二十、Spring Boot 安全管理(Spring Security)
一、介绍
Spring Security是Spring 官方提供的一个高度自定义的安全框架,是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。主要包含“认证”和“授权”(或者访问控制)两个核心功能。
官方文档
二、简单使用
1.创建Spring Boot项目
参考:Spring Boot项目创建(IDEA)
2.添加依赖
修改pox.xml文件。添加spring security相关依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
3.启动项目测试
spring.security.user.name=user
spring.security.user.password=password
三、自定义配置
1、用户信息实体类
- 创建用户信息实体类
- 实现接口
UserDetails
- 实现接口方法
// 用户名
String getUsername();
// 用户密码
String getPassword();
// 获取用户权限
Collection<? extends GrantedAuthority> getAuthorities();
// 账户是否过期
boolean isAccountNonExpired();
// 账号是否锁定
boolean isAccountNonLocked();
// 凭证(密码)是否过期
boolean isCredentialsNonExpired();
// 账号是否启用
boolean isEnabled();
2、创建配置文件
- 新建类继承抽象类
WebSecurityConfigurerAdapter
并添加注解@Configuration
; - 重写
configure
方法,编写自定义登录信息认证逻辑。
实例代码:
package com.ikaros.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// 配置认证
http.formLogin()
// 哪个URL为登录页面
// .loginPage("/login")
// 当发现什么URL时执行登录逻辑
.loginProcessingUrl("/login")
// 成功后跳转到哪里
.successHandler(new AuthenticationSuccessHandler() {
@Override
public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
httpServletResponse.setContentType("application/json;charset=utf-8");
PrintWriter out = httpServletResponse.getWriter();
out.write("{\"status\":\"success\",\"msg\":\"登录成功\"}");
out.flush();
out.close();
}
})
// 失败后跳转到哪里
.failureHandler(new AuthenticationFailureHandler() {
@Override
public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
httpServletResponse.setContentType("application/json;charset=utf-8");
PrintWriter out = httpServletResponse.getWriter();
out.write("{\"status\":\"error\",\"msg\":\"登录失败,"+ e.getMessage()+"\"}");
out.flush();
out.close();
}
});
// 设置URL的授权问题
// 多个条件取交集
http.authorizeRequests()
// 匹配 / 控制器 permitAll() 不需要被认证就可以访问
// .antMatchers("/swagger**/**").permitAll()
// anyRequest() 所有请求 authenticated() 必须被认证
.anyRequest().authenticated();
// 关闭csrf
http.csrf().disable();
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers(
"/swagger**/**",
"/webjars/**",
"/v3/**",
"/doc.html");
}
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
四、配置详解
1.configure方法
protected void configure(AuthenticationManagerBuilder auth) throws Exception {}
public void configure(WebSecurity web) throws Exception {}
protected void configure(HttpSecurity httpSecurity) throws Exception {}
AuthenticationManagerBuilder
:用于配置全局认证相关的信息,就是UserDetailsService和AuthenticationProviderWebSecurity
:用于全局请求忽略规则配置,比如一些静态文件,注册登录页面的放行。HttpSecurity
用于具体的权限控制规则配置,我们这里只需要重写这个方法就可以了
2.HttpSecurity 常用方法
- HttpSecurity 一些常用方法
方法 | 说明 |
---|---|
formLogin() | 开启表单的身份验证 |
loginPage() | 指定登录页面 |
successForwardUrl() | 指定登录成功之后跳转的页面 |
successHandler() | 登录成功后的擦操作逻辑 |
failureForwardUrl() | 指定登录失败之后跳转的页面 |
failureHandler() | 登录失败后的操作逻辑 |
authorizeRequests() | 开启使用HttpServletRequest请求的访问限制 |
oauth2Login() | 开启oauth2 验证 |
rememberMe() | 开启记住我的验证(使用cookie) |
addFilter() | 添加自定义过滤器 |
csrf() | 开启csrf支持 |
登录成功/失败 后的操作逻辑
.successHandler(
(httpServletRequest, httpServletResponse, authentication) -> {
httpServletResponse.sendRedirect("/index")
})
.failureHandler(
(httpServletRequest, httpServletResponse, authentication) -> {
httpServletResponse.sendRedirect("/failure")
})
- 一些认证方法