。

小项目有Shiro的比较多#xff0c;因为相比与SpringSecurity#xff0c;Shiro的上手更加的简单。

认证#xff1a;验证当前访问系统的是不是本系统的用户#xff0c;并且要…一般来说中大型的项目都是使用SpringSecurity

来做安全框架。

小项目有Shiro的比较多因为相比与SpringSecurityShiro的上手更加的简单。

认证验证当前访问系统的是不是本系统的用户并且要确认具体是哪个用户

而认证和授权也是SpringSecurity作为安全框架的核心功能。

1.简单入门Demo

dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-security/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-web/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-test/artifactIdscopetest/scope/dependency!--其他必须依赖,下面需要的--dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-data-redis/artifactId/dependencydependencygroupIdcom.baomidou/groupIdartifactIdmybatis-plus-boot-starter/artifactIdversion3.5.3.1/version/dependencydependencygroupIdmysql/groupIdartifactIdmysql-connector-java/artifactId/dependencydependencygroupIdorg.projectlombok/groupIdartifactIdlombok/artifactId/dependencydependencygroupIdcom.alibaba/groupIdartifactIdfastjson/artifactIdversion1.2.58/version/dependencydependencygroupIdcom.fasterxml.jackson.datatype/groupIdartifactIdjackson-datatype-jdk8/artifactId/dependencydependencygroupIdio.jsonwebtoken/groupIdartifactIdjjwt/artifactIdversion0.9.1/version/dependencydependencygroupIdorg.apache.commons/groupIdartifactIdcommons-pool2/artifactId/dependency!--

java.lang.NoClassDefFoundError:

javax/xml/bind/DatatypeConverter--dependencygroupIdjavax.xml.bind/groupIdartifactIdjaxb-api/artifactIdversion2.3.0/version/dependencydependencygroupIdcom.sun.xml.bind/groupIdartifactIdjaxb-impl/artifactIdversion2.3.0/version/dependencydependencygroupIdcom.sun.xml.bind/groupIdartifactIdjaxb-core/artifactIdversion2.3.0/version/dependencydependencygroupIdjavax.activation/groupIdartifactIdactivation/artifactIdversion1.1.1/version/dependency

此时我们发现控制台生成

当然我们实际情况可能会加一个redis做缓存,登录之后用用户id

2.2

UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。

入门案例的认证工作主要有它负责。

ExceptionTranslationFilter处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException

FilterSecurityInterceptor负责权限校验的过滤器。

2.3

AuthenticationManager接口定义了认证Authentication的方法

UserDetailsService接口加载用户特定数据的核心接口。

里面定义了一个根据用户名查询用户信息的方法。

UserDetails接口提供核心用户信息。

通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。

然后将这些信息封装到Authentication对象中。

2.4

...,在现在前后端分离项目我们肯定是要自定义登录接口不能用SpringSecurity的登录页面

UserDetailService

是在内存中查找比较用户输入的用户名和密码那我们需要是需要查询数据库比对的。

2.5

jdbc:mysql://localhost:3306/test?characterEncodingutf-8serverTimezoneUTCusername:

rootpassword:

authList;////JSONField(serialize

false)//private

SimpleGrantedAuthority对象不支持序列化无法存入redis//////public

UserDetailsImpl(User

ArrayList();//}//第一次登录封装UserDetails对象,初始化权限列表//for

(String

SimpleGrantedAuthority(auth);//

authorities.add(simpleGrantedAuthority);

authorities;return

user.getPassword();}Overridepublic

String

user.getUserName();}Overridepublic

boolean

下面bool值全部响应为true,UserDetail对象返回校验过程中会因为没权限报错return

true;}Overridepublic

redisTemplate(RedisConnectionFactory

connectionFactory){RedisTemplateObject,

Object

RedisTemplate();template.setConnectionFactory(connectionFactory);FastJsonRedisSerializer

serializer

FastJsonRedisSerializer(Object.class);//

使用StringRedisSerializer来序列化和反序列化redis的key值template.setKeySerializer(new

StringRedisSerializer());template.setValueSerializer(serializer);//

Hash的key也采用StringRedisSerializer的序列化方式template.setHashKeySerializer(new

StringRedisSerializer());template.setHashValueSerializer(serializer);template.afterPropertiesSet();return

template;}

UUID.randomUUID().toString().replaceAll(-,

);return

SignatureAlgorithm.HS256;SecretKey

secretKey

System.currentTimeMillis();Date

now

Date(nowMillis);if(ttlMillisnull){ttlMillisJwtUtil.JWT_TTL;}long

expMillis

签发时间.signWith(signatureAlgorithm,

secretKey)

