【1】SpringSecurity是什么
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录
(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。
SpringSecurity特点:
- 和Spring无缝整合。
- 全面的权限控制。
- 专门为Web开发而设计。
- 旧版本不能脱离Web环境使用。
- 新版本对整个框架进行了分层抽取,分成了核心模块和Web模块。单独引入核心模块就可以脱离Web环境。
- 重量级。
Apache旗下的轻量级权限控制框架Shiro
轻量级。Shiro主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。
通用性。
好处:不局限于Web环境,可以脱离Web环境使用。
缺陷:在Web环境下一些特定的需求需要手动编写代码定制。
Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。
相对于 Shiro,在 SSM 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。 自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。
因此,一般来说,常见的安全管理技术栈的组合是这样的:
SSM + Shiro
Spring Boot/Spring Cloud + Spring Security
① 主体
英文单词:principal
使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是谁使用系统谁就是主体。
② 认证
英文单词:authentication
权限管理系统确认一个主体的身份,允许主体进入系统。简单说就是“主体”证明自己是谁。笼统的认为就是以前所做的登录操作。
③ 授权
英文单词:authorization
将操作系统的“权力”“授予”“主体”,这样主体就具备了操作系统中特定功能的能力。所以简单来说,授权就是给用户分配权限。
【3】入门案例
创建一个基本工程,pom文件引入依赖如下:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
编写controller,启动项目测试请求:
@GetMapping("hello") public String hello() { return "hello security"; }
浏览器访问请求:http://localhost:8111/test/hello
,此时会重定向到 http://localhost:8111/login
登录页面。
idea控制台,此时有打印的用户密码(用户名默认是user,密码每次自动生成):
登录之后,再次访问请求会放行。如上所示就是spring-security的一个基础表现,那么其实现原理以及如何在我们项目中使用呢?我们逐步学习。这里我们可以提前说一下,其本质就是一个过滤器链,有没有联想到哪种设计模式呢?
【4】UserDetailsService接口
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。
如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:
package org.springframework.security.core.userdetails; public interface UserDetailsService { //根据用户名检索得到用户信息 UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; }
UserDetails 接口如下所示:
// 表示获取登录用户所有权限 Collection<? extends GrantedAuthority> getAuthorities(); // 表示获取密码 String getPassword(); // 表示获取用户名 String getUsername(); // 表示判断账户是否过期 boolean isAccountNonExpired(); // 表示判断账户是否被锁定 boolean isAccountNonLocked(); // 表示凭证{密码}是否过期 boolean isCredentialsNonExpired(); // 表示当前用户是否可用 boolean isEnabled();
其实现类如下所示,这里的org.springframework.security.core.userdetails.User
就是我们要研究的核心。
【5】PasswordEncoder接口
上面我们看到user对象中密码是需要加密的,如何处理呢?就是使用PasswordEncoder接口。
加密接口,首选实现是BCryptPasswordEncoder。
public interface PasswordEncoder { // 按照某种规则进行加密 String encode(CharSequence rawPassword); //表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配,前者表示原始密码,后者是加密后的密码 boolean matches(CharSequence rawPassword, String encodedPassword); //表示如果加密的密码能够再次进行加密达到更安全的结果则返回true,否则返回false。 //默认返回false。 default boolean upgradeEncoding(String encodedPassword) { return false; } }
BCryptPasswordEncoder是Spring Security官方推荐的密码解析器,平时多使用这个解析器。
BCryptPasswordEncoder是对bcrypt强散列方法的具体实现。是基于Hash算法实现的单向加密。可以通过strength控制加密强度,默认10。
自定义实现加密接口
官方给了默认实现是BCryptPasswordEncoder,那么我们是否可以自定义实现呢?当然是可以的,重写encode和matches方法即可,如下所示。
@Component public class DefaultPasswordEncoder implements PasswordEncoder { public DefaultPasswordEncoder() { this(-1); } public DefaultPasswordEncoder(int strength) { } //进行MD5加密 @Override public String encode(CharSequence charSequence) { return MD5.encrypt(charSequence.toString()); } //进行密码比对 @Override public boolean matches(CharSequence charSequence, String encodedPassword) { return encodedPassword.equals(MD5.encrypt(charSequence.toString())); } }
【6】设置登录的用户名和密码
通常有三种方式:
- 通过配置文件
- 编写配置类
- 自定义实现类
① application.properties
也就是在配置文件配置用户名密码:
spring.security.user.name=jane spring.security.user.password=123456
请求访问-跳转登录,输入配置的用户密码即可。这种场景通常是需要指定某个账号密码访问服务,比如eureka等访问。
② 编写配置类
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String password = passwordEncoder.encode("123456"); auth.inMemoryAuthentication().withUser("jane").password(password) .roles("admin");//假设角色是admin } //注入加密器实例 @Bean PasswordEncoder password() { return new BCryptPasswordEncoder(); } }
如此就直接在配置类指定了用户名和密码,测试结果同上。
③ 自定义实现类
- 修改配置类,设置使用哪个userDetailService实现类
- 编写实现类,返回User对象,User对象有用户名密码和操作权限
修改配置类如下:
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(password()); } @Bean PasswordEncoder password() { return new BCryptPasswordEncoder(); } }
自定义实现类如下:
@Service("userDetailsService") public class MyUserDetailsService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale"); //从查询数据库返回users对象,得到用户名和密码,返回 return new User("jane",new BCryptPasswordEncoder().encode("123456"),auths); } }
这里用户名和密码仍然是指定的,但是我们是不是可以升级为从数据库查询?
【7】集成MP查询数据库完成认证
也就是对【6】中第③进行升级,从数据库查询信息来完成认证。
① 引入依赖
<!--mybatis-plus--> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> </dependency> <!--mysql--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> <!--lombok用来简化实体类--> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>
配置数据库信息:
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/security?serverTimezone=GMT%2B8 spring.datasource.username=root spring.datasource.password=123456
② 编写代码
实体类
@Data @AllArgsConstructor @NoArgsConstructor @TableName("sys_user") public class SysUser { private Integer id; private String username; private String password; }
对应数据库表信息:
CREATE TABLE `sys_user` ( `id` bigint unsigned NOT NULL AUTO_INCREMENT, `username` varchar(255) DEFAULT NULL, `password` varchar(255) DEFAULT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;
UserMapper
@Repository public interface UserMapper extends BaseMapper<SysUser> { }
修改自定义实现类:主启动类添加扫描注解
@Ma
@Service("userDetailsService") public class MyUserDetailsService implements UserDetailsService { @Autowired private UserMapper userMapper; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //调用usersMapper方法,根据用户名查询数据库 QueryWrapper<SysUser> wrapper = new QueryWrapper(); // where username=? wrapper.eq("username",username); SysUser users = userMapper.selectOne(wrapper); //判断 if(users == null) {//数据库没有用户名,认证失败 throw new UsernameNotFoundException("用户名不存在!"); } List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale"); //从查询数据库返回users对象,得到用户名和密码,返回 //return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword()),auths); //这种格式,数据库存储密码为明文 return new User(users.getUsername(),users.getPassword(),auths); //这种格式,数据库存储密码为密文 } }
主启动类添加扫描注解
@MapperScan("com.jane.mapper") @SpringBootApplication public class Securitydemo1Application { public static void main(String[] args) { SpringApplication.run(Securitydemo1Application.class, args); } }