一篇帶給你SpringBoot + Spring Security入門

2020-12-26 51CTO

這篇文章主要介紹了SpringBoot + Spring Security 簡單入門

一、Spring Security 基本介紹

這裡就不對Spring Security進行過多的介紹了,具體的可以參考官方文檔

我就只說下SpringSecurity核心功能:

  1. 認證(你是誰)
  2. 授權(你能幹什麼)
  3. 攻擊防護(防止偽造身份)

二、基本環境搭建

這裡我們以SpringBoot作為項目的基本框架,我這裡使用的是maven的方式來進行的包管理,所以這裡先給出集成Spring Security的方式

  1. <?xml version="1.0" encoding="UTF-8"?> 
  2. <project xmlns="http://maven.apache.org/POM/4.0.0" 
  3.          xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
  4.          xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"
  5.     <parent> 
  6.         <artifactId>jeecg-boot-cloud-study</artifactId> 
  7.         <groupId>com.jeecg.cloud</groupId> 
  8.         <version>1.0.0</version> 
  9.     </parent> 
  10.     <modelVersion>4.0.0</modelVersion> 
  11.  
  12.     <artifactId>jeecg-boot-security</artifactId> 
  13.  
  14.     <dependencies> 
  15.         <dependency> 
  16.             <groupId>org.springframework.boot</groupId> 
  17.             <artifactId>spring-boot-starter-web</artifactId> 
  18.         </dependency> 
  19.             <dependency> 
  20.                 <groupId>org.springframework.boot</groupId> 
  21.                 <artifactId>spring-boot-starter-security</artifactId> 
  22.             </dependency> 
  23.     </dependencies> 
  24.  
  25. </project> 

然後建立一個Web層請求接口

  1. @RestController 
  2. @RequestMapping("/user"
  3. public class UserController { 
  4.   @GetMapping 
  5.   public String getUsers() {     
  6.     return "Hello Jeecg Spring Security"
  7.   } 

接下來可以直接進行項目的運行,並進行接口的調用看看效果了。

三、通過網頁的調用

我們首先通過瀏覽器進行接口的調用,直接訪問http://localhost:8080/user,如果接口能正常訪問,那麼應該顯示「Hello Jeecg Spring Security」。

但是我們是沒法正常訪問的,出現了下圖的身份驗證輸入框

這是因為在SpringBoot中,引入的Spring Security依賴,權限控制自動生效了,此時的接口都是被保護的,我們需要通過驗證才能正常的訪問。 Spring Security提供了一個默認的用戶,用戶名是user,而密碼則是啟動項目的時候自動生成的。

我們查看項目啟動的日誌,會發現如下的一段Log

  • Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

當然你看到的password肯定和我是不一樣的,我們直接用user和啟動日誌中的密碼進行登錄。

登錄成功後,就跳轉到了接口正常調用的頁面了。

如果不想一開始就使能Spring Security,可以在配置文件中做如下的配置:

  1. # security 使能 
  2. security.basic.enabled = false 

剛才看到的登錄框是SpringSecurity是框架自己提供的,被稱為httpBasicLogin。顯示它不是我們產品上想要的,我們前端一般是通過表單提交的方式進行用戶登錄驗證的,所以我們就需要自定義自己的認證邏輯了。

四、自定義用戶認證邏輯

每個系統肯定是有自己的一套用戶體系的,所以我們需要自定義自己的認證邏輯以及登錄界面。 這裡我們需要先對SpringSecurity進行相應的配置

  1. package org.jeecg.auth.config; 
  2.  
  3. import org.springframework.context.annotation.Configuration; 
  4. import org.springframework.security.config.annotation.web.builders.HttpSecurity; 
  5. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; 
  6.  
  7. @Configuration 
  8. public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { 
  9.  
  10.     @Override 
  11.     protected void configure(HttpSecurity http) throws Exception { 
  12.         http.formLogin()          // 定義當需要用戶登錄時候,轉到的登錄頁面。 
  13.                 .loginProcessingUrl("/user/login") // 自定義的登錄接口 
  14.                 .and() 
  15.                 .authorizeRequests()    // 定義哪些URL需要被保護、哪些不需要被保護 
  16.                 .anyRequest()        // 任何請求,登錄後可以訪問 
  17.                 .authenticated(); 
  18.     } 

自定義密碼加密解密

  1. package org.jeecg.auth.config; 
  2.  
  3. import org.springframework.context.annotation.Bean; 
  4. import org.springframework.security.crypto.password.PasswordEncoder; 
  5. import org.springframework.stereotype.Component; 
  6.  
  7. @Component 
  8. public class MyPasswordEncoder implements PasswordEncoder { 
  9.     @Override 
  10.     public String encode(CharSequence charSequence) { 
  11.         return charSequence.toString(); 
  12.     } 
  13.  
  14.     @Override 
  15.     public boolean matches(CharSequence charSequence, String s) { 
  16.         return s.equals(charSequence.toString()); 
  17.     } 

