Spring Security是一個功能強大且高度可定制的身份驗證和訪問控制框架, 提供了完善的認證機制和方法級的授權(quán)功能。是一款非常優(yōu)秀的權(quán)限管理框架。它的核心是一組過濾器鏈，不同的功能經(jīng)由不同的過濾器。今天通過一個簡單的案例了解一下Spring Security的基本用法

1.引入依賴

在項目中引入Spring Security依賴，代碼如下：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

引入依賴后，整個項目都被Spring Security保護起來，所有的接口都要登錄之后才能訪問了，例如，我需要訪問/doc.html接口文檔，直接跳到登錄頁面。如下圖：

這時，你會有十萬個為什么啦？這個頁面哪里的？這個用戶名和密碼是啥？等等。不著急，聽我一一道來。

2.用戶名和密碼在哪里設(shè)置

當我們引入了Spring Secruity依賴后，啟動項目之后，密碼就會在控制臺中輸出的，格式是UUID，每一次啟動密碼都不一樣的，而用戶名是默認是User的。

Using generated security password: 8b2d752b-8892-4cd3-a7a9-a36e79e1cad8

我們可以通過項目的配置文件自定義用戶名和密碼的，代碼如下，這樣每次重啟項目，用戶名和密碼都是固定不變的。

spring:
  security:
      user:
        name: didiplus
        password: didiplus

3.UserDetailsService接口詳解

UserDetailsService接口只有一個抽象方法就是loadUserByUsername(String username)。代碼如下：

public interface UserDetailsService {

	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}

UserDetailsService接口的返回值是UserDetails接口，這又是一個接口，Spring Security框架提供了它的實現(xiàn)類org.springframework.security.core.userdetails包下的User類對象。userdetails源碼如下：

Spring Security提供了三個UserDetailsService接口的實現(xiàn)類，分別是CachingUserDetailsService，JdbcDaoImpl，InMemoryUserDetailsManager

3.1JdbcDaoImpl實現(xiàn)類

該實現(xiàn)類是通過數(shù)據(jù)庫獲取用戶名和密碼，JdbcUserDetailsManager中定義了一大堆SQL語句，如下：

接著我們在看一下JdbcDaoImpl中的loadUsersByUsername方法，如下：

3.2InMemoryUserDetailsManager實現(xiàn)類

以上代碼是判斷內(nèi)存中的HashMap集合中是否有用戶數(shù)據(jù)對應(yīng)的User對象，如果沒有，直接拋出異常，如果有就返回該用戶的User對象信息。

以上代碼是把配置文件中的User相關(guān)信息讀取到。通過分析源碼發(fā)現(xiàn) Spring Security框架完成用戶登錄認證的核心就在與org.springframework.security.core.userdetails包下的UserDetailsService接口。

3.3自定義實現(xiàn)類實現(xiàn)UserDetailsService接口

自定義實現(xiàn)類MyUserDetailsServiceImpl，代碼如下：

@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {

    private static  final  String USERNAME="admin";
    private static  final  String PASSWORD="admin123";

 

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (!USERNAME.equals(username)){
            throw new UsernameNotFoundException("用戶名不存在");
        }
        UserDetails userDetails =  new User(USERNAME,PASSWORD, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,common"));
        return userDetails;
    }
}

重啟項目看看，輸入定義的用戶名和密碼，發(fā)現(xiàn)登錄不了，查看控制臺發(fā)現(xiàn)報錯，提示如下：

報錯的原因是沒有使用任何的PasswordEncoder，我們輸入的密碼沒有用加密工具進行加密。 Spring Security其實已經(jīng)給我們提供了很多的PasswordEncoder 。在org.springframework.security.crypto.password包下有一個PasswordEncoder接口，看看他的實現(xiàn)類

把這個PasswordEncoder的任意一個我們需要用來加密密碼的實現(xiàn)類的Bean注入到容器里面，就可以直接拿來使用，代碼如下：

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

修改MyUserDetailsServiceImpl類如下：

@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {

    private static  final  String USERNAME="admin";
    private static  final  String PASSWORD="admin123";

    @Resource
    BCryptPasswordEncoder cryptPasswordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (!USERNAME.equals(username)){
            throw new UsernameNotFoundException("用戶名不存在");
        }
        UserDetails userDetails =  new User(USERNAME,cryptPasswordEncoder.encode(PASSWORD), AuthorityUtils.commaSeparatedStringToAuthorityList("admin,common"));
        return userDetails;
    }
}

重啟項目再次測試，輸入定義的賬號和密碼。即可訪問到接口文檔頁面。

4.如何修改登錄頁面

覺得默認的登錄頁面很丑，我們?nèi)绾味x自己的登錄頁面呢？方法也很簡單，首先我們先去準備一個登錄頁面。如下：

前端代碼如下：

<form action="/login" class="login-form" >
    <h1>登錄</h1>

    <div class="txtb">
        <input type="text" name="user">
        <span data-placeholder="Username"></span>
    </div>

    <div class="txtb">
        <input type="password" name="pass">
        <span data-placeholder="Password"></span>
    </div>
    <input type="submit" class="logbtn" value="登錄">

    <div class="bottom-text">
        Don't have account? <a href="#" rel="external nofollow" >Sign up</a>
    </div>

</form>

把登錄頁面文件存放到項目的資源文件夾中static目錄下,然后在SecurityConfig重寫configure(HttpSecurity http)這個方法，代碼如下：

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login.html") #自定義登錄頁面
                .usernameParameter("user") #對應(yīng)前端表達name屬性
                .passwordParameter("pass") #對應(yīng)前端表達name屬性
                .loginProcessingUrl("/login")
                .defaultSuccessUrl("/doc.html") #登錄成功后跳轉(zhuǎn)的頁面地址
                .failureUrl("/login?error=true")
                .and()
                .authorizeRequests()
                .antMatchers("/login.html").permitAll() #放通登錄頁面
                .anyRequest().authenticated(); #其他請求都要認證
        http.csrf().disable();
    }

重新啟動項目，輸入定義的用戶名和密碼，登錄成功直接跳轉(zhuǎn)到/doc.html。

antMatchers("url").permitAll() 是把某個url放通，不需要登錄就能訪問。

到此這篇關(guān)于一文詳解Spring Security的基本用法的文章就介紹到這了,更多相關(guān)Spring Security用法內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: