SpringSecurity前传--与springboot2.0初步集成

  相信大家都知道登录功能,初级程序员的脑海里面就是账号,密码,登录按钮然后到后台数据库查询一下信息就OK了。但其实登录没有这么简单,因为:

1.我们所面临的登录认证模式很复杂

  • 1.1短信的登录
  • 1.2微信的登录
  • 1.3QQ的登录

2.我们要支持多种前端渠道

  • 2.1网页登录
  • 2.2APP登录

3.支持集群环境,跨应用工作,Session控制,控制用户权限,说防护与身份认证相关的攻击

  认证和授权如此复杂,因此也诞生了作者对SpringSecurity系列的学习。本系列将主要从SpringSecurity,Spring Social,Spring Security OAuth来给大家进行讲解。其中SpringSecurity作为底层的实现,我将在后面的文章中讲解它是如何实现用户名+密码认证和手机号+短信认证的。Spring Social主要用于第三方认证,比如QQ,微信的接入。APP和后端服务器通讯的时候无法存储Session的问题,所以我们采用token的方式来存储登录用户的认证信息。使用Spring Security OAuth来创建、分发、管理Token信息。


4.开始开发

4.1代码架构

代码结构

4.1.1工程图:

4.1.2imooc-security

  主模块,只有pom文件,用于打包和发布


        
            
                io.spring.platform
                platform-bom
                Cairo-SR7
                pom
                import
            
            
                org.springframework.cloud
                spring-cloud-dependencies
                Finchley.RELEASE
                pom
                import
            
        
    
    
        
            
                org.apache.maven.plugins
                maven-compiler-plugin
                2.3.2
                
                    1.8
                    1.8
                    UTF-8
                
            
        
    
    
        ../imooc-security-app
        ../imooc-security-browser
        ../imooc-security-core
        ../imooc-security-demo
    

  这里引入了spring-cloud以及io.spring.platform的相关东西,io.spring.platform的好处是可以帮助我们在引入类似hibernate和spring的包的时候可以不用考虑版本不兼容的问题。最后的modules,引入了图中的其他4个模块。

4.1.3imooc-security-core

  存放核心登录逻辑,在本篇文章中,我们主要是先让我们的工程跑起来,还不会把具体的代码放进去,我会在后续的文章中渐进式的将相关代码逻辑放进去。

4.1.3.1pom.xml

    
        
            org.springframework.cloud
            spring-cloud-starter-oauth2
        
        
            org.springframework.boot
            spring-boot-starter-data-redis
        
        
            org.springframework.boot
            spring-boot-starter-jdbc
        
        
            mysql
            mysql-connector-java
        
        
            org.springframework.social
            spring-social-config
        
        
            org.springframework.social
            spring-social-core
        
        
            org.springframework.social
            spring-social-security
        
        
            org.springframework.social
            spring-social-web
        
        
            commons-lang
            commons-lang
        
        
            commons-collections
            commons-collections
        
        
            commons-beanutils
            commons-beanutils
        
        
            org.springframework.boot
            spring-boot-configuration-processor
        
    
    
        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    

这里面我们放入了对redis操作的相关包,更重要的是放入了spring-social,spring-security的相关依赖。

4.1.4imooc-security-app

依赖了imooc-security-core,所以它的pom.xml很简单

    
        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    
    
        
            com.imooc.security
            imooc-security-core
            ${imooc.security.version}
        
    

4.1.4imooc-security-browser


        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    
    
        
            com.imooc.security
            imooc-security-core
            ${imooc.security.version}
        
        
            org.springframework.session
            spring-session-data-redis
        
        
    

  browser除了依赖core还依赖了spring-session-data-redis,这样我们就可以把session存放到redis中,并在redis中对session里面的内容作操作。为什么app不放这个引用呢。前面我们说了,app和后台交互的时候,是没有session的,是通过token来管理的。

4.1.5imooc-security-demo

4.1.5.1pom.xml

    
        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    
    
        
            com.imooc.security
            imooc-security-browser
            ${imooc.security.version}
        
    
    
        
            
                org.springframework.boot
                spring-boot-maven-plugin
                1.3.3.RELEASE
                
                    
                        
                            repackage
                        
                    
                
            
        
        demo
    

这里我们暂时先引入browser,后期在讲token方面的东西的时候会引入app,另外我们这里还加入了spring-boot-maven-plugin,让我们打包成可运行的jar包,如果说大家不加后面的build,可以看到你打出来的jar包是没有把相关的依赖放进去的,是没法直接执行的。

4.1.5.2DemoApplication

@SpringBootApplication
@RestController
@EnableAutoConfiguration(exclude = {
        org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class
})
public class DemoApplication {
    public static void main(String[] args) {
        try {
            SpringApplication.run(DemoApplication.class, args);
        } catch (Exception e) {
            e.printStackTrace();
        } catch(Error e) {
            e.printStackTrace();
        }
    }

    @GetMapping("/helloword")
    public String helloword() {
        return "hello spring security";

    }
}

用过SpringBoot的同学应该很熟悉这段配置了,这里我主要讲一下@EnableAutoConfiguration这个注解为什么要加在头上,如果不加,我们直接运行我们的工程,然后访问helloword,我们会看到下面的示意图:


默认配置

这样会让我们输入用户名和密码,加上了这段注解后,就会看到浏览器上现实hello spring security,如图所示:


不验证

现在我们使用的是spring-boot2.0之后的版本,以前的版本中,我们可以在application.properties中写上security.basic.enable=false来达到同样的效果。

4.1.5.3application.properties

spring.datasource.driver-class-name = com.mysql.jdbc.Driver
spring.datasource.url= jdbc:mysql://127.0.0.1:3306/test?useUnicode=yes&characterEncoding=UTF-8&useSSL=false
spring.datasource.username = 
spring.datasource.password = 
spring.session.store-type=none
#security.basic.enabled=false

在这里我们加入了对数据库的配置,如果不加,我们的springBoot会因为引入了spring-boot-starter-jdbc报错,为什么引入spring.session.store-type=none,这是因为我们引入了spring-boot-starter-data-redis,spring-session-data-redis,我们要把session放入redis中,但是现在我们还没有搭建redis,为了让我们的工程跑起来,所以我们这里设置为none。
  本篇文章,我们主要是使用spring-boot2.0先把基本框架搭建好,后面的文章中,我们将深入讲解其他内容。

你可能感兴趣的:(SpringSecurity前传--与springboot2.0初步集成)