这篇文章主要介绍了SpringBoot + Spring Security 简单入门

Spring Security 基本介绍

这里就不对Spring Security进行过多的介绍了,具体的可以参考 官方文档

我就只说下SpringSecurity核心功能:

  1. 认证(你是谁)
  2. 授权(你能干什么)
  3. 攻击防护(防止伪造身份)

基本环境搭建

这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><parent><artifactId>jeecg-boot-cloud-study</artifactId><groupId>com.jeecg.cloud</groupId><version>1.0.0</version></parent><modelVersion>4.0.0</modelVersion><artifactId>jeecg-boot-security</artifactId><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency></dependencies></project>

然后建立一个Web层请求接口

@RestController
@RequestMapping("/user")
public class UserController {@GetMappingpublic String getUsers() {    return "Hello Jeecg Spring Security";}
}

接下来可以直接进行项目的运行,并进行接口的调用看看效果了。

通过网页的调用

我们首先通过浏览器进行接口的调用,直接访问http://localhost:8080/user,如果接口能正常访问,那么应该显示“Hello Jeecg Spring Security”。

但是我们是没法正常访问的,出现了下图的身份验证输入框

这是因为在SpringBoot中,引入的Spring Security依赖,权限控制自动生效了,此时的接口都是被保护的,我们需要通过验证才能正常的访问。 Spring Security提供了一个默认的用户,用户名是user,而密码则是启动项目的时候自动生成的。

我们查看项目启动的日志,会发现如下的一段Log

Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

当然你看到的password肯定和我是不一样的,我们直接用user和启动日志中的密码进行登录。

登录成功后,就跳转到了接口正常调用的页面了。

如果不想一开始就使能Spring Security,可以在配置文件中做如下的配置:

# security 使能
security.basic.enabled = false

刚才看到的登录框是SpringSecurity是框架自己提供的,被称为httpBasicLogin。显示它不是我们产品上想要的,我们前端一般是通过表单提交的方式进行用户登录验证的,所以我们就需要自定义自己的认证逻辑了。

自定义用户认证逻辑

每个系统肯定是有自己的一套用户体系的,所以我们需要自定义自己的认证逻辑以及登录界面。 这里我们需要先对SpringSecurity进行相应的配置

package org.jeecg.auth.config;import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.formLogin()          // 定义当需要用户登录时候,转到的登录页面。.loginProcessingUrl("/user/login") // 自定义的登录接口.and().authorizeRequests()    // 定义哪些URL需要被保护、哪些不需要被保护.anyRequest()        // 任何请求,登录后可以访问.authenticated();}
}

自定义密码加密解密

package org.jeecg.auth.config;import org.springframework.context.annotation.Bean;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;@Component
public class MyPasswordEncoder implements PasswordEncoder {@Overridepublic String encode(CharSequence charSequence) {return charSequence.toString();}@Overridepublic boolean matches(CharSequence charSequence, String s) {return s.equals(charSequence.toString());}
}

接下来再配置用户认证逻辑,因为我们是有自己的一套用户体系的

package org.jeecg.auth.config;import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.factory.PasswordEncoderFactories;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;@Component
public class MyUserDetailsService implements UserDetailsService {private Logger logger = LoggerFactory.getLogger(getClass());@Autowiredprivate PasswordEncoder passwordEncoder;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {logger.info("用户的用户名: {}", username);// TODO 根据用户名,查找到对应的密码,与权限// 封装用户信息,并返回。参数分别是:用户名,密码,用户权限User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));return user;}
}

这里我们没有进行过多的校验,用户名可以随意的填写,但是密码必须得是“123456”,这样才能登录成功。

同时可以看到,这里User对象的第三个参数,它表示的是当前用户的权限,我们将它设置为”admin”。

我们这里随便填写一个user,然后Password写填写一个错误的(非123456)的。这时会提示校验错误:

同时在控制台,也会打印出刚才登录时填写的user

现在我们再来使用正确的密码进行登录试试,可以发现就会通过校验,跳转到正确的接口调用页面了。

UserDetails

刚刚我们在写MyUserDetailsService的时候,里面实现了一个方法,并返回了一个UserDetails。这个UserDetails 就是封装了用户信息的对象,里面包含了七个方法

public interface UserDetails extends Serializable {// 封装了权限信息Collection<? extends GrantedAuthority> getAuthorities();// 密码信息String getPassword();// 登录用户名String getUsername();// 帐户是否过期boolean isAccountNonExpired();// 帐户是否被冻结boolean isAccountNonLocked();// 帐户密码是否过期,一般有的密码要求性高的系统会使用到,比较每隔一段时间就要求用户重置密码boolean isCredentialsNonExpired();// 帐号是否可用boolean isEnabled();
}

