SpringSecurity
内容大纲
1. SpringSecurity框架简介
1.1 概要
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。
正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录
(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以 进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的 权限。通俗点讲就是系统判断用户是否有权限去做某些事情。
1.2同款产品对比
1.2.1 Spring Security
Spring 技术栈的组成部分。
SpringSecurity 特点:
1.2.2 Shiro
Apache 旗下的轻量级权限控制框架。
特点:
轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求 的互联网应用有更好表现。
通用性。
◼好处:不局限于 Web 环境,可以脱离 Web 环境使用。
◼缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制。
Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之 前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直 是 Shiro 的天下。
相对于 Shiro,在 SSM 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。
自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动化配置方 案,可以使用更少的配置来使用 Spring Security。
因此,一般来说,常见的安全管理技术栈的组合是这样的:
• SSM + Shiro
• Spring Boot/Spring Cloud + Spring Security
以上只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行 的。
2. SpringSecurity入门案例
2.1 创建一个项目
加入web和security的依赖
1
2
3
4
5
6
7
8
9
| <dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
|
2.2 运行这个项目
添加一个控制器进行访问
1
2
3
4
5
6
7
8
| @RestController
@RequestMapping("/test")
public class TestController {
@GetMapping("hello")
public String hello() {
return "hello security";
}
|
访问 localhost:8080/test/hello
默认的用户名:user
密码在项目启动的时候在控制台会打印,注意每次启动的时候密码都回发生变化!
输入用户名,密码,这样表示可以访问了,404 表示我们没有这个控制器,但是我们可以 访问了。
2.3 SpringSecurity基本原理
SpringSecurity 本质是一个过滤器链:
从启动是可以获取到过滤器链:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
org.springframework.security.web.context.SecurityContextPersistenceFilter
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter
org.springframework.security.web.session.SessionManagementFilter
org.springframework.security.web.access.ExceptionTranslationFilter
org.springframework.security.web.access.intercept.FilterSecurityInterceptor
|
代码底层流程:先看三个过滤器:
FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。
super.beforeInvocation(fi) 表示查看之前的 filter 是否通过。
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。
ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常
UsernamePasswordAuthenticationFilter :对/login 的 POST 请求做拦截,校验表单中用户 名,密码。
自定义逻辑控制认证逻辑。
1
2
| UsernamePasswordAuthenticationFilter 这个过滤器用来接收POST提交传过来的用户名密码,来认证,如果没有配置,默认就是user和默认生成的密码,现在我们要用自己数据库的用户和密码。过程就是:首先也写个过滤器,继承UsernamePasswordAuthenticationFilter,然后在里面重写它的方法,attemptAuthentication这个方法中做判断,判断无外乎成功或者失败两种情况,成功的话会调用successfulAuthentication这个方法,失败的话会调用unsuccessfulAuthentication这个方法。所以现在要自己写的话,需要继承UsernamePasswordAuthenticationFilter,实现里面的这三个方法,重写attemptAuthentication方法只是来得到·用户名密码的过程。查数据库获取用户信息需要单独来写。查数据库逻辑写到哪里,就是写到UserDetailsService这个接口中。
总结:如果要自己去查数据库,需要写个类继承UsernamePasswordAuthenticationFilter,在attemptAuthentication中得到用户名密码,如果认证成功调里面的 successfulAuthentication,如果认证失败调用unsuccessfulAuthentication。但是查数据库过程肯定不在这里写。需要在UserDetailsService中写查询数据库中的过程。这个接口作用说的通俗点就是查询数据库中用户名密码。
|
接口定义如下:
loadUserByUsername即为通过数据库认证需要重写的方法。返回值 UserDetails,这个类是系统默认的用户“主体”,
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
|
一下是UserDetails的是实现类
以后我们只需要使用 User 这个实体类即可!
- 方法参数 username 表示用户名。此值是客户端表单传递过来的数据。默认情况下必须叫 username,否则无 法接收。
PasswordEncoder 接口讲解
1
2
3
4
5
6
7
8
9
10
11
|
String encode(CharSequence rawPassword);
配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
false。默认返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
|
接口实现类
BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析 器。
BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单 向加密。可以通过 strength 控制加密强度,默认 10.
