一篇帶給你SpringBoot + Spring Security入門
這篇文章主要介紹了SpringBoot + Spring Security 簡單入門
一、Spring Security 基本介紹
這里就不對Spring Security進行過多的介紹了,具體的可以參考官方文檔
我就只說下SpringSecurity核心功能:
- 認證(你是誰)
- 授權(你能干什么)
- 攻擊防護(防止偽造身份)
二、基本環境搭建
這里我們以SpringBoot作為項目的基本框架,我這里使用的是maven的方式來進行的包管理,所以這里先給出集成Spring Security的方式
- <?xml version="1.0" encoding="UTF-8"?>
- <project xmlns="http://maven.apache.org/POM/4.0.0"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
- <parent>
- <artifactId>jeecg-boot-cloud-study</artifactId>
- <groupId>com.jeecg.cloud</groupId>
- <version>1.0.0</version>
- </parent>
- <modelVersion>4.0.0</modelVersion>
- <artifactId>jeecg-boot-security</artifactId>
- <dependencies>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-web</artifactId>
- </dependency>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-security</artifactId>
- </dependency>
- </dependencies>
- </project>
然后建立一個Web層請求接口
- @RestController
- @RequestMapping("/user")
- public class UserController {
- @GetMapping
- public String getUsers() {
- return "Hello Jeecg Spring Security";
- }
- }
接下來可以直接進行項目的運行,并進行接口的調用看看效果了。
三、通過網頁的調用
我們首先通過瀏覽器進行接口的調用,直接訪問http://localhost:8080/user,如果接口能正常訪問,那么應該顯示“Hello Jeecg Spring Security”。
但是我們是沒法正常訪問的,出現了下圖的身份驗證輸入框
這是因為在SpringBoot中,引入的Spring Security依賴,權限控制自動生效了,此時的接口都是被保護的,我們需要通過驗證才能正常的訪問。 Spring Security提供了一個默認的用戶,用戶名是user,而密碼則是啟動項目的時候自動生成的。
我們查看項目啟動的日志,會發現如下的一段Log
- Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c
當然你看到的password肯定和我是不一樣的,我們直接用user和啟動日志中的密碼進行登錄。
登錄成功后,就跳轉到了接口正常調用的頁面了。
如果不想一開始就使能Spring Security,可以在配置文件中做如下的配置:
- # security 使能
- security.basic.enabled = false
剛才看到的登錄框是SpringSecurity是框架自己提供的,被稱為httpBasicLogin。顯示它不是我們產品上想要的,我們前端一般是通過表單提交的方式進行用戶登錄驗證的,所以我們就需要自定義自己的認證邏輯了。
四、自定義用戶認證邏輯
每個系統肯定是有自己的一套用戶體系的,所以我們需要自定義自己的認證邏輯以及登錄界面。 這里我們需要先對SpringSecurity進行相應的配置
- package org.jeecg.auth.config;
- import org.springframework.context.annotation.Configuration;
- import org.springframework.security.config.annotation.web.builders.HttpSecurity;
- import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
- @Configuration
- public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
- @Override
- protected void configure(HttpSecurity http) throws Exception {
- http.formLogin() // 定義當需要用戶登錄時候,轉到的登錄頁面。
- .loginProcessingUrl("/user/login") // 自定義的登錄接口
- .and()
- .authorizeRequests() // 定義哪些URL需要被保護、哪些不需要被保護
- .anyRequest() // 任何請求,登錄后可以訪問
- .authenticated();
- }
- }
自定義密碼加密解密
- package org.jeecg.auth.config;
- import org.springframework.context.annotation.Bean;
- import org.springframework.security.crypto.password.PasswordEncoder;
- import org.springframework.stereotype.Component;
- @Component
- public class MyPasswordEncoder implements PasswordEncoder {
- @Override
- public String encode(CharSequence charSequence) {
- return charSequence.toString();
- }
- @Override
- public boolean matches(CharSequence charSequence, String s) {
- return s.equals(charSequence.toString());
- }
- }
接下來再配置用戶認證邏輯,因為我們是有自己的一套用戶體系的
- package org.jeecg.auth.config;
- import org.slf4j.Logger;
- import org.slf4j.LoggerFactory;
- import org.springframework.beans.factory.annotation.Autowired;
- import org.springframework.security.core.authority.AuthorityUtils;
- import org.springframework.security.core.userdetails.User;
- import org.springframework.security.core.userdetails.UserDetails;
- import org.springframework.security.core.userdetails.UserDetailsService;
- import org.springframework.security.core.userdetails.UsernameNotFoundException;
- import org.springframework.security.crypto.factory.PasswordEncoderFactories;
- import org.springframework.security.crypto.password.PasswordEncoder;
- import org.springframework.stereotype.Component;
- @Component
- public class MyUserDetailsService implements UserDetailsService {
- private Logger logger = LoggerFactory.getLogger(getClass());
- @Autowired
- private PasswordEncoder passwordEncoder;
- @Override
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- logger.info("用戶的用戶名: {}", username);
- // TODO 根據用戶名,查找到對應的密碼,與權限
- // 封裝用戶信息,并返回。參數分別是:用戶名,密碼,用戶權限
- User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
- return user;
- }
- }
這里我們沒有進行過多的校驗,用戶名可以隨意的填寫,但是密碼必須得是“123456”,這樣才能登錄成功。
同時可以看到,這里User對象的第三個參數,它表示的是當前用戶的權限,我們將它設置為”admin”。
我們這里隨便填寫一個user,然后Password寫填寫一個錯誤的(非123456)的。這時會提示校驗錯誤:
同時在控制臺,也會打印出剛才登錄時填寫的user
現在我們再來使用正確的密碼進行登錄試試,可以發現就會通過校驗,跳轉到正確的接口調用頁面了。
六、UserDetails
剛剛我們在寫MyUserDetailsService的時候,里面實現了一個方法,并返回了一個UserDetails。這個UserDetails 就是封裝了用戶信息的對象,里面包含了七個方法
- public interface UserDetails extends Serializable {
- // 封裝了權限信息
- Collection<? extends GrantedAuthority> getAuthorities();
- // 密碼信息
- String getPassword();
- // 登錄用戶名
- String getUsername();
- // 帳戶是否過期
- boolean isAccountNonExpired();
- // 帳戶是否被凍結
- boolean isAccountNonLocked();
- // 帳戶密碼是否過期,一般有的密碼要求性高的系統會使用到,比較每隔一段時間就要求用戶重置密碼
- boolean isCredentialsNonExpired();
- // 帳號是否可用
- boolean isEnabled();
- }
我們在返回UserDetails的實現類User的時候,可以通過User的構造方法,設置對應的參數
七、密碼加密解密
SpringSecurity中有一個PasswordEncoder接口
- public interface PasswordEncoder {
- // 對密碼進行加密
- String encode(CharSequence var1);
- // 對密碼進行判斷匹配
- boolean matches(CharSequence var1, String var2);
- }
我們只需要自己實現這個接口,并在配置文件中配置一下就可以了。
