Spring Security简介这是一篇Spring Security入门的博文,将整合Spring Boot快速入门Spring Security。实现基本的认证、授权、密码加密功能
认证:也就是我们平时所说的登录,但认证不局限于账号密码登录,扫码、人脸识别、指纹等都可以算是认证
授权:不同的人拥有不同的权限,比如在后台管理系统中,管理员和普通用户看到的菜单是不一样的、有些资源普通用户只有读权限没有写权限等
密码加密:我们数据库中保存的密码一般都是加密后的密文,避免数据泄露造成巨大损失
Spring Securiity简单来说就是一个安全框架,它可以帮助我们快速、容易的实现认证、授权的相关功能。
Spring Security快速入门话不多说,直接上代码快速入门
- 添加依赖
org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-security
2、准备资源
@RestController
public class ResourceController {
@GetMapping("r/r1")
public String r1() {
return "访问资源r1";
}
@GetMapping("r/r2")
public String r2() {
return "访问资源r2";
}
@GetMapping("annoy")
public String annoy(){
return "允许匿名访问的资源";
}
}
其实在我们导入Spring Security依赖的那一刻起,Spring Security就已经生效了,这时候不管我们访问什么资源,它都会给我们跳转到它默认的登录页面:
Spring Security提供了一个默认的用户user,密码是随机的,在项目启动时,会在控制台中打印:
但我们一般不会使用它这个默认的,现在我们思考一下,如果我们是Spring Security要帮助用户实现授权认证功能,哪些是功能是我们可以帮忙做的,哪些是需要用户提供的?
用户名密码的比对是不是Spring Security可以帮忙做的?但要比对密码,Spring Security是不是应该要根据用户名去查到用户真实的密码?所以如何根据用户名查到用户信息需要我们告诉Spring Security。
判断是否有权限访问某个资源,也是Spring Security可以做的,但是需要用户告诉我们资源需要什么权限,以及用户拥有哪些权限。
Spring Security提供了一个抽象类WebSecurityConfigurerAdapter,我们继承它,可以定义资源的授权规则:
package com.fcp.security.quickStart.config;
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
// 告诉Spring Security资源的授权规则
// 该方法默认是请求所有的资源都需要认证,并且是用表单登录认证(可以去看父类实现)
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/r/r1").hasAuthority("p1") // r/r1资源需要有p1权限
.antMatchers("/r/r2").hasAuthority("p2") // r/r2资源需要有p2权限
// 告诉Spring Security所有以/r开头的请求,都需要认证后才能访问
.antMatchers("/r/**").authenticated() //②
// 其他的所有请求都可以直接访问
.anyRequest().permitAll();
// 使用表单登录认证
http.formLogin();
}
// 定义一个密码加密器。为了安全起见,我们的密码一般都会存储加密后的密文。定义了密码加密器后,Spring Security会将前端传递的密码进行加密后,再与数据库中的密码进行比对。
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
在configure方法中,我们告诉了Spring Security我们的资源的授权规则,需要注意的它的匹配规则是从上到下的,是否允许访问,取决于第一条匹配的规则是否通过。如资源/r/r1匹配的规则有俩条,一个是需要有p1权限,一个是需要认证后才能访问,但因为p1权限的规则写在前面,所以真正取决定作用的是是否有p1权限。反之,如果你将认证的规则写在前面,就意味着,只要登录了,就可以访问所有/r开头的资源。所以我们一般都将粒度大的规则放在后面,粒度小的放前面。
接下来定义一个UserService实现UserDetailsService接口。告诉Spring Security如何根据用户名获取用户信息。
@Service
public class UserService implements UserDetailsService {
private List userList;
@Autowired
private PasswordEncoder passwordEncoder;
// 初始化数据,模拟数据库
@PostConstruct
public void initData() {
// 加密后,存储到"数据库"
String password = passwordEncoder.encode("123");
userList = new ArrayList<>();
userList.add(new User("xiaowang", password, AuthorityUtils.commaSeparatedStringToAuthorityList("p1,p2")));
userList.add(new User("xiaoming", password, AuthorityUtils.commaSeparatedStringToAuthorityList("p2")));
}
// Spring Security会调用这个方法,根据username获取到用户信息。
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
List findUserList = userList.stream().filter(user -> user.getUsername().equals(username)).collect(Collectors.toList());
if (!CollectionUtils.isEmpty(findUserList)) {
return findUserList.get(0);
} else {
throw new UsernameNotFoundException("用户名或密码错误");
}
}
}
到这里我们的快速入门就完成了,是不是很简单。接下来就是测试了,测试用例如下:
- 使用小王账号登录,可以访问所有资源
- 使用小明账号登录,由于没有p1权限,所以不能访问/r/r1资源,报403错误
- 如果不登陆,只能访问匿名资源
简单总结一下步骤:
- 导入依赖
- 继承WebSecurityConfigurerAdapter,配置资源访规则
- 声明PasswordEncoder Bean
- 实现UserDetailsService,告诉Spring Security如何根据用户名找到用户信息
UserDetailsService是Spring Security提供给我们的一个扩展点。通过上面的入门案例,我们已经知道了它的作用。其实Spring Security也为我们提供了几个实现类。
其中InMemoryUserDetailsManager也是基于内存的,所以其实我们不需要自己实现UserDetailsService,直接使用InMemoryUserDetailsManager即可:
@Bean
protected UserDetailsService userDetailsService() {
String password = passwordEncoder.encode("123");
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("xiaowang").password(password).authorities("p1").build());
manager.createUser(User.withUsername("xiaoming").password(password).authorities("p2").build());
return manager;
}
在入门案例中,我们那么写,是为了更好的理解。你们也可以自己看看InMemoryUserDetailsManager的实现,主要看它如何实现loadUserByUsername方法的,很简单,相信看完后你会有更进一步的理解。
至于如何连接数据库,看这篇文章Spring Security连接数据库
基于注解的权限控制除了在config进行权限控制,我们也可以基于注解进行方法级别的权限控制(也可以是类级别),轻松的完成细粒度的权限控制,也能方便的知道当前的资源需要哪些权限。
使用方式非常简单。
- 先注释掉我们之前在configure中配置的资源权限控制规则
- 在配置类中添加@EnableGlobalMethodSecurity注解
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
- 在我们的方法或类上使用@PreAuthorize注解
@RestController
public class ResourceController {
@GetMapping("r/r1")
@PreAuthorize("hasAuthority('p1')")
public String r1() {
return "访问资源r1";
}
@GetMapping("r/r2")
@PreAuthorize("hasAuthority('p2')")
public String r2() {
return "访问资源r2";
}
// 只有匿名用户才能访问的资源
@GetMapping("annoy")
@PreAuthorize("isAnonymous()")
public String annoy(){
return "只允许匿名访问的资源";
}
}
