springboot-springsecurity小记

spring security 优秀得权限控制框架 针对RABC原则设计核心功能:

认证(你是谁)

授权(你能干什么)

攻击防护(防止伪造身份)

核心组件:

SecurityContextHolder

用于存储应用程序安全上下文(Spring Context)的详细信息,如当前操作的用户对象信息、认证状态、角色权限信息等。默认情况下,SecurityContextHolder 会使用 ThreadLocal 来存储这些信息,意味着安全上下文始终可用于同一执行线程中的方法。

获取有关当前用户的信息

因为身份信息与线程是绑定的,所以可以在程序的任何地方使用静态方法获取用户信息。例如获取当前经过身份验证的用户的名称,代码如下:

Object principal =SecurityContextHolder.getContext().getAuthentication().getPrincipal();if(principal instanceof UserDetails) {    String username = ((UserDetails)principal).getUsername();}else{    String username = principal.toString();}

其中,getAuthentication() 返回认证信息,getPrincipal() 返回身份信息,UserDetails 是对用户信息的封装类。

Authentication

认证信息接口,集成了 Principal 类。该接口中方法如下:

接口方法功能说明

getAuthorities()获取权限信息列表,默认是 GrantedAuthority 接口的一些实现类,通常是代表权限信息的一系列字符串

getCredentials()获取用户提交的密码凭证,用户输入的密码字符窜,在认证过后通常会被移除,用于保障安全

getDetails()获取用户详细信息,用于记录 ip、sessionid、证书序列号等值

getPrincipal()获取用户身份信息,大部分情况下返回的是 UserDetails 接口的实现类,是框架中最常用的接口之一

AuthenticationManager

认证管理器,负责验证。认证成功后,AuthenticationManager 返回一个填充了用户认证信息(包括权限信息、身份信息、详细信息等,但密码通常会被移除)的 Authentication 实例。然后再将 Authentication 设置到 SecurityContextHolder 容器中。

AuthenticationManager 接口是认证相关的核心接口,也是发起认证的入口。但它一般不直接认证,其常用实现类 ProviderManager 内部会维护一个 List 列表,存放里多种认证方式,默认情况下,只需要通过一个 AuthenticationProvider 的认证,就可被认为是登录成功。

Springboot -Spring Security 相关集成
1.引入对应依赖


配置Spring securoty 核心配置

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Resource

  private UserDetailsService userDetailsService; //自定义用户详情实现spring security UserDetailService接口

@Bean

  public PasswordEncoder passwordEncoder() { //Spring security 密码加密器 使用不同得密钥加密

return new BCryptPasswordEncoder();

}

@Override

  protected void configure(HttpSecurity http)throws Exception {

//禁用csrf

    http.csrf().disable().headers().frameOptions().disable().and();

//配置无需验证Url

    http.authorizeRequests().antMatchers("/login","/login.html").permitAll();

    //配置除无需验证得URL外所有得URL必须要经过验证,并且当前用户拥有相应得权限点匹配上才可访问  
  http.authorizeRequests().anyRequest().access("@permissionService.hasPermission(request,authentication)").and();

//配置登录登陆请求,更改默认得参数,配置登录成功处理得Handler,和登录失败得Handler。

    http.formLogin().loginPage("/login").loginProcessingUrl("/login").usernameParameter("userName").passwordParameter("password").successHandler(new AuthenticationSuccessHandler() {

@Override

      public void onAuthenticationSuccess(HttpServletRequest request,

HttpServletResponse response,Authentication authentication)

throws IOException {

HttpSession session =request.getSession();

session.setAttribute("userInfo","测试用户信息");

response.setContentType("application/json;charset-utf-8");

PrintWriter printWriter =response.getWriter();

printWriter.write("{\"code\":00000,\"message\":\"登录成功\"}");

printWriter.close();

}

}).failureHandler(new AuthenticationFailureHandler() {

@Override

      public void onAuthenticationFailure(HttpServletRequest request,

HttpServletResponse response,AuthenticationException e)

throws IOException {

response.setContentType("application/json;charset-utf-8");

PrintWriter printWriter =response.getWriter();

printWriter.write("{\"code\":40000,\"message\":\"用户名密码错误\"}");

printWriter.close();

}
//配置异常处理Handler 

}).permitAll().and().exceptionHandling().accessDeniedHandler(//没有权限处理异常,登录成功之后,无权限才会触发该Handler

        new AccessDeniedHandler() {

@Override

          public void handle(HttpServletRequest request,

HttpServletResponse response,AccessDeniedException e)

throws IOException,ServletException {

response.setContentType("application/json;charset=utf-8");

PrintWriter printWriter =response.getWriter();

printWriter.write("{\"code\":40001,\"message\":\"无权限\"}");

printWriter.close();

}

//未登录处理异常Handler
}).authenticationEntryPoint(new AuthenticationEntryPoint() {//未登录处理异常

      @Override

      public void commence(HttpServletRequest httpServletRequest,

HttpServletResponse response,AuthenticationException e)

throws IOException,ServletException {

response.setContentType("application/json;charset=utf-8");

PrintWriter printWriter =response.getWriter();

printWriter.write("{\"code\":40002,\"message\":\"未登录\"}");

printWriter.close();

}

});

}

//配置登录认证

@Override

  protected void configure(AuthenticationManagerBuilder auth)throws Exception {

auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());

}



实现Spring Security UserDetailService接口,可实现数据库版本


//可自定义实现权限点鉴权

你可能感兴趣的:(springboot-springsecurity小记)