SpringSecurity的学习与使用

Spring Security 的学习与使用

本文的

1.Spring Security 简介

Spring Security本质是一个过滤器链，有很多过滤器

2.SpringSecurity的过滤器加载过程

使用SpringSecurity配置过滤器

核心类： DelegatingFilterProxy

• 首先进入 DelegatingFilterProxy 的 doFilter() 方法中


• 然后在这个方法中有这样一个 delegateToUse = initDelegate(wac);


• 跟进去这个方法，可以看到这样一个 Filter delegate = wac.getBean(targetBeanName, Filter.class); ，这个获取的就是 FilterChainProxy


• FilterChainProxy 中的 doFilter() 方法会调用 doFilterInternal() 方法，而这个方法中的 List filters = getFilters(fwRequest); 会获取Filter的集合并执行

3.SpringSecurity的两个核心接口

这两个接口是用来给我们自定义去开发的入口。

3.1 UserDetailsService

查询用户名密码的逻辑放在这个接口中。

具体的实现逻辑

• 创建类继承UsernamePasswordAuthenticationFilter，并重写其中的 attemptAuthentication() 以及再上一级父类中的成功 successfulAuthentication() 和失败 unsuccessfulAuthentication 的方法.


• 创建类实现 UserDetailsService ,编写查询数据过程，返回User对象，这个User对象是安全框架中定义的对象。

3.2 PasswordEncoder

用于加密的接口，在上面返回的User对象中的password字段可以使用这个官方的加密方法，SpringSecurity只支持这种加密方式。

4.SpringSecurity的权限方案-认证授权

认证就是用户名密码验证，有三种方案：通过配置文件、通过配置类、通过自定义编写 UserDetailsService 的实现类。

• 通过配置文件，直接在 application.properties 文件中添加配置即可。

spring.security.user.name=hello
spring.security.user.password=world

• 通过配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
String password = passwordEncoder.encode("ppp");
auth.inMemoryAuthentication().withUser("qqq").password(password).roles("admin");
}
/**
* 这里使用的时候如果不声明这个bean，上面使用加密的地方会报错
* 所以这里要注册一个这个bean
* @return
*/
@Bean
PasswordEncoder password(){
return new BCryptPasswordEncoder();
}
}

• 自定义实现类（常用）

在SpringSecurity中，会先去找配置文件和配置类，如果找到则使用，如果找不到，则会去找 UserDetailsService 的实现类

step1: 创建配置类，设置使用哪个 UserDetailsService 实现类

/**
* @Author: njitzyd
* @Date: 2020/11/1 22:57
* @Description: 使用自定义的实现完成securityConfig
* @Version 1.0.0
*/
@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(password());
}
/**
* 这里使用的时候如果不声明这个bean，上面使用加密的地方会报错
* 所以这里要注册一个这个bean
* @return
*/
@Bean
PasswordEncoder password(){
return new BCryptPasswordEncoder();
}
}

step2: 编写实现类，返回User对象，User对象有用户名密码和操作权限

@Service
public class MyUserDetailsService implements UserDetailsService {
@Autowired
private UsersMapper usersMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
System.out.println(usersMapper.selectById(1));
//调用usersMapper方法，根据用户名查询数据库
QueryWrapper wrapper = new QueryWrapper();
// where username=?
wrapper.eq("username",username);
Users users = usersMapper.selectOne(wrapper);
//判断
if(users == null) {//数据库没有用户名，认证失败
throw new UsernameNotFoundException("用户名不存在！");
}
List auths =
AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale");
//从查询数据库返回users对象，得到用户名和密码，返回
return new User(users.getUsername(),
new BCryptPasswordEncoder().encode(users.getPassword()),auths);
}
}

