Spring Security
# Spring Security
Spring Security 是 Spring 提供的安全认证服务的框架。 使用 Spring Security 可以帮助我们来简化认证和授权的过程。官网:https://spring.io/projects/spring-security
常用的权限框架除了 Spring Security,还有 Apache 的 shiro 框架。
# 入门案例
坐标
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.0.5.RELEASE</version>
</dependency>
1
2
3
4
5
6
7
8
9
10
2
3
4
5
6
7
8
9
10
配置 web.xml
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"://java.sun.com/dtd/web-app_2_3.dtd" >
<web-app>
<display-name>Archetype Created Web Application</display-name>
<filter>
<!--
DelegatingFilterProxy用于整合第三方框架
整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
否则会抛出NoSuchBeanDefinitionException异常
-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载 -->
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>*.do</url-pattern>
</servlet-mapping>
</web-app>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
配置 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc.xsd
http://code.alibabatech.com/schema/dubbo
http://code.alibabatech.com/schema/dubbo/dubbo.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--
http:用于定义相关权限控制
auto-config:是否自动配置
设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
设置为false时需要显示提供登录表单配置,否则会报错
use-expressions:用于指定intercept-url中的access属性是否使用表达式来描述权限
-->
<security:http auto-config="true" use-expressions="true">
<!--
intercept-url:定义一个拦截规则
pattern:对哪些url进行权限控制 /**表示拦截所有请求 /*只能 拦截/a.html /b.html 无法逻辑 /a/b/c.html
access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
请求的用户只需拥有其中的一个角色就能成功访问对应的URL
指定所需的访问角色或者访问权限 hasRole()为表达式 如果表达式没有开启则值直接为角色名称
-->
<security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
</security:http>
<!--
authentication-manager:认证管理器,用于处理认证操作
-->
<security:authentication-manager>
<!--
authentication-provider:认证提供者,执行具体的认证逻辑
-->
<security:authentication-provider>
<!--
user-service:用于获取用户信息,提供给authentication-provider进行认证
-->
<security:user-service>
<!--
user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息
{noop}:表示当前使用的密码为明文
-->
<security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
# 配置可匿名访问的资源
第一步:在项目中创建 pages 目录,在 pages 目录中创建 a.html 和 b.html
第二步:在 spring-security.xml 文件中配置,指定哪些资源可以匿名访问
<!-- 配置资源匿名访问
http:用于定义相关权限控制
指定哪些资源不需要进行权限校验,可以使用通配符
-->
<security:http security="none" pattern="/pages/a.html"/>
<security:http security="none" pattern="/pages/b.html"/>
<security:http security="none" pattern="/pages/**"/>
1
2
3
4
5
6
7
2
3
4
5
6
7
# 指定登陆页面
Spring Security 框架默认提供了登陆页面给我们,我们需要自定义为自己的登陆页面
配置匿名访问
<security:http security="none" pattern="/login.html" />1修改 spring-security.xml 文件,加入表单登录信息的配置 为 security:http 子标签
<!-- form-login:定义表单登录信息 login-page:登陆页面 username-parameter:用户输入框对应的name password-parameter:密码输入框对应的name login-processing-url:提交地址 default-target-url:成功后默认跳转地址 authentication-failure-url:失败后跳转页面 --> <security:form-login login-page="/login.html" username-parameter="username" password-parameter="password" login-processing-url="/login.do" default-target-url="/index.html" authentication-failure-url="/login.html"/>1
2
3
4
5
6
7
8
9
10
11
12
13
14
15修改 spring-security.xml 文件,关闭 CsrfFilter 过滤器 为 security:http 子标签
<!-- csrf:对应CsrfFilter过滤器 disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403) --> <security:csrf disabled="true"></security:csrf>1
2
3
4
5
# 从数据库查询用户信息
实现 UserDetailsService 接口 实现 loadUserByUsername 方法 获取到用户名
package com.itheima.service;
import com.itheima.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.Map;
public class SpringSecurityUserService implements UserDetailsService {
//模拟数据库中的用户数据
public static Map<String, User> map = new HashMap<>();
static {
com.itheima.pojo.User user1 = new com.itheima.pojo.User();
user1.setUsername("admin");
user1.setPassword("admin");
com.itheima.pojo.User user2 = new com.itheima.pojo.User();
user2.setUsername("xiaoming");
user2.setPassword("1234");
map.put(user1.getUsername(), user1);
map.put(user2.getUsername(), user2);
}
//根据用户名查询用户信息
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
System.out.println(s);
//根据用户名查询数据库获取用户信息(包含数据库中的信息)
User user = map.get(s);
if (user == null) {
//用户名不存在
return null;
}
//将用户信息返回给框架
//框架会进行密码比对(页面与数据库中查询的密码对比)
ArrayList<GrantedAuthority> list = new ArrayList<>();
//为当前登录用户授权 后期改为数据库中对应的权限
list.add(new SimpleGrantedAuthority("permission_A"));//授权
list.add(new SimpleGrantedAuthority("permission_B"));
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
org.springframework.security.core.userdetails.User security = new org.springframework.security.core.userdetails.User(s, "{noop}" + user.getPassword(), list);
//返回
return security;
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
bean 绑定
<!--
authentication-manager:认证管理器,用于处理认证操作
-->
<security:authentication-manager>
