何为SpringSecurity?
Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro ,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。
一般Web应用的需要进行认证 和授权 。
认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作
而认证和授权也是SpringSecurity作为安全框架的核心功能。
快速入门 我们先要搭建一个简单的SpringBoot工程
① 设置父工程 添加依赖
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 <parent > <groupId > org.springframework.boot</groupId > <artifactId > spring-boot-starter-parent</artifactId > <version > 2.5.0</version > </parent > <dependencies > <dependency > <groupId > org.springframework.boot</groupId > <artifactId > spring-boot-starter-web</artifactId > </dependency > <dependency > <groupId > org.projectlombok</groupId > <artifactId > lombok</artifactId > <optional > true</optional > </dependency > </dependencies >
② 创建启动类
1 2 3 4 5 6 7 8 @SpringBootApplication public class SecurityApplication {public static void main (String[] args) {
③ 创建Controller
1 2 3 4 5 6 7 8 9 10 11 12 import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;@RestController public class HelloController {@RequestMapping("/hello") public String hello () {return "hello" ;
④引入SpringSecurity
在SpringBoot项目中使用SpringSecurity我们只需要引入依赖即可实现入门案例。
1 2 3 4 <dependency > <groupId > org.springframework.boot</groupId > <artifactId > spring-boot-starter-security</artifactId > </dependency >
引入依赖后我们在尝试去访问之前的接口就会自动跳转到一个SpringSecurity的默认登陆页面,默认用户名是user,密码会输出在控制台。必须登陆之后才能对接口进行访问。
认证 登陆校验流程
原理初探 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。这里我们可以看看入门案例中的过滤器。
Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
AuthenticationManager接口:定义了认证Authentication的方法
UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。
实现认证
核心代码实现 :
数据库效验 创建一个类实现UserDetailsService接口,重写其中的方法。更加用户名从数据库中查询用户信息
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 @Service public class UserDetailsServiceImpl implements UserDetailsService {@Autowired private UserMapper userMapper;@Override public UserDetails loadUserByUsername (String username) throws UsernameNotFoundException {new LambdaQueryWrapper <>();User user = userMapper.selectOne(wrapper);if (Objects.isNull(user)){throw new RuntimeException ("用户名或密码错误" );return new LoginUser (user);
因为UserDetailsService方法的返回值是UserDetails类型 ,所以需要定义一个类,实现该接口,把用户信息封装在其中。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 @Data @NoArgsConstructor @AllArgsConstructor public class LoginUser implements UserDetails {private User user;@Override public Collection<? extends GrantedAuthority > getAuthorities() {return null ;@Override public String getPassword () {return user.getPassword();@Override public String getUsername () {return user.getUserName();@Override public boolean isAccountNonExpired () {return true ;@Override public boolean isAccountNonLocked () {return true ;@Override public boolean isCredentialsNonExpired () {return true ;@Override public boolean isEnabled () {return true ;
注意:如果要测试,需要往用户表中写入用户数据,并且如果你想让用户的密码是明文存储,需要在密码前加{noop}。这样登陆的时候就可以用abc作为用户名,123456作为密码来登陆了。
密码加密存储 实际项目中我们不会把密码明文存储在数据库中。
默认使用的 PasswordEncoder要求数据库中的密码格式为:{id}password 。它会根据id去判断密码的加密方式。但是我们一般不会采用这种方式。所以就需要替换PasswordEncoder。
我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。
我们只需要使用把BCryptPasswordEncoder对象注入Spring容器中,SpringSecurity就会使用该PasswordEncoder来进行密码校验。
我们可以定义一个SpringSecurity的配置类,SpringSecurity要求这个配置类要继承WebSecurityConfigurerAdapter。
1 2 3 4 5 6 7 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {@Bean public PasswordEncoder passwordEncoder () {return new BCryptPasswordEncoder ();
登陆接口 接下我们需要自定义登陆接口,然后让SpringSecurity对这个接口放行,让用户访问这个接口的时候不用登录也能访问。
在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在SecurityConfig中配置把AuthenticationManager注入容器。
认证成功的话要生成一个jwt,放入响应中返回。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,我们需要把用户信息存入redis,可以把用户id作为key。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {@Bean public PasswordEncoder passwordEncoder () {return new BCryptPasswordEncoder ();@Override protected void configure (HttpSecurity http) throws Exception {"/user/login" ).anonymous()@Bean @Override public AuthenticationManager authenticationManagerBean () throws Exception {return super .authenticationManagerBean();
