1. Spring Security介绍
Spring Security是一个能够为基于Spring的企业系统提供声明式的安全控制解决方案的安全框架。
由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在Spring Boot项目中加入了Spring Security更是十分简单,使用Spring Security减少了为起亚系统安全控制编写大量重复代码的工作。
2. Spring Security快速上手
2.1 创建maven工程
- 创建maven工程security-spring-security,工程结构如下:
工程结构
- pom依赖:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.pengjs.book.admin.securityspring</groupId>
<artifactId>security-spring-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>war</packaging>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<maven.compiler.source>1.8</maven.compiler.source>
<maven.compiler.target>1.8</maven.compiler.target>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>5.1.5.RELEASE</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.1.0</version>
<!-- 将来需要实用tomcat容器运行,所以scope为provided -->
<scope>provided</scope>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.8</version>
</dependency>
</dependencies>
<build>
<finalName>security-spring-security</finalName>
<pluginManagement>
<plugins>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<version>2.2</version>
</plugin>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.8.1</version>
<configuration>
<source>1.8</source>
<target>1.8</target>
</configuration>
</plugin>
<plugin>
<artifactId>maven-resources-plugin</artifactId>
<version>3.0.2</version>
<configuration>
<encoding>utf-8</encoding>
<useDefaultDelimiters>true</useDefaultDelimiters>
<resources>
<resource>
<directory>src/main/resources</directory>
<filtering>true</filtering>
<includes>
<include>**/*</include>
</includes>
</resource>
<resource>
<directory>src/main/java</directory>
<includes>
<include>**/*.xml</include>
</includes>
</resource>
</resources>
</configuration>
</plugin>
</plugins>
</pluginManagement>
</build>
</project>
- Spring容器配置
ApplicationConfig
/**
* 相当于apllicationContext.xml配置文件
*/
@Configuration
@ComponentScan(basePackages = "com.pengjs.book.admin.securityspring",
excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class ApplicationConfig {
// 配置除了Controller的其他bean,如:数据库连接池、事务管理器、业务bean等
}
- Servlet Context配置
WebConfig
/**
* 相当于springmvc.xml配置文件
* 不需要使用自定义的拦截器,spring security已经做好了拦截处理
*/
@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "com.pengjs.book.admin.securityspring",
includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {
/**
* 配置视图解析器
* @return
*/
@Bean
public InternalResourceViewResolver viewResolver() {
InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
viewResolver.setPrefix("/WEB-INF/view/");
viewResolver.setSuffix(".jsp");
return viewResolver;
}
@Override
public void addViewControllers(ViewControllerRegistry registry) {
// 使用spring security提供的login页面
registry.addViewController("/").setViewName("redirect:/login");
}
}
- 加载Spring容器
在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口,Spring容器启动时加载WebApplicationInitializer接口的所有实现类。
public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
/**
* spring容器,相当于加载apllicationContext.xml
* @return
*/
@Override
protected Class<?>[] getRootConfigClasses() {
// 指定rootContext的配置类
return new Class<?>[]{ApplicationConfig.class, WebSecurityConfig.class};
}
/**
* servletContext,相当于加载springmvc.xml配置文件
* @return
*/
@Override
protected Class<?>[] getServletConfigClasses() {
// 指定servletContext的配置类
return new Class<?>[]{WebConfig.class};
}
/**
* url-mapping
* @return
*/
@Override
protected String[] getServletMappings() {
return new String[] {"/"};
