Spring Security(安全框架)

一、概念

(1)Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。

(2)认证(Authentication):应用程序确认用户身份的过程,常见认证:登录。

(3)身份(principal)/主体(Subject):认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。

(4)凭证(Credential):用户认证过程中的依据之一。常见就是密码。

(5)授权(Authorization):判断用户具有哪些权限或角色。

(6)Spring Security所有功能都是基于Filter(过滤器)实现的。

二、使用方式 

(1)导入依赖

导入依赖后默认会有一个登录页,并且没有登录时访问其他资源会自动跳到登录页,用户名为user,密码会打印在控制台。


    org.springframework.boot
    spring-boot-starter-security

(2)可以在配置文件中配置用户名和密码

spring.security.user.name=user
spring.security.user.password=123

(3)使用数据库中的数据认证

        1.给配置Spring Security密码解析器

package com.bjsxt.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class UserDetailConfig {
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

        2.实现 UserDetailsService 接口并重写 loadUserByUsername( )方法

package com.bjsxt.service.impl;

import com.bjsxt.mapper.AdminMapper;
import com.bjsxt.pojo.Admin;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private AdminMapper adminMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Admin admin = adminMapper.selectByName(username);
        if(admin == null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        return new User(username,admin.getApwd(), AuthorityUtils.NO_AUTHORITIES);
    }
}

(4)自定义登录页面:新建一个配置类继承WebSecurityConfigurerAdapter类并重写configure(HttpSecurity http)方法,在该方法中进行配置。

package com.bjsxt.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;

@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/")//配置哪个页面是登录页面
                .loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
                .usernameParameter("username")//配置用户名参数名
                .passwordParameter("password")//配置密码参数名
                .successForwardUrl("/showMain")//登录成功转发到哪
                .failureForwardUrl("/")//登录失败转发到哪
                .successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
                .failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪


        http.authorizeRequests()
                .antMatchers("/","/login").permitAll()//允许
                .antMatchers("**").authenticated();//需要认证
                /* anyRequest()等价于antMatchers("**") */

        http.logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))//哪个URl执行退出登录的功能
                .logoutSuccessUrl("/");//退出登录后跳转到哪

        //http.csrf().disable();//禁用csrf
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

三、PasswordEncoder密码解析器

(1)用途:给密码进行加密处理。它是一个接口

(2)接口介绍:

encode():把参数按照特定的解析规则进行解析。

matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回true;如果不匹配,则返回false。第一个参数表示需要被解析的密码。第二个参数表示存储的密码。

upgradeEncoding():如果解析的密码能够再次进行解析且达到更安全的结果则返回true,否则返回false。默认返回false。

(3)官方推荐实现类BCryptPasswordEncoder

package com.bjsxt;

import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@SpringBootTest
class Day03ApplicationTests {

    @Test
    void contextLoads() {
        BCryptPasswordEncoder be = new BCryptPasswordEncoder();
        String encode = be.encode("123");
        System.out.println(encode);
        boolean matches = be.matches("123", encode);
        System.out.println(matches);
    }
}

四、Spring Security中的CSRF

(1) CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

 (2)原理

  1. 当服务器加载登录页面。(loginPage中的值,默认/login),先生成csrf对象,并放入作用域中,key为_csrf。之后会对${_csrf.token}进行替换,替换成服务器生成的token字符串。

  2. 用户在提交登录表单时,会携带csrf的token。如果客户端的token和服务器的token匹配说明是自己的客户端,否则无法继续执行。

  3. 用户退出的时候,必须发起POST请求,且和登录时一样,携带csrf的令牌。

 

 五、Spring Security实现记住我的功能

(1)在客户端登录页面中添加remember-me的复选框,只要用户勾选了复选框下次就不需要进行登录了。

用户名:
密码:

 (2)配置数据源,告诉Spring Security存储记住的账号信息的数据源是哪里。

@Configuration
public class RememberMeConfig {
    @Autowired
    private DataSource dataSource;
    @Bean
    public PersistentTokenRepository getPersistentTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new JdbcTokenRepositoryImpl();
        jdbcTokenRepositoryImpl.setDataSource(dataSource);
        // 自动建表,第一次启动时需要,第二次启动时注释掉
        // jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);
        return jdbcTokenRepositoryImpl;
    }
}

