展开
拓展 关闭
邮箱 邮箱
图床 图床
笔记 笔记
ProcessOn ProcessOn
原型图 原型图
CodePen CodePen
服务器 服务器
coding coding
fastmock fastmock
Docker Hub Docker Hub
Travis Cl Travis Cl
码工具 码工具
在线工具 在线工具
蛙蛙工具 蛙蛙工具
PDF24 Tools PDF24 Tools
校招 校招
BOSS直聘 BOSS直聘
猎聘 猎聘
职友集 职友集
天眼查 天眼查
百度 百度
知乎 知乎
简书 简书
抖音 抖音
今日头条 今日头条
统计分析 统计分析
思维导图 思维导图
日历热力图 日历热力图
关系图 关系图
矩形树图 旭日图
订阅号推广码
GitHub
视频
公告栏 关闭

SpringSecurity入门

基础

  • spring security的底层就是一个过滤器链
  • ExceptionTranslationFilter是一个异常过滤器,用来处理认证授权过程中的异常
  • UseranmePasswordAuthenticationFilter,拦截/login的post请求,即认证时校验用户名、密码
  • spring boot整合spring security会自动化配置,即引入security依赖即可使用,不需要我们配置过滤器等
  • 认证,可理解为登录时的验证,当我们登录时就需要从数据库中查询用户名和密码,使用security只需实现UserDetailsService接口,在自定义的实现类中进行查询操作;之后返回一个User对象,这个对象是security为我们提供的,这个对象的属性包括查询到的用户名、密码、权限
  • 登录时输入的用户名和密码如何与数据库中的用户名密码比较,我们只需写一个类继承UsernamePasswordAuthenticationFilter,重写attemptAuthentication方法,在当前类中会接收登录时输入的用户名和密码,在attemptAuthentication方法中认证
点击查看源码 
public class UsernamePasswordAuthenticationFilter extends
		AbstractAuthenticationProcessingFilter {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
	private boolean postOnly = true;

	// ~ Constructors
	// ===================================================================================================

	public UsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher("/login", "POST"));
	}

	// ~ Methods
	// ========================================================================================================

	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}
}
  • PasswordEncoder接口用于数据加密,即密码加密
点击查看源码 
package org.springframework.security.crypto.password;

public interface PasswordEncoder {
    String encode(CharSequence var1);

    boolean matches(CharSequence var1, String var2);

    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

认证方式

  • 新建一个springboot项目,导入security依赖,任意访问一个控制器中的方法都需要认证,用户名为user,密码在控制台
  • 方式一:在配置文件yml中设置密码
  • 方式二:在配置类中设置(继承WebSecurityConfigurerAdapter,重写configure和password方法)
  • 方式三:在UserDetailsService实现类中查询数据库中的用户名和密码,将实现类注入配置类
点击查看实现类 
@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 设置权限
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale");
        // 返回user对象,参数为模拟从数据库中查询到的用户名、密码
        return new User("admin", new BCryptPasswordEncoder().encode("123456"),auths);
    }

}
点击查看配置类 
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }

}
  • 在配置类中指定自定义的登录页面,不需要认证就能访问的url
点击查看配置类 
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    //注入数据源
    @Autowired
    private DataSource dataSource;

    //配置对象
    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        return jdbcTokenRepository;
    }

    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // 退出登录
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();

        // 没有访问权限时跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");

        // 自定义认证页面
        http.formLogin().loginPage("/login.html")
                // 登录的url
                .loginProcessingUrl("/login")
                // 登录成功后跳转的页面
                .defaultSuccessUrl("/success.html")
                // 登录失败的跳转页面
                .failureUrl("/fail.html");
        // 指定url不需要认证
        http.authorizeRequests().antMatchers("/login.html").permitAll()
                // 其他url需要认证
                .anyRequest().authenticated()
        		.and().rememberMe().tokenRepository(persistentTokenRepository())
                // 设置有效时长,单位秒
                .tokenValiditySeconds(60)
                .userDetailsService(userDetailsService);
        // 关闭csrf防护
        //http.csrf().disable();
    }

}
  • 认证业务逻辑:访问控制器方法 -> 实现类中查询 -> 认证通过 -> 执行控制器方法

项目案例

下载地址

授权

  • 在配置类中通过hasAuthority方法给指定url设置权限,在业务层实现类中给登录主体赋予权限
  .antMatchers("/test/index").hasAuthority("admins")
  .antMatchers("/test/main").hasAuthority("user")
  • 在配置类通过hasAnyAuthority方法给指定url设置多个权限,访问时,只要具有其一权限即可访问
  .antMatchers("/test/index").hasAnyAuthority("admin,manager")

  // 业务层实体类赋予权限
  AuthorityUtils.commaSeparatedStringToAuthorityList("admin,sale");
  • 在配置类中通过hasRole方法给指定url设置权限
  .antMatchers("/test/index").hasRole("sale")
  • 在配置类中通过hasAnyRole方法给指定url设置多个权限,访问时,只需具有其中一个权限即可访问
  .antMatchers("/test/index").hasAnyRole("sale,admin")

  // 在业务层实现类中赋予权限时需加上ROLE_前缀
  AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin,ROLE_sale");

