一篇带给你SpringBoot + Spring Security入门

开发 前端
这篇文章主要介绍了SpringBoot + Spring Security 简单入门

[[359696]]

 这篇文章主要介绍了SpringBoot + Spring Security 简单入门

一、Spring Security 基本介绍

这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档

我就只说下SpringSecurity核心功能:

  1. 认证(你是谁)
  2. 授权(你能干什么)
  3. 攻击防护(防止伪造身份)

二、基本环境搭建

这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式

  1. <?xml version="1.0" encoding="UTF-8"?> 
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" 
  3.          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
  4.          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"
  5.     <parent> 
  6.         <artifactId>jeecg-boot-cloud-study</artifactId> 
  7.         <groupId>com.jeecg.cloud</groupId> 
  8.         <version>1.0.0</version> 
  9.     </parent> 
  10.     <modelVersion>4.0.0</modelVersion> 
  11.  
  12.     <artifactId>jeecg-boot-security</artifactId> 
  13.  
  14.     <dependencies> 
  15.         <dependency> 
  16.             <groupId>org.springframework.boot</groupId> 
  17.             <artifactId>spring-boot-starter-web</artifactId> 
  18.         </dependency> 
  19.             <dependency> 
  20.                 <groupId>org.springframework.boot</groupId> 
  21.                 <artifactId>spring-boot-starter-security</artifactId> 
  22.             </dependency> 
  23.     </dependencies> 
  24.  
  25. </project> 

 然后建立一个Web层请求接口

  1. @RestController 
  2. @RequestMapping("/user"
  3. public class UserController { 
  4.   @GetMapping 
  5.   public String getUsers() {     
  6.     return "Hello Jeecg Spring Security"
  7.   } 

 接下来可以直接进行项目的运行,并进行接口的调用看看效果了。

三、通过网页的调用

我们首先通过浏览器进行接口的调用,直接访问http://localhost:8080/user,如果接口能正常访问,那么应该显示“Hello Jeecg Spring Security”。

但是我们是没法正常访问的,出现了下图的身份验证输入框

这是因为在SpringBoot中,引入的Spring Security依赖,权限控制自动生效了,此时的接口都是被保护的,我们需要通过验证才能正常的访问。 Spring Security提供了一个默认的用户,用户名是user,而密码则是启动项目的时候自动生成的。

我们查看项目启动的日志,会发现如下的一段Log

  • Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

当然你看到的password肯定和我是不一样的,我们直接用user和启动日志中的密码进行登录。

登录成功后,就跳转到了接口正常调用的页面了。

如果不想一开始就使能Spring Security,可以在配置文件中做如下的配置:

  1. # security 使能 
  2. security.basic.enabled = false 

 刚才看到的登录框是SpringSecurity是框架自己提供的,被称为httpBasicLogin。显示它不是我们产品上想要的,我们前端一般是通过表单提交的方式进行用户登录验证的,所以我们就需要自定义自己的认证逻辑了。

四、自定义用户认证逻辑

每个系统肯定是有自己的一套用户体系的,所以我们需要自定义自己的认证逻辑以及登录界面。 这里我们需要先对SpringSecurity进行相应的配置

  1. package org.jeecg.auth.config; 
  2.  
  3. import org.springframework.context.annotation.Configuration; 
  4. import org.springframework.security.config.annotation.web.builders.HttpSecurity; 
  5. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; 
  6.  
  7. @Configuration 
  8. public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { 
  9.  
  10.     @Override 
  11.     protected void configure(HttpSecurity http) throws Exception { 
  12.         http.formLogin()          // 定义当需要用户登录时候,转到的登录页面。 
  13.                 .loginProcessingUrl("/user/login") // 自定义的登录接口 
  14.                 .and() 
  15.                 .authorizeRequests()    // 定义哪些URL需要被保护、哪些不需要被保护 
  16.                 .anyRequest()        // 任何请求,登录后可以访问 
  17.                 .authenticated(); 
  18.     } 

 自定义密码加密解密 

  1. package org.jeecg.auth.config; 
  2.  
  3. import org.springframework.context.annotation.Bean; 
  4. import org.springframework.security.crypto.password.PasswordEncoder; 
  5. import org.springframework.stereotype.Component; 
  6.  
  7. @Component 
  8. public class MyPasswordEncoder implements PasswordEncoder { 
  9.     @Override 
  10.     public String encode(CharSequence charSequence) { 
  11.         return charSequence.toString(); 
  12.     } 
  13.  
  14.     @Override 
  15.     public boolean matches(CharSequence charSequence, String s) { 
  16.         return s.equals(charSequence.toString()); 
  17.     } 

