SpringSecurity 快速实现项目

我的开发环境是springboot(下面简称sb)+freemarker+maven

如大家所知道的,sb里面没有配置文件,需要通过类加载或者解析xml来配置一些东西,这也是初学sb的一个头痛点。(我当时就是,哈哈)

好的不多哔哔,直入正题。但是我还是想告诫一些没有sb读配置文件的经验的小司机。可能会不好理解,但是不要放弃,一步一步跟着我来,就可以

1. pom依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
        </dependency>

第一个依赖是security的核心依赖包,第二个是security对freemarker的标签的支持包。
加了这两个东西之后,重启项目,它就会弹出让你登录的窗口。



你可能会迷惑,我什么都没配置,为什么就给我要密码?因为security依赖包只要引入了,它会默认给项目加入密码。用户名是user 默认密码在控制台找下。


实际开发中,我们肯定不是这样让用户认证。所以我们要重写security的实现类。

2. 继承重写WebSecurityConfigurerAdapter类

/**
 *
 * Created by Fant.J.
 * 2017/10/26 18:48
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    //返回 BCrypt  加密对象
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
//    @Autowired
//    private AuthenticationSuccessHandler myAuthenticationSuccessHandler;
//    @Autowired
//    private MyAuthenticationFailHandler myAuthenticationFailHandler;


    @Bean
    protected UserDetailsService userDetailServiceImpl(){
        return new UserDetailServiceImpl();
    }
    @Override
    protected void configure(HttpSecurity http)throws Exception{
//        ValidateCodeFilter filter = new ValidateCodeFilter();
//        //写入自定义错误过滤器
//        filter.setAuthenticationFailureHandler(myAuthenticationFailHandler);
        //表单登录
       http.formLogin()         
 //        http.httpBasic()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();

        http
                .headers()
                .frameOptions()
                .sameOrigin();


    }
}

http.formLogin() 表示以表单的形式登录,authorizeRequests()表示什么请求需要验证呢?anyRequest()嗯,所有的请求都需要验证。authenticated();证明是有效的情况下。
自己整段话连起来,大家就懂了这种写法的含义了。
相信一些有心人在上面的类中看到了这段代码

    @Bean
    protected UserDetailsService userDetailServiceImpl(){
        return new UserDetailServiceImpl();
    }

我们来看下这个UserDetailsService这个官方接口
image.png

根据方法名我们能看出来,它是用来通过username加载User信息的,这和form验证就关系上了。你只需要把这个类注入到类里,它会自动去找这个实现类,那么下面我们来看下我写的这个实现类。

3. UserDetailServiceImpl 实现UserDetailsService接口


/**
 * Created by Fant.J.
 * 2017/10/26 20:54
 */
@Component
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService{
    @Autowired
    UserAdminMapper userAdminMapper;
    @Autowired
    private PasswordEncoder passwordEncoder;
    /** 超级用户 */
    private static final Integer USER_POWER_ADMIN = 1;
    /** 普通用户 */
    private static final Integer USER_POWER_USER = 2;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        try {
            UserAdmin userAdmin = userAdminMapper.selectByUsername(username);
            log.info("登录用户名" + username);
            log.info("数据库密码" + userAdmin.getPassword());
            if (userAdmin == null) {
                throw new UsernameNotFoundException("没有找到");
            }
            //获取用户使用状态
            boolean status = false;
            if (userAdmin.getUserStatus() == 1){
                status = true;
            }
            if (userAdmin.getUserPower() == 1) {
                log.info("ADMIN用户"+userAdmin.getUserAdminName()+"登录");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        status, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));
            } else if (userAdmin.getUserPower() == 2) {
                log.info("ADMIN用户"+userAdmin.getUserAdminName()+"登录");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        true, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("USER"));
            } else {
                log.error("用户权限错误异常,默认为USER普通用户");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        true, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("USER"));
            }
        }catch (Exception e){
            log.error("用户权限错误异常"+e.getMessage());
            throw new MyException("用户权限错误异常");
        }
    }
}

返回类型必须是UserDetails(官方提供类),来看下它的源码

image.png

可以看到里面包含了账号密码,和是否过期,是否可用,是否被锁,是否有效四个状态。所以我代码里有
return new User(username, passwordEncoder.encode(userAdmin.getPassword()), status, true, true, true, AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));
大家就能看懂了,AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));这个是自定义添加的用户身份,再开发过程中可把它封装起来。(我在这里由于数据库设计原因定成死的),说明它是个admin身份。passwordEncoder.encode是security提供的加密,(挺高端的,随机生成盐然后插入到密码里。每次登录都不一样,还提供了passwordEncoder.match()方法,两者联合判断用户是否有效),不多说 看源码
image.png

然后你返回去看我的SecurityConfig类,你会找到

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

这个注入类就是获取impl中从数据库里查出来的密码,然后match判断。所以就要求我们注册用户的时候,先encode()一下再存入数据库,然后读出来直接返回,我的这个impl是从数据库里读出密码然后加密的,因为我怕数据库密码我都会忘记。。
按照需求来吧。

4. 启动项目

image.png

security默认有个form表单提交页面。我们输入错误的密码。
image.png

输入错误的账号
image.png

看上去没有提示,因为我们没有捕获这个异常。
我们输入正确的帐号密码
image.png

进来了。但是测试的时候你会发现个问题。表单提交的时候会报403无权限访问异常
。好好想想我们引入了两个依赖包,第二个还没用呢!
在每个有form提交的地方都加上
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
这是security框架token认证需要的东西。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 158,736评论 4 362
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 67,167评论 1 291
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 108,442评论 0 243
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,902评论 0 204
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,302评论 3 287
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,573评论 1 216
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,847评论 2 312
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,562评论 0 197
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,260评论 1 241
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,531评论 2 245
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 32,021评论 1 258
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,367评论 2 253
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 33,016评论 3 235
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,068评论 0 8
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,827评论 0 194
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,610评论 2 274
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,514评论 2 269

推荐阅读更多精彩内容