Spring Security 简单教程以及实现完全前后端分离
点击上方 ,选择 设为星标
来自:ming-question
链接:cnblogs.com/ming-question/p/11165775.html
Spring Security是spring家的一个安全框架,入门简单。对比shiro,它自带登录页面,自动完成登录操作。权限过滤时支持http方法过滤。
在新手入门使用时,只需要简单的配置,即可实现登录以及权限的管理,无需自己写功能逻辑代码。
但是对于现在大部分前后端分离的web程序,尤其是前端普遍使用ajax请求时,spring security自带的登录系统就有一些不满足需求了。
因为spring security有自己默认的登录页,自己默认的登录控制器。而登录成功或失败,都会返回一个302跳转。登录成功跳转到主页,失败跳转到登录页。如果未认证直接访问也会跳转到登录页。但是如果前端使用ajax请求,ajax是无法处理302请求的。前后端分离web中,规范是使用json交互。我们希望登录成功或者失败都会返回一个json。况且spring security自带的登录页太丑了,我们还是需要使用自己的。
Spring Security一般简单使用
web的安全控制一般分为两个部分,一个是认证,一个是授权。
认证管理
就是认证是否为合法用户,简单的说是登录。一般为匹对用户名和密码,即认证成功。
在spring security认证中,我们需要注意的是:哪个类表示用户?哪个属性表示用户名?哪个属性表示密码?怎么通过用户名取到对应的用户?密码的验证方式是什么?
只要告诉spring security这几个东西,基本上就可以了。
当用户点击登录时,
1.它会拿到用户输入的用户名密码;
2.根据用户名通过UserDetailsService 的 loadUserByUsername(username)方法获得一个用户对象;
3.获得一个UserDetails 对象,获得内部的成员属性password;
4.通过PasswordEncoder 的 matchs(s1, s2) 方法对比用户的输入的密码和第3步的密码;
5.匹配成功;
所以我们要实现这三个接口的三个方法:
1.实现UserDetailsService ,可以选择同时实现用户的正常业务方法和UserDetailsService ;
例如:UserServiceImpl implement IUserService,UserDetailsService {}
2.实现UserDetails ,一般使用用户的实体类实现此接口。
其中有getUsername(), getPassword(), getAuthorities()为获取用户名,密码,权限。可根据个人情况实现。
3.实现PasswordEncoder ,spring security 提供了多个该接口的实现类,可百度和查看源码理解,也可以自己写。
三个实现类的配置如下:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService)
.passwordEncoder(NoOpPasswordEncoder.getInstance());
}
}
其中Userdetails 为UserDetailsService 中 loadUserByUsername() 方法的返回值类型。
到目前为止,就可以完成简单认证了。而授权管理,到现在,是默认的:所有资源都只有‘认证’权限,所有用户也只有‘认证’权限。即,经过认证就可以访问所有资源。
以上,就是spring security的简易应用。可以实现一个稍微完整的安全控制。非常简单。
授权管理
授权管理,是在已认证的前提下。用户在认证后,根据用户的不同权限,开放不同的资源。
根据RBAC设计,用户有多个角色,角色有多个权限。(真正控制资源的是权限,角色只是一个权限列表,方便使用。)
每个用户都有一个权限列表,授权管理,就是权限和资源的映射。在编程中,写好对应关系。然后当用户请求资源时,查询用户是否有资源对应的权限决定是否通过。
权限写在数据库,配置文件或其他任何地方。只要调用loadUserByUsername()时返回的UserDetails对象中的getAuthorities()方法能获取到。
所以无论用户的权限写在哪里,只要getAuthorities()能得到就可以了。
举例:
授权管理映射:add==/api/add,query==/api/query;
数据库中存储了用户权限:query;
那么该用户就只能访问/api/query,而不能访问/api/add。
授权管理配置如下:
解决思想:修改302状态码,修改为401,403或者200和json数据。
@Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
httpServletResponse.setStatus(HttpStatus.OK.value());
}
}
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Qualifier("userService")
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private LoginSuccessHandler loginSuccessHandler;
@Autowired
private LoginFailureHandler loginFailureHandler;
@Autowired
private MyLogoutHandler logoutHandler;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService)
.passwordEncoder(NoOpPasswordEncoder.getInstance());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.formLogin()
.loginProcessingUrl("/login")
// 登录成功
.successHandler(loginSuccessHandler)
// 登录失败
.failureHandler(loginFailureHandler).permitAll()
.and()
// 注销成功
.logout().logoutSuccessHandler(logoutHandler)
.and()
// 未登录请求资源
.exceptionHandling().authenticationEntryPoint(new Http403ForbiddenEntryPoint())
.and()
.authorizeRequests()
.antMatchers(HttpMethod.POST, "/api/data").hasAuthority("add")
.antMatchers(HttpMethod.GET, "/api/data").hasAuthority("query")
.antMatchers("/home").hasAuthority("base");
}
}
学Java,请关注公众号:Java后端
上一篇: CentOS7-java运行环境配置
下一篇: Vue实现前后端分离