我們上一篇文章說了Spring Security的原理。這一篇我們進行實戰。項目由Springboot + Spring Security + Mybatis-plus構成。爲了讓大家更好的理解,我將在最後的部分去解釋Security的部門,先介紹項目中的其他模塊。篇幅有些長,請耐心看完,相信繪有很大的收穫。
一、項目目錄:
二、我們先來看pom文件中的依賴:
<dependencies>
<!-- Spring Security的依賴-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- SpringBoot的依賴-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- Mybiatis-plus的依賴-->
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.1.0</version>
</dependency>
<!-- 連接數據庫-->
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<scope>runtime</scope>
</dependency>
<!-- lombok-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.18.12</version>
<scope>provided</scope>
</dependency>
</dependencies>
如果需要測試方法的話,可以集成對應的test的jar包。
三、application.properties部分
#配置對應端口
server.port=8080
#配置訪問路徑
server.servlet.context‐path=/security
#程序的名稱
spring.application.name = security‐springboot
#視圖解析器
spring.mvc.view.prefix=/htmls/
spring.mvc.view.suffix=.html
#數據庫連接
spring.datasource.url=jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=utf-8&serverTimezone=CTT
spring.datasource.username=root
spring.datasource.password=
spring.datasource.driver‐class‐name=com.mysql.jdbc.Driver
#mybatis-plus配置
mybatis-plus.type-aliases-package=com.security.hello.security.enity
mybatis-plus.mapper-locations=classpath:mapper/*Mapper.xml
四、數據庫和mybatis-plus
表結構:
CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC COMMENT='用戶表';
CREATE TABLE `t_role` (
`id` varchar(32) NOT NULL,
`role_name` varchar(255) DEFAULT NULL,
`description` varchar(255) DEFAULT NULL,
`create_time` datetime DEFAULT NULL,
`update_time` datetime DEFAULT NULL,
`status` char(1) NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `unique_role_name` (`role_name`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色表';
CREATE TABLE `t_user_role` (
`user_id` varchar(32) NOT NULL,
`role_id` varchar(32) NOT NULL,
`create_time` datetime DEFAULT NULL,
`creator` varchar(255) DEFAULT NULL,
PRIMARY KEY (`user_id`,`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用戶角色關係表';
CREATE TABLE `t_permission` (
`id` varchar(32) NOT NULL,
`code` varchar(32) NOT NULL COMMENT '權限標識符',
`description` varchar(64) DEFAULT NULL COMMENT '描述',
`url` varchar(128) DEFAULT NULL COMMENT '請求地址',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='權限表';
CREATE TABLE `t_role_permission` (
`role_id` varchar(32) NOT NULL,
`permission_id` varchar(32) NOT NULL,
PRIMARY KEY (`role_id`,`permission_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='角色權限關係表';
在一個標準的後臺系統是有權限、角色、後臺人員幾種抽象的實體的,例如一個新聞網站:權限有:發佈新聞、審覈新聞、刪除新聞等,而角色就有新聞發佈員(權限:發佈新聞)、新聞審覈員(新聞審覈)、超級管理員(所有權限)等。而權限與角色的對應關係就是多對多。同理呢,角色與後臺人員的關係可以是一對一、一對多、多對多都可以。我們這裏的t_user就是後臺人員表,t_role就是角色表,t_permission就是權限表。還有兩個中間表。
首先我們弄清楚我們要用Spring Security去幹什麼,我們要用這個框架去進行登陸(認證過程),訪問資源(授權)。這裏的授權就是權限s。
那問題來了我們爲啥非得用Spring Security呢?用攔截器不行嗎?原因有幾點:第一直接寫攔截器真的很low,第二框架爲我們提供了很方便的api,我們可以寫更少的代碼,第三更爲安全,第四.....。
看不懂數據庫sql或者不瞭解mybatis-plus的小夥伴不必在這過多糾結,只要相信我們對應的api能夠查到數據即可。
package com.security.hello.security.mapper;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.security.hello.security.enity.UserAdmin;
/**
* @ClassName UserMapper
* @Description
* @Author
* @Date 2020/5/4 10:40
* @Version 1.0
**/
public interface UserMapper extends BaseMapper<UserAdmin> {
}
這個是查詢用戶的mapper層,這個因爲是Mybatis-plus就是它對Mybatis做了更多的優化。我們沒有寫方法的原因在於,單表操作不需要寫sql,直接寫對應的API就可以了。可以在下面看到。
package com.security.hello.security.mapper;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.security.hello.security.enity.Permission;
import org.apache.ibatis.annotations.Param;