(3)配置remember-me,让记住我功能生效

package com.bjsxt.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;


@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private PersistentTokenRepository persistentTokenRepository;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/")//配置哪个页面是登录页面
                .loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
                .usernameParameter("username")//配置用户名参数名
                .passwordParameter("password")//配置密码参数名
                .successForwardUrl("/showMain")//登录成功转发到哪
                .failureForwardUrl("/")//登录失败转发到哪
                .successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
                .failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪


        http.authorizeRequests()
                .antMatchers("/","/login").permitAll()//允许
                .antMatchers("**").authenticated();//需要认证
                /* anyRequest()等价于antMatchers("**") */

        http.logout()
                .logoutUrl("/abc")//哪个URl执行退出登录的功能
                .logoutSuccessUrl("/");//退出登录后跳转到哪

        /*http.csrf().disable();//禁用csrf*/

        //配置rememberMe
        http.rememberMe()
                .userDetailsService(userDetailsService)
                .tokenRepository(persistentTokenRepository);
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

六、访问控制url匹配

在配置类中http.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。

(1)antMatcher():参数是不定向参数,每个参数是一个ant表达式,用于匹配URL规则。

(2)anyRequest():在之前认证过程中我们就已经使用过anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。

(3)regexMatchers():使用正则表达式进行匹配。和antMatchers()主要的区别就是参数,antMatchers()参数是ant表达式,regexMatchers()参数是正则表达式。

 七、内置访问控制方法

(1)permitAll():表示所匹配的URL任何人都允许访问。

(2)authenticated():表示所匹配的URL都需要被认证才能访问。  

(3)anonymous():表示可以匿名访问匹配的URL,登录后不能访问。

(4)denyAll():表示所匹配的URL都不允许被访问。  

(5)rememberMe():被“remember me”的用户允许访问

(6)fullyAuthenticated():如果用户不是被remember me的,才可以访问。

八、角色和权限判断

(1)hasAuthority(String):判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建User对象时指定的。

(2)hasAnyAuthority(String ...):如果用户具备给定权限中某一个,就允许访问。

(3)hasRole(String):如果用户具备给定角色就允许访问。否则出现403。

(4)hasAnyRole(String ...):如果用户具备给定角色的任意一个,就允许被访问

(5)hasIpAddress(String):如果请求是指定的IP就运行访问。

 九、自定义403处理方案

(1)新建类实现AccessDeniedHandler。

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        //这里写出现403异常后的操作
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        out.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员!\"}");
        out.flush();
     }
}

(2)配置类中重点添加异常处理器

@Autowired
private AccessDeniedHandler accessDeniedHandler;

//异常处理
http.exceptionHandling()
        .accessDeniedHandler(accessDeniedHandler);

十、权限控制注解

(1)@Secured:是专门用于判断是否具有角色的。能写在方法或类上。@Secured参数要以ROLE_开头。

开启注解:在启动类(也可以在配置类等能够扫描的类上)上添加

@EnableGlobalMethodSecurity(securedEnabled = true)

(2)@PreAuthorize:表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解,注解的参数和access()方法参数取值相同,都是权限表达式。

@PostAuthorize:表示方法或类执行结束后判断权限,此注解很少被使用到。

 开启注解:在启动类(也可以在配置类等能够扫描的类上)上添加

@EnableGlobalMethodSecurity(prePostEnabled = true)

十一、Thymeleaf中Spring Security的使用

(1)导入依赖


    org.thymeleaf.extras
    thymeleaf-extras-springsecurity5
    3.0.4.RELEASE
 

(2)在html页面中引入thymeleaf命名空间和security命名空间

      xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">

获取属性




    
    Title


    登录账号:123
登录账号:456
凭证:456
权限和角色:456
客户端地址:456
sessionId:456

权限判断  

通过权限判断:





通过角色判断:

你可能感兴趣的:(spring,java,后端)