3. Spring Web 权限方案
3.1 设置登录系统的账号、密码
3.2 实现数据库认证来完成用户登录
3.3 自定义登录页面和权限控制
3.4 基于角色或权限进行访问控制
3.5 自定义403没有权限访问页面
3.6 注解使用
3.6.1 @Secured
判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。 使用注解先要开启注解功能! @EnableGlobalMethodSecurity(securedEnabled=true)
1
2
3
4
5
6
7
8
| @SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled=true)
public class DemosecurityApplication {
public static void main(String[] args) {
SpringApplication.run(DemosecurityApplication.class, args);
}
}
|
在控制器方法上添加注解
1
2
3
4
5
6
7
8
|
@RequestMapping("testSecured")
@ResponseBody
@Secured({"ROLE_normal","ROLE_admin"})
public String helloUser() {
return "hello,user";
}
@Secured({"ROLE_normal","ROLE_管理员"})
|
3.6.2 @PreAuthorize
先开启注解功能:
@EnableGlobalMethodSecurity(prePostEnabled = true)
@PreAuthorize:注解适合进入方法前的权限验证, @PreAuthorize 可以将登录用 户的 roles/permissions 参数传到方法中
1
2
3
4
5
6
7
8
| @RequestMapping("/preAuthorize")
@ResponseBody
@PreAuthorize("hasAnyAuthority('menu:system')")
public String preAuthorize(){
System.out.println("preAuthorize");
return "preAuthorize";
}
|
3.6.3 @PostAuthorize
先开启注解功能: @EnableGlobalMethodSecurity(prePostEnabled = true)
@PostAuthorize 注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值 的权限.
1
2
3
4
5
6
7
| @RequestMapping("/testPostAuthorize")
@ResponseBody
@PostAuthorize("hasAnyAuthority('menu:system')")
public String preAuthorize(){
System.out.println("test--PostAuthorize");
return "PostAuthorize";
}
|
3.6.4 @PostFilter
@PostFilter :权限验证之后对数据进行过滤 留下用户名是 admin1 的数据
表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素
1
2
3
4
5
6
7
8
9
10
| @RequestMapping("getAll")
@PreAuthorize("hasRole('ROLE_管理员')")
@PostFilter("filterObject.username == 'admin1'")
@ResponseBody
public List<UserInfo> getAllUser(){
ArrayList<UserInfo> list = new ArrayList<>();
list.add(new UserInfo(1l,"admin1","6666"));
list.add(new UserInfo(2l,"admin2","888"));
return list;
}
|
3.6.5 @PreFilter
@PreFilter: 进入控制器之前对数据进行过滤
1
2
3
4
5
6
7
8
9
10
11
| @RequestMapping("getTestPreFilter")
@PreAuthorize("hasRole('ROLE_管理员')")
@PreFilter(value = "filterObject.id%2==0")
@ResponseBody
public List<UserInfo> getTestPreFilter(@RequestBody List<UserInfo>
list){
list.forEach(t-> {
System.out.println(t.getId()+"\t"+t.getUsername());
});
return list;
}
|
先登录,然后使用 postman 进行测试
测试的 Json 数据:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| [
{
"id": "1",
"username": "admin",
"password": "666"
},
{
"id": "2",
"username": "admins",
"password": "888"
},
{
"id": "3",
"username": "admins11",
"password": "11888"
},
{
"id": "4",
"username": "admins22",
"password": "22888"
}]
|
3.5 用户注销功能
3.5.1 在登录页面添加一个退出连接
1
2
3
4
5
6
| success.html
<body>
登录成功<br>
<a href="/logout">退出</a>
</body>
|
3.5.2 在配置类中添加退出映射地址
1
| http.logout().logoutUrl("/logout").logoutSuccessUrl("/index").permitAll();
|
3.5.3 测试
退出之后,是无法访问需要登录时才能访问的控制器!
