1. 首页
  2. IT资讯

Spring Security 简单教程以及实现完全前后端分离

“u003Cpu003EJava后端,选择 u003Cu002Fpu003Eu003Cpu003E技术博文,及时送达u003Cu002Fpu003Eu003Cimg src=”http:u002Fu002Fp1.pstatp.comu002Flargeu002Fpgc-imageu002FRelVn4tG7zucng” img_width=”535″ img_height=”10″ alt=”Spring Security 简单教程以及实现完全前后端分离” inline=”0″u003Eu003Cpu003E来自:ming-questionu003Cu002Fpu003Eu003Cpu003Eu003Cstrong toutiao-origin=”span” class=”highlight-text”u003E链接:cnblogsu003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E.comu003Cu002Fiu003Eu002Fming-questionu002Fpu002F11165775.htmlu003Cu002Fstrongu003Eu003Cu002Fpu003Eu003Cpu003ESpring Security是spring家的一个安全框架,入门简单。对比shiro,它自带登录页面,自动完成登录操作。权限过滤时支持u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-3″u003Ehttpu003Cu002Fiu003E方法过滤。u003Cu002Fpu003Eu003Cpu003E在新手入门使用时,只需要简单的配置,即可实现登录以及权限的管理,无需自己写功能逻辑代码。u003Cu002Fpu003Eu003Cpu003E但是对于现在大部分前后端分离的web程序,尤其是前端普遍使用ajax请求时,spring security自带的登录系统就有一些不满足需求了。u003Cu002Fpu003Eu003Cpu003E因为spring security有自己默认的登录页,自己默认的登录控制器。而登录成功或失败,都会返回一个u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转。登录成功跳转到主页,失败跳转到登录页。如果未认证直接访问也会跳转到登录页。但是如果前端使用ajax请求,ajax是无法处理u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2请求的。前后端分离web中,规范是使用json交互。我们希望登录成功或者失败都会返回一个json。况且spring security自带的登录页太丑了,我们还是需要使用自己的。u003Cu002Fpu003Eu003Cpu003Eu003Cstrongu003ESpring Security一般简单使用u003Cu002Fstrongu003Eu003Cu002Fpu003Eu003Cpu003Eweb的安全控制一般分为两个部分,一个是认证,一个是授权。u003Cu002Fpu003Eu003Cpu003Eu003Cstrongu003E认证管理u003Cu002Fstrongu003Eu003Cu002Fpu003Eu003Cpu003E就是认证是否为合法用户,简单的说是登录。一般为匹对用户名和密码,即认证成功。u003Cu002Fpu003Eu003Cpu003E在spring security认证中,我们需要注意的是:哪个类表示用户?哪个属性表示用户名?哪个属性表示密码?怎么通过用户名取到对应的用户?密码的验证方式是什么?u003Cu002Fpu003Eu003Cpu003E只要告诉spring security这几个东西,基本上就可以了。u003Cu002Fpu003Eu003Cpreu003Eu003Ccodeu003Eimport org.springframework.context.annotation.Configuration;u003Cu002Fcodeu003Eu003Ccodeu003Eimport org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;u003Cu002Fcodeu003Eu003Ccodeu003Eimport org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E@Configurationu003Cu002Fcodeu003Eu003Ccodeu003E@EnableWebSecurityu003Cu002Fcodeu003Eu003Ccodeu003Epublic class SecurityConfig extends WebSecurityConfigurerAdapter {u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E}u003Cu002Fcodeu003Eu003Cu002Fpreu003Eu003Cpreu003Eu003Cpu003E事实上只要继承WebSecurityConfigurerAdapter ,spring security就已经启用了,当你访问资源时,它就会跳转到它自己默认的登录页。但是这还不行,u003Cu002Fpu003Eu003Cu002Fpreu003Eu003Cpu003E当用户点击登录时,u003Cu002Fpu003Eu003Cpu003E1.它会拿到用户输入的用户名密码;u003Cu002Fpu003Eu003Cpu003E2.根据用户名通过UserDetailsService 的 loadUserByUsername(username)方法获得一个用户对象;u003Cu002Fpu003Eu003Cpu003E3.获得一个UserDetails 对象,获得内部的成员属性password;u003Cu002Fpu003Eu003Cpu003E4.通过PasswordEncoder 的 matchs(s1, s2) 方法对比用户的输入的密码和第3步的密码;u003Cu002Fpu003Eu003Cpu003E5.匹配成功;u003Cu002Fpu003Eu003Cpu003E所以我们要实现这三个接口的三个方法:u003Cu002Fpu003Eu003Cpu003E1.实现UserDetailsService ,可以选择同时实现用户的正常业务方法和UserDetailsService ;u003Cu002Fpu003Eu003Cpu003E例如:UserServiceImpl implement IUserService,UserDetailsService {}u003Cu002Fpu003Eu003Cpu003E2.实现UserDetails ,一般使用用户的实体类实现此接口。