Spring Security(安全框架)
Posted 幽默涵养miss u
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security(安全框架)相关的知识,希望对你有一定的参考价值。
一、概念
(1)Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。
(2)认证(Authentication):应用程序确认用户身份的过程,常见认证:登录。
(3)身份(principal)/主体(Subject):认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。
(4)凭证(Credential):用户认证过程中的依据之一。常见就是密码。
(5)授权(Authorization):判断用户具有哪些权限或角色。
(6)Spring Security所有功能都是基于Filter(过滤器)实现的。
二、使用方式
(1)导入依赖
导入依赖后默认会有一个登录页,并且没有登录时访问其他资源会自动跳到登录页,用户名为user,密码会打印在控制台。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
(2)可以在配置文件中配置用户名和密码
spring.security.user.name=user
spring.security.user.password=123
(3)使用数据库中的数据认证
1.给配置Spring Security密码解析器
package com.bjsxt.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class UserDetailConfig
@Bean
public PasswordEncoder passwordEncoder()
return new BCryptPasswordEncoder();
2.实现 UserDetailsService 接口并重写 loadUserByUsername( )方法
package com.bjsxt.service.impl;
import com.bjsxt.mapper.AdminMapper;
import com.bjsxt.pojo.Admin;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
public class UserDetailsServiceImpl implements UserDetailsService
@Autowired
private AdminMapper adminMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
Admin admin = adminMapper.selectByName(username);
if(admin == null)
throw new UsernameNotFoundException("用户名不存在");
return new User(username,admin.getApwd(), AuthorityUtils.NO_AUTHORITIES);
(4)自定义登录页面:新建一个配置类继承WebSecurityConfigurerAdapter类并重写configure(HttpSecurity http)方法,在该方法中进行配置。
package com.bjsxt.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
http.formLogin()
.loginPage("/")//配置哪个页面是登录页面
.loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
.usernameParameter("username")//配置用户名参数名
.passwordParameter("password")//配置密码参数名
.successForwardUrl("/showMain")//登录成功转发到哪
.failureForwardUrl("/")//登录失败转发到哪
.successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
.failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪
http.authorizeRequests()
.antMatchers("/","/login").permitAll()//允许
.antMatchers("**").authenticated();//需要认证
/* anyRequest()等价于antMatchers("**") */
http.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))//哪个URl执行退出登录的功能
.logoutSuccessUrl("/");//退出登录后跳转到哪
//http.csrf().disable();//禁用csrf
@Bean
public PasswordEncoder passwordEncoder()
return new BCryptPasswordEncoder();
三、PasswordEncoder密码解析器
(1)用途:给密码进行加密处理。它是一个接口
(2)接口介绍:
encode():把参数按照特定的解析规则进行解析。
matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回true;如果不匹配,则返回false。第一个参数表示需要被解析的密码。第二个参数表示存储的密码。
upgradeEncoding():如果解析的密码能够再次进行解析且达到更安全的结果则返回true,否则返回false。默认返回false。
(3)官方推荐实现类BCryptPasswordEncoder
package com.bjsxt;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@SpringBootTest
class Day03ApplicationTests
@Test
void contextLoads()
BCryptPasswordEncoder be = new BCryptPasswordEncoder();
String encode = be.encode("123");
System.out.println(encode);
boolean matches = be.matches("123", encode);
System.out.println(matches);
四、Spring Security中的CSRF
(1) CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。
(2)原理
-
当服务器加载登录页面。(loginPage中的值,默认/login),先生成csrf对象,并放入作用域中,key为_csrf。之后会对$_csrf.token进行替换,替换成服务器生成的token字符串。
-
用户在提交登录表单时,会携带csrf的token。如果客户端的token和服务器的token匹配说明是自己的客户端,否则无法继续执行。
-
用户退出的时候,必须发起POST请求,且和登录时一样,携带csrf的令牌。
<input type="hidden" th:value="$_csrf.token" name="_csrf" th:if="$_csrf"/>