<!--
authentication-provider:认证提供者,执行具体的认证逻辑
user-service-ref 为user实现类的beanid
-->
<security:authentication-provider user-service-ref="userService">
</security:authentication-provider>
</security:authentication-manager>
<bean id="userService" class="com.itheima.service.SpringSecurityUserService"></bean>
1
2
3
4
5
6
7
8
9
10
11
12
13
2
3
4
5
6
7
8
9
10
11
12
13
# 密码加密
前面我们使用的密码都是明文的,这是非常不安全的。一般情况下用户的密码需要进行加密后再保存到数据库中。
常见的密码加密方式有:
3DES、AES、DES: 使用对称加密算法,可以通过解密来还原出原始密码
MD5、SHA1: 使用单向 HASH 算法,无法通过计算还原出原始密码,但是可以建立彩虹表进行查表破解
bcrypt: 将 salt 随机并混入最终加密后的密码,验证时也无需单独提供之前的 salt,从而无需单独处理 salt 问题
在 spring-security.xml 文件中指定密码加密对象
<security:authentication-manager> <!--追加 --> <security:password-encoder ref="passwordEncoder"/> </security:authentication-provider> </security:authentication-manager> <!--配置密码加密对象--> <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" /> <!--认证管理器,用于处理认证操作--> <security:authentication-manager> <!--认证提供者,执行具体的认证逻辑--> <security:authentication-provider user-service-ref="userService"> <!--指定密码加密策略--> <security:password-encoder ref="passwordEncoder" /> </security:authentication-provider> </security:authentication-manager> <!--开启spring注解使用--> <context:annotation-config></context:annotation-config>1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21修改 UserService 实现类
package com.itheima.service; import com.itheima.pojo.User; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import java.util.ArrayList; import java.util.HashMap; import java.util.Map; public class SpringSecurityUserService2 implements UserDetailsService { @Autowired private BCryptPasswordEncoder passwordEncoder; //模拟数据库中的用户数据 public Map<String, User> map = new HashMap<>(); public void initUserDate() { User user1 = new User(); user1.setUsername("admin"); user1.setPassword(passwordEncoder.encode("admin")); //使用bcrypt进行加密 User user2 = new User(); user2.setUsername("xiaoming"); user2.setPassword(passwordEncoder.encode("1234")); map.put(user1.getUsername(), user1); map.put(user2.getUsername(), user2); } //根据用户名查询用户信息 @Override public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { initUserDate(); System.out.println(s); //根据用户名查询数据库获取用户信息(包含数据库中的信息) User user = map.get(s); if (user == null) { //用户名不存在 return null; } //将用户信息返回给框架 //框架会进行密码比对(页面与数据库中查询的密码对比) ArrayList<GrantedAuthority> list = new ArrayList<>(); //为当前登录用户授权 后期改为数据库中对应的权限 list.add(new SimpleGrantedAuthority("permission_A"));//授权 list.add(new SimpleGrantedAuthority("permission_B")); list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色 org.springframework.security.core.userdetails.User security = new org.springframework.security.core.userdetails.User(s, user.getPassword(), list); //返回 return security; } }1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
# 配置多种校验规则
修改 spring-security.xml 文件:
<!--只要认证通过就可以访问-->
<security:intercept-url pattern="/index.jsp" access="isAuthenticated()" />
<security:intercept-url pattern="/a.html" access="isAuthenticated()" />
<!--拥有add权限就可以访问b.html页面-->
<security:intercept-url pattern="/b.html" access="hasAuthority('add')" />
<!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
<security:intercept-url pattern="/c.html" access="hasRole('ROLE_ADMIN')" />
<!--拥有ROLE_ADMIN角色就可以访问d.html页面,
注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_-->
<security:intercept-url pattern="/d.html" access="hasRole('ADMIN')" />
1
2
3
4
5
6
7
8
9
10
11
12
13
2
3
4
5
6
7
8
9
10
11
12
13
# 注解权限控制
在 spring-security.xml 文件中配置组件扫描,用于扫描 Controller
<mvc:annotation-driven></mvc:annotation-driven> <context:component-scan base-package="com.itheima.controller"></context:component-scan>1
2在 spring-security.xml 文件中开启权限注解支持
<!--开启注解方式权限控制--> <security:global-method-security pre-post-annotations="enabled" />1
2创建 Controller 类并在 Controller 的方法上加入注解进行权限控制 @PreAuthorize ()
package com.itheima.controller; import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.web.bind.annotation.RestController; import org.springframework.web.bind.annotation.RequestMapping; @RestController @RequestMapping("/hello") public class HelloController { @RequestMapping("/add") @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法 public String add(){ System.out.println("add..."); return "success"; } @RequestMapping("/delete") @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法 public String delete(){ System.out.println("delete..."); return "success"; } }1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# 退出登陆
在 spring-security.xml 文件 配置 为 security:http 子标签
<!--
logout:退出登录
logout-url:退出登录操作对应的请求路径
logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>
1
2
3
4
5
6
7
2
3
4
5
6
7
编辑 (opens new window)
上次更新: 2023/12/06, 01:31:48