SpringSecurity基础入门详解

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS PostgreSQL,集群系列 2核4GB
简介: SpringSecurity基础入门详解

【1】SpringSecurity是什么


Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。


正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。


(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录

(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。


SpringSecurity特点:


  • 和Spring无缝整合。
  • 全面的权限控制。
  • 专门为Web开发而设计。
  • 旧版本不能脱离Web环境使用。
  • 新版本对整个框架进行了分层抽取,分成了核心模块和Web模块。单独引入核心模块就可以脱离Web环境。
  • 重量级。


Apache旗下的轻量级权限控制框架Shiro


轻量级。Shiro主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。

通用性。

好处:不局限于Web环境,可以脱离Web环境使用。

缺陷:在Web环境下一些特定的需求需要手动编写代码定制。

Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。


相对于 Shiro,在 SSM 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。 自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。


因此,一般来说,常见的安全管理技术栈的组合是这样的:


SSM + Shiro

Spring Boot/Spring Cloud + Spring Security

① 主体

英文单词:principal

使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是谁使用系统谁就是主体。


② 认证

英文单词:authentication

权限管理系统确认一个主体的身份,允许主体进入系统。简单说就是“主体”证明自己是谁。笼统的认为就是以前所做的登录操作。


③ 授权

英文单词:authorization

将操作系统的“权力”“授予”“主体”,这样主体就具备了操作系统中特定功能的能力。所以简单来说,授权就是给用户分配权限。


【3】入门案例

创建一个基本工程,pom文件引入依赖如下:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>


编写controller,启动项目测试请求:

@GetMapping("hello")
public String hello() {
    return "hello security";
}

浏览器访问请求:http://localhost:8111/test/hello,此时会重定向到 http://localhost:8111/login 登录页面。

idea控制台,此时有打印的用户密码(用户名默认是user,密码每次自动生成):



登录之后,再次访问请求会放行。如上所示就是spring-security的一个基础表现,那么其实现原理以及如何在我们项目中使用呢?我们逐步学习。这里我们可以提前说一下,其本质就是一个过滤器链,有没有联想到哪种设计模式呢?


【4】UserDetailsService接口


当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。

如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:

package org.springframework.security.core.userdetails;
public interface UserDetailsService {
  //根据用户名检索得到用户信息
  UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}


UserDetails 接口如下所示:

// 表示获取登录用户所有权限 
Collection<? extends GrantedAuthority> getAuthorities(); 
// 表示获取密码 
String getPassword(); 
// 表示获取用户名 
String getUsername(); 
// 表示判断账户是否过期 
boolean isAccountNonExpired(); 
// 表示判断账户是否被锁定 
boolean isAccountNonLocked(); 
// 表示凭证{密码}是否过期 
boolean isCredentialsNonExpired(); 
// 表示当前用户是否可用 
boolean isEnabled();

其实现类如下所示,这里的org.springframework.security.core.userdetails.User就是我们要研究的核心。

【5】PasswordEncoder接口

上面我们看到user对象中密码是需要加密的,如何处理呢?就是使用PasswordEncoder接口。

加密接口,首选实现是BCryptPasswordEncoder。

public interface PasswordEncoder {
   // 按照某种规则进行加密
  String encode(CharSequence rawPassword);
//表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配,前者表示原始密码,后者是加密后的密码
  boolean matches(CharSequence rawPassword, String encodedPassword);
//表示如果加密的密码能够再次进行加密达到更安全的结果则返回true,否则返回false。
//默认返回false。
  default boolean upgradeEncoding(String encodedPassword) {
    return false;
  }
}


BCryptPasswordEncoder是Spring Security官方推荐的密码解析器,平时多使用这个解析器。


BCryptPasswordEncoder是对bcrypt强散列方法的具体实现。是基于Hash算法实现的单向加密。可以通过strength控制加密强度,默认10。


自定义实现加密接口

官方给了默认实现是BCryptPasswordEncoder,那么我们是否可以自定义实现呢?当然是可以的,重写encode和matches方法即可,如下所示。

@Component
public class DefaultPasswordEncoder implements PasswordEncoder {
    public DefaultPasswordEncoder() {
        this(-1);
    }
    public DefaultPasswordEncoder(int strength) {
    }
    //进行MD5加密
    @Override
    public String encode(CharSequence charSequence) {
        return MD5.encrypt(charSequence.toString());
    }
    //进行密码比对
    @Override
    public boolean matches(CharSequence charSequence, String encodedPassword) {
        return encodedPassword.equals(MD5.encrypt(charSequence.toString()));
    }
}

【6】设置登录的用户名和密码

通常有三种方式:


