SpringBoot+SpringSecurity基本使用及個(gè)性化登錄配置詳解
Spring Security 基本介紹
創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),下城企業(yè)網(wǎng)站建設(shè),下城品牌網(wǎng)站建設(shè),網(wǎng)站定制,下城網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,下城網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿,時(shí)刻以成就客戶成長自我,堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。
這里就不對Spring Security進(jìn)行過多的介紹了,具體的可以參考官方文檔
我就只說下SpringSecurity核心功能:
- 認(rèn)證(你是誰)
- 授權(quán)(你能干什么)
- 攻擊防護(hù)(防止偽造身份)
基本環(huán)境搭建
這里我們以SpringBoot作為項(xiàng)目的基本框架,我這里使用的是maven的方式來進(jìn)行的包管理,所以這里先給出集成Spring Security的方式
<dependencies>
...
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
...
</dependencies>
然后建立一個(gè)Web層請求接口
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping
public String getUsers() {
return "Hello Spring Security";
}
}
接下來可以直接進(jìn)行項(xiàng)目的運(yùn)行,并進(jìn)行接口的調(diào)用看看效果了。
通過網(wǎng)頁的調(diào)用
我們首先通過瀏覽器進(jìn)行接口的調(diào)用,直接訪問http://localhost:8080/user,如果接口能正常訪問,那么應(yīng)該顯示“Hello Spring Security”。
但是我們是沒法正常訪問的,出現(xiàn)了下圖的身份驗(yàn)證輸入框
這是因?yàn)樵赟pringBoot中,默認(rèn)的Spring Security就是生效了的,此時(shí)的接口都是被保護(hù)的,我們需要通過驗(yàn)證才能正常的訪問。 Spring Security提供了一個(gè)默認(rèn)的用戶,用戶名是user,而密碼則是啟動(dòng)項(xiàng)目的時(shí)候自動(dòng)生成的。
我們查看項(xiàng)目啟動(dòng)的日志,會(huì)發(fā)現(xiàn)如下的一段Log
Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c
當(dāng)然你看到的password肯定和我是不一樣的,我們直接用user和啟動(dòng)日志中的密碼進(jìn)行登錄。
登錄成功后,就跳轉(zhuǎn)到了接口正常調(diào)用的頁面了。
如果不想一開始就使能Spring Security,可以在配置文件中做如下的配置:
# security 使能 security.basic.enabled = false
剛才看到的登錄框是SpringSecurity是框架自己提供的,被稱為httpBasicLogin。顯示它不是我們產(chǎn)品上想要的,我們前端一般是通過表單提交的方式進(jìn)行用戶登錄驗(yàn)證的,所以我們就需要自定義自己的認(rèn)證邏輯了。
自定義用戶認(rèn)證邏輯
每個(gè)系統(tǒng)肯定是有自己的一套用戶體系的,所以我們需要自定義自己的認(rèn)證邏輯以及登錄界面。
這里我們需要先對SpringSecurity進(jìn)行相應(yīng)的配置
@Configuration
public class BrowerSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin() // 定義當(dāng)需要用戶登錄時(shí)候,轉(zhuǎn)到的登錄頁面。
.and()
.authorizeRequests() // 定義哪些URL需要被保護(hù)、哪些不需要被保護(hù)
.anyRequest() // 任何請求,登錄后可以訪問
.authenticated();
}
}
接下來再配置用戶認(rèn)證邏輯,因?yàn)槲覀兪怯凶约旱囊惶子脩趔w系的
@Component
public class MyUserDetailsService implements UserDetailsService {
private Logger logger = LoggerFactory.getLogger(getClass());
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
logger.info("用戶的用戶名: {}", username);
// TODO 根據(jù)用戶名,查找到對應(yīng)的密碼,與權(quán)限
// 封裝用戶信息,并返回。參數(shù)分別是:用戶名,密碼,用戶權(quán)限
User user = new User(userame, "123456",
AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
return user;
}
}
這里我們沒有進(jìn)行過多的校驗(yàn),用戶名可以隨意的填寫,但是密碼必須得是“123456”,這樣才能登錄成功。
同時(shí)可以看到,這里User對象的第三個(gè)參數(shù),它表示的是當(dāng)前用戶的權(quán)限,我們將它設(shè)置為”admin”。
運(yùn)行一下程序進(jìn)行測試,會(huì)發(fā)現(xiàn)登錄界面有所改變
這是因?yàn)槲覀冊谂渲梦募信渲昧?code>http.formLogin()
我們這里隨便填寫一個(gè)User,然后Password寫填寫一個(gè)錯(cuò)誤的(非123456)的。這時(shí)會(huì)提示校驗(yàn)錯(cuò)誤:
同時(shí)在控制臺,也會(huì)打印出剛才登錄時(shí)填寫的user
現(xiàn)在我們再來使用正確的密碼進(jìn)行登錄試試,可以發(fā)現(xiàn)就會(huì)通過校驗(yàn),跳轉(zhuǎn)到正確的接口調(diào)用頁面了。
UserDetails
剛剛我們在寫MyUserDetailsService的時(shí)候,里面實(shí)現(xiàn)了一個(gè)方法,并返回了一個(gè)UserDetails。這個(gè)UserDetails 就是封裝了用戶信息的對象,里面包含了七個(gè)方法
public interface UserDetails extends Serializable {
// 封裝了權(quán)限信息
Collection<? extends GrantedAuthority> getAuthorities();
// 密碼信息
String getPassword();
// 登錄用戶名
String getUsername();
// 帳戶是否過期
boolean isAccountNonExpired();
// 帳戶是否被凍結(jié)
boolean isAccountNonLocked();
// 帳戶密碼是否過期,一般有的密碼要求性高的系統(tǒng)會(huì)使用到,比較每隔一段時(shí)間就要求用戶重置密碼
boolean isCredentialsNonExpired();
// 帳號是否可用
boolean isEnabled();
}
我們在返回UserDetails的實(shí)現(xiàn)類User的時(shí)候,可以通過User的構(gòu)造方法,設(shè)置對應(yīng)的參數(shù)
密碼加密解密
SpringSecurity中有一個(gè)PasswordEncoder接口
public interface PasswordEncoder {
// 對密碼進(jìn)行加密
String encode(CharSequence var1);
// 對密碼進(jìn)行判斷匹配
boolean matches(CharSequence var1, String var2);
}
我們只需要自己實(shí)現(xiàn)這個(gè)接口,并在配置文件中配置一下就可以了。
這里我暫時(shí)以默認(rèn)提供的一個(gè)實(shí)現(xiàn)類進(jìn)行測試
// BrowerSecurityConfig
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}加密使用:
@Component
public class MyUserDetailsService implements UserDetailsService {
private Logger logger = LoggerFactory.getLogger(getClass());
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
logger.info("用戶的用戶名: {}", username);
String password = passwordEncoder.encode("123456");
logger.info("password: {}", password);
// 參數(shù)分別是:用戶名,密碼,用戶權(quán)限
User user = new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
return user;
}
}
這里簡單的對123456進(jìn)行了加密的處理。我們可以進(jìn)行測試,發(fā)現(xiàn)每次打印出來的password都是不一樣的,這就是配置的BCryptPasswordEncoder所起到的作用。
個(gè)性化用戶認(rèn)證邏輯
自定義登錄頁面
在之前的測試中,一直都是使用的默認(rèn)的登錄界面,我相信每個(gè)產(chǎn)品都是有自己的登錄界面設(shè)計(jì)的,所以我們這一節(jié)了解一下如何自定義登錄頁面。
我們先寫一個(gè)簡單的登錄頁面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登錄頁面</title>
</head>
<body>
<h3>自定義登錄頁面</h3>
<form action="/user/login" method="post">
<table>
<tr>
<td>用戶名:</td>
<td><input type="text" name="username"></td>
</tr>
<tr>
<td>密碼:</td>
<td><input type="password" name="password"></td>
</tr>
<tr>
<td colspan="2"><button type="submit">登錄</button></td>
</tr>
</table>
</form>
</body>
</html>
完成了登錄頁面之后,就需要將它配置進(jìn)行SpringSecurity
// BrowerSecurityConfig.java
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin() // 定義當(dāng)需要用戶登錄時(shí)候,轉(zhuǎn)到的登錄頁面。
.loginPage("/login.html") // 設(shè)置登錄頁面
.loginProcessingUrl("/user/login") // 自定義的登錄接口
.and()
.authorizeRequests() // 定義哪些URL需要被保護(hù)、哪些不需要被保護(hù)
.antMatchers("/login.html").permitAll() // 設(shè)置所有人都可以訪問登錄頁面
.anyRequest() // 任何請求,登錄后可以訪問
.authenticated()
.and()
.csrf().disable(); // 關(guān)閉csrf防護(hù)
}
這樣,每當(dāng)我們訪問被保護(hù)的接口的時(shí)候,就會(huì)調(diào)轉(zhuǎn)到login.html頁面
處理不同類型的請求
因?yàn)楝F(xiàn)在一般都前后端分離了,后端提供接口供前端調(diào)用,返回JSON格式的數(shù)據(jù)給前端。剛才那樣,調(diào)用了被保護(hù)的接口,直接進(jìn)行了頁面的跳轉(zhuǎn),在web端還可以接受,但是在App端就不行了, 所以我們還需要做進(jìn)一步的處理。
這里做一下簡單的思路整理
首先來寫自定義的Controller,當(dāng)需要身份認(rèn)證的時(shí)候就跳轉(zhuǎn)過來
@RestController
public class BrowserSecurityController {
private Logger logger = LoggerFactory.getLogger(getClass());
// 原請求信息的緩存及恢復(fù)
private RequestCache requestCache = new HttpSessionRequestCache();
// 用于重定向
private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
/**
* 當(dāng)需要身份認(rèn)證的時(shí)候,跳轉(zhuǎn)過來
* @param request
* @param response
* @return
*/
@RequestMapping("/authentication/require")
@ResponseStatus(code = HttpStatus.UNAUTHORIZED)
public BaseResponse requireAuthenication(HttpServletRequest request, HttpServletResponse response) throws IOException {
SavedRequest savedRequest = requestCache.getRequest(request, response);
if (savedRequest != null) {
String targetUrl = savedRequest.getRedirectUrl();
logger.info("引發(fā)跳轉(zhuǎn)的請求是:" + targetUrl);
if (StringUtils.endsWithIgnoreCase(targetUrl, ".html")) {
redirectStrategy.sendRedirect(request, response, "/login.html");
}
}
return new BaseResponse("訪問的服務(wù)需要身份認(rèn)證,請引導(dǎo)用戶到登錄頁");
}
}
當(dāng)然還需要將配置文件進(jìn)行相應(yīng)的修改, 這里我就不貼代碼了。 就是將該接口開放出來 。
擴(kuò)展:
這里我們是寫死了如果是從網(wǎng)頁訪問的接口,那么就跳轉(zhuǎn)到”/login.html”頁面,其實(shí)我們可以擴(kuò)展一下,將該跳轉(zhuǎn)地址配置到配置文件中,這樣會(huì)更方便的。
自定義處理登錄成功/失敗
在之前的測試中,登錄成功了都是進(jìn)行了頁面的跳轉(zhuǎn)。
在前后端分離的情況下,我們登錄成功了可能需要向前端返回用戶的個(gè)人信息,而不是直接進(jìn)行跳轉(zhuǎn)。登錄失敗也是同樣的道理。
這里涉及到了Spring Security中的兩個(gè)接口AuthenticationSuccessHandler和AuthenticationFailureHandler。我們可以實(shí)現(xiàn)這個(gè)接口,并進(jìn)行相應(yīng)的配置就可以了。 當(dāng)然框架是有默認(rèn)的實(shí)現(xiàn)類的,我們可以繼承這個(gè)實(shí)現(xiàn)類再來自定義自己的業(yè)務(wù)
@Component("myAuthenctiationSuccessHandler")
public class MyAuthenctiationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
private Logger logger = LoggerFactory.getLogger(getClass());
@Autowired
private ObjectMapper objectMapper;
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
Authentication authentication) throws IOException, ServletException {
logger.info("登錄成功");
response.setContentType("application/json;charset=UTF-8");
response.getWriter().write(objectMapper.writeValueAsString(authentication));
}
}
這里我們通過response返回一個(gè)JSON字符串回去。
這個(gè)方法中的第三個(gè)參數(shù)Authentication,它里面包含了登錄后的用戶信息(UserDetails),Session的信息,登錄信息等。
@Component("myAuthenctiationFailureHandler")
public class MyAuthenctiationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
private Logger logger = LoggerFactory.getLogger(getClass());
@Autowired
private ObjectMapper objectMapper;
@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
AuthenticationException exception) throws IOException, ServletException {
logger.info("登錄失敗");
response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
response.setContentType("application/json;charset=UTF-8");
response.getWriter().write(objectMapper.writeValueAsString(new BaseResponse(exception.getMessage())));
}
}
這個(gè)方法中的第三個(gè)參數(shù)AuthenticationException,包括了登錄失敗的信息。
同樣的,還是需要在配置文件中進(jìn)行配置,這里就不貼出全部的代碼了,只貼出相應(yīng)的語句
.successHandler(myAuthenticationSuccessHandler) // 自定義登錄成功處理 .failureHandler(myAuthenticationFailureHandler) // 自定義登錄失敗處理
代碼
完整的代碼可以點(diǎn)我查看
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持創(chuàng)新互聯(lián)。
當(dāng)前名稱:SpringBoot+SpringSecurity基本使用及個(gè)性化登錄配置詳解
文章地址:http://chinadenli.net/article18/ipjhdp.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供虛擬主機(jī)、企業(yè)建站、靜態(tài)網(wǎng)站、企業(yè)網(wǎng)站制作、網(wǎng)頁設(shè)計(jì)公司、云服務(wù)器
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
- 域名注冊證書怎么弄?有什么用 2021-03-01
- 域名注冊有多搶手? 2023-01-22
- 深圳網(wǎng)站制作中域名注冊的問題下 2021-05-02
- 域名注冊常見問題 2022-04-23
- 建站時(shí)域名注冊和網(wǎng)站空間要在同一個(gè)服務(wù)商買嗎? 2016-10-13
- 域名注冊應(yīng)慎重處理域名所有權(quán) 2022-07-24
- 新頂級域名注冊去哪兒? 2022-07-15
- 申請注冊域名這種常見問題要了解 2016-11-13
- 國外域名注冊商Porkbun域名注冊詳細(xì)攻略 2021-02-08
- 域名注冊商轉(zhuǎn)出萬維網(wǎng)申請表! 2019-07-29
- 域名注冊問題? 2022-07-24
- com域名注冊怎么樣?如何選擇com域名 2021-02-22