5.SpringSecurity实现记住我的功能

只需要配置一个bean，然后注入数据源，然后在配置中配置记住我就好，完整的配置：

@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
/**
* 注入数据源
*/
@Autowired
private DataSource dataSource;
/**
* 配置对象，实现记住我功能
* @return
*/
@Bean
public PersistentTokenRepository persistentTokenRepository() {
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
// 可以在启动的时候就创建表，也可以自己创建，建表语句在JdbcTokenRepositoryImpl的实现类中
//jdbcTokenRepository.setCreateTableOnStartup(true);
return jdbcTokenRepository;
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(password());
}
/**
* 这里使用的时候如果不声明这个bean，上面使用加密的地方会报错
* 所以这里要注册一个这个bean
* @return
*/
@Bean
PasswordEncoder password(){
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
//退出
http.logout().logoutUrl("/logout").
logoutSuccessUrl("/test/hello").permitAll();
//配置没有权限访问跳转自定义页面
http.exceptionHandling().accessDeniedPage("/unauth.html");
http.formLogin() //自定义自己编写的登录页面
.loginPage("/on.html") //登录页面设置
.loginProcessingUrl("/user/login") //登录访问路径
.defaultSuccessUrl("/success.html").permitAll() //登录成功之后，跳转路径
.failureUrl("/unauth.html")
.and().authorizeRequests()
.antMatchers("/","/test/hello","/user/login").permitAll() //设置哪些路径可以直接访问，不需要认证
//当前登录用户，只有具有admins权限才可以访问这个路径
//1 hasAuthority方法
// .antMatchers("/test/index").hasAuthority("admins")
//2 hasAnyAuthority方法，有其中的一个权限
// .antMatchers("/test/index").hasAnyAuthority("admins,manager")
//3 hasRole方法 ROLE_sale,点进去看源码可以看到，会给我们加一个ROLE_的前缀
.antMatchers("/test/index").hasRole("sale")
.anyRequest().authenticated()
// 设置记住我的功能
.and().rememberMe().tokenRepository(persistentTokenRepository())
.tokenValiditySeconds(60)//设置有效时长，单位秒
.userDetailsService(userDetailsService);
// .and().csrf().csrfTokenRepository(COOKIECsrfTokenRepository.withHttpOnlyFalse());
// .and().csrf().disable(); //关闭csrf防护，就是跨站伪造
}
}

6.Spring Security中常用的注解

6.1 @Secured

判断是否具有角色，另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。

使用注解先要开启注解功能！

@EnableGlobalMethodSecurity(securedEnabled=true)

在控制器方法上添加注解

// 测试注解：
@RequestMapping("testSecured")
@ResponseBody
@Secured({"ROLE_normal","ROLE_admin"})
public String helloUser() {
return "hello,user";
}

6.2@PreAuthorize

先开启注解功能：

@EnableGlobalMethodSecurity(prePostEnabled = true)

@PreAuthorize：注解适合进入方法前的权限验证， @PreAuthorize 可以将登录用

户的 roles/permissions 参数传到方法中。

@RequestMapping("/preAuthorize")
@ResponseBody
//@PreAuthorize("hasRole('ROLE_管理员')")
@PreAuthorize("hasAnyAuthority('menu:system')")
public String preAuthorize(){
System.out.println("preAuthorize");
return "preAuthorize";
}

6.3@PostAuthorize

先开启注解功能：

@EnableGlobalMethodSecurity(prePostEnabled = true)

@PostAuthorize 注解使用并不多，在方法执行后再进行权限验证，适合验证带有返回值

的权限.

@RequestMapping("/testPostAuthorize")
@ResponseBody
@PostAuthorize("hasAnyAuthority('menu:system')")
public String preAuthorize(){
System.out.println("test--PostAuthorize");
return "PostAuthorize";
}

6.4@PostFilter

@PostFilter ：权限验证之后对数据进行过滤 留下用户名是 admin1 的数据

表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

RequestMapping("getAll")
@PreAuthorize("hasRole('ROLE_管理员')")
@PostFilter("filterObject.username == 'admin1'")
@ResponseBody
public List getAllUser(){
ArrayList list = new ArrayList<>();
list.add(new UserInfo(1l,"admin1","6666"));
list.add(new UserInfo(2l,"admin2","888"));
return list;
}

6.5@PreFilter

@PreFilter: 进入控制器之前对数据进行过滤

@RequestMapping("getTestPreFilter")
@PreAuthorize("hasRole('ROLE_管理员')")
@PreFilter(value = "filterObject.id%2==0")
@ResponseBody
public List getTestPreFilter(@RequestBody List list){
list.forEach(t-> {
System.out.println(t.getId()+"\t"+t.getUsername());
});
return list;
}

参考文档