Security权限认证及授权

Spring Security简介

spring Security是 Spring提供的安全认证服务的框架。 使用Spring Security可以帮助我 们来简化认证和授权的过程。官网:https://spring.io/projects/spring-security

Spring Security权限认证及授权_第1张图片
对应的maven坐标:

<dependency>   
<groupId>org.springframework.security</groupId>
<artifactId>spring‐security‐web</artifactId>   
<version>5.0.5.RELEASE</version> 
</dependency> 
<dependency>   
<groupId>org.springframework.security</groupId>   
<artifactId>spring‐security‐config</artifactId>   
<version>5.0.5.RELEASE</version>
</dependency>

常用的权限框架除了Spring Security,还有Apache的shiro框架。

1.3.4 Spring Security入门案例

1.3.4.1 工程搭建

     创建maven工程,打包方式为war,为了方便起见我们可以让入门案例工程依赖 health_interface,这样相关的依赖都继承过来了。
在pom.xml中:
<dependencies>
  <dependency>
    <groupId>com.bianyi</groupId>
    <artifactId>health_interface</artifactId>
    <version>1.0-SNAPSHOT</version>
  </dependency>
</dependencies>
<build>
  <plugins>
    <plugin>
      <groupId>org.apache.tomcat.maven</groupId>
      <artifactId>tomcat7-maven-plugin</artifactId>
      <configuration>
        <!-- 指定端口 -->
        <port>85</port>
        <!-- 请求路径 -->
        <path>/</path>
      </configuration>
    </plugin>
  </plugins>
</build>

提供index.html页面,内容为hello Spring Security!!

1.3.4.2 配置web.xml

在web.xml中主要配置SpringMVC的DispatcherServlet和用于整合第三方框架的 DelegatingFilterProxy,用于整合Spring Security。

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >


  Archetype Created Web Application
  
    <!--
      DelegatingFilterProxy用于整合第三方框架
      整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
     否则会抛出NoSuchBeanDefinitionException异常
    -->
    springSecurityFilterChain
    org.springframework.web.filter.DelegatingFilterProxy
  
  
    springSecurityFilterChain
    /*
  

  
    springmvc
    org.springframework.web.servlet.DispatcherServlet
    <!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载 -->
    
      contextConfigLocation
      classpath:spring-security.xml
    
    1
  
  
    springmvc
    *.do
  

1.3.4.3 配置spring-security.xml

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                  http://www.springframework.org/schema/beans/spring-beans.xsd
                  http://www.springframework.org/schema/mvc
                  http://www.springframework.org/schema/mvc/spring-mvc.xsd
                  http://code.alibabatech.com/schema/dubbo
                  http://code.alibabatech.com/schema/dubbo/dubbo.xsd
                  http://www.springframework.org/schema/context
                  http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">
    <!--
        auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
        use-expressions:是否使用spring security提供的表达式来描述权限
    -->
    <security:http auto-config="true" use-expressions="true">
        <!--配置拦截规则,/** 表示拦截所有请求-->
        <!--
            pattern:描述拦截规则
            asscess:指定所需的访问角色或者访问权限
        -->
        <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')">


    

    
    
        
        
            <!--
                配置一个具体的用户,后期需要从数据库查询用户
                 {
     noop}:表示当前使用的密码为明文
             -->
            
                <security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
            

        
    


1.3.4.5 启动测试

使用http://localhost:85/访问
Spring Security权限认证及授权_第2张图片

1.3.5 对入门案例进行改进

前面我们已经完成了Spring Security的入门案例,通过入门案例我们可以看到,Spring Security将我们项目中的所有资源都保护了起来,要访问这些资源必须要完成认证而且需 要具有ROLE_ADMIN角色。
但是入门案例中的使用方法离我们真实生产环境还差很远,还存在如下一些问题:
1、项目中我们将所有的资源(所有请求URL)都保护起来,实际环境下往往有一些资源 不需要认证也可以访问,也就是可以匿名访问。
2、登录页面是由框架生成的,而我们的项目往往会使用自己的登录页面。
3、直接将用户名和密码配置在了配置文件中,而真实生产环境下的用户名和密码往往保 存在数据库中。
4、在配置文件中配置的密码使用明文,这非常不安全,而真实生产环境下密码需要进行 加密。
本章节需要对这些问题进行改进。

1.3.5.1 配置可匿名访问的资源

第一步:在项目中创建pages目录,在pages目录中创建a.html和b.html
第二步:在spring-security.xml文件中配置,指定哪些资源可以匿名访问

<!--
    配置资源可以匿名访问,就是不登录也可以访问
-->
<security:http security="none" pattern="/pages/a.html">
<security:http security="none" pattern="/pages/b.html">
<!--
      以上两个配置也可以使用通配符进行访问
-->
<security:http security="none" pattern="/pages/**">

通过上面的配置可以发现,pages目录下的文件可以在没有认证的情况下任意访问。

1.3.5.2 使用指定的登录页面

第一步:提供login.html作为项目的登录页面
在webapp目录下面定义

<!DOCTYPE html>
<html lang="en">

    <meta charset="UTF-8">
    登录页面


    

自定义登录页面

<form action="/login.do" method="post"> username:<input type="text" name="username">
password:<input type="password" name="password">
<input type="submit" value="登录">

第二步:修改spring-security.xml文件,指定login.html页面可以匿名访问
Spring Security权限认证及授权_第3张图片
第三步:修改spring-security.xml文件,加入表单登录信息的配置
Spring Security权限认证及授权_第4张图片
第四步:修改spring-security.xml文件,关闭CsrfFilter过滤器
Spring Security权限认证及授权_第5张图片