import java.util.List;
/**
* @ClassName PermissionMapper
* @Description
* @Author
* @Date 2020/5/4 14:22
* @Version 1.0
**/
public interface PermissionMapper extends BaseMapper<Permission> {
List<String> selectPermissionByUser(@Param("userId") Long id);
}
權限的mapper層,這裏爲什麼有方法呢,因爲通過用戶的id查詢權限,需要連接四張表。建議大家直接寫sql。下面對應的xml。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.security.hello.security.mapper.PermissionMapper">
<select id="selectPermissionByUser" resultType="java.lang.String">
SELECT
p.code
FROM
t_user_role AS ur
INNER JOIN t_role AS r ON r.id = ur.role_id
INNER JOIN t_role_permission AS rp ON rp.role_id = r.id
INNER JOIN t_permission AS p ON p.id = rp.permission_id
WHERE
ur.user_id = #{userId}
</select>
</mapper>
兩個實體類:
package com.security.hello.security.enity;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
/**
* @ClassName Permission
* @Description
* @Author
* @Date 2020/5/4 14:23
* @Version 1.0
**/
@Data
@TableName("t_permission")
public class Permission {
private Long id;
private String code;
private String description;
private String url;
}
package com.security.hello.security.enity;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
/**
* @ClassName User
* @Description
* @Author
* @Date 2020/5/4 10:35
* @Version 1.0
**/
@Data
@TableName("t_user")
public class UserAdmin {
private Long id;
private String username;
private String password;
private String fullname;
private String mobile;
}
五、對應的業務層和對外接口
package com.security.hello.security.enity;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
/**
* @ClassName User
* @Description
* @Author
* @Date 2020/5/4 10:35
* @Version 1.0
**/
@Data
@TableName("t_user")
public class UserAdmin {
private Long id;
private String username;
private String password;
private String fullname;
private String mobile;
}
package com.security.hello.security.service.Impl;
import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;
import com.security.hello.security.enity.UserAdmin;
import com.security.hello.security.mapper.UserMapper;
import com.security.hello.security.service.IUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import javax.annotation.Resource;
import java.util.List;
/**
* @ClassName UserServiceImpl
* @Description
* @Author
* @Date 2020/5/4 10:38
* @Version 1.0
**/
@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, UserAdmin> implements IUserService {
@Override
public UserAdmin selectUserByUsername(String username){
QueryWrapper<UserAdmin> queryWrapper = new QueryWrapper<>();
queryWrapper.eq("username",username);
List<UserAdmin> list = this.baseMapper.selectList(queryWrapper);
if(list != null && list.size() > 0){
return list.get(0);
}else{
return null;
}
}
}
這裏的QueryWrapper就是plus爲我們提供的簡單方法。想必大家都一個問題吧,爲啥查詢出來是一個列表?不應該是一個用戶嗎,全局唯一的。這個不是plus不能查出一個數據,而是如果因爲系統本身的設計原因,造成用戶註冊的時候註冊了兩個用戶,這種是存在可能的。查詢一個的時候就會報錯,而查詢列表就會避免這個問題。對於用戶來說更加友好。
然後我們來看controller層。
package com.security.hello.security.controller;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
/**
* @ClassName LoginController
* @Description 驗證用戶登陸
* @Author
* @Date 2020/5/3 12:22
* @Version 1.0
**/
@RestController
public class LoginController {
@RequestMapping(value = "/login-success",produces = {"text/plain;charset=UTF-8"})
public String loginSuccess(){
return getUserName() + " 登錄成功";
}
/**
* 測試資源1
* @return
*/
@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF-8"})
public String r1(){
return " 訪問資源1";
}
/**
* 測試資源2
* @return
*/
@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF-8"})
public String r2(){
return " 訪問資源2";
}
/**
