这篇文章主要介绍了SpringBoot + Spring Security 简单入门
一、Spring Security 基本介绍
这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档
我就只说下SpringSecurity核心功能:
- 认证(你是谁)
- 授权(你能干什么)
- 攻击防护(防止伪造身份)
二、基本环境搭建
这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式
- <?xml version="1.0" encoding="UTF-8"?>
- <project xmlns="http://maven.apache.org/POM/4.0.0"
- xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
- xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
- <parent>
- <artifactId>jeecg-boot-cloud-study</artifactId>
- <groupId>com.jeecg.cloud</groupId>
- <version>1.0.0</version>
- </parent>
- <modelVersion>4.0.0</modelVersion>
- <artifactId>jeecg-boot-security</artifactId>
- <dependencies>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-web</artifactId>
- </dependency>
- <dependency>
- <groupId>org.springframework.boot</groupId>
- <artifactId>spring-boot-starter-security</artifactId>
- </dependency>
- </dependencies>
- </project>
然后建立一个Web层请求接口
- @RestController
- @RequestMapping("/user")
- public class UserController {
- @GetMapping
- public String getUsers() {
- return "Hello Jeecg Spring Security";
- }
- }
接下来可以直接进行项目的运行,并进行接口的调用看看效果了。
三、通过网页的调用
我们首先通过浏览器进行接口的调用,直接访问http://localhost:8080/user,如果接口能正常访问,那么应该显示“Hello Jeecg Spring Security”。
但是我们是没法正常访问的,出现了下图的身份验证输入框
这是因为在SpringBoot中,引入的Spring Security依赖,权限控制自动生效了,此时的接口都是被保护的,我们需要通过验证才能正常的访问。 Spring Security提供了一个默认的用户,用户名是user,而密码则是启动项目的时候自动生成的。
我们查看项目启动的日志,会发现如下的一段Log
- Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c
当然你看到的password肯定和我是不一样的,我们直接用user和启动日志中的密码进行登录。
登录成功后,就跳转到了接口正常调用的页面了。
如果不想一开始就使能Spring Security,可以在配置文件中做如下的配置:
- # security 使能
- security.basic.enabled = false
刚才看到的登录框是SpringSecurity是框架自己提供的,被称为httpBasicLogin。显示它不是我们产品上想要的,我们前端一般是通过表单提交的方式进行用户登录验证的,所以我们就需要自定义自己的认证逻辑了。
四、自定义用户认证逻辑
每个系统肯定是有自己的一套用户体系的,所以我们需要自定义自己的认证逻辑以及登录界面。 这里我们需要先对SpringSecurity进行相应的配置
- package org.jeecg.auth.config;
- import org.springframework.context.annotation.Configuration;
- import org.springframework.security.config.annotation.web.builders.HttpSecurity;
- import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
- @Configuration
- public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
- @Override
- protected void configure(HttpSecurity http) throws Exception {
- http.formLogin() // 定义当需要用户登录时候,转到的登录页面。
- .loginProcessingUrl("/user/login") // 自定义的登录接口
- .and()
- .authorizeRequests() // 定义哪些URL需要被保护、哪些不需要被保护
- .anyRequest() // 任何请求,登录后可以访问
- .authenticated();
- }
- }
自定义密码加密解密
- package org.jeecg.auth.config;
- import org.springframework.context.annotation.Bean;
- import org.springframework.security.crypto.password.PasswordEncoder;
- import org.springframework.stereotype.Component;
- @Component
- public class MyPasswordEncoder implements PasswordEncoder {
- @Override
- public String encode(CharSequence charSequence) {
- return charSequence.toString();
- }
- @Override
- public boolean matches(CharSequence charSequence, String s) {
- return s.equals(charSequence.toString());
- }
- }
接下来再配置用户认证逻辑,因为我们是有自己的一套用户体系的
- package org.jeecg.auth.config;
- import org.slf4j.Logger;
- import org.slf4j.LoggerFactory;
- import org.springframework.beans.factory.annotation.Autowired;
- import org.springframework.security.core.authority.AuthorityUtils;
- import org.springframework.security.core.userdetails.User;
- import org.springframework.security.core.userdetails.UserDetails;
- import org.springframework.security.core.userdetails.UserDetailsService;
- import org.springframework.security.core.userdetails.UsernameNotFoundException;
- import org.springframework.security.crypto.factory.PasswordEncoderFactories;
- import org.springframework.security.crypto.password.PasswordEncoder;
- import org.springframework.stereotype.Component;
- @Component
- public class MyUserDetailsService implements UserDetailsService {
- private Logger logger = LoggerFactory.getLogger(getClass());
- @Autowired
- private PasswordEncoder passwordEncoder;
- @Override
- public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
- logger.info("用户的用户名: {}", username);
- // TODO 根据用户名,查找到对应的密码,与权限
- // 封装用户信息,并返回。参数分别是:用户名,密码,用户权限
- User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
- return user;
- }
- }
这里我们没有进行过多的校验,用户名可以随意的填写,但是密码必须得是“123456”,这样才能登录成功。
同时可以看到,这里User对象的第三个参数,它表示的是当前用户的权限,我们将它设置为”admin”。
我们这里随便填写一个user,然后Password写填写一个错误的(非123456)的。这时会提示校验错误:
同时在控制台,也会打印出刚才登录时填写的user
现在我们再来使用正确的密码进行登录试试,可以发现就会通过校验,跳转到正确的接口调用页面了。
六、UserDetails
刚刚我们在写MyUserDetailsService的时候,里面实现了一个方法,并返回了一个UserDetails。这个UserDetails 就是封装了用户信息的对象,里面包含了七个方法
- public interface UserDetails extends Serializable {
- // 封装了权限信息
- Collection<? extends GrantedAuthority> getAuthorities();
- // 密码信息
- String getPassword();
- // 登录用户名
- String getUsername();
- // 帐户是否过期
- boolean isAccountNonExpired();
- // 帐户是否被冻结
- boolean isAccountNonLocked();
- // 帐户密码是否过期,一般有的密码要求性高的系统会使用到,比较每隔一段时间就要求用户重置密码
- boolean isCredentialsNonExpired();
- // 帐号是否可用
- boolean isEnabled();
- }
我们在返回UserDetails的实现类User的时候,可以通过User的构造方法,设置对应的参数
七、密码加密解密
SpringSecurity中有一个PasswordEncoder接口
- public interface PasswordEncoder {
- // 对密码进行加密
- String encode(CharSequence var1);
- // 对密码进行判断匹配
- boolean matches(CharSequence var1, String var2);
- }
我们只需要自己实现这个接口,并在配置文件中配置一下就可以了。
