SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法

网友投稿 308 2023-01-02


SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法

一、Security简介

1、基础概念

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作。

2、核心API解读

1)、SecurityContextHolder

最基本的对象,保存着当前会话用户认证,权限,鉴权等核心数据。SecurityContextHolder默认使用ThreadLocal策略来存储认证信息,与线程绑定的策略。用户退出时,自动清除当前线程的认证信息。

初始化源码:明显使用ThreadLocal线程。

private static void initialize() {

if (!StringUtils.hasText(strategyName)) {

strategyName = "MODE_THREADLOCAL";

}

if (strategyName.equals("MODE_THREADLOCAL")) {

strategy = new ThreadLocalSecurityContextHolderStrategy();

} else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) {

strategy = new InheritableThreadLocalSecurityContextHolderStrategy();

} else if (strategyName.equals("MODE_GLOBAL")) {

strategy = new GlobalSecurityContextHolderStrategy();

} else {

try {

Class> clazz = Class.forName(strategyName);

Constructor> customStrategy = clazz.getConstructor();

strategy = (SecurityContextHolderStrategy)customStrategy.newInstance();

} catch (Exception var2) {

ReflectionUtils.handleReflectionException(var2);

}

}

++initializeCount;

}

2)、Authentication

源代码

public interface Authentication extends Principal, Serializable {

Collection extends GrantedAuthority> getAuthorities();

Object getCredentials();

Object getDetails();

Object getPrincipal();

boolean isAuthenticated();

void setAuthenticated(boolean var1) throws IllegalArgumentException;

}

源码分析

1)、getAuthorities,权限列表,通常是代表权限的字符串集合;

2)、getCredentials,密码,认证之后会移出,来保证安全性;

3)、getDetails,请求的细节参数;

4)、getPrincipal, 核心身份信息,一般返回UserDetails的实现类。

3)、UserDetails

封装了用户的详细的信息。

public interface UserDetails extends Serializable {

Collection extends GrantedAuthority> getAuthorities();

String getPassword();

String getUsername();

boolean isAccountNonExpired();

boolean isAccountNonLocked();

boolean isCredentialsNonExpired();

boolean isEnabled();

}

4)、UserDetailsService

实现该接口,自定义用户认证流程,通常读取数据库,对比用户的登录信息,完成认证,授权。

public interface UserDetailsService {

UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;

}

5)、AuthenticationManager

认证流程顶级接口。可以通过实现AuthenticationManager接口来自定义自己的认证方式,Spring提供了一个默认的实现,ProviderManager。

public interface AuthenticationManager {

Authentication authenticate(Authentication var1) throws AuthenticationException;

}

二、与SpringBoot2整合

1、流程描述

1)、三个页面分类,page1、page2、page3

2)、未登录授权都不可以访问

3)、登录后根据用户权限,访问指定页面

4)、对于未授权页面,访问返回403:资源不可用

2、核心依赖

org.springframework.boot

spring-boot-starter-security

3、核心配置

/**

* EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持

*/

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

/**

* 权限配置

*/

@Override

protected void configure(HttpSecurity http) throws Exception {

// 配置拦截规则

http.authorizeRequests().antMatchers("/").permitAll()

.antMatchers("/page1/**").hasRole("LEVEL1")

.antMatchers("/page2/**").hasRole("LEVEL2")

.antMatchers("/page3/**").hasRole("LEVEL3");

// 配置登录功能

http.formLogin().usernameParameter("user")

.passwordParameter("pwd")

.loginPage("/userLogin");

// 注销成功跳转首页

http.logout().logoutSuccessUrl("/");

//开启记住我功能

http.rememberMe().rememberMeParameter("remeber");

}

/**

* 自定义认证数据源

*/

@Override

protected void configure(AuthenticationManagerBuilder builder) throws Exception{

builder.userDetailsService(userDetailService())

.passwordEncoder(passwordEncoder());

}

@Bean

public UserDetailServiceImpl userDetailService (){

return new UserDetailServiceImpl () ;

}

/**

* 密码加密

*/

@Bean

public BCryptPasswordEncoder passwordEncoder(){

return new BCryptPasswordEncoder();

}

/*

* 硬编码几个用户

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth.inMemoryAuthentication()

.withUser("spring").password("123456").roles("LEVEL1","LEVEL2")

.and()

.withUser("summer").password("123456").roles("LEVEL2","LEVEL3")

.and()

.withUser("autumn").password("123456").roles("LEVEL1","LEVEL3");

}

*/

}

4、认证流程

@Service

public class UserDetailServiceImpl implements UserDetailsService {

@Resource

private UserRoleMapper userRoleMapper ;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

// 这里可以捕获异常,使用异常映射,抛出指定的提示信息

// 用户校验的操作

// 假设密码是数据库查询的 123

String password = "$2a$10$XcigeMfToGQ2bqRToFtUi.sG1V.HhrJV6RBjji1yncXReSNNIPl1K";

// 假设角色是数据库查询的

List roleList = userRoleMapper.selectByUserName(username) ;

List grantedAuthorityList = new ArrayList<>() ;

/*

* Spring Boot 2.0 版本踩坑

* 必须要 ROLE_ 前缀, 因为 hasRole("LEVEL1")判断时会自动加上ROLE_前缀变成 ROLE_LEVEL1 ,

* 如果不加前缀一般就会出现403错误

* 在给用户赋权限时,数据库存储必须是完整的权限标识ROLE_LtHgJLPEVEL1

*/

if (roleList != null && roleList.size()>0){

for (String role : roleList){

grantedAuthorityList.add(new SimpleGrantedAuthority(role)) ;

}

}

return new User(username,password,grantedAuthorityList);

}

}

5、测试接口

@Controller

public class PageController {

/**

* 首页

*/

@RequestMapping("/")

public String index (){

return "home" ;

}

/**

* 登录页

*/

@RequestMapping("/userLogin")

public String loginPage (){

return "pages/login" ;

}

/**

* page1 下页面

*/

@PreAuthorize("hasAuthority('LEVEL1')")

@RequestMapping("/page1/{pageName}")

public String onePage (@PathVariable("pageName") String pagtHgJLPeName){

return "pages/page1/"+pageName ;

}

/**

* page2 下页面

*/

@PreAuthorize("hasAuthority('LEVEL2')")

@RequestMapping("/page2/{pageName}")

public String twoPage (@PathVariable("pageName") String pageName){

return "pages/page2/"+pageName ;

}

/**

* page3 下页面

*/

@PreAuthorize(http://"hasAuthority('LEVEL3')")

@RequestMapping("/page3/{pageName}")

public String threePage (@PathVariable("pageName") String pageName){

return "pages/page3/"+pageName ;

}

}

6、登录界面

这里要和Security的配置文件相对应。

用户名:

密   码:

记住我

三、源代码地址

github地址:知了一笑

https://github.com/cicadasmile/middle-ware-parent

码云地址:知了一笑

https://gitee.com/cicadasmile/middle-ware-parent

总结


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:接口测试工具报告(接口测试工具报告怎么写)
下一篇:微服务网关算正向代理吗(代理和网关)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~