1 2 3 4 5 6 7 8 9 10 11 12 @RestController public class LoginController {@Autowired private LoginServcie loginServcie;@PostMapping("/user/login") public ResponseResult login (@RequestBody User user) {return loginServcie.login(user);
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 @Service public class LoginServiceImpl implements LoginServcie {@Autowired private AuthenticationManager authenticationManager;@Autowired private RedisCache redisCache;@Override public ResponseResult login (User user) {UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken (user.getUserName(),user.getPassword());Authentication authenticate = authenticationManager.authenticate(authenticationToken);if (Objects.isNull(authenticate)){throw new RuntimeException ("用户名或密码错误" );LoginUser loginUser = (LoginUser) authenticate.getPrincipal();String userId = loginUser.getUser().getId().toString();String jwt = JwtUtil.createJWT(userId);"login:" +userId,loginUser);new HashMap <>();"token" ,jwt);return new ResponseResult (200 ,"登陆成功" ,map);
认证过滤器
我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的userid。
使用userid去redis中获取对应的LoginUser对象
然后封装Authentication对象存入SecurityContextHolder
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 @Component public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {@Autowired private RedisCache redisCache;@Override protected void doFilterInternal (HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {String token = request.getHeader("token" );if (!StringUtils.hasText(token)) {return ;try {Claims claims = JwtUtil.parseJWT(token);catch (Exception e) {throw new RuntimeException ("token非法" );String redisKey = "login:" + userid;LoginUser loginUser = redisCache.getCacheObject(redisKey);if (Objects.isNull(loginUser)){throw new RuntimeException ("用户未登录" );UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken (loginUser,null ,null );
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {@Bean public PasswordEncoder passwordEncoder () {return new BCryptPasswordEncoder ();@Autowired @Override protected void configure (HttpSecurity http) throws Exception {"/user/login" ).anonymous()@Bean @Override public AuthenticationManager authenticationManagerBean () throws Exception {return super .authenticationManagerBean();
退出登陆 我们只需要定义一个登陆接口,然后获取SecurityContextHolder中的认证信息,删除redis中对应的数据即可。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 @Service public class LoginServiceImpl implements LoginServcie {@Autowired private AuthenticationManager authenticationManager;@Autowired private RedisCache redisCache;@Override public ResponseResult login (User user) {UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken (user.getUserName(),user.getPassword());Authentication authenticate = authenticationManager.authenticate(authenticationToken);if (Objects.isNull(authenticate)){throw new RuntimeException ("用户名或密码错误" );LoginUser loginUser = (LoginUser) authenticate.getPrincipal();String userId = loginUser.getUser().getId().toString();String jwt = JwtUtil.createJWT(userId);"login:" +userId,loginUser);new HashMap <>();"token" ,jwt);return new ResponseResult (200 ,"登陆成功" ,map);@Override public ResponseResult logout () {Authentication authentication = SecurityContextHolder.getContext().getAuthentication();LoginUser loginUser = (LoginUser) authentication.getPrincipal();Long userid = loginUser.getUser().getId();"login:" +userid);return new ResponseResult (200 ,"退出成功" );
授权 权限系统的作用 例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。
总结起来就是不同的用户可以使用不同的功能 。这就是权限系统要去实现的效果。
我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。
所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。
授权基本流程 在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。
然后设置我们的资源所需要的权限即可。
授权实现 限制访问资源所需权限 SpringSecurity为我们提供了基于注解的权限控制方案,这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限。
①要使用它我们需要先开启相关配置。