五、Spring Security实现记住我的功能
(1)在客户端登录页面中添加remember-me的复选框,只要用户勾选了复选框下次就不需要进行登录了。
<form action = "/login" method="post">
用户名:<input type="text" name="username"/><br/>
密码:<input type="text" name="password"/><br/>
<input type="checkbox" name="remember-me" value="true"/> <br/>
<input type="submit" value="登录"/>
</form>(2)配置数据源,告诉Spring Security存储记住的账号信息的数据源是哪里。
@Configuration
public class RememberMeConfig
@Autowired
private DataSource dataSource;
@Bean
public PersistentTokenRepository getPersistentTokenRepository()
JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new JdbcTokenRepositoryImpl();
jdbcTokenRepositoryImpl.setDataSource(dataSource);
// 自动建表,第一次启动时需要,第二次启动时注释掉
// jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);
return jdbcTokenRepositoryImpl;
(3)配置remember-me,让记住我功能生效
package com.bjsxt.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;
@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private PersistentTokenRepository persistentTokenRepository;
@Override
protected void configure(HttpSecurity http) throws Exception
http.formLogin()
.loginPage("/")//配置哪个页面是登录页面
.loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
.usernameParameter("username")//配置用户名参数名
.passwordParameter("password")//配置密码参数名
.successForwardUrl("/showMain")//登录成功转发到哪
.failureForwardUrl("/")//登录失败转发到哪
.successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
.failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪
http.authorizeRequests()
.antMatchers("/","/login").permitAll()//允许
.antMatchers("**").authenticated();//需要认证
/* anyRequest()等价于antMatchers("**") */
http.logout()
.logoutUrl("/abc")//哪个URl执行退出登录的功能
.logoutSuccessUrl("/");//退出登录后跳转到哪
/*http.csrf().disable();//禁用csrf*/
//配置rememberMe
http.rememberMe()
.userDetailsService(userDetailsService)
.tokenRepository(persistentTokenRepository);
@Bean
public PasswordEncoder passwordEncoder()
return new BCryptPasswordEncoder();
六、访问控制url匹配
在配置类中http.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。
(1)antMatcher():参数是不定向参数,每个参数是一个ant表达式,用于匹配URL规则。
(2)anyRequest():在之前认证过程中我们就已经使用过anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。
(3)regexMatchers():使用正则表达式进行匹配。和antMatchers()主要的区别就是参数,antMatchers()参数是ant表达式,regexMatchers()参数是正则表达式。
七、内置访问控制方法
(1)permitAll():表示所匹配的URL任何人都允许访问。
(2)authenticated():表示所匹配的URL都需要被认证才能访问。
(3)anonymous():表示可以匿名访问匹配的URL,登录后不能访问。
(4)denyAll():表示所匹配的URL都不允许被访问。
(5)rememberMe():被“remember me”的用户允许访问
(6)fullyAuthenticated():如果用户不是被remember me的,才可以访问。
八、角色和权限判断
(1)hasAuthority(String):判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建User对象时指定的。
(2)hasAnyAuthority(String ...):如果用户具备给定权限中某一个,就允许访问。
(3)hasRole(String):如果用户具备给定角色就允许访问。否则出现403。
(4)hasAnyRole(String ...):如果用户具备给定角色的任意一个,就允许被访问
(5)hasIpAddress(String):如果请求是指定的IP就运行访问。
九、自定义403处理方案
(1)新建类实现AccessDeniedHandler。
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler
@Override
public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException
//这里写出现403异常后的操作
httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");
PrintWriter out = httpServletResponse.getWriter();
out.write("\\"status\\":\\"error\\",\\"msg\\":\\"权限不足,请联系管理员!\\"");
out.flush();
(2)配置类中重点添加异常处理器
@Autowired
private AccessDeniedHandler accessDeniedHandler;//异常处理
http.exceptionHandling()
.accessDeniedHandler(accessDeniedHandler);