* 將用戶登陸的信息方法了會話裏。,認證通過後將身份信息放入SecurityContextHolder上下文,SecurityContext與當前線程進行綁定,
* 方便獲取 用戶身份
*/
private String getUserName(){
String username = null;
//當前通過的用戶身份
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
//用戶身份
Object principal = authentication.getPrincipal();
if(principal == null){
username = "匿名";
}
if(principal instanceof org.springframework.security.core.userdetails.UserDetails){
UserDetails userDetails = (UserDetails)principal;
username = userDetails.getUsername();
}else{
username = principal.toString();
}
return username;
}
}
我們暫時可以先看前三個方法。這個就是我們正常寫的一個api。登陸成功之後走的Controller,和兩個資源。暫時不用考慮第四個方法。這個我們之後會說。
截止到目前,應該來說是我們學習Security這個框架之前,應該很明確掌握的東西。如果這些東西存在疑問,我覺得應該可以先去學習這些姿勢。否則很難理解Security它到底幹了啥。
hhhh,忘了還有一個前端頁面
<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport"
content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<form action="login" method="post">
<input type="text" name="username"><br>
<input type="password" name="password"><br>
<input type="submit" value="登陸">
</form>
</body>
</html>
六、SpringMVC配置部分
package com.security.hello.security.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
/**
* @ClassName WebMvcConfig
* @Description springMvc配置類
* @Author
* @Date 2020/5/3 17:56
* @Version 1.0
**/
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("redirect:/login-view");
registry.addViewController("/login-view").setViewName("login");
}
}
這個配置類可以說幫我們解決了很多的代碼編寫,是一個非常重要的配置類,我們正好說一下這個WebMvcConfigurer類的常用方法,它經常和Security搭配着使用的。
(1)addInterceptors(InterceptorRegistry registry):這個方法配置的是攔截器,我們在之前的基於session的認證與授權中說過。
(2)addResourceHandlers(ResourceHandlerRegistry registry):自定義資源映射。這個東西也比較常用,業務場景就是自己的服務器作爲文件服務器,不利用第三方的圖牀,就需要一個虛擬路徑映射到我們服務器的地址。
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/my/**")
.addResourceLocations("file:E:/my/");
super.addResourceHandlers(registry);
}
(3)addCorsMappings(CorsRegistry registry):設置跨域問題的,幾乎是每個後臺服務器都需要配置的東西。
(4)addViewControllers(ViewControllerRegistry registry):我們可以少寫Controller達到跳轉頁面的目的。上面就是訪問“/”根路徑,就重定向到“/login-view”,然後再訪問login的html頁面(我們在視圖解析器中配過)。
七、今天的主角Security
package com.security.hello.security.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
/**
* @ClassName ApplicationConfig
* @Description SpringSecurity的配置文件
* @Author
* @Date 2020/5/3 12:56
* @Version 1.0
**/
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
//密碼編碼器
@Bean
public PasswordEncoder passwordEncoder(){
return NoOpPasswordEncoder.getInstance();
}
//安全攔截機制(最重要)
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/r/r1").hasAuthority("1001")
.antMatchers("/r/r2").hasAuthority("1002")
.antMatchers("/r/**").authenticated()//所有/r/**的請求必須認證通過
.anyRequest().permitAll()//除了/r/**,其它的請求可以訪問
.and()
.formLogin()//允許表單登錄
.loginPage("/login-view")//指定我們自己的登錄頁
.loginProcessingUrl("/login")//指定登錄處理的URL,也就是用戶名、密碼錶單提交的目的路徑
.successForwardUrl("/login-success")//自定義登錄成功的頁面地址
.permitAll()//允許所有用戶訪問我們的登錄頁
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
.and()
.logout()
.logoutUrl("/logout")//指定退出路徑
.logoutSuccessUrl("/login-view?logout");
}
}
如果閱讀過我上兩篇文章的同學,應該就知道了passwordEncoder這個方法是在認證的時候提供校驗的規則的,例如加密比較。
另一個configure方法這是我們的安全攔截機制,配置認證與授權的方法。我們下面來詳細說明:
第一部分(授權):
(1)csrf().disable():spring security爲防止CSRF(Cross-site request forgery跨站請求僞造)的發生,限制了除了get以外的大多數方 法。這個就是來設置屏蔽CSRF控制。
(2)authorizeRequests():允許基於使用HttpServletRequest限制訪問
(3)antMatchers("/r/r1").hasAuthority("1001"):配置這個資源的路徑必須有後面的權限標誌才能訪問否則403。
(4)antMatchers("/r/**").authenticated():所有/r/**的請求必須認證通過才能進行權限。
(5)anyRequest().permitAll():除了/r/**,其它的請求可以訪問
第二部分(認證):
