前言:安全框架目前有兩大主流,一個是apache的Shiro,一個是Spring的Security, 曾經用過Shiro,又想看一下security和Shiro的不同,又加上Spring Boot可以無縫對接Security,所以在此使用Security作為安全元件。 安全框架主要功能為:身份認證,許可權控制,預防漏洞攻擊 所以接下來我們圍繞如果配置身份認證,許可權控制去整合Security。
環境: IDEA版本2017.3.1 x64, JDK1.8, SpringBoot2.1.1, Druid1.1.8, mybatis1.3.2,Security5.1.2,thymeleaf3.0.11
總流程:
- 引入security的依賴包以及和security-thymeleaf的整合包
- 實現MySecurityConfig配置類去定製我們的授權規則和認證策略
- 實現UserDetailsService認證策略用於MySecurityConfig類
- 編寫一個Controller用於測試許可權
- 前端頁面限制角色訪問內容
- 資料庫需要注意的問題
引入security的依賴包以及和security-thymeleaf的整合包
<!--引入security-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- 引入security與thymeleaf的整合依賴 -->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>
複製程式碼實現MySecurityConfig配置類去定製我們的授權規則和認證策略
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
MyUserDetailsService myUserDetailsService;
//定製請求的授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("VIP1")
.antMatchers("/level2/**").hasRole("VIP2")
.antMatchers("/level3/**").hasRole("VIP3");
/*開啟自動配置的登入功能,如果是自己的定製的登入頁面,那麼/userlogin 的get請求是來到登入頁面,/userlogin的post請求是處理認證登入
也就是loginPage中的URL的post請求是處理登入邏輯的。沒登入的時候,訪問會以get的方式訪問loginpage的URL來到登入頁面*/
http.formLogin().usernameParameter("username").passwordParameter("password").loginPage("/userlogin");
//開啟自動配置的登出功能,會訪問/logout請求
http.logout().logoutSuccessUrl("/"); //登出成功後,回到首頁
/*開啟記住我功能(開啟後,springboot會給瀏覽器傳送一個cookies,以後訪問網站都會帶上這個cookies給springboot驗證,springboot會檢查以前某一個使用者的cookies的值是什麼,如果找到了,這個使用者就不用再次登入了,登出時候springboot會傳送命令給瀏覽器刪除cookies)*/
http.rememberMe();
}
//定義認證規則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//使用自定義認證規則,並且使用BCrypt演算法處理密碼
auth.userDetailsService(myUserDetailsService).passwordEncoder(new BCryptPasswordEncoder());
}
}
複製程式碼主要就是配置授權規則和認證策略,認證策略我們是連資料庫去校驗我們的使用者和密碼,所以需要去實現一個UserDetailsService。
實現UserDetailsService認證策略用於MySecurityConfig
@Service
public class MyUserDetailsService implements UserDetailsService{
private Logger logger = LoggerFactory.getLogger(this.getClass());
@Autowired
UserService userService;
@Autowired
HttpServletRequest request;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userService.selectUser(username);
//logger.info(user.getName());
if (user == null){
throw new UsernameNotFoundException("使用者名稱不存在!");
}
HttpSession session = request.getSession();
session.setAttribute("user",user);
session.setAttribute("sessusername",username);
List<GrantedAuthority> authorities = new ArrayList<>();
//角色
authorities.add(new SimpleGrantedAuthority(user.getRole()));
//許可權(為了測試,硬編碼,實際上應該從資料庫中讀取)
authorities.add(new SimpleGrantedAuthority("1"));
logger.info(user.getName()+"角色許可權為:"+authorities.toString());
return new org.springframework.security.core.userdetails.User(user.getName(),user.getPassword(),authorities);
}
}
複製程式碼編寫一個Controller用於測試許可權
@Controller
public class KungfuController {
private final String PREFIX = "pages/";
/**
* 歡迎頁
* @return
*/
@GetMapping("/")
public String index() {
return "welcome";
}
/**
* 登陸頁
* @return
*/
@GetMapping("/userlogin")
public String loginPage() {
return PREFIX+"login";
}
/**
* level1頁面對映
* @param path
* @return
*/
//@PreAuthorize("hasRole('VIP1') AND hasAuthority('1')")
@PreAuthorize("hasAuthority('1')")
@GetMapping("/level1/{path}")
public String level1(@PathVariable("path")String path) {
return PREFIX+"level1/"+path;
}
}
複製程式碼後臺的內容就實現了,接下來看前端如何限制角色訪問內容
前端頁面限制角色訪問內容
登入頁核心內容:
頁面需匯入security和thymeleaf的整合標籤
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
div align="center">
<form th:action="@{/userlogin}" method="post">
使用者名稱:<input name="username"/><br>
密碼:<input name="password"><br/>
<p>
<label for="remember-me">Remember Me?</label>
<input type="checkbox" id="remember-me" name="remember-me"/>
</p>
<input type="submit" value="登陸">
</form>
</div>
複製程式碼主頁核心內容:
<div sec:authorize="!isAuthenticated()">
<h2 align="center">遊客您好,如果想檢視武林祕籍 <a th:href="@{/userlogin}">請登入</a></h2>
</div>
<div sec:authorize="isAuthenticated()">
<h2><span sec:authentication="name"></span>你好,你的角色為:
<span sec:authentication="principal.authorities"></span>
</h2>
<form th:action="@{/logout}" th:method="post">
<input th:type="submit" th:value="登出"/>
</form>
</div>
<hr>
<div sec:authorize="hasRole('VIP1')">
<h3>普通武功祕籍</h3>
<ul>
<li><a th:href="@{/level1/1}">羅漢拳</a></li>
<li><a th:href="@{/level1/2}">武當長拳</a></li>
<li><a th:href="@{/level1/3}">全真劍法</a></li>
</ul>
</div>
複製程式碼資料庫實現
為了測試,資料庫設計過於簡陋,但注意的問題為角色欄位的內容需要加上ROLE_字首,否則會security會認為此使用者依然沒有許可權
密碼可以編寫一個工具類進行加密 工具類如下:
@Component
public class BCryptUtil {
private BCryptPasswordEncoder bCryptPasswordEncoder;
public BCryptUtil(){
this.bCryptPasswordEncoder = new BCryptPasswordEncoder();
}
/**
* 加密
* @return
*/
public String encoder(String password){
return bCryptPasswordEncoder.encode(password);
}
/**
* 驗證密碼
* @param password
* @param salt
* @return
*/
public Boolean matches(String password,String salt){
return bCryptPasswordEncoder.matches(password,salt);
}
}
複製程式碼整合就到此完畢,時間較晚,如果有錯漏盡管提出。
更多Spring Boot整合可瀏覽此部落格:malizhi.cn