Spring Security快速上手

1. Spring Security介绍

Spring Security是一个能够为基于Spring的企业系统提供声明式的安全控制解决方案的安全框架。
由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在Spring Boot项目中加入了Spring Security更是十分简单,使用Spring Security减少了为起亚系统安全控制编写大量重复代码的工作。

2. Spring Security快速上手

2.1 创建maven工程

  1. 创建maven工程security-spring-security,工程结构如下:
工程结构
  1. pom依赖:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.pengjs.book.admin.securityspring</groupId>
    <artifactId>security-spring-security</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>war</packaging>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <maven.compiler.source>1.8</maven.compiler.source>
        <maven.compiler.target>1.8</maven.compiler.target>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>5.1.5.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.1.0</version>
            <!-- 将来需要实用tomcat容器运行,所以scope为provided -->
            <scope>provided</scope>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.8</version>
        </dependency>
    </dependencies>

    <build>
        <finalName>security-spring-security</finalName>
        <pluginManagement>
            <plugins>
                <plugin>
                    <groupId>org.apache.tomcat.maven</groupId>
                    <artifactId>tomcat7-maven-plugin</artifactId>
                    <version>2.2</version>
                </plugin>
                <plugin>
                    <groupId>org.apache.maven.plugins</groupId>
                    <artifactId>maven-compiler-plugin</artifactId>
                    <version>3.8.1</version>
                    <configuration>
                        <source>1.8</source>
                        <target>1.8</target>
                    </configuration>
                </plugin>

                <plugin>
                    <artifactId>maven-resources-plugin</artifactId>
                    <version>3.0.2</version>
                    <configuration>
                        <encoding>utf-8</encoding>
                        <useDefaultDelimiters>true</useDefaultDelimiters>
                        <resources>
                            <resource>
                                <directory>src/main/resources</directory>
                                <filtering>true</filtering>
                                <includes>
                                    <include>**/*</include>
                                </includes>
                            </resource>
                            <resource>
                                <directory>src/main/java</directory>
                                <includes>
                                    <include>**/*.xml</include>
                                </includes>
                            </resource>
                        </resources>
                    </configuration>
                </plugin>
            </plugins>
        </pluginManagement>
    </build>

</project>
  1. Spring容器配置ApplicationConfig
/**
 * 相当于apllicationContext.xml配置文件
 */
@Configuration
@ComponentScan(basePackages = "com.pengjs.book.admin.securityspring",
        excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class ApplicationConfig {
    // 配置除了Controller的其他bean,如:数据库连接池、事务管理器、业务bean等

}
  1. Servlet Context配置WebConfig
/**
 * 相当于springmvc.xml配置文件
 * 不需要使用自定义的拦截器,spring security已经做好了拦截处理
 */
@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "com.pengjs.book.admin.securityspring",
        includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {

    /**
     * 配置视图解析器
     * @return
     */
    @Bean
    public InternalResourceViewResolver viewResolver() {
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setPrefix("/WEB-INF/view/");
        viewResolver.setSuffix(".jsp");
        return viewResolver;
    }

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        // 使用spring security提供的login页面
        registry.addViewController("/").setViewName("redirect:/login");
    }

}
  1. 加载Spring容器
    在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口,Spring容器启动时加载WebApplicationInitializer接口的所有实现类。
public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    /**
     * spring容器,相当于加载apllicationContext.xml
     * @return
     */
    @Override
    protected Class<?>[] getRootConfigClasses() {
        // 指定rootContext的配置类
        return new Class<?>[]{ApplicationConfig.class, WebSecurityConfig.class};
    }

    /**
     * servletContext,相当于加载springmvc.xml配置文件
     * @return
     */
    @Override
    protected Class<?>[] getServletConfigClasses() {
        // 指定servletContext的配置类
        return new Class<?>[]{WebConfig.class};
    }

    /**
     * url-mapping
     * @return
     */
    @Override
    protected String[] getServletMappings() {
        return new String[] {"/"};
    }
}

2.2 认证功能

2.2.1 认证页面

Spring Security默认提供认证页面,不需要额外开发。

认证页面

2.2.2 安全配置

Spring Security默认提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。

  1. 在config包下定义WebSecurityConfig,安全配置的内容包括:用户信息、密码编辑器、安全拦截机制。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 定义用户信息服务(查询用户信息)
     * @return
     */
    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1", "p3", "p4").build());
        manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
        return manager;
    }