第二个参数为秘钥.setExpiration(expDate);}/***

创建token*

parseJWT(eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiIyOTY2ZGE3NGYyZGM0ZDAxOGU1OWYwNjBkYmZkMjZhMSIsInN1YiI6IjIiLCJpc3MiOiJzZyIsImlhdCI6MTYzOTk2MjU1MCwiZXhwIjoxNjM5OTY2MTUwfQ.NluqZnyJ0gHz-2wBIari2r3XpPp06UMn4JS2sWHILs0);String

subject

claims.getSubject();System.out.println(subject);

System.out.println(claims);}/***

secretKey*

Base64.getDecoder().decode(JwtUtil.JWT_KEY);SecretKey

key

Jwts.parser().setSigningKey(secretKey).parseClaimsJws(jwt).getBody();}}

public

clazz;static{ParserConfig.getGlobalInstance().setAutoTypeSupport(true);}public

byte[]

SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);}Overridepublic

deserialize(byte[]

TypeFactory.defaultInstance().constructType(clazz);}

2.5.1

实现UserDatailService接口注入到spring容器中这样就会在SpringSecurity的认证流程中调用我们自定义的实现类。

Service

用用户名查询对应UserLambdaQueryWrapperUser

queryWrapper

LambdaQueryWrapper();queryWrapper.eq(User::getUserName,username);//

user

this.getOne(queryWrapper);if(user

null){throw

将查询到user封装到自定义UserDeatail中return

new

}我们看下图我们输入的用户名和密码最终会传入UserDetailService

方法返回UserDtail对象。

返回过程中会与UserDetail中的password和username进行比对,不同则报错。

注意如果要测试需要往用户表中写入用户数据并且如果你想让用户的密码是明文存储需要在密码前加{noop}。

例如

数据库中,username:sg,

这样登陆的时候就可以用sg作为用户名1234作为密码来登陆了。

2.5.2

在实际中项目中我一般不会明文存储而是采用PasswordEncoder加密的方式;

我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。

我们只需要使用把BCryptPasswordEncoder对象注入Spring容器中SpringSecurity就会使用该PasswordEncoder来进行密码校验

Configuration

接下我们需要自定义登陆接口然后让SpringSecurity对这个接口放行,让用户访问这个接口的时候不用登录也能访问。

在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在SecurityConfig中配置把AuthenticationManager注入容器。

认证成功的话要生成一个jwt放入响应中返回。

并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户我们需要把用户信息存入redis可以把用户id作为key。

UserController

userService;PostMapping(/login)Result

login(RequestBody

userService.login(user);}}public

interface

authenticationManager;Autowiredprivate

RedisTemplate

进行认证UsernamePasswordAuthenticationToken

authenticationToken

UsernamePasswordAuthenticationToken(user.getUserName(),

user.getPassword());Authentication

authenticate

authenticationManager.authenticate(authenticationToken);//

如果认证通过、给出对应提示if(Objects.isNull(authenticate)){throw

new

认证通过使用userid生成jwtUserDetailsImpl

udi

authenticate.getPrincipal();String

userId

udi.getUser().getId().toString();String

token

JwtUtil.createJWT(userId);HashMapString,

String

HashMap();map.put(token,token);//

把完整用户信息存入redisredisTemplate.opsForValue().set(login:

userId,udi);return

BCryptPasswordEncoder();}Overrideprotected

void

{http//关闭csrf.csrf().disable()//不通过Session获取SecurityContext.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests()//

对于登录接口

允许匿名访问.antMatchers(/user/login).anonymous()//

除上面外的所有请求全部需要鉴权认证.anyRequest().authenticated();}BeanOverridepublic

throws

super.authenticationManagerBean();}

spring:#

jdbc:mysql://localhost:3306/test?characterEncodingutf-8serverTimezoneUTCusername:

rootpassword:

以下跨域设置,postman测试是完全没有问题的。

但是我们是为了前后端分离会有问题。

当登录之后携带token的请求头被jwt过滤器捕获解析之后获得userId,用userId将从redis拿出UserDetailImpl封装到

SecurityContextHolder.getContext()中,被SpringSecurity过滤链捕获到证明没有问题因此放行访问资源。

/***

redisTemplate;Overrideprotected

void

doFilterInternal(HttpServletRequest

request,

设置跨域response.setHeader(Access-Control-Allow-Origin,

修改携带cookie,PSresponse.setHeader(Access-Control-Allow-Methods,

GET,POST,DELETE,PUT);response.setHeader(Access-Control-Allow-Headers,

PS//

预检请求缓存时间秒即在这个时间内相同的预检请求不再发送直接使用缓存结果。

response.setHeader(Access-Control-Max-Age,

authorization

request.getHeader(Authorization);if(StringUtils.isEmpty(authorization)){filterChain.doFilter(request,response);return;}String

