本文介绍了SpringBoot2如何集成SpringSecurity框架来实现用户权限的安全管理。内容非常详细,有兴趣的朋友可以参考一下,希望对你有帮助。
00-1010
一、Security简介
Spring Security是一个安全框架,可以为基于Spring的企业应用系统提供声明式安全访问控制解决方案。它提供了一套可以在Spring的应用上下文中配置的Bean,充分利用了Spring的IOC、DI和AOP (Aspect-Oriented Programming,面向方面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了编写大量重复代码进行安全控制的工作。
1、基础概念
1)、安全上下文持有者
最基础的对象保存着当前会话用户认证、权限、认证等核心数据。SecurityContextHolder默认情况下使用ThreadLocal策略存储身份验证信息,该策略与线程绑定。当用户退出时,当前线程的身份验证信息被自动清除。了解springcloud架构可以补充:3536247259。
初始化源代码:显然使用ThreadLocal线程。
privatedstationinitialize(){ if(!stringutils . hastext(strategyName)){ 0
strategyName=' MODE _ THREADLOCAL ';
} if(strategyname . equals(' MODE _ THREADLOCAL '){ }
strategy=new threadlocalsecuritycontextholders strategy();
} else if(strategyname . equals(' MODE _ inheritable threadlocal '){ }
strategy=new inheritable threadlocalsecuritycontextholders strategy();
} else if(strategyname . equals(' MODE _ GLOBAL '){ }
strategy=new globalsecuritycontextholders strategy();
} else { try {
上课?clazz=class . for name(strategyName);
建造师?custom strategy=clazz . getconstructor();
strategy=(security contextholders strategy)customstrategy . new instance();
} catch(exception var2){ 0
reflectionutils . handlereflectionexception(var2);
}
}
nbsp; ++initializeCount;
}
2)、Authentication
源代码
public interface Authentication extends Principal, Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
Object getCredentials();
Object getDetails();
Object getPrincipal();
boolean isAuthenticated();
void setAuthenticated(boolean var1) throws IllegalArgumentException;
}
源码分析
1)、getAuthorities,权限列表,通常是代表权限的字符串集合; 2)、getCredentials,密码,认证之后会移出,来保证安全性; 3)、getDetails,请求的细节参数; 4)、getPrincipal, 核心身份信息,一般返回UserDetails的实现类。
3)、UserDetails
封装了用户的详细的信息。
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
4)、UserDetailsService
实现该接口,自定义用户认证流程,通常读取数据库,对比用户的登录信息,完成认证,授权。
public interface UserDetailsService {
UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}
5)、AuthenticationManager
认证流程顶级接口。可以通过实现AuthenticationManager接口来自定义自己的认证方式,Spring提供了一个默认的实现,ProviderManager。
public interface AuthenticationManager {
Authentication authenticate(Authentication var1) throws AuthenticationException;
}
二、与SpringBoot2整合
1、流程描述
1)、三个页面分类,page1、page2、page3 2)、未登录授权都不可以访问 3)、登录后根据用户权限,访问指定页面 4)、对于未授权页面,访问返回403:资源不可用
2、核心依赖
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
3、核心配置
/**
* EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持
*/@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { /**
* 权限配置
*/
@Override
protected void configure(HttpSecurity http) throws Exception { // 配置拦截规则
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/page1/**").hasRole("LEVEL1")
.antMatchers("/page2/**").hasRole("LEVEL2")
.antMatchers("/page3/**").hasRole("LEVEL3"); // 配置登录功能
http.formLogin().usernameParameter("user")
.passwordParameter("pwd")
.loginPage("/userLogin"); // 注销成功跳转首页
http.logout().logoutSuccessUrl("/"); //开启记住我功能
http.rememberMe().rememberMeParameter("remeber");
} /**
* 自定义认证数据源
*/
@Override
protected void configure(AuthenticationManagerBuilder builder) throws Exception{
builder.userDetailsService(userDetailService())
.passwordEncoder(passwordEncoder());
} @Bean
public UserDetailServiceImpl userDetailService (){ return new UserDetailServiceImpl () ;
} /**
* 密码加密
*/
@Bean
public BCryptPasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder();
} /*
* 硬编码几个用户
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("spring").password("123456").roles("LEVEL1","LEVEL2")
.and()
.withUser("summer").password("123456").roles("LEVEL2","LEVEL3")
.and()
.withUser("autumn").password("123456").roles("LEVEL1","LEVEL3");
}
*/}
4、认证流程
@Servicepublic class UserDetailServiceImpl implements UserDetailsService { @Resource
private UserRoleMapper userRoleMapper ; @Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 这里可以捕获异常,使用异常映射,抛出指定的提示信息
// 用户校验的操作
// 假设密码是数据库查询的 123
String password = "$2a$10$XcigeMfToGQ2bqRToFtUi.sG1V.HhrJV6RBjji1yncXReSNNIPl1K"; // 假设角色是数据库查询的
List<String> roleList = userRoleMapper.selectByUserName(username) ;
List<GrantedAuthority> grantedAuthorityList = new ArrayList<>() ; /*
* Spring Boot 2.0 版本踩坑
* 必须要 ROLE_ 前缀, 因为 hasRole("LEVEL1")判断时会自动加上ROLE_前缀变成 ROLE_LEVEL1 ,
* 如果不加前缀一般就会出现403错误
* 在给用户赋权限时,数据库存储必须是完整的权限标识ROLE_LEVEL1
*/
if (roleList != null && roleList.size()>0){ for (String role : roleList){
grantedAuthorityList.add(new SimpleGrantedAuthority(role)) ;
}
} return new User(username,password,grantedAuthorityList);
}
}
5、测试接口
@Controllerpublic class PageController { /**
* 首页
*/
@RequestMapping("/")
public String index (){
return "home" ;
}
/**
* 登录页
*/
@RequestMapping("/userLogin")
public String loginPage (){
return "pages/login" ;
}
/**
* page1 下页面
*/
@PreAuthorize("hasAuthority('LEVEL1')")
@RequestMapping("/page1/{pageName}")
public String onePage (@PathVariable("pageName") String pageName){
return "pages/page1/"+pageName ;
}
/**
* page2 下页面
*/
@PreAuthorize("hasAuthority('LEVEL2')")
@RequestMapping("/page2/{pageName}")
public String twoPage (@PathVariable("pageName") String pageName){
return "pages/page2/"+pageName ;
}
/**
* page3 下页面
*/
@PreAuthorize("hasAuthority('LEVEL3')")
@RequestMapping("/page3/{pageName}")
public String threePage (@PathVariable("pageName") String pageName){
return "pages/page3/"+pageName ;
}
}
6、登录界面
这里要和Security的配置文件相对应。
<div align="center">
<form th:action="@{/userLogin}" method="post">
用户名:<input name="user"/><br>
密 码:<input name="pwd"><br/>
<input type="checkbox" name="remeber"> 记住我<br/>
<input type="submit" value="Login">
</form></div>
关于SpringBoot2 整合SpringSecurity框架是怎么实现用户权限安全管理就分享到这里了,希望
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/151658.html