注解方式授权

  // 1. 在启动类或配置类中开启注解功能
  @EnableGlobalMethodSecurity(securedEnabled=true)
  // 2. 在控制器的方法上添加角色权限,需加上ROLE_前缀;用户具有该角色权限时,可以访问该方法
  @Secured({"ROLE_normal","ROLE_admin"}) 
  // 3. 在业务层实现类中赋予登录用户角色权限
  .antMatchers("/test/index").hasAnyRole("sale,admin")

  // 2. 在控制器上添加角色权限,可使用hasAuthority、hasRole、hasAnyRole等;在进入方法前验证是否具有角色权限
  @PreAuthorize("hasAnyAuthority('admins,manager')")
  // 3. 在业务层实现类中赋予登录用户角色权限

  // 2. 在控制器上添加角色权限,可使用hasAuthority、hasRole、hasAnyRole等;在方法执行完验证是否具有角色权限;当我们访问这个方法,执行完之后没有权限时则跳转到403(没有权限)页面
  @PostAuthorize("hasAnyAuthority('admins,manager')")
  // 3. 在业务层实现类中赋予登录用户角色权限

认证业务逻辑

  • 自定义一个认证过滤器TokenLoginFilter继承UsernamePasswordAuthenticationFilter,登录时输入用户名和密码,进入认证过滤器TokenLoginFilter,获取登陆时的用户名和密码,进入UserDetailsServiceImpl实现类,该实现类实现了UserDetailsService接口,在UserDetailsServiceImpl中根据用户名去数据库查询用户信息,返回securityUser对象,认证成功后进入认证过滤器中的successfulAuthentication方法

源码分析

  • 自定义的认证过滤器TokenLoginFilter继承UsernamePasswordAuthenticationFilterUsernamePasswordAuthenticationFilter继承了AbstractAuthenticationProcessingFilter,在该类中的doFilter方法会判断该请求是否是post请求,不是则放行,是post则拦截认证
  • 之后在UsernamePasswordAuthenticationFilter类中的attemptAuthentication方法会获取表单提交的数据,然后进行认证(查数据库,比较),认证通过后,将用户数据封装到Authentication
点击查看源码 
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
      if (this.postOnly && !request.getMethod().equals("POST")) {
          throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
      } else {
          String username = this.obtainUsername(request);
          username = username != null ? username : "";
          username = username.trim();
          String password = this.obtainPassword(request);
          password = password != null ? password : "";
          UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
          this.setDetails(request, authRequest);
          return this.getAuthenticationManager().authenticate(authRequest);
      }
  }
  • 认证成功后在AbstractAuthenticationProcessingFilter类中会将数据存入session
  • 认证失败时异常过滤器ExceptionTranslationFilter会抛出异常,执行unsuccessfulAuthentication方法;认证成功时则执行successfulAuthentication方法

attemptAuthentication方法源码分析

  • 判断是否是post提交,不是则抛出异常,是post则继续执行
  • 获取表单中提交的数据
  • new一个UsernamePasswordAuthenticationToken对象,将表单提交的数据构建进该对象,并标记为未认证状态
  UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
  • 调用authenticate方法进行认证,该方法会调用UserDetailsService的实现类查数据库进行认证

UsernamePasswordAuthenticationToken对象构建源码分析

  • UsernamePasswordAuthenticationToken继承了一个抽象类AbstractAuthenticationToken
  • UsernamePasswordAuthenticationToken类中有两个方法,根据传入的参数调用指定的方法,调用UsernamePasswordAuthenticationToken方法表示标记为未认证状态,调用UsernamePasswordAuthenticationToken方法表示将对象标记未已认证状态
点击查看源码 
public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {
    private static final long serialVersionUID = 540L;
    private final Object principal;
    private Object credentials;

    public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
        super((Collection)null);
        this.principal = principal;
        this.credentials = credentials;
        this.setAuthenticated(false);
    }

    public UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        super.setAuthenticated(true);
    }

}
  • 抽象类AbstractAuthenticationToken则是实现了Authentication接口,该接口中包含一些用户信息
点击查看源码 
public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

authenticate方法源码分析

  • 调用authenticate方法来进行认证,该方法是AuthenticationManager接口中的方法,该接口的实现类ProviderManager
  • 登录时表单提交的数据被封装进UsernamePasswordAuthenticationToken对象,然后传入authenticate方法;在ProviderManager实现类中authenticate方法会将UsernamePasswordAuthenticationToken对象中的信息迭代,之后判断该对象是否是UsernamePasswordAuthenticationToken类型,之后会调用authenticate方法将对象信息传入进行认证
  result = provider.authenticate(authentication);
  • 认证失败抛出异常,认证成功则将查询到的details复制到authentication对象中
try {
  result = provider.authenticate(authentication);
          if (result != null) {
        this.copyDetails(authentication, result);
        break;
    }
} catch (InternalAuthenticationServiceException | AccountStatusException var14) {
    this.prepareException(var14, authentication);
    throw var14;
} catch (AuthenticationException var15) {
    lastException = var15;
}
posted @ 2021-08-11 15:20  DogLeftover  阅读(75)  评论(0编辑  收藏  举报