u003Cu002Fpu003Eu003Cpu003E其中有getUsername, getPassword, getAuthorities为获取用户名,密码,权限。可根据个人情况实现。u003Cu002Fpu003Eu003Cpu003E3.实现PasswordEncoder ,spring security 提供了多个该接口的实现类,可百度和查看源码理解,也可以自己写。u003Cu002Fpu003Eu003Cpu003E三个实现类的配置如下:u003Cu002Fpu003Eu003Cpreu003Eu003Ccodeu003E@Configurationu003Cu002Fcodeu003Eu003Ccodeu003E@EnableWebSecurityu003Cu002Fcodeu003Eu003Ccodeu003Epublic class SecurityConfig extends WebSecurityConfigurerAdapter {u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Autowiredu003Cu002Fcodeu003Eu003Ccodeu003E private UserDetailsService userDetailsService;u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Overrideu003Cu002Fcodeu003Eu003Ccodeu003E protected void configure(AuthenticationManagerBuilder auth) throws Exception {u003Cu002Fcodeu003Eu003Ccodeu003E auth.userDetailsService(userDetailsService)u003Cu002Fcodeu003Eu003Ccodeu003E .passwordEncoder(NoOpPasswordEncoder.getInstance);u003Cu002Fcodeu003Eu003Ccodeu003E }u003Cu002Fcodeu003Eu003Ccodeu003E}u003Cu002Fcodeu003Eu003Cu002Fpreu003Eu003Cpu003E其中Userdetails 为UserDetailsService 中 loadUserByUsername 方法的返回值类型。u003Cu002Fpu003Eu003Cpu003E到目前为止,就可以完成简单认证了。而授权管理,到现在,是默认的:所有资源都只有‘认证’权限,所有用户也只有‘认证’权限。即,经过认证就可以访问所有资源。u003Cu002Fpu003Eu003Cpu003E以上,就是spring security的简易应用。可以实现一个稍微完整的安全控制。非常简单。 u003Cu002Fpu003Eu003Cpu003Eu003Cstrongu003E授权管理u003Cu002Fstrongu003Eu003Cu002Fpu003Eu003Cpu003E授权管理,是在已认证的前提下。用户在认证后,根据用户的不同权限,开放不同的资源。u003Cu002Fpu003Eu003Cpu003E根据RBAC设计,用户有多个角色,角色有多个权限。(真正控制资源的是权限,角色只是一个权限列表,方便使用。)u003Cu002Fpu003Eu003Cpu003E每个用户都有一个权限列表,授权管理,就是权限和资源的映射。在编程中,写好对应关系。然后当用户请求资源时,查询用户是否有资源对应的权限决定是否通过。u003Cu002Fpu003Eu003Cpu003E权限写在数据库,配置文件或其他任何地方。只要调用loadUserByUsername时返回的UserDetails对象中的getAuthorities方法能获取到。u003Cu002Fpu003Eu003Cpu003E所以无论用户的权限写在哪里,只要getAuthorities能得到就可以了。u003Cu002Fpu003Eu003Cpu003Eu003Cstrongu003E举例:u003Cu002Fstrongu003Eu003Cu002Fpu003Eu003Cpu003E授权管理映射:add==u002Fapiu002Fadd,query==u002Fapiu002Fquery;u003Cu002Fpu003Eu003Cpu003E数据库中存储了用户权限:query;u003Cu002Fpu003Eu003Cpu003E那么该用户就只能访问u002Fapiu002Fquery,而不能访问u002Fapiu002Fadd。u003Cu002Fpu003Eu003Cpu003E授权管理配置如下:u003Cu002Fpu003Eu003Cpreu003Eu003Ccodeu003E@Configurationu003Cu002Fcodeu003Eu003Ccodeu003E@EnableWebSecurityu003Cu002Fcodeu003Eu003Ccodeu003Epublic class SecurityConfig extends WebSecurityConfigurerAdapter {u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Autowiredu003Cu002Fcodeu003Eu003Ccodeu003E private UserDetailsService userDetailsService;u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Overrideu003Cu002Fcodeu003Eu003Ccodeu003E protected void configure(AuthenticationManagerBuilder auth) throws Exception {u003Cu002Fcodeu003Eu003Ccodeu003E auth.userDetailsService(userDetailsService)u003Cu002Fcodeu003Eu003Ccodeu003E .passwordEncoder(NoOpPasswordEncoder.getInstance);u003Cu002Fcodeu003Eu003Ccodeu003E }u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Overrideu003Cu002Fcodeu003Eu003Ccodeu003E protected void configure(HttpSecurity http) throws Exception {u003Cu002Fcodeu003Eu003Ccodeu003E u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-3″u003Ehttpu003Cu002Fiu003E.authorizeRequestsu003Cu002Fcodeu003Eu003Ccodeu003E .antMatchers(HttpMethod.POST, “u002Fapiu002Fdata”).hasAuthority(“add”)u003Cu002Fcodeu003Eu003Ccodeu003E .antMatchers(HttpMethod.GET, “u002Fapiu002Fdata”).hasAuthority(“query”)u003Cu002Fcodeu003Eu003Ccodeu003E .antMatchers(“u002Fhome”).hasAuthority(“base”);u003Cu002Fcodeu003Eu003Ccodeu003E }u003Cu002Fcodeu003Eu003Ccodeu003E}u003Cu002Fcodeu003Eu003Cu002Fpreu003Eu003Cpu003E以上就是spring security的基本应用。