十、权限控制注解
(1)@Secured:是专门用于判断是否具有角色的。能写在方法或类上。@Secured参数要以ROLE_开头。
开启注解:在启动类(也可以在配置类等能够扫描的类上)上添加
@EnableGlobalMethodSecurity(securedEnabled = true)
(2)@PreAuthorize:表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解,注解的参数和access()方法参数取值相同,都是权限表达式。
@PostAuthorize:表示方法或类执行结束后判断权限,此注解很少被使用到。
开启注解:在启动类(也可以在配置类等能够扫描的类上)上添加
@EnableGlobalMethodSecurity(prePostEnabled = true)
十一、Thymeleaf中Spring Security的使用
(1)导入依赖
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>
(2)在html页面中引入thymeleaf命名空间和security命名空间
<html xmlns="http://www.w3.org/1999/xhtml"
xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
获取属性
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
登录账号:<span sec:authentication="name">123</span><br/>
登录账号:<span sec:authentication="principal.username">456</span><br/>
凭证:<span sec:authentication="credentials">456</span><br/>
权限和角色:<span sec:authentication="authorities">456</span><br/>
客户端地址:<span sec:authentication="details.remoteAddress">456</span><br/>
sessionId:<span sec:authentication="details.sessionId">456</span><br/>
</body>
</html>权限判断
通过权限判断:
<button sec:authorize="hasAuthority('/insert')">新增</button>
<button sec:authorize="hasAuthority('/delete')">删除</button>
<button sec:authorize="hasAuthority('/update')">修改</button>
<button sec:authorize="hasAuthority('/select')">查看</button>
<br/>
通过角色判断:
<button sec:authorize="hasRole('abc')">新增</button>
<button sec:authorize="hasRole('abc')">删除</button>
<button sec:authorize="hasRole('abc')">修改</button>
<button sec:authorize="hasRole('abc')">查看</button>安全框架Spring Boot 整合 Spring Security
1.工业级安全框架介绍
Spring Security基于Spring开发,项目中如果使用Spring作为基础,配合Spring Security做权限更加方便,而Shiro需要和Spring进行整合开发。因此作为spring全家桶中的Spring Security在java领域很常用。
2.建议搭建Spring Security环境
2.1在pom.xml中添加相关依赖
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>org.example</groupId>
<artifactId>springsecurityReview</artifactId>
<version>1.0-SNAPSHOT</version>
<parent>
<artifactId>spring-boot-dependencies</artifactId>
<groupId>org.springframework.boot</groupId>
<version>2.5.4</version>
</parent>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
</dependencies>
</project>2.2创建Handler类
package com.example.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
@Controller
public class Handler {
@GetMapping("/index")
public String index(){
return "index";
}
}
2.3创建简单的html和配置相关thymeleaf的路径
2.4最后再加个启动类,那么我们的整合测试就完成勒
package com.example;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class,args);
}
}
2.5成果展示 用户名默认user,密码则随机生成的这串数字
3.进阶版使用
3.1用户名和密码自定义
3.2在config包下创建Encoder进行密码的校验和转码操作,将密码转成字符串形式,并通过match方法惊醒校验。
3.3赋予账号角色权限
package com.example.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//角色和资源的关系
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/admin").hasRole("ADMIN")
.antMatchers("/index").access("hasRole('ADMIN') or hasRole('USER') ")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll()
.and()
.csrf()
.disable();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder())
.withUser("user").password(new MyPasswordEncoder()
.encode("000")).roles("USER")
.and()
.withUser("admin").password(new MyPasswordEncoder()
.encode("123")).roles("ADMIN","USER");
}
}
最后达到admin账号能访问admin.html和index.html
user只能访问index.html的操作
以上是关于Spring Security(安全框架)的主要内容,如果未能解决你的问题,请参考以下文章
安全框架Spring Boot 整合 Spring Security