token

authorization.substring(6);//解析tokenString

userid;try

RuntimeException(token非法);}//从redis中获取用户信息String

redisKey

redisTemplate.opsForValue().get(redisKey);if(Objects.isNull(udi)){throw

new

RuntimeException(用户未登录);}//存入SecurityContextHolder//获取权限信息封装到Authentication中UsernamePasswordAuthenticationToken

authenticationToken

UsernamePasswordAuthenticationToken(udi,null,udi.getAuthorities());SecurityContextHolder.getContext().setAuthentication(authenticationToken);//放行filterChain.doFilter(request,

response);}

在SpringSecurity中会使用默认FiterSecuritInterceptor来进行权限校验而它又是从SpringSecurityContex中Authentication来获取其中的权限信息。

判断当前用户是否拥有访问当前资源权限。

因此我们只需要将权限信息存储到Authentication中即可设置资源的访问权限。

3.2

EnableGlobalMethodSecurity(prePostEnabled

true)

RequestMapping(/hello)PreAuthorize(hasAnyAuthority(test))

限制访问权限字段public

我们之前UserDetailServiceImpl中loadUserByUsername()中返回的UserDetailImpl对象我们之前创建时并没传入权限字段我们先自定义权限字段模拟用户权限列表。

Service

用用户名查询对应UserLambdaQueryWrapperUser

queryWrapper

LambdaQueryWrapper();queryWrapper.eq(User::getUserName,username);//

user

this.getOne(queryWrapper);if(user

null){throw

RuntimeException(用户名或密码错误);}ListString

authlist

暂且封装这样权限字段authlist.add(test);authlist.add(test0);return

new

UserDetailsImpl(user,authlist);}

相应的UserDetailImpl中也需要修改seucrity过滤器链是从getAuthorities()方法中来获取用户权限字段的。

Data

SimpleGrantedAuthority对象不支持序列化无法存入redispublic

UserDetailsImpl(User

第一次登录封装UserDetails对象,初始化权限列表for

(String

SimpleGrantedAuthority(auth);authorities.add(simpleGrantedAuthority);

String

user.getPassword();}Overridepublic

String

user.getUserName();}Overridepublic

boolean

JsonInclude(JsonInclude.Include.NON_NULL)

public

-54979041104113736L;TableIdprivate

Long

http://mybatis.org/dtd/mybatis-3-mapper.dtd

mapper

namespacecom.qhx.springsecuritydemo.mapper.MenuMapperselect

resultTypejava.lang.StringSELECTm.permsFROMuser_role

urLEFT

用用户名查询对应UserLambdaQueryWrapperUser

queryWrapper

LambdaQueryWrapper();queryWrapper.eq(User::getUserName,username);//

user

this.getOne(queryWrapper);if(user

null){throw

RuntimeException(用户名或密码错误);}ListString

authList

menuMapper.selectPermsByUserId(user.getId());return

new

UserDetailsImpl(user,authlist);}

4.异常处理

JSON.toJSONString(result);response.setStatus(200);response.setContentType(application/json);response.getWriter().write(jsonResult);}

}/***

Result.error(您认证错误/请检查你的用户名或密码是否正确,

401);String

JSON.toJSONString(result);response.setStatus(200);response.setContentType(application/json);response.getWriter().write(jsonResult);}

Configuration

EnableGlobalMethodSecurity(prePostEnabled

true)

BCryptPasswordEncoder();}Autowiredprivate

accessDeniedHandler;Autowiredprivate

authenticationEntryPoint;Overrideprotected

void

{http//关闭csrf.csrf().disable()//不通过Session获取SecurityContext.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests()//

对于登录接口

允许匿名访问.antMatchers(/user/login).anonymous()//

除上面外的所有请求全部需要鉴权认证.anyRequest().authenticated();//

添加自定义token过滤器到链中http.addFilterBefore(jwtFilter,

UsernamePasswordAuthenticationFilter.class);//

添加自定义异常处理器http.exceptionHandling().accessDeniedHandler(accessDeniedHandler).authenticationEntryPoint(authenticationEntryPoint);}BeanOverridepublic

throws

super.authenticationManagerBean();}

4.2

上面除了我们SpringSecurity异常那么还有一些其他异常我们不希望每次捕获并手动抛出因此可以转化为自定义异常用SpringBoot的全局异常处理器捕获并且抛出

我们现在是用postman测试但是未来项目是设计到前后端分离项目交互的都伴随着跨域的问题。

后端能接受到前端原生request对象,response对象,都涉及到跨域的问题。

SpringSecurity解决跨域

设置允许跨域的路径registry.addMapping(/**)//

设置允许跨域请求的域名.allowedOriginPatterns(*)//

是否允许cookie.allowCredentials(true)//

POST,

设置允许的header属性.allowedHeaders(*)//