SpringBoot2.0 整合 SpringSecurity 框架實現(xiàn)用戶權(quán)限安全管理方法
一、Security簡介
1、基礎(chǔ)概念
Spring Security是一個能夠為基于Spring的企業(yè)應(yīng)用系統(tǒng)提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應(yīng)用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面編程)功能,為應(yīng)用系統(tǒng)提供聲明式的安全訪問控制功能,減少了為安全控制編寫大量重復(fù)代碼的工作。
2、核心API解讀
1)、SecurityContextHolder
最基本的對象,保存著當(dāng)前會話用戶認(rèn)證,權(quán)限,鑒權(quán)等核心數(shù)據(jù)。SecurityContextHolder默認(rèn)使用ThreadLocal策略來存儲認(rèn)證信息,與線程綁定的策略。用戶退出時,自動清除當(dāng)前線程的認(rèn)證信息。
初始化源碼:明顯使用ThreadLocal線程。
private static void initialize() { if (!StringUtils.hasText(strategyName)) { strategyName = "MODE_THREADLOCAL"; } if (strategyName.equals("MODE_THREADLOCAL")) { strategy = new ThreadLocalSecurityContextHolderStrategy(); } else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) { strategy = new InheritableThreadLocalSecurityContextHolderStrategy(); } else if (strategyName.equals("MODE_GLOBAL")) { strategy = new GlobalSecurityContextHolderStrategy(); } else { try { Class<?> clazz = Class.forName(strategyName); Constructor<?> customStrategy = clazz.getConstructor(); strategy = (SecurityContextHolderStrategy)customStrategy.newInstance(); } catch (Exception var2) { ReflectionUtils.handleReflectionException(var2); } } ++initializeCount; }
2)、Authentication
源代碼
public interface Authentication extends Principal, Serializable { Collection<? extends GrantedAuthority> getAuthorities(); Object getCredentials(); Object getDetails(); Object getPrincipal(); boolean isAuthenticated(); void setAuthenticated(boolean var1) throws IllegalArgumentException; }
源碼分析
1)、getAuthorities,權(quán)限列表,通常是代表權(quán)限的字符串集合;
2)、getCredentials,密碼,認(rèn)證之后會移出,來保證安全性;
3)、getDetails,請求的細(xì)節(jié)參數(shù);
4)、getPrincipal, 核心身份信息,一般返回UserDetails的實現(xiàn)類。
3)、UserDetails
封裝了用戶的詳細(xì)的信息。
public interface UserDetails extends Serializable { Collection<? extends GrantedAuthority> getAuthorities(); String getPassword(); String getUsername(); boolean isAccountNonExpired(); boolean isAccountNonLocked(); boolean isCredentialsNonExpired(); boolean isEnabled(); }
4)、UserDetailsService
實現(xiàn)該接口,自定義用戶認(rèn)證流程,通常讀取數(shù)據(jù)庫,對比用戶的登錄信息,完成認(rèn)證,授權(quán)。
public interface UserDetailsService { UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException; }
5)、AuthenticationManager
認(rèn)證流程頂級接口。可以通過實現(xiàn)AuthenticationManager接口來自定義自己的認(rèn)證方式,Spring提供了一個默認(rèn)的實現(xiàn),ProviderManager。
public interface AuthenticationManager { Authentication authenticate(Authentication var1) throws AuthenticationException; }
二、與SpringBoot2整合
1、流程描述
1)、三個頁面分類,page1、page2、page3
2)、未登錄授權(quán)都不可以訪問
3)、登錄后根據(jù)用戶權(quán)限,訪問指定頁面
4)、對于未授權(quán)頁面,訪問返回403:資源不可用
2、核心依賴
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
3、核心配置
/** * EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持 */ @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { /** * 權(quán)限配置 */ @Override protected void configure(HttpSecurity http) throws Exception { // 配置攔截規(guī)則 http.authorizeRequests().antMatchers("/").permitAll() .antMatchers("/page1/**").hasRole("LEVEL1") .antMatchers("/page2/**").hasRole("LEVEL2") .antMatchers("/page3/**").hasRole("LEVEL3"); // 配置登錄功能 http.formLogin().usernameParameter("user") .passwordParameter("pwd") .loginPage("/userLogin"); // 注銷成功跳轉(zhuǎn)首頁 http.logout().logoutSuccessUrl("/"); //開啟記住我功能 http.rememberMe().rememberMeParameter("remeber"); } /** * 自定義認(rèn)證數(shù)據(jù)源 */ @Override protected void configure(AuthenticationManagerBuilder builder) throws Exception{ builder.userDetailsService(userDetailService()) .passwordEncoder(passwordEncoder()); } @Bean public UserDetailServiceImpl userDetailService (){ return new UserDetailServiceImpl () ; } /** * 密碼加密 */ @Bean public BCryptPasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } /* * 硬編碼幾個用戶 @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("spring").password("123456").roles("LEVEL1","LEVEL2") .and() .withUser("summer").password("123456").roles("LEVEL2","LEVEL3") .and() .withUser("autumn").password("123456").roles("LEVEL1","LEVEL3"); } */ }