  • 通过配置文件
  • 编写配置类
  • 自定义实现类

① application.properties

也就是在配置文件配置用户名密码:

spring.security.user.name=jane
spring.security.user.password=123456


请求访问-跳转登录,输入配置的用户密码即可。这种场景通常是需要指定某个账号密码访问服务,比如eureka等访问。

② 编写配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123456");
        auth.inMemoryAuthentication().withUser("jane").password(password)
        .roles("admin");//假设角色是admin
    }
  //注入加密器实例
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}


如此就直接在配置类指定了用户名和密码,测试结果同上。

③ 自定义实现类

  • 修改配置类,设置使用哪个userDetailService实现类
  • 编写实现类,返回User对象,User对象有用户名密码和操作权限


修改配置类如下:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userDetailsService;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

自定义实现类如下:

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<GrantedAuthority> auths =
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale");
        //从查询数据库返回users对象,得到用户名和密码,返回
        return new User("jane",new BCryptPasswordEncoder().encode("123456"),auths);
    }
}

这里用户名和密码仍然是指定的,但是我们是不是可以升级为从数据库查询?

【7】集成MP查询数据库完成认证

也就是对【6】中第③进行升级,从数据库查询信息来完成认证。

① 引入依赖

<!--mybatis-plus-->
<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
</dependency>
<!--mysql-->
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>
<!--lombok用来简化实体类-->
<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
</dependency>

配置数据库信息:

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456

② 编写代码

实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
@TableName("sys_user")
public class SysUser {
    private Integer id;
    private String username;
    private String password;
}

对应数据库表信息:

CREATE TABLE `sys_user` (
  `id` bigint unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;

UserMapper

@Repository
public interface UserMapper extends BaseMapper<SysUser> {
}

修改自定义实现类:主启动类添加扫描注解

@Ma
@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //调用usersMapper方法,根据用户名查询数据库
        QueryWrapper<SysUser> wrapper = new QueryWrapper();
        // where username=?
        wrapper.eq("username",username);
        SysUser users = userMapper.selectOne(wrapper);
        //判断
        if(users == null) {//数据库没有用户名,认证失败
            throw  new UsernameNotFoundException("用户名不存在!");
        }
        List<GrantedAuthority> auths =
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale");
        //从查询数据库返回users对象,得到用户名和密码,返回
//return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword()),auths);
    //这种格式,数据库存储密码为明文
        return new User(users.getUsername(),users.getPassword(),auths); 
        //这种格式,数据库存储密码为密文       
    }
}

主启动类添加扫描注解

@MapperScan("com.jane.mapper")
@SpringBootApplication
public class Securitydemo1Application {
    public static void main(String[] args) {
        SpringApplication.run(Securitydemo1Application.class, args);
    }
}
目录
相关文章
|
6月前
|
安全 算法 Java
SpringSecurity 快速入门
SpringSecurity 快速入门
88 3
|
存储 缓存 安全
Shiro学习-基础入门介绍(一)
Shiro学习-基础入门介绍(一)
53 0
|
安全 Java 数据库
SpringSecurity 入门
Spring Security是Spring采用 `AOP`思想,基于 `servlet过滤器`实现的安全框架。它提供了完善的**认证机制**和**方法级的授权功能**。是一款非常优秀的权限管理框架。
87 0
|
5月前
|
Java 数据安全/隐私保护 Spring
SpringSecurity6从入门到实战之SpringSecurity快速入门
这篇文章是关于使用SpringSecurity 6进行快速入门的教程。首先介绍了所需的环境配置,包括SpringSecurity 6.0.8、SpringBoot 3.0.12和JDK 17。接着,通过步骤展示了如何创建一个新的SpringBoot工程,并添加Web支持。然后,运行工程并测试了Hello接口,确保其正常工作。之后,引入SpringSecurity依赖后,无需额外配置,系统即实现了基础的认证功能,自动重定向到登录页面。文章通过截图详细说明了这个过程,包括控制台日志、登录页面以及登录后的资源访问。
|
6月前
|
存储 安全 Java
SpringSecurity 从入门到精通
SpringSecurity 从入门到精通
|
存储 SQL 前端开发
SpringSecurity-从入门到精通(2)
2.3.3.2 密码加密存储 ​ 实际项目中我们不会把密码明文存储在数据库中。 ​ 默认使用的PasswordEncoder要求数据库中的密码格式为:{id}password 。它会根据id去判断密码的加密方式。但是我们一般不会采用这种方式。 ​ 所以就需要替换 PasswordEncoder。
|
存储 NoSQL Java
SpringSecurity-从入门到精通学习笔记2
SpringSecurity-从入门到精通学习笔记
52 0
|
安全 Java 数据库
SpringSecurity入门
SpringSecurity入门
101 0
|
存储 安全 NoSQL
SpringSecurity-从入门到精通(1)
0. 简介 ​ Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。
|
6月前
|
XML Java 应用服务中间件
SpringBoot基础入门
SpringBoot基础入门
下一篇
无影云桌面