    /**
     * 密码编码器(采用什么方式比对)
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 不需要对密码进行加密算法的简单比较器
        return NoOpPasswordEncoder.getInstance();
    }

    /**
     * 安全拦截机制(最重要)
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/r/r1").hasAnyAuthority("p1") // 如果没有权限就是403-forbidden
                .antMatchers("/r/r2").hasAnyAuthority("p2")
                .antMatchers("/r/**").authenticated() // 拦截/r/**
                .anyRequest().permitAll() // 其他的放行
                .and()
                .formLogin() // 允许表单登录
                .successForwardUrl("/login-success"); // 自定义登录成功的页面地址
    }
}

userDetailsService()方法中,返回来一个UserDetailsService给Spring容器,Spring Security会使用它来获取用户信息。这里暂时使用InMemoryUserDetailsManager实现类,并在其中分别创建了zhangsan、lisi两个用户,并设置密码和权限。
而在configure()方法中,通过HttpSecurity设置了安全拦截规则,其中包含了以下内容:
(1)url匹配/r/**的资源,经过认证后才能访问。
(2)其他url完全开放。
(3)支持form表单认证,认证后转向/login-success。

  1. 加载WebSecurityConfig
    修改SpringApplicationInitializergetRootConfigClasses()方法,添加WebSecurityConfig.class
/**
 * spring容器,相当于加载apllicationContext.xml
 * @return
 */
@Override
protected Class<?>[] getRootConfigClasses() {
    // 指定rootContext的配置类
    return new Class<?>[]{ApplicationConfig.class, WebSecurityConfig.class};
}

2.2.3 Spring Security初始化

  • 若当前环境没有使用Spring或Spring MVC,则需要将WebSecurityConfig(Spring Security配置类)传入超类,以确保获取配置,并创建spring context。
  • 相反,若当前环境中已经使用Spring,我们应该在现有的SpringContext中注册Spring Security(上一步已经将WebSecurityConfig加载到RootContext),此方法可以什么都不做。

在inti包下创建SpringSecurityApplicationInitializer

public class SpringSecurityApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
    public SpringSecurityApplicationInitializer() {
        // 已经有了springmvc,则注释掉即可
        // super(WebSecurityConfig.class);
    }
}

2.2.4 默认根路径请求

WebConfig中添加默认请求根路径跳转到/login,此url为Spring Security提供:

/**
 * 默认URL根路劲跳转到/login,此URL为Spring Security提供的登录界面
 * @param registry
 */
@Override
public void addViewControllers(ViewControllerRegistry registry) {
    // 使用spring security提供的login页面
    registry.addViewController("/").setViewName("redirect:/login");
}

2.2.5 认证成功页面

在安全配置中,认证成功将跳转到/login-success,代码如下:

/**
 * 安全拦截机制(最重要)
 * @param http
 * @throws Exception
 */
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/r/r1").hasAnyAuthority("p1") // 如果没有权限就是403-forbidden
            .antMatchers("/r/r2").hasAnyAuthority("p2")
            .antMatchers("/r/**").authenticated() // 拦截/r/**
            .anyRequest().permitAll() // 其他的放行
            .and()
            .formLogin() // 允许表单登录
            .successForwardUrl("/login-success"); // 自定义登录成功的页面地址
}

LoginController中添加/login-success:

@PostMapping(value = "login-success", produces = {"text/plain;charset=UTF-8"})
public String loginSuccess() {
    return "登录成功";
}

2.2.5 配置启动项目

配置启动
登录页面

2.3 授权功能

2.3.1 授权

实现授权需要对用户的访问进行拦截校验,检验用户的权限是否可以操作指定的资源,Spring Security默认提供授权实现方法。
LoginController中增加/r/r1与/r/r2:

/**
 * 访问资源1
 * @return
 */
@GetMapping(value = "/r/r1", produces = {"text/plain;charset=UTF-8"})
public String r1() {
    return "访问资源1";
}

/**
 * 访问资源2
 * @return
 */
@GetMapping(value = "/r/r2", produces = {"text/plain;charset=UTF-8"})
public String r2() {
    return "访问资源2";
}

登录成功后访问资源:

登录成功
认证失败403
认证成功

3. 总结

通过快速上手,使用Spring Security实现了认证和授权,Spring Security提供了基于账号和密码认证方式,通过安全配置即可实现请求拦截、授权功能。

推荐阅读更多精彩内容