(1)formLogin():指定支持基於表單的身份驗證。如果未指定FormLoginConfifigurer#loginPage(String),則將生成默認登錄頁面 。
(2)loginPage("/login-view"):指定我們自己的登錄頁,這裏是url。
(3)loginProcessingUrl("/login"):前端提供登錄接口的url。
(4)successForwardUrl("/login-success"):自定義登錄成功的頁面地址
(5)permitAll():允許所有用戶訪問我們的登錄頁
第三部分(會話):
(1)sessionManagement():允許配置會話管理。
(2)sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED):如果需要就創建一個Session(默認)登錄時。
第四部分(退出):
(1)logout():指定退出登陸。
(2)logoutUrl("/logout"):退出的url(api)
(3)logoutSuccessUrl("/login-view?logout"):退出成功訪問的頁面
如果沒有Security,我們的登陸、退出、以及設置自己的session都需要自己在controller和攔截器中編寫,現在我們就不需要自己去寫了。那有的同學可能問,咋實現的呀?我們先按照順序具體的說一下。
1、認證和授權:
SpringDataUserDetailService已經重寫了UserDetailsService ,我們就可以自定義查詢用戶信息。
(1)前端的html頁面通過訪問/login這個api進行登錄,提供username和password兩個參數。
(2)然後就會通過過濾鏈進行過濾。在上一章有詳解。
(3)從數據庫中查詢出賬號信息和權限
package com.security.hello.security.service.Impl;
import com.security.hello.security.enity.Permission;
import com.security.hello.security.enity.UserAdmin;
import com.security.hello.security.mapper.PermissionMapper;
import com.security.hello.security.service.IUserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import javax.annotation.Resource;
import java.util.List;
/**
* @ClassName SpringDataUserDetailService
* @Description
* @Author
* @Date 2020/5/4 8:59
* @Version 1.0
**/
@Slf4j
@Service
public class SpringDataUserDetailService implements UserDetailsService {
@Autowired
private IUserService userService;
@Autowired
private PermissionMapper permissionMapper;
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
//查詢用戶信息
UserAdmin userAmin = userService.selectUserByUsername(s);
log.info("user => {}",userAmin);
if(userAmin == null){
return null;
}
//查詢權限
List<String> list = permissionMapper.selectPermissionByUser(userAmin.getId());
String[] arr = new String[list.size()];
list.toArray(arr);
UserDetails user = User.withUsername(userAmin.getUsername()).password(userAmin.getPassword()).authorities(arr).build();
return user;
}
}
創建一個UserDetails對象,然後返回。這個時候與Authentication對象中信息進行比較(設置的比較規則)passwordEncoder判斷是否認證成功,如果成功下一步,如果失敗也可以設置(我這沒設置頁面)。
(4)跳轉登陸成功的頁面。
(5)如果接下來訪問授權的頁面
(6)我們在上面的已經獲取了權限放到了UserDetails中,所以可以根據訪問的資源url要求進行授權驗證。
2、會話
@Override
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
}
機制
|
描述
|
always
|
如果沒有session存在就創建一個
|
ifRequired
|
如果需要就創建一個Session(默認)登錄時
|
never
|
SpringSecurity 將不會創建Session,但是如果應用中其他地方創建了Session,那麼Spring Security將會使用它。
|
stateless
|
SpringSecurity將絕對不會創建Session,也不使用Session
|
private String getUserName(){
String username = null;
//當前通過的用戶身份
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
//用戶身份
Object principal = authentication.getPrincipal();
if(principal == null){
username = "匿名";
}
if(principal instanceof org.springframework.security.core.userdetails.UserDetails){
UserDetails userDetails = (UserDetails)principal;
username = userDetails.getUsername();
}else{
username = principal.toString();
}
return username;
}
設置會話超時:
可以再sevlet容器中設置Session的超時時間,如下設置Session有效期爲3600s;
spring boot 配置文件:
server.servlet.session.timeout=3600s
http.sessionManagement() .expiredUrl("/login‐view?error=EXPIRED_SESSION") .invalidSessionUrl("/login‐view?error=INVALID_SESSION");
3、退出
跟登陸一樣直接調用api就可以了,退出時發生:
(1)使HTTP Session 無效 (2)清除 SecurityContextHolder (3)跳轉到 /login-view?logout。
也可以配置自定義的退出哦。
@Override
protected void configure(HttpSecurity http) throws Exception {
http .authorizeRequests()
//... .and()
.logout() (1)
.logoutUrl("/logout") (2)
.logoutSuccessUrl("/login‐view?logout") (3)
.logoutSuccessHandler(logoutSuccessHandler) (4)
.addLogoutHandler(logoutHandler) (5)
.invalidateHttpSession(true); (6)
}