下面是解决前后端分离下的无法u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转的情况。u003Cu002Fpu003Eu003Cpu003E需求是:前后端分离,需要自己的登录页面,使用ajax请求。u003Cu002Fpu003Eu003Cpu003E出现问题:自己的登录页面请求登录后,后端返回u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转主页,ajax无法处理;未认证请求资源时,后端返回u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转登录页,也无法处理。u003Cu002Fpu003Eu003Cpu003E解决思想:修改u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2状态码,修改为401,403或者200和json数据。u003Cu002Fpu003Eu003Cpu003EHttpSecurity 有很多方法,可以看一看u003Cu002Fpu003Eu003Cpu003E比如 设置登录页(formLogin().loginPage(“u002Flogin.html”)) 可以设置自己的登录页(该设置主要是针对使用u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转,且有自己的登录页,如果不使用u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转,前后端完全分离,无需设置)。u003Cu002Fpu003Eu003Cpu003E比如 设置认证成功处理u003Cu002Fpu003Eu003Cpu003E比如 设置认证失败处理u003Cu002Fpu003Eu003Cpu003E比如 设置异常处理u003Cu002Fpu003Eu003Cpu003E比如 设置退出成功处理u003Cu002Fpu003Eu003Cpu003E可以继承重写其中的主要方法(里面有httpResponse对象,可以随便返回任何东西)u003Cu002Fpu003Eu003Cpu003E例如:u003Cu002Fpu003Eu003Cpreu003Eu003Ccodeu003E@Componentu003Cu002Fcodeu003Eu003Ccodeu003Epublic class LoginSuccessHandler implements AuthenticationSuccessHandler {u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Overrideu003Cu002Fcodeu003Eu003Ccodeu003E public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {u003Cu002Fcodeu003Eu003Ccodeu003E httpServletResponse.setStatus(HttpStatus.OK.value);u003Cu002Fcodeu003Eu003Ccodeu003E }u003Cu002Fcodeu003Eu003Ccodeu003E}u003Cu002Fcodeu003Eu003Cu002Fpreu003Eu003Cpu003E设置完成登录成功和失败处理后,还是不够满足需求,当用户未通过登录页进入网站,我们需要在用户直接访问资源时,告诉前端此用户未认证。(默认是u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转到登录页)。我们可以改成返回403状态码。u003Cu002Fpu003Eu003Cpu003E这里就需要实现一个特殊的方法:AuthenticationEntryPoint 接口的 commence方法。u003Cu002Fpu003Eu003Cpu003E这个方法主要是,用户未认证访问资源时,所做的处理。u003Cu002Fpu003Eu003Cpu003Espring security给我们提供了很多现成的AuthenticationEntryPoint 实现类,u003Cu002Fpu003Eu003Cpu003E比如默认的u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-4″u003E30u003Cu002Fiu003E2跳转登录页,比如返回403状态码,还比如返回json数据等等。当然也可以自己写。和上面的登录处理一样,实现接口方法,将实现类实例传到配置方法(推荐spring注入)。u003Cu002Fpu003Eu003Cpu003E如下:u003Cu002Fpu003Eu003Cpreu003Eu003Ccodeu003E@EnableWebSecurityu003Cu002Fcodeu003Eu003Ccodeu003Epublic class SecurityConfig extends WebSecurityConfigurerAdapter {u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Qualifier(“userService”)u003Cu002Fcodeu003Eu003Ccodeu003E @Autowiredu003Cu002Fcodeu003Eu003Ccodeu003E private UserDetailsService userDetailsService;u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Autowiredu003Cu002Fcodeu003Eu003Ccodeu003E private LoginSuccessHandler loginSuccessHandler;