我们在返回UserDetails的实现类User的时候,可以通过User的构造方法,设置对应的参数

密码加密解密

SpringSecurity中有一个PasswordEncoder接口

public interface PasswordEncoder {// 对密码进行加密String encode(CharSequence var1);// 对密码进行判断匹配boolean matches(CharSequence var1, String var2);
}

我们只需要自己实现这个接口,并在配置文件中配置一下就可以了。

SpringBoot + Spring Security 简单入门相关推荐

  1. 芋道 Spring Security OAuth2 入门

    芋道 Spring Security OAuth2 入门 总阅读量:28123次 <Dubbo 实现原理与源码解析 -- 精品合集> <Netty 实现原理与源码解析 -- 精品合集 ...

  2. 【笔记】springboot+spring security登录流程实现

    在登录控制器中添加一个登录接口login,在其中验证验证码.用户名.密码信息.匹配成功之后,执行Spring Security的登录认证机制.登录成功之后,返回Token令牌凭证. SysLoginC ...

  3. spring security简单配置

    spring security简单配置 主要集中在5个类里面配置 1,实现UserDetailsService 2,实现AuthenticationManager 3,登录成功与失败的处理 4,访问拒 ...

  4. Springboot Spring Security +Jwt+redis+mybatisPlus 动态完成 前后端分离认证授权

    Springboot Spring Security +Jwt 动态完成 前后端分离认证授权 文章目录 Springboot Spring Security +Jwt 动态完成 前后端分离认证授权 前 ...

  5. 框架使用SpringBoot + Spring Security Oauth2 +PostMan

    框架使用SpringBoot + Spring Security Oauth2  主要完成了客户端授权  可以通过mysql数据库读取当前客户端表信息进行验证,token存储在数据库中 1.引入依赖 ...

  6. SpringBoot + Spring Security Oauth2 客户端授权

    框架使用SpringBoot + Spring Security Oauth2  主要完成了客户端授权  可以通过mysql数据库读取当前客户端表信息进行验证,token存储在数据库中 1.引入依赖 ...

  7. Springboot + Spring Security多种登录方式:账号用户名登录+微信网页授权登录

    一.概述 实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号.密码. 二.准备工作 要 ...

  8. SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录

    一.概述 实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号.密码. 二.准备工作 要 ...

  9. Spring Security OAuth2 入门

    1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码 ...

最新文章

  1. 44种模型、1200种子网,RobustART评测CNN、Transformer、MLP-Mixer谁最鲁棒?
  2. 对于后端来说,一个项目究竟应该怎么做
  3. pat1033汽车加油问题(Java贪心)
  4. python快速处理ppt_人生苦短,我用 Python 之快速遍历 PPT
  5. linux 刷新磁盘分区,linux中关于硬盘分区操作
  6. Intellij IDEA之Mybatis插件:Free Mybatis Plugin
  7. logisim 快速加法器设计实验报告_八位加法器设计实验报告
  8. CSS规范--CSS属性书写顺序和CSS初始化
  9. 随机森林——股票涨跌预测模型搭建
  10. EV 鼠标被消费者誉为世界“第八大奇迹”内幕
  11. final_cut_pro基础
  12. 费氏(Fibonacci)数列、最大公约数,最小公倍数
  13. 为了数学的明天,,穿越时空,重返南大(III)-
  14. iTutorGroup英语实用篇:出国旅游常用英语对话送你
  15. Jyutping(粵拼)詳細教程
  16. 鸿蒙强者排行榜,琉璃美人煞十大强者排名,腾蛇垫底,司凤第七,罗喉计都屈居第二...
  17. 开贝修图最新版 免狗全功能版
  18. nmn对血管作用怎样,nmn产品哪个牌子好,补充NMN可恢复血管的僵硬度!
  19. Summit Wireless科技有限公司推出首款支持无线多通道音频的低成本物联网模块
  20. 面试笔试不懂的东西(更新第一次)

热门文章

  1. jsp mysql书店源码_使用jsp数据库mysql实现网上购物书店课程设计
  2. 如何在vs中创建r树索引代码_线段树详解与实现
  3. (王道408考研数据结构)第三章栈和队列-第二节:队列基本概念、顺序栈和链栈基本操作
  4. 4-1:shell编程之编写第一个shell脚本
  5. pymongo 日期类型
  6. 报错:MetaException(message:Version information not found in metastore. )
  7. springBoot AOP环绕增强、自定义注解、log4j2、MDC
  8. 【ARM-Linux开发】Wi-Fi 应用工具wpa_supplicant
  9. mysql颠覆实战笔记(五)--商品系统设计(二):定时更新商品总点击量
  10. Docker:尝试篇