 接下来再配置用户认证逻辑,因为我们是有自己的一套用户体系的

  1. package org.jeecg.auth.config; 
  2.  
  3. import org.slf4j.Logger; 
  4. import org.slf4j.LoggerFactory; 
  5. import org.springframework.beans.factory.annotation.Autowired; 
  6. import org.springframework.security.core.authority.AuthorityUtils; 
  7. import org.springframework.security.core.userdetails.User
  8. import org.springframework.security.core.userdetails.UserDetails; 
  9. import org.springframework.security.core.userdetails.UserDetailsService; 
  10. import org.springframework.security.core.userdetails.UsernameNotFoundException; 
  11. import org.springframework.security.crypto.factory.PasswordEncoderFactories; 
  12. import org.springframework.security.crypto.password.PasswordEncoder; 
  13. import org.springframework.stereotype.Component; 
  14.  
  15. @Component 
  16. public class MyUserDetailsService implements UserDetailsService { 
  17.     private Logger logger = LoggerFactory.getLogger(getClass()); 
  18.  
  19.     @Autowired 
  20.     private PasswordEncoder passwordEncoder; 
  21.  
  22.     @Override 
  23.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { 
  24.         logger.info("用户的用户名: {}", username); 
  25.         // TODO 根据用户名,查找到对应的密码,与权限 
  26.  
  27.         // 封装用户信息,并返回。参数分别是:用户名,密码,用户权限 
  28.         User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin")); 
  29.         return user
  30.     } 

 这里我们没有进行过多的校验,用户名可以随意的填写,但是密码必须得是“123456”,这样才能登录成功。

同时可以看到,这里User对象的第三个参数,它表示的是当前用户的权限,我们将它设置为”admin”。

我们这里随便填写一个user,然后Password写填写一个错误的(非123456)的。这时会提示校验错误:


同时在控制台,也会打印出刚才登录时填写的user

现在我们再来使用正确的密码进行登录试试,可以发现就会通过校验,跳转到正确的接口调用页面了。

六、UserDetails

刚刚我们在写MyUserDetailsService的时候,里面实现了一个方法,并返回了一个UserDetails。这个UserDetails 就是封装了用户信息的对象,里面包含了七个方法

  1. public interface UserDetails extends Serializable { 
  2.   // 封装了权限信息 
  3.   Collection<? extends GrantedAuthority> getAuthorities(); 
  4.   // 密码信息 
  5.   String getPassword(); 
  6.   // 登录用户名 
  7.   String getUsername(); 
  8.   // 帐户是否过期 
  9.   boolean isAccountNonExpired(); 
  10.   // 帐户是否被冻结 
  11.   boolean isAccountNonLocked(); 
  12.   // 帐户密码是否过期,一般有的密码要求性高的系统会使用到,比较每隔一段时间就要求用户重置密码 
  13.   boolean isCredentialsNonExpired(); 
  14.   // 帐号是否可用 
  15.   boolean isEnabled(); 

 我们在返回UserDetails的实现类User的时候,可以通过User的构造方法,设置对应的参数

七、密码加密解密

SpringSecurity中有一个PasswordEncoder接口

  1. public interface PasswordEncoder { 
  2.   // 对密码进行加密 
  3.   String encode(CharSequence var1); 
  4.   // 对密码进行判断匹配 
  5.   boolean matches(CharSequence var1, String var2); 

 我们只需要自己实现这个接口,并在配置文件中配置一下就可以了。

 

责任编辑:姜华 来源: 今日头条
相关推荐

2021-06-07 12:06:19

SpringCloud Sleuth微服务

2021-01-28 08:55:48

Elasticsear数据库数据存储

2021-07-21 09:48:20

etcd-wal模块解析数据库

2022-07-06 07:57:37

Zookeeper分布式服务框架

2021-06-28 10:04:12

SpringCloudSleuth微服务

2024-04-15 08:17:21

Spring依赖注入循环依赖

2021-07-12 06:11:14

SkyWalking 仪表板UI篇

2021-10-14 09:58:24

消息中间件ActiveMQ Java

2021-08-18 10:28:09

MySQL SQL 语句数据库

2022-04-29 14:38:49

class文件结构分析

2023-03-29 07:45:58

VS编辑区编程工具

2021-03-12 09:21:31

MySQL数据库逻辑架构

2021-04-01 10:51:55

MySQL锁机制数据库

2024-06-13 08:34:48

2022-02-17 08:53:38

ElasticSea集群部署

2021-04-08 11:00:56

CountDownLaJava进阶开发

2021-06-21 14:36:46

Vite 前端工程化工具

2021-04-14 14:16:58

HttpHttp协议网络协议

2022-03-22 09:09:17

HookReact前端

2023-03-13 09:31:04

点赞
收藏

51CTO技术栈公众号