1.3.5.3 启动测试

使用http://localhost:85/访问,此时就能访问自定义的登录页面。

1.3.6 从数据库查询用户信息

如果我们要从数据库动态查询用户信息,就必须按照spring security框架的要求提供一个 实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可。框架会自动调 用实现类中的方法并自动进行密码校验。
实现类代码:

实现代码:

UserService:
public class UserService implements UserDetailsService {
     
    //模拟向数据库中插入数据
    static Map<String, UserInfo> map = new HashMap<>();

    static{
     
        UserInfo u1 = new UserInfo("admin","admin");
        UserInfo u2 = new UserInfo("Sunny","123");
        map.put(u1.getUsername(),u1);
        map.put(u2.getUsername(),u2);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
     
        System.out.println("username:"+username);
        //模拟从数据库中查询用户
        UserInfo userInfo = map.get(username);
        if(userInfo==null){
     
            return null;
        }
        //模拟查询数据库中用户的密码
        String password = "{noop}"+userInfo.getPassword();
        List<GrantedAuthority> list = new ArrayList<>();
        //授权,后期需要改为查询数据库动态获得用户拥有的权限和角色
        list.add(new SimpleGrantedAuthority("add"));
        list.add(new SimpleGrantedAuthority("delete"));
        list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        User user = new User(username, password, list);
        return user;
    }
}

UserInfo:

public class UserInfo {
     
    String username;
    String password;

    public UserInfo(String username,String password){
     
        this.username = username;
        this.password = password;
    }

    public String getUsername() {
     
        return username;
    }

    public void setUsername(String username) {
     
        this.username = username;
    }

    public String getPassword() {
     
        return password;
    }

    public void setPassword(String password) {
     
        this.password = password;
    }

    @Override
    public String toString() {
     
        return "UserInfo{" +
                "username='" + username + '\'' +
                ", password='" + password + '\'' +
                '}';
    }
}

代码目录结构:
Spring Security权限认证及授权_第6张图片
spring-security.xml:
Spring Security权限认证及授权_第7张图片

1.3.7 对密码进行加密

前面我们使用的密码都是明文的,这是非常不安全的。一般情况下用户的密码需要进行 加密后再保存到数据库中。
常见的密码加密方式有:
3DES、AES、DES:使用对称加密算法,可以通过解密来还原出原始密码 MD5、SHA1:使用单向HASH算法,无法通过计算还原出原始密码,但是可以建立彩虹表进行查表破解
bcrypt:将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题
加密后的格式一般为:
在这里插入图片描述
加密后字符串的长度为固定的60位。其中:$是分割符,无意义;2a是bcrypt加密版本号;10是cost的值;而后的前22位是salt值;再然后的字符串就是密码的密文了。
实现步骤:
第一步:在spring-security.xml文件中指定密码加密对象
Spring Security权限认证及授权_第8张图片
第二步:修改UserService实现类

public class UserService implements UserDetailsService {
     

    @Autowired
    BCryptPasswordEncoder bCryptPasswordEncoder;


    //模拟向数据库中插入数据
    public Map<String, UserInfo> map = new HashMap<>();

    public void init(){
     
        UserInfo u1 = new UserInfo();
        u1.setUsername("admin");
   
        UserInfo u2 = new UserInfo();
        u2.setUsername("sunny");
        u2.setPassword(bCryptPasswordEncoder.encode("123"));
        map.put(u1.getUsername(),u1);
        map.put(u2.getUsername(),u2);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
     
        init();
        System.out.println("username:"+username);
        //模拟从数据库中查询用户
        UserInfo userInfo = map.get(username);
        if(userInfo==null){
     
            return null;
        }
        //模拟查询数据库中用户的密码  去掉明文标识{noop}
        String password = userInfo.getPassword();
        List<GrantedAuthority> list = new ArrayList<>();
        //授权,后期需要改为查询数据库动态获得用户拥有的权限和角色
        list.add(new SimpleGrantedAuthority("add"));
        list.add(new SimpleGrantedAuthority("delete"));
        list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        User user = new User(username, password, list);
        return user;
    }
}

使用断点测试即可。

1.3.8 配置多种校验规则

为了测试方便,首先在项目中创建a.html、b.html、c.html、d.html几个页面
修改spring-security.xml文件:
Spring Security权限认证及授权_第9张图片
为方便测试。改造UserService
Spring Security权限认证及授权_第10张图片
此时分别用admin用户和sunny用户登录测试效果。

1.3.9注解方式权限控制

Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制。
实现步骤:
第一步:在spring-security.xml文件中配置组件扫描,用于扫描Controller


<context:component-scan base-package="com.bianyi.controller">

第二步:在spring-security.xml文件中开启权限注解支持

@RestController
@RequestMapping("/hello")
public class HelloController {
     

    @RequestMapping("/add")
    @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当 前方法     
    public String add(){
     
        System.out.println("add...");
        return "success";
    }

    @RequestMapping("/delete")
    @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色 才能调用当前方法
    public String delete(){
     
        System.out.println("delete.....");
        return "success";
    }

}

此时分别用admin用户和sunny用户登录测试效果。

1.3.10 退出登录

用户完成登录后Spring Security框架会记录当前用户认证状态为已认证状态,即表示用 户登录成功了。那用户如何退出登录呢?我们可以在spring-security.xml文件中进行如下 配置:
Spring Security权限认证及授权_第11张图片
通过上面的配置可以发现,如果用户要退出登录,只需要请求/logout.do这个URL地址就 可以,同时会将当前session失效,最后页面会跳转到login.html页面

你可能感兴趣的:(健康项目,springSecurity,spring)