}
}
2.2 认证功能
2.2.1 认证页面
Spring Security默认提供认证页面,不需要额外开发。
认证页面
2.2.2 安全配置
Spring Security默认提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。
- 在config包下定义
WebSecurityConfig,安全配置的内容包括:用户信息、密码编辑器、安全拦截机制。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 定义用户信息服务(查询用户信息)
* @return
*/
@Bean
@Override
protected UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1", "p3", "p4").build());
manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
return manager;
}
/**
* 密码编码器(采用什么方式比对)
* @return
*/
@Bean
public PasswordEncoder passwordEncoder() {
// 不需要对密码进行加密算法的简单比较器
return NoOpPasswordEncoder.getInstance();
}
/**
* 安全拦截机制(最重要)
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/r/r1").hasAnyAuthority("p1") // 如果没有权限就是403-forbidden
.antMatchers("/r/r2").hasAnyAuthority("p2")
.antMatchers("/r/**").authenticated() // 拦截/r/**
.anyRequest().permitAll() // 其他的放行
.and()
.formLogin() // 允许表单登录
.successForwardUrl("/login-success"); // 自定义登录成功的页面地址
}
}
在userDetailsService()方法中,返回来一个UserDetailsService给Spring容器,Spring Security会使用它来获取用户信息。这里暂时使用InMemoryUserDetailsManager实现类,并在其中分别创建了zhangsan、lisi两个用户,并设置密码和权限。
而在configure()方法中,通过HttpSecurity设置了安全拦截规则,其中包含了以下内容:
(1)url匹配/r/**的资源,经过认证后才能访问。
(2)其他url完全开放。
(3)支持form表单认证,认证后转向/login-success。
- 加载
WebSecurityConfig
修改SpringApplicationInitializer的getRootConfigClasses()方法,添加WebSecurityConfig.class:
/**
* spring容器,相当于加载apllicationContext.xml
* @return
*/
@Override
protected Class<?>[] getRootConfigClasses() {
// 指定rootContext的配置类
return new Class<?>[]{ApplicationConfig.class, WebSecurityConfig.class};
}
2.2.3 Spring Security初始化
- 若当前环境没有使用Spring或Spring MVC,则需要将
WebSecurityConfig(Spring Security配置类)传入超类,以确保获取配置,并创建spring context。 - 相反,若当前环境中已经使用Spring,我们应该在现有的SpringContext中注册Spring Security(上一步已经将
WebSecurityConfig加载到RootContext),此方法可以什么都不做。
在inti包下创建SpringSecurityApplicationInitializer:
public class SpringSecurityApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
public SpringSecurityApplicationInitializer() {
// 已经有了springmvc,则注释掉即可
// super(WebSecurityConfig.class);
}
}
2.2.4 默认根路径请求
在WebConfig中添加默认请求根路径跳转到/login,此url为Spring Security提供:
/**
* 默认URL根路劲跳转到/login,此URL为Spring Security提供的登录界面
* @param registry
*/
@Override
public void addViewControllers(ViewControllerRegistry registry) {
// 使用spring security提供的login页面
registry.addViewController("/").setViewName("redirect:/login");
}
2.2.5 认证成功页面
在安全配置中,认证成功将跳转到/login-success,代码如下:
/**
* 安全拦截机制(最重要)
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/r/r1").hasAnyAuthority("p1") // 如果没有权限就是403-forbidden
.antMatchers("/r/r2").hasAnyAuthority("p2")
.antMatchers("/r/**").authenticated() // 拦截/r/**
.anyRequest().permitAll() // 其他的放行
.and()
.formLogin() // 允许表单登录
.successForwardUrl("/login-success"); // 自定义登录成功的页面地址
}
在LoginController中添加/login-success:
@PostMapping(value = "login-success", produces = {"text/plain;charset=UTF-8"})
public String loginSuccess() {
return "登录成功";
}
2.2.5 配置启动项目
配置启动
登录页面
2.3 授权功能
2.3.1 授权
实现授权需要对用户的访问进行拦截校验,检验用户的权限是否可以操作指定的资源,Spring Security默认提供授权实现方法。
在LoginController中增加/r/r1与/r/r2:
/**
* 访问资源1
* @return
*/
@GetMapping(value = "/r/r1", produces = {"text/plain;charset=UTF-8"})
public String r1() {
return "访问资源1";
}
/**
* 访问资源2
* @return
*/
@GetMapping(value = "/r/r2", produces = {"text/plain;charset=UTF-8"})
public String r2() {
return "访问资源2";
}
登录成功后访问资源:
登录成功
认证失败403
认证成功
3. 总结
通过快速上手,使用Spring Security实现了认证和授权,Spring Security提供了基于账号和密码认证方式,通过安全配置即可实现请求拦截、授权功能。