1 @EnableGlobalMethodSecurity(prePostEnabled = true)
然后就可以使用对应的注解。@PreAuthorize
1 2 3 4 5 6 7 8 9 @RestController public class HelloController {@RequestMapping("/hello") @PreAuthorize("hasAuthority('test')") public String hello () {return "hello" ;
封装权限信息 我们前面在写UserDetailsServiceImpl的时候说过,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回 。
我们先直接把权限信息写死封装到UserDetails中进行测试。
我们之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 @Data @NoArgsConstructor public class LoginUser implements UserDetails {private User user;private List<String> permissions;public LoginUser (User user,List<String> permissions) {this .user = user;this .permissions = permissions;@JSONField(serialize = false) private List<GrantedAuthority> authorities;@Override public Collection<? extends GrantedAuthority > getAuthorities() {if (authorities!=null ){return authorities;new )return authorities;@Override public String getPassword () {return user.getPassword();@Override public String getUsername () {return user.getUserName();@Override public boolean isAccountNonExpired () {return true ;@Override public boolean isAccountNonLocked () {return true ;@Override public boolean isCredentialsNonExpired () {return true ;@Override public boolean isEnabled () {return true ;
添加tokn解析过滤器中关于获取权限的部分
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 @Component public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {@Autowired private RedisCache redisCache;@Override protected void doFilterInternal (HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {String token = request.getHeader("token" );if (!StringUtils.hasText(token)) {return ;try {Claims claims = JwtUtil.parseJWT(token);catch (Exception e) {throw new RuntimeException ("token非法" );String redisKey = "login:" + userid;LoginUser loginUser = redisCache.getCacheObject(redisKey);if (Objects.isNull(loginUser)){throw new RuntimeException ("用户未登录" );UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken (loginUser,null ,loginUser.getAuthorities());
LoginUser修改完,以及Token解析权限修改完后后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们写死权限进行测试,后面我们再从数据库中查询权限信息。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 @Service public class UserDetailsServiceImpl implements UserDetailsService {@Autowired private UserMapper userMapper;@Override public UserDetails loadUserByUsername (String username) throws UsernameNotFoundException {new LambdaQueryWrapper <>();User user = userMapper.selectOne(wrapper);if (Objects.isNull(user)){throw new RuntimeException ("用户名或密码错误" );new ArrayList <>(Arrays.asList("test" ));return new LoginUser (user,list);
从数据库查询用户信息 RABC权限模型 RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。
准备工作 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 CREATE DATABASE `sg_security` ;DROP TABLE IF EXISTS `sys_menu`;CREATE TABLE `sys_menu` (bigint (20 ) NOT NULL AUTO_INCREMENT,varchar (64 ) NOT NULL DEFAULT 'NULL' COMMENT '菜单名' ,varchar (200 ) DEFAULT NULL COMMENT '路由地址' ,varchar (255 ) DEFAULT NULL COMMENT '组件路径' ,char (1 ) DEFAULT '0' COMMENT '菜单状态(0显示 1隐藏)' ,char (1 ) DEFAULT '0' COMMENT '菜单状态(0正常 1停用)' ,varchar (100 ) DEFAULT NULL COMMENT '权限标识' ,varchar (100 ) DEFAULT '#' COMMENT '菜单图标' ,bigint (20 ) DEFAULT NULL ,DEFAULT NULL ,bigint (20 ) DEFAULT NULL ,DEFAULT NULL ,int (11 ) DEFAULT '0' COMMENT '是否删除(0未删除 1已删除)' ,varchar (500 ) DEFAULT NULL COMMENT '备注' ,PRIMARY KEY (`id`)= InnoDB AUTO_INCREMENT= 2 DEFAULT CHARSET= utf8mb4 COMMENT= '菜单表' ;DROP TABLE IF EXISTS `sys_role`;CREATE TABLE `sys_role` (bigint (20 ) NOT NULL AUTO_INCREMENT,varchar (128 ) DEFAULT NULL ,varchar (100 ) DEFAULT NULL COMMENT '角色权限字符串' ,char (1 ) DEFAULT '0' COMMENT '角色状态(0正常 1停用)' ,int (1 ) DEFAULT '0' COMMENT 'del_flag' ,bigint (200 ) DEFAULT NULL ,DEFAULT NULL ,bigint (200 ) DEFAULT NULL ,DEFAULT NULL ,varchar (500 ) DEFAULT NULL COMMENT '备注' ,PRIMARY KEY (`id`)= InnoDB AUTO_INCREMENT= 3 DEFAULT CHARSET= utf8mb4 COMMENT= '角色表' ;DROP TABLE IF EXISTS `sys_role_menu`;CREATE TABLE `sys_role_menu` (bigint (200 ) NOT NULL AUTO_INCREMENT COMMENT '角色ID' ,bigint (200 ) NOT NULL DEFAULT '0' COMMENT '菜单id' ,PRIMARY KEY (`role_id`,`menu_id`)= InnoDB AUTO_INCREMENT= 2 DEFAULT CHARSET= utf8mb4;DROP TABLE IF EXISTS `sys_user`;CREATE TABLE `sys_user` (bigint (20 ) NOT NULL AUTO_INCREMENT COMMENT '主键' ,varchar (64 ) NOT NULL DEFAULT 'NULL' COMMENT '用户名' ,varchar (64 ) NOT NULL DEFAULT 'NULL' COMMENT '昵称' ,varchar (64 ) NOT NULL DEFAULT 'NULL' COMMENT '密码' ,char (1 ) DEFAULT '0' COMMENT '账号状态(0正常 1停用)' ,varchar (64 ) DEFAULT NULL COMMENT '邮箱' ,varchar (32 ) DEFAULT NULL COMMENT '手机号' ,char (1 ) DEFAULT NULL COMMENT '用户性别(0男,1女,2未知)' ,varchar (128 ) DEFAULT NULL COMMENT '头像' ,char (1 ) NOT NULL DEFAULT '1' COMMENT '用户类型(0管理员,1普通用户)' ,bigint (20 ) DEFAULT NULL COMMENT '创建人的用户id' ,DEFAULT NULL COMMENT '创建时间' ,bigint (20 ) DEFAULT NULL COMMENT '更新人' ,DEFAULT NULL COMMENT '更新时间' ,int (11 ) DEFAULT '0' COMMENT '删除标志(0代表未删除,1代表已删除)' ,PRIMARY KEY (`id`)= InnoDB AUTO_INCREMENT= 3 DEFAULT CHARSET= utf8mb4 COMMENT= '用户表' ;DROP TABLE IF EXISTS `sys_user_role`;CREATE TABLE `sys_user_role` (bigint (200 ) NOT NULL AUTO_INCREMENT COMMENT '用户id' ,bigint (200 ) NOT NULL DEFAULT '0' COMMENT '角色id' ,PRIMARY KEY (`user_id`,`role_id`)= InnoDB DEFAULT CHARSET= utf8mb4;
1 2 3 4 5 6 7 8 9 10 11 SELECT
对应实体类(返回的只有权限,所以可以只建立权限模型)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 @TableName(value="sys_menu") @Data @AllArgsConstructor @NoArgsConstructor @JsonInclude(JsonInclude.Include.NON_NULL) public class Menu implements Serializable {private static final long serialVersionUID = -54979041104113736L ;@TableId private Long id;private String menuName;private String path;private String component;private String visible;private String status;private String perms;private String icon;private Long createBy;private Date createTime;private Long updateBy;private Date updateTime;private Integer delFlag;private String remark;
代码实现 我们只需要根据用户id去查询到其所对应的权限信息即可。
所以我们可以先定义个mapper,其中提供一个方法可以根据userid查询权限信息。
1 2 3 public interface MenuMapper extends BaseMapper <Menu> {selectPermsByUserId (Long id) ;
尤其是自定义方法,所以需要创建对应的mapper文件,定义对应的sql语句
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" > <mapper namespace ="com.test.mapper.MenuMapper" > <select id ="selectPermsByUserId" resultType ="java.lang.String" > </select > </mapper >
在application.yml中配置mapperXML文件的位置
1 2 3 4 5 6 7 8 9 10 11 12 spring: datasource: url: jdbc:mysql://localhost:3306/sg_security?characterEncoding=utf-8&serverTimezone=UTC username: root password: root driver-class-name: com.mysql.cj.jdbc.Driver redis: host: localhost port: 6379 mybatis-plus: mapper-locations: classpath*:/mapper/**/*.xml
然后我们可以在UserDetailsServiceImpl中去调用该mapper的方法查询权限信息封装到LoginUser对象中即可。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 @Service public class UserDetailsServiceImpl implements UserDetailsService {@Autowired private UserMapper userMapper;@Autowired private MenuMapper menuMapper;@Override public UserDetails loadUserByUsername (String username) throws UsernameNotFoundException {new LambdaQueryWrapper <>();User user = userMapper.selectOne(wrapper);if (Objects.isNull(user)){throw new RuntimeException ("用户名或密码错误" );return new LoginUser (user,permissionKeyList);
异常处理
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。
在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint 对象的方法去进行异常处理。
如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler 对象的方法去进行异常处理。
所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。
①自定义实现类
1 2 3 4 5 6 7 8 9 10 11 12 13 14 @Component public class AccessDeniedHandlerImpl implements AccessDeniedHandler {@Override public void handle (HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {ResponseResult result = new ResponseResult (HttpStatus.FORBIDDEN.value(), "权限不足" );String json = JSON.toJSONString(result);
1 2 3 4 5 6 7 8 9 10 11 12 13 @Component public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {@Override public void commence (HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {ResponseResult result = new ResponseResult (HttpStatus.UNAUTHORIZED.value(), "认证失败请重新登录" );String json = JSON.toJSONString(result);
②配置给SpringSecurity
先注入对应的处理器
1 2 3 4 5 @Autowired private AuthenticationEntryPoint authenticationEntryPoint;@Autowired private AccessDeniedHandler accessDeniedHandler;
然后我们可以使用HttpSecurity对象的方法去配置。
1 2 3 http.exceptionHandling()
跨域
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。 同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。
前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。
所以我们就要处理一下,让前端能进行跨域请求。
①先对SpringBoot配置,运行跨域请求
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 @Configuration public class CorsConfig implements WebMvcConfigurer {@Override public void addCorsMappings (CorsRegistry registry) {"/**" )"*" )true )"GET" , "POST" , "DELETE" , "PUT" )"*" )3600 );
②开启SpringSecurity的跨域访问
由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 @Override protected void configure (HttpSecurity http) throws Exception {"/user/login" ).anonymous()
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。
https://blog.csdn.net/freeking101/article/details/86537087
SpringSecurity去防止CSRF攻击的方式就是通过csrf_token。后端会生成一个csrf_token,前端发起请求的时候需要携带这个csrf_token,后端会有过滤器进行校验,如果没有携带或者是伪造的就不允许访问。
我们可以发现CSRF攻击依靠的是cookie中所携带的认证信息。但是在前后端分离的项目中我们的认证信息其实是token,而token并不是存储中cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击也就不用担心了。
其他 自定义权限校验方法 我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。
1 2 3 4 5 6 7 8 9 10 11 12 @Component("ex") public class SGExpressionRoot {public boolean hasAuthority (String authority) {Authentication authentication = SecurityContextHolder.getContext().getAuthentication();LoginUser loginUser = (LoginUser) authentication.getPrincipal();return permissions.contains(authority);
在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的hasAuthority方法
1 2 3 4 5 @RequestMapping("/hello") @PreAuthorize("@ex.hasAuthority('system:dept:list')") public String hello () {return "hello" ;
基于配置的权限控制 我们也可以在配置类中使用使用配置的方式对资源进行权限控制。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 @Override protected void configure (HttpSecurity http) throws Exception {"/user/login" ).anonymous()"/testCors" ).hasAuthority("system:dept:list222" )
相关处理器 认证成功处理器 实际上在UsernamePasswordAuthenticationFilter进行登录认证的时候,如果登录成功了是会调用AuthenticationSuccessHandler的方法进行认证成功后的处理的。AuthenticationSuccessHandler就是登录成功处理器。
我们也可以自己去自定义成功处理器进行成功后的相应处理。
1 2 3 4 5 6 7 8 9 @Component public class SGSuccessHandler implements AuthenticationSuccessHandler {@Override public void onAuthenticationSuccess (HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {"认证成功了" );
1 2 3 4 5 6 7 8 9 10 11 12 13 14 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowired private AuthenticationSuccessHandler successHandler;@Override protected void configure (HttpSecurity http) throws Exception {
认证失败处理器 实际上在UsernamePasswordAuthenticationFilter进行登录认证的时候,如果认证失败了是会调用AuthenticationFailureHandler的方法进行认证失败后的处理的。AuthenticationFailureHandler就是登录失败处理器。
我们也可以自己去自定义失败处理器进行失败后的相应处理。
1 2 3 4 5 6 7 @Component public class SGFailureHandler implements AuthenticationFailureHandler {@Override public void onAuthenticationFailure (HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {"认证失败了" );
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowired private AuthenticationSuccessHandler successHandler;@Autowired private AuthenticationFailureHandler failureHandler;@Override protected void configure (HttpSecurity http) throws Exception {
登出成功处理器 1 2 3 4 5 6 7 8 @Component public class SGLogoutSuccessHandler implements LogoutSuccessHandler {@Override public void onLogoutSuccess (HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {"注销成功" );
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowired private AuthenticationSuccessHandler successHandler;@Autowired private AuthenticationFailureHandler failureHandler;@Autowired private LogoutSuccessHandler logoutSuccessHandler;@Override protected void configure (HttpSecurity http) throws Exception {