4、認(rèn)證流程
@Service public class UserDetailServiceImpl implements UserDetailsService { @Resource private UserRoleMapper userRoleMapper ; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 這里可以捕獲異常,使用異常映射,拋出指定的提示信息 // 用戶校驗的操作 // 假設(shè)密碼是數(shù)據(jù)庫查詢的 123 String password = "$2a$10$XcigeMfToGQ2bqRToFtUi.sG1V.HhrJV6RBjji1yncXReSNNIPl1K"; // 假設(shè)角色是數(shù)據(jù)庫查詢的 List<String> roleList = userRoleMapper.selectByUserName(username) ; List<GrantedAuthority> grantedAuthorityList = new ArrayList<>() ; /* * Spring Boot 2.0 版本踩坑 * 必須要 ROLE_ 前綴, 因為 hasRole("LEVEL1")判斷時會自動加上ROLE_前綴變成 ROLE_LEVEL1 , * 如果不加前綴一般就會出現(xiàn)403錯誤 * 在給用戶賦權(quán)限時,數(shù)據(jù)庫存儲必須是完整的權(quán)限標(biāo)識ROLE_LEVEL1 */ if (roleList != null && roleList.size()>0){ for (String role : roleList){ grantedAuthorityList.add(new SimpleGrantedAuthority(role)) ; } } return new User(username,password,grantedAuthorityList); } }
5、測試接口
@Controller public class PageController { /** * 首頁 */ @RequestMapping("/") public String index (){ return "home" ; } /** * 登錄頁 */ @RequestMapping("/userLogin") public String loginPage (){ return "pages/login" ; } /** * page1 下頁面 */ @PreAuthorize("hasAuthority('LEVEL1')") @RequestMapping("/page1/{pageName}") public String onePage (@PathVariable("pageName") String pageName){ return "pages/page1/"+pageName ; } /** * page2 下頁面 */ @PreAuthorize("hasAuthority('LEVEL2')") @RequestMapping("/page2/{pageName}") public String twoPage (@PathVariable("pageName") String pageName){ return "pages/page2/"+pageName ; } /** * page3 下頁面 */ @PreAuthorize("hasAuthority('LEVEL3')") @RequestMapping("/page3/{pageName}") public String threePage (@PathVariable("pageName") String pageName){ return "pages/page3/"+pageName ; } }
6、登錄界面
這里要和Security的配置文件相對應(yīng)。
<div align="center"> <form th:action="@{/userLogin}" method="post"> 用戶名:<input name="user"/><br> 密 碼:<input name="pwd"><br/> <input type="checkbox" name="remeber"> 記住我<br/> <input type="submit" value="Login"> </form> </div>
三、源代碼地址
GitHub地址:知了一笑 https://github.com/cicadasmile/middle-ware-parent 碼云地址:知了一笑 https://gitee.com/cicadasmile/middle-ware-parent
總結(jié)
以上所述是小編給大家介紹的SpringBoot2.0 整合 SpringSecurity 框架實現(xiàn)用戶權(quán)限安全管理方法,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持!
如果你覺得本文對你有幫助,歡迎轉(zhuǎn)載,煩請注明出處,謝謝!
- SpringBoot項目實現(xiàn)關(guān)閉數(shù)據(jù)庫配置和springSecurity
- springboot+springsecurity如何實現(xiàn)動態(tài)url細(xì)粒度權(quán)限認(rèn)證
- SpringSecurity整合springBoot、redis實現(xiàn)登錄互踢功能
- springboot+jwt+springSecurity微信小程序授權(quán)登錄問題
- springboot集成springsecurity 使用OAUTH2做權(quán)限管理的教程
- Springboot+SpringSecurity+JWT實現(xiàn)用戶登錄和權(quán)限認(rèn)證示例
- SpringBoot集成SpringSecurity和JWT做登陸鑒權(quán)的實現(xiàn)
- Springboot整合SpringSecurity的完整案例詳解
相關(guān)文章
springboot實現(xiàn)將自定義日志格式存儲到mongodb中
這篇文章主要介紹了springboot實現(xiàn)將自定義日志格式存儲到mongodb中的操作,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2021-07-07java+vue3+el-tree實現(xiàn)樹形結(jié)構(gòu)操作代碼
基于springboot + vue3 elementPlus實現(xiàn)樹形結(jié)構(gòu)數(shù)據(jù)的添加、刪除和頁面展示,本文通過示例代碼給大家介紹的非常詳細(xì),感興趣的朋友跟隨小編一起看看吧2024-06-06IDEA 使用mybatis插件Free Mybatis plugin的步驟(推薦)
這篇文章主要介紹了IDEA 使用mybatis插件Free Mybatis plugin的相關(guān)知識,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下2020-12-12處理Log4j2不能打印行號的問題(AsyncLogger)
這篇文章主要介紹了處理Log4j2不能打印行號的問題(AsyncLogger),具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2021-12-12從字節(jié)碼角度解析synchronized和反射實現(xiàn)原理
這篇文章主要介紹了從字節(jié)碼角度解析synchronized和反射的實現(xiàn)原理,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪2023-08-08Spring中的@ConfigurationProperties在方法上的使用詳解
這篇文章主要介紹了Spring中的@ConfigurationProperties在方法上的使用詳解,@ConfigurationProperties應(yīng)該經(jīng)常被使用到,作用在類上的時候,將該類的屬性取值?與配置文件綁定,并生成配置bean對象,放入spring容器中,提供給其他地方使用,需要的朋友可以參考下2024-01-01