(1)Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。
(2)认证(Authentication):应用程序确认用户身份的过程,常见认证:登录。
(3)身份(principal)/主体(Subject):认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。
(4)凭证(Credential):用户认证过程中的依据之一。常见就是密码。
(5)授权(Authorization):判断用户具有哪些权限或角色。
(6)Spring Security所有功能都是基于Filter(过滤器)实现的。
(1)导入依赖
导入依赖后默认会有一个登录页,并且没有登录时访问其他资源会自动跳到登录页,用户名为user,密码会打印在控制台。
org.springframework.boot
spring-boot-starter-security
(2)可以在配置文件中配置用户名和密码
spring.security.user.name=user
spring.security.user.password=123
(3)使用数据库中的数据认证
1.给配置Spring Security密码解析器
package com.bjsxt.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class UserDetailConfig {
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
2.实现 UserDetailsService 接口并重写 loadUserByUsername( )方法
package com.bjsxt.service.impl;
import com.bjsxt.mapper.AdminMapper;
import com.bjsxt.pojo.Admin;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private AdminMapper adminMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
Admin admin = adminMapper.selectByName(username);
if(admin == null){
throw new UsernameNotFoundException("用户名不存在");
}
return new User(username,admin.getApwd(), AuthorityUtils.NO_AUTHORITIES);
}
}
(4)自定义登录页面:新建一个配置类继承WebSecurityConfigurerAdapter类并重写configure(HttpSecurity http)方法,在该方法中进行配置。
package com.bjsxt.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/")//配置哪个页面是登录页面
.loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
.usernameParameter("username")//配置用户名参数名
.passwordParameter("password")//配置密码参数名
.successForwardUrl("/showMain")//登录成功转发到哪
.failureForwardUrl("/")//登录失败转发到哪
.successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
.failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪
http.authorizeRequests()
.antMatchers("/","/login").permitAll()//允许
.antMatchers("**").authenticated();//需要认证
/* anyRequest()等价于antMatchers("**") */
http.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))//哪个URl执行退出登录的功能
.logoutSuccessUrl("/");//退出登录后跳转到哪
//http.csrf().disable();//禁用csrf
}
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
(1)用途:给密码进行加密处理。它是一个接口
(2)接口介绍:
encode():把参数按照特定的解析规则进行解析。
matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回true;如果不匹配,则返回false。第一个参数表示需要被解析的密码。第二个参数表示存储的密码。
upgradeEncoding():如果解析的密码能够再次进行解析且达到更安全的结果则返回true,否则返回false。默认返回false。
(3)官方推荐实现类BCryptPasswordEncoder
package com.bjsxt;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@SpringBootTest
class Day03ApplicationTests {
@Test
void contextLoads() {
BCryptPasswordEncoder be = new BCryptPasswordEncoder();
String encode = be.encode("123");
System.out.println(encode);
boolean matches = be.matches("123", encode);
System.out.println(matches);
}
}
(1) CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。
(2)原理
当服务器加载登录页面。(loginPage中的值,默认/login),先生成csrf对象,并放入作用域中,key为_csrf。之后会对${_csrf.token}进行替换,替换成服务器生成的token字符串。
用户在提交登录表单时,会携带csrf的token。如果客户端的token和服务器的token匹配说明是自己的客户端,否则无法继续执行。
用户退出的时候,必须发起POST请求,且和登录时一样,携带csrf的令牌。
(1)在客户端登录页面中添加remember-me的复选框,只要用户勾选了复选框下次就不需要进行登录了。
(2)配置数据源,告诉Spring Security存储记住的账号信息的数据源是哪里。
@Configuration
public class RememberMeConfig {
@Autowired
private DataSource dataSource;
@Bean
public PersistentTokenRepository getPersistentTokenRepository() {
JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new JdbcTokenRepositoryImpl();
jdbcTokenRepositoryImpl.setDataSource(dataSource);
// 自动建表,第一次启动时需要,第二次启动时注释掉
// jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);
return jdbcTokenRepositoryImpl;
}
}
(3)配置remember-me,让记住我功能生效
package com.bjsxt.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;
@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private PersistentTokenRepository persistentTokenRepository;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/")//配置哪个页面是登录页面
.loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
.usernameParameter("username")//配置用户名参数名
.passwordParameter("password")//配置密码参数名
.successForwardUrl("/showMain")//登录成功转发到哪
.failureForwardUrl("/")//登录失败转发到哪
.successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
.failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪
http.authorizeRequests()
.antMatchers("/","/login").permitAll()//允许
.antMatchers("**").authenticated();//需要认证
/* anyRequest()等价于antMatchers("**") */
http.logout()
.logoutUrl("/abc")//哪个URl执行退出登录的功能
.logoutSuccessUrl("/");//退出登录后跳转到哪
/*http.csrf().disable();//禁用csrf*/
//配置rememberMe
http.rememberMe()
.userDetailsService(userDetailsService)
.tokenRepository(persistentTokenRepository);
}
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
在配置类中http.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。
(1)antMatcher():参数是不定向参数,每个参数是一个ant表达式,用于匹配URL规则。
(2)anyRequest():在之前认证过程中我们就已经使用过anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。
(3)regexMatchers():使用正则表达式进行匹配。和antMatchers()主要的区别就是参数,antMatchers()参数是ant表达式,regexMatchers()参数是正则表达式。
(1)permitAll():表示所匹配的URL任何人都允许访问。
(2)authenticated():表示所匹配的URL都需要被认证才能访问。
(3)anonymous():表示可以匿名访问匹配的URL,登录后不能访问。
(4)denyAll():表示所匹配的URL都不允许被访问。
(5)rememberMe():被“remember me”的用户允许访问
(6)fullyAuthenticated():如果用户不是被remember me的,才可以访问。
(1)hasAuthority(String):判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建User对象时指定的。
(2)hasAnyAuthority(String ...):如果用户具备给定权限中某一个,就允许访问。
(3)hasRole(String):如果用户具备给定角色就允许访问。否则出现403。
(4)hasAnyRole(String ...):如果用户具备给定角色的任意一个,就允许被访问
(5)hasIpAddress(String):如果请求是指定的IP就运行访问。
(1)新建类实现AccessDeniedHandler。
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
//这里写出现403异常后的操作
httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");
PrintWriter out = httpServletResponse.getWriter();
out.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员!\"}");
out.flush();
}
}
(2)配置类中重点添加异常处理器
@Autowired
private AccessDeniedHandler accessDeniedHandler;//异常处理
http.exceptionHandling()
.accessDeniedHandler(accessDeniedHandler);
(1)@Secured:是专门用于判断是否具有角色的。能写在方法或类上。@Secured参数要以ROLE_开头。
开启注解:在启动类(也可以在配置类等能够扫描的类上)上添加
@EnableGlobalMethodSecurity(securedEnabled = true)
(2)@PreAuthorize:表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解,注解的参数和access()方法参数取值相同,都是权限表达式。
@PostAuthorize:表示方法或类执行结束后判断权限,此注解很少被使用到。
开启注解:在启动类(也可以在配置类等能够扫描的类上)上添加
@EnableGlobalMethodSecurity(prePostEnabled = true)
(1)导入依赖
org.thymeleaf.extras
thymeleaf-extras-springsecurity5
3.0.4.RELEASE
(2)在html页面中引入thymeleaf命名空间和security命名空间
xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
Title
登录账号:123
登录账号:456
凭证:456
权限和角色:456
客户端地址:456
sessionId:456
通过权限判断:
通过角色判断: