SpringSecurity的编写流程

目录

主要流程： 

具体实现：

---

 

主要流程： 

（特殊）1、如果你需要返回json格式字符串，那么你首先需要编写相应的处理器，如果不需要则可直接写配置类

2、编写配置类

3、编写认证授权相关的mapper方法和service方法

4、编写认证和授权逻辑

        4.1、编写认证授权逻辑的类，实现UserDetailsService接口，重现loadUserByUserName方法

        提示：不要忘记将该类放入spring容器中，不然security无法使用该逻辑

        4.2、根据用户名查询用户

        4.3、根据用户名查询相关权限

        4.4、将用户的权限集合转换为security的权限集合

        4.5、构建UserDetails对象，放入用户名、密码、security权限集合

        4.6、返回构建好的UserDetails对象

5、编写鉴权配置

6、使用不同权限的用户登录，查看他们是否能访问这些接口

具体实现：

（特殊）1、如果你需要返回json格式字符串，那么你首先需要编写相应的处理器

提示：BaseResult是一个统一返回结果集，这里返回结果只是一个参考，因为我的业务时需要返回json格式字符串，具体处理器如何操作还是看业务

登录成功处理器

//登录成功处理器
public class MyLoginSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setContentType("text/json;charset=utf-8");
        BaseResult baseResult = new BaseResult(200,"登录成功",null);
        response.getWriter().write(JSON.toJSONString(baseResult));
    }
}

登录失败处理器

//登录失败处理器
public class MyLoginFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.setContentType("text/json;charset=utf-8");
        BaseResult baseResult = new BaseResult(402,"用户名或密码错误",null);
        response.getWriter().write(JSON.toJSONString(baseResult));
    }
}

注销成功处理器

//登出成功处理器
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setContentType("text/json;charset=utf-8");
        BaseResult baseResult = new BaseResult(200,"注销成功",null);
        response.getWriter().write(JSON.toJSONString(baseResult));
    }
}

未登录处理器

//未登录处理器
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setContentType("text/json;charset=utf-8");
        BaseResult baseResult = new BaseResult(401,"用户未登录",null);
        response.getWriter().write(JSON.toJSONString(baseResult));
    }
}

权限不足处理器

//权限不足处理器
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setContentType("text/json;charset=utf-8");
        BaseResult baseResult = new BaseResult(403,"权限不足",null);
        response.getWriter().write(JSON.toJSONString(baseResult));
    }
}

2、编写配置类

提示1：编写配置类的时候不要忘了PasswordEncoder密码解析器

提示2：登录请求一定要是post请求，否则无法请求无法到达

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //登录配置
        http.formLogin()
                .usernameParameter("username")//登录用户名项
                .passwordParameter("password")//登录密码项
                .loginProcessingUrl("/admin/login")//登录提交路径
                .successHandler(new MyLoginSuccessHandler())//登录成功处理器
                .failureHandler(new MyLoginFailureHandler());//登录失败处理器

        //权限拦截器配置
        http.authorizeRequests()
                .antMatchers("/login").permitAll()//登录页面不用拦截
                .antMatchers("/admin/login").permitAll()//登录路径不用拦截
                .anyRequest().authenticated();//其他路径都要拦截

        //注销配置
        http.logout()
                .logoutUrl("/admin/logout")//注销提交路径
                .logoutSuccessHandler(new MyLogoutSuccessHandler())//注销成功处理器
                .invalidateHttpSession(true)//清除session
                .clearAuthentication(true);//清除认证状态

        //异常处理
        http.exceptionHandling()
                .accessDeniedHandler(new MyAccessDeniedHandler())//权限不足处理器
                .authenticationEntryPoint(new MyAuthenticationEntryPoint());//未登录处理器

        //关闭csrf防护
        http.csrf().disable();

        //开启跨域访问
        http.cors();
    }
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

 

3、编写认证授权相关的mapper方法和service方法，具体跟业务相关

4、编写认证和授权逻辑

编写逻辑的时候需要使用到认证和授权相关的mapper和service，所以我们需要引入service，service中使用了相关mapper

具体流程：

1、编写认证授权逻辑的类，实现UserDetailsService接口，重现loadUserByUserName方法

        提示：不要忘记将该类放入spring容器中，不然security无法使用该逻辑

2、根据用户名查询用户

3、根据用户名查询相关权限

4、将用户的权限集合转换为security的权限集合

（这个Permission.getUrl()很重要，它就是用户拥有的权限所对应的url，后期我们编写鉴权配置的时候就是通过这个url去判断该用户是否有对应权限的）

5、构建UserDetails对象，放入用户名、密码、security权限集合

6、返回构建好的UserDetails对象

//认证和授权逻辑
@Service
public class MyUserDetailsService implements UserDetailsService {
    @DubboReference //需要使用到认证授权相关的mapper和service
    private AdminService adminService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询用户
        Admin admin = adminService.findByUserName(username);
        if(admin == null){
            throw new UsernameNotFoundException("用户未找到");
        }
        //根据用户名查询权限
        List permissions = adminService.findAllPermission(username);
        //将我的权限集合转为security的权限集合
        List grantedAuthorities = new ArrayList<>();
        for (Permission permission:permissions) {
            //拿出权限中的url,方便日后的鉴权
            grantedAuthorities.add(new SimpleGrantedAuthority(permission.getUrl()));
        }
        UserDetails userDetails = User
                .withUsername(admin.getUsername())
                .password(admin.getPassword())
                .authorities(grantedAuthorities)
                .build();
        return userDetails;
    }
}

5、编写鉴权配置

        1、在启动类上方开启注解配置访问权限

@SpringBootApplication(exclude = DataSourceAutoConfiguration.class)
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ShoppingManagerApiApplication {

    public static void main(String[] args) {
        SpringApplication.run(ShoppingManagerApiApplication.class, args);
    }

}
 

        2、在相关控制器上方添加注解，配置需要有的权限

/**
     * 分页查询管理员
     * @param page 页数
     * @param size 每页条数
     * @return vo
     */
    @PreAuthorize("hasAnyAuthority('/admin/search')")
    @GetMapping("/search")
    public BaseResult> search(int page,int size){
        Page adminPage = adminService.search(page, size);
        return BaseResult.ok(adminPage);
    }

通过这个注解就会自动判断，当前登录的用户是否有/admin/search权限，这些权限的url都是我们在认证和授权逻辑的时候放入的

6、使用不同权限的用户登录，查看他们是否能访问这些接口