接下來再配置用戶認證邏輯,因為我們是有自己的一套用戶體系的

  1. package org.jeecg.auth.config; 
  2.  
  3. import org.slf4j.Logger; 
  4. import org.slf4j.LoggerFactory; 
  5. import org.springframework.beans.factory.annotation.Autowired; 
  6. import org.springframework.security.core.authority.AuthorityUtils; 
  7. import org.springframework.security.core.userdetails.User
  8. import org.springframework.security.core.userdetails.UserDetails; 
  9. import org.springframework.security.core.userdetails.UserDetailsService; 
  10. import org.springframework.security.core.userdetails.UsernameNotFoundException; 
  11. import org.springframework.security.crypto.factory.PasswordEncoderFactories; 
  12. import org.springframework.security.crypto.password.PasswordEncoder; 
  13. import org.springframework.stereotype.Component; 
  14.  
  15. @Component 
  16. public class MyUserDetailsService implements UserDetailsService { 
  17.     private Logger logger = LoggerFactory.getLogger(getClass()); 
  18.  
  19.     @Autowired 
  20.     private PasswordEncoder passwordEncoder; 
  21.  
  22.     @Override 
  23.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { 
  24.         logger.info("用戶的用戶名: {}", username); 
  25.         // TODO 根據用戶名,查找到對應的密碼,與權限 
  26.  
  27.         // 封裝用戶信息,並返回。參數分別是:用戶名,密碼,用戶權限 
  28.         User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin")); 
  29.         return user
  30.     } 

這裡我們沒有進行過多的校驗,用戶名可以隨意的填寫,但是密碼必須得是「123456」,這樣才能登錄成功。

同時可以看到,這裡User對象的第三個參數,它表示的是當前用戶的權限,我們將它設置為」admin」。

我們這裡隨便填寫一個user,然後Password寫填寫一個錯誤的(非123456)的。這時會提示校驗錯誤:


同時在控制臺,也會列印出剛才登錄時填寫的user

現在我們再來使用正確的密碼進行登錄試試,可以發現就會通過校驗,跳轉到正確的接口調用頁面了。

六、UserDetails

剛剛我們在寫MyUserDetailsService的時候,裡面實現了一個方法,並返回了一個UserDetails。這個UserDetails 就是封裝了用戶信息的對象,裡面包含了七個方法

  1. public interface UserDetails extends Serializable { 
  2.   // 封裝了權限信息 
  3.   Collection<? extends GrantedAuthority> getAuthorities(); 
  4.   // 密碼信息 
  5.   String getPassword(); 
  6.   // 登錄用戶名 
  7.   String getUsername(); 
  8.   // 帳戶是否過期 
  9.   boolean isAccountNonExpired(); 
  10.   // 帳戶是否被凍結 
  11.   boolean isAccountNonLocked(); 
  12.   // 帳戶密碼是否過期,一般有的密碼要求性高的系統會使用到,比較每隔一段時間就要求用戶重置密碼 
  13.   boolean isCredentialsNonExpired(); 
  14.   // 帳號是否可用 
  15.   boolean isEnabled(); 

我們在返回UserDetails的實現類User的時候,可以通過User的構造方法,設置對應的參數

七、密碼加密解密

SpringSecurity中有一個PasswordEncoder接口

  1. public interface PasswordEncoder { 
  2.   // 對密碼進行加密 
  3.   String encode(CharSequence var1); 
  4.   // 對密碼進行判斷匹配 
  5.   boolean matches(CharSequence var1, String var2); 

我們只需要自己實現這個接口,並在配置文件中配置一下就可以了。

【編輯推薦】

【責任編輯:

姜華

TEL:(010)68476606】

點讚 0

相關焦點

  • springboot+springsecurity實現前後端分離簡單實現!
    通過各種方式學習springsecurity,在B站、騰訊課堂、網易課堂、慕課網沒有springsecurity的前後端分離的教學視頻,那我就去csdn去尋找springsecurity博客,發現幾個問題:要麼就是前後端不分離,要麼就是通過內存方式讀取數據,而不是通過資料庫的方式讀取數據,要麼就是大佬們給的代碼不全、把代碼講的太繞,關鍵部分沒有注釋
  • Springboot 項目搭建入門
    Springboot 項目搭建入門環境準備ideamaven>工程搭建springboot項目由於其自動配置了很多的依賴,簡化了開發者的配置,因此加快了開發者的開發速度,但是如果對spring 底層等不太了解的人,還是有些懵的,建議大家學習spring 之後再來使用spring boot項目來搭建。
  • 芋道 Spring Boot JPA 入門(一)之快速入門
    快速入門3. 分頁操作4. 基於方法名查詢5. 基於註解查詢666. 彩蛋本文,我們基於 Spring Boot 2.X 版本。1. 概述我們,咱們來學習下 Spring Data JPA 。關於這一點,我們在 《芋道 Spring Boot Redis 入門》 中,已經看到 Spring Data Redis 也是已經看到這樣的好處。總的來說,就是如下一張圖:FROM 《spring data jpa hibernate jpa 三者之間的關係》當然,絕大多數情況下,我們使用的 JPA 實現框架是 Hibernate ORM 。
  • 基礎篇:Spring Boot入門體驗(圖文教程)
    Spring Boot 的設計是為了讓你儘可能快的跑起來 Spring 應用程式並且儘可能減少你的配置文件。設計目的:用來簡化新 Spring 應用的初始搭建以及開發過程。從最根本上來講,Spring Boot 就是一些庫的集合,它能夠被任意項目的構建系統所使用。它使用 「習慣優於配置」 (項目中存在大量的配置,此外還內置一個習慣性的配置)的理念讓你的項目快速運行起來。
  • Springboot學習二:Springboot手動搭建第一個web工程
    功能使用springboot手動搭建一個web工程。搭建步驟創建一個maven工程(簡單骨架)。完成pom中打包類型是pom,pom中繼承springboot資源。創建子工程,繼承自定義父工程(默認也繼承了springboot) 由於父工程繼承了springboot,子工程也具備開發springboot能力,由springboot傳遞過來的各種資源屬性。在pom文件中(子工程)依賴一個開發web應用的資源。
  • 基於SpringBoot Cloud構建的一個商城項目源碼分享
    基於springboot cloud構建的一個商城項目,包括前端,後端和h5應用,小程序,作為zscat應用實踐的模板項目。基於SpringBoot2.x、SpringCloud和SpringCloudAlibaba並採用前後端分離的企業級微服務敏捷開發系統架構。
  • springboot的jar為何能獨立運行
    能獨立運行的jar文件在開發springboot應用時,通過java -jar命令啟動應用是常用的方式,今天就來一起了解這個簡單操作背後的技術;開發demo開發一個springboot應用作為本次研究的對象,對應的版本信息如下:
  • Springboot學習:Springboot的特點及核心功能概述
    例如:開發web應用,Springboot幫你完成了web容器的配置,Springmvc,Spring的配置。導致要想使用springboot必須依賴大量的資源.這樣極其不方便的。所以Springboot為開發者準備來的豐富環境的簡化依賴。
  • SpringBoot整合Spring Security
  • Spring全家桶、Dubbo、分布式、消息隊列後端必備全套開源項目
    在帶你快速學會 SpringMVC API 接口的編寫的同時,我還想告訴你還有全局返回、全局異常、攔截器、跨域處理等等功能。在帶你快速學會 MQ 消息的發送與消費的同時,我還想告訴你 MQ 還有集群消費、廣播消費、順序消息、定時消息、事務消息、消費重試等等特性。
  • Spring Boot實現定時任務新解,你是否能get到?
    在日常的開發過程中經常使用到定時任務,在springMVC的開發中,經常和quartz框架進行集成使用,但在springboot中沒有這麼做,而是使用了java的線程池來實現定時任務。一、概述在springboot中使用定時任務非常簡單,只需要簡單的幾步即可完成。
  • 黑馬程式設計師:SpringBoot教程,SpringBoot高級之原理分析
    創建一個模塊,springboot-condition:@SpringBootApplicationpublic class SpringbootConditionApplication {public static void main(String[] args
  • springcloud五大組件
    首先我們來看springcloud是什麼?它是微服務架構集大成者,基於springboot構建,可以將一系列優秀組件進行完美整合。對熟悉的程式設計師來說,上手不麻煩,對新手來說,就需要了解springcloud架構再去學習。
  • 全網最細緻的SpringBoot實戰教程,超適合新手小白入坑學習
    一、Spring Boot 入門Spring Boot 來簡化Spring應用開發的一個框架,約定大於配置Spring Boot 的底層用的就是Spring訪問官網:spring.io 再點擊projects
  • Springboot+MybatisPlus高效實現增刪改查
    <parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId>
  • 從零搭建 Spring Cloud 服務(超詳細)
    另外SpringCloud需要基於springboot搭建。maven集成idea3個框選擇完畢後點擊 ok接下來新建module這裡可能會出現加載不出archetype list的問題用了網上的所有解決辦法花了3個小時解決都沒用,重啟之後竟然可以了····你敢信
  • 詳解SpringCloud中RabbitMQ消息隊列原理及配置,一篇就夠!
    rabbitmq已經被spring-boot做了整合訪問實現。spring cloud也對springboot做了整合邏輯。所以rabbitmq的依賴可以在spring cloud中直接使用。是springboot要求的。
  • 史上最全spring boot實戰文檔,吃透這些,面試幹掉80%對手
    最大的重要性是:springcloud是一個基於springboot實現的一系 列框架的集合,用來提供全局的服務治理方案。springcloud要基於springboot來實現,離不開springboot。如果要學習源碼,當然還是SpringBoot最適合不過了。
  • Spring Boot 啟動事件和監聽器,太強大了!
    Spring Boot 基礎的構建這裡就不介紹了,如果你對 Spring Boot 還不是很熟悉,或者只是會簡單的使用,那還是建議你深入學習下吧,推薦這個 Spring Boot 學習倉庫,歡迎 Star 關注:https://github.com/javastacks/spring-boot-best-practice1、新建監聽器