3.6 基于数据库的记住我
创建表
1
2
3
4
5
6
7
8
| CREATE TABLE `persistent_logins` (
`username` varchar(64) NOT NULL,
`series` varchar(64) NOT NULL,
`token` varchar(64) NOT NULL,
`last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE
CURRENT_TIMESTAMP,
PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
|
3.6.1 添加数据库的配置文件
1
2
3
4
5
6
7
| spring:
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql:
username: root
password: root
|
3.6.2 编写配置类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| @Configuration
public class BrowserSecurityConfig {
@Autowired
private DataSource dataSource;
@Bean
public PersistentTokenRepository persistentTokenRepository(){
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
jdbcTokenRepository.setCreateTableOnStartup(true);
return jdbcTokenRepository;
}
}
|
3.6.3 修改安全配置类
1
2
3
4
5
6
7
8
9
| @Autowired
private UsersServiceImpl usersService;
@Autowired
private PersistentTokenRepository tokenRepository;
http.rememberMe()
.tokenRepository(tokenRepository)
.userDetailsService(usersService);
|
3.6.4 页面添加记住我复选框
1
| 记住我:<input type="checkbox"name="remember-me"title="记住密码"/>
|
此处:name 属性值必须位 remember-me.不能改为其他值
3.6.5 使用张三进行登录测试
登录成功之后,关闭浏览器再次访问 http://localhost:8080/find,发现依然可以使用!
4. SpringSecurity 微服务权限方案
4.1 RBAC权限管理模型
4.2 搭建项目工程
4.3 具体代码实现
4.4 授权认证过滤器
编写核心配置类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
| @Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {
private TokenManager tokenManager;
private RedisTemplate redisTemplate;
private DefaultPasswordEncoder defaultPasswordEncoder;
private UserDetailsService userDetailsService;
@Autowired
public TokenWebSecurityConfig(UserDetailsService userDetailsService, DefaultPasswordEncoder defaultPasswordEncoder,
TokenManager tokenManager, RedisTemplate redisTemplate) {
this.userDetailsService = userDetailsService;
this.defaultPasswordEncoder = defaultPasswordEncoder;
this.tokenManager = tokenManager;
this.redisTemplate = redisTemplate;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.exceptionHandling()
.authenticationEntryPoint(new UnauthEntryPoint())
.and().csrf().disable()
.authorizeRequests()
.anyRequest().authenticated()
.and().logout().logoutUrl("/admin/acl/index/logout")
.addLogoutHandler(new TokenLogoutHandler(tokenManager,redisTemplate)).and()
.addFilter(new TokenLoginFilter(authenticationManager(), tokenManager, redisTemplate))
.addFilter(new TokenAuthFilter(authenticationManager(), tokenManager, redisTemplate)).httpBasic();
}
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(defaultPasswordEncoder);
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/api/**");
}
}
|
编写UserDetailService实现类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| @Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserService userService;
@Autowired
private PermissionService permissionService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userService.selectByUsername(username);
if(user == null) {
throw new UsernameNotFoundException("用户不存在");
}
com.atguigu.security.entity.User curUser = new com.atguigu.security.entity.User();
BeanUtils.copyProperties(user,curUser);
List<String> permissionValueList = permissionService.selectPermissionValueByUserId(user.getId());
SecurityUser securityUser = new SecurityUser();
securityUser.setCurrentUserInfo(curUser);
securityUser.setPermissionValueList(permissionValueList);
return securityUser;
}
}
|
5. SpringSecurity源码及原理
5.1 认证流程详解
1
| 首先我们做认证,到我们的UsernamePasswordAuthenticationFilter中,这里面首先会调用父类的doFilter()方法,在doFilter方法中先判断提交方式是否为POST提交。入如果不是直接放行,是的话进行认证。调用里面的attemptAuthentication()方法,包括做Session处理。如果成功做成功的出处理,失败做失败的处理。然后详细看attemptAuthentication()方法的底层,attemptAuthentication()方法中,判断提交,得到数据,进行数据构建,进行身份认证,认证过程中,用到ProviderManager中的方法进行认证。
|
5.2 权限访问流程
主要是对 ExceptionTranslationFilter 过滤器和 FilterSecurityInterceptor 过滤器进行介绍。
5.3 SpringSecurity 请求间共享认证信息
一般认证成功后的用户信息是通过 Session 在多个请求之间共享,那么 Spring Security 中是如何实现将已认证的用户信息对象 Authentication 与 Session 绑定的进行 具体分析
