SpringSecurity源码学习(一)
一、前言
本文是参考了胖哥(https://felord.blog.csdn.net/?type=blog)的博客,记录学习过程中自己的一些理解;笔者争取写的通俗易懂,希望对你有所帮助。
二、SpringSecurity简介
正如框架的名字SpringSecurity,可以拆分为两部分:Spring+Security,可以简单的总结SpringSecurity是一个依托于Spring的负责安全方面的框架。
说到安全就不得不提到两个概念,认证(authentication)和授权(authorization),这是两个非常容易混淆的概念。所谓认证指的是“你是谁”,授权则是“你能干嘛”。借用一下胖哥在博客中的例子:
认证:通过身份证去购买火车票,这里的身份证就是认证;让人家知道你是谁
授权:因为买到了火车票,所以你可以坐火车,这里的火车票就是授权的凭证。
三、环境搭建
完整的项目依赖如下
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0modelVersion>
<groupId>com.examplegroupId>
<artifactId>learn-securityartifactId>
<version>0.0.1-SNAPSHOTversion>
<name>learn-securityname>
<description>Demo project for Spring Bootdescription>
<properties>
<java.version>1.8java.version>
<project.build.sourceEncoding>UTF-8project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8project.reporting.outputEncoding>
<spring-boot.version>2.3.7.RELEASEspring-boot.version>
properties>
<dependencies>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-actuatorartifactId>
dependency>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-securityartifactId>
dependency>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-webartifactId>
dependency>
<dependency>
<groupId>org.projectlombokgroupId>
<artifactId>lombokartifactId>
<optional>trueoptional>
dependency>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-testartifactId>
<scope>testscope>
<exclusions>
<exclusion>
<groupId>org.junit.vintagegroupId>
<artifactId>junit-vintage-engineartifactId>
exclusion>
exclusions>
dependency>
<dependency>
<groupId>org.springframework.securitygroupId>
<artifactId>spring-security-testartifactId>
<scope>testscope>
dependency>
dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-dependenciesartifactId>
<version>${spring-boot.version}version>
<type>pomtype>
<scope>importscope>
dependency>
dependencies>
dependencyManagement>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.pluginsgroupId>
<artifactId>maven-compiler-pluginartifactId>
<version>3.8.1version>
<configuration>
<source>1.8source>
<target>1.8target>
<encoding>UTF-8encoding>
configuration>
plugin>
<plugin>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-maven-pluginartifactId>
<version>2.3.7.RELEASEversion>
<configuration>
<mainClass>com.example.learnsecurity.LearnSecurityApplicationmainClass>
configuration>
<executions>
<execution>
<id>repackageid>
<goals>
<goal>repackagegoal>
goals>
execution>
executions>
plugin>
plugins>
build>
project>
四、第一个Demo
由于是使用Springboot项目,所以直接从启动类启动即可。当我们启动项目的并输入地址(本demo端口为8081)
同时在控制台中输出了一串密码
可以看到这一串字符串是由UserDetailsServiceAutoConfiguration这个类输出的,从这个类的名字就可以大致的看出这个类是一个自动装配的类。(自动装配是Springboot的一种Bean装在的机制,SpringBoot会在容器启动的时候将该对象加载到IOC容器中)这一点也可已从Spring.factories文件中得以作证。
1、第一个关键类:UserDetailsServiceAutoConfiguration
UserDetailsServiceAutoConfiguration的全限定名为:org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration
先不管这些乱七八糟的注解,单看方法本身,该方法返回了一个InMemoryUserDetailsManager的对象,从名字中可以看出该类是基于内存的用户管理器,进入该类:
2、第二个关键的接口:UserDetailsManager
可以看到InMemoryUserDetailsManager实现了两个接口UserDetailsManager以及UserDetailsPasswordService,顾名思义这两个类分别是用于管理用户信息和管理密码的;再次进入UserDetailsManager:
UserDetaisManager这个接口中定义了对用户的增删改查操作,同时它也继承了UserDetailsService(重点)接口,再回到上面的UserDetailsServiceAutoConfiguration这个类,这个类上面有一些列的注解,其中有一个关键的注解
这个注解的意思就是当Spring容器中没有UserDetailsService这个类(其实指的是该接口的具体实现类),才会加载UserDetailsServiceAutoConfiguration,换句话说如果IOC容器中存在UserDetailsService的实现类,那么该自动装配类就不会被加载,那结果是这样吗?我们自定义一个实现类。(当然可以是实现UserDetaisManager接口,因为UserDetaisManager也实现了UserDetailsService接口;)
3、自定义UserDetailsService实现类
@Configuration
public class MyUserDetailsService implements UserDetailsService {
/**
* 密码编码器,从SpringSecurity5.0后,必须对密码进行加密,不能使用明文
*/
@Autowired
private PasswordEncoder passwordEncoder;
/**
* 根据用户名查询用户
*
* @param username
* @return
* @throws UsernameNotFoundException
*/
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
/**
* 自定义一个用户,参数从左到右依次为 用户名、密码、是否可用、账号是否过期、凭证是否过期、账号是否锁定、角色
*/
return new User("hardy", passwordEncoder.encode("123456"), true, true, true, true,
AuthorityUtils.commaSeparatedStringToAuthorityList("roleA,roleB"));
}
}
再次启动项目会发现控制台并没有打印密码,然后再打开登录界面,输入我们自定义的账号和密码;
登录成功,虽然返回了404(因为目前并没有接口)
五、小结
今天的文章内容比较简单,简单的了解了一下SpringSecurity中是如何自动创建用户,以及如何自定义创建用户。之后的文章会循序渐进的从使用层面入手结合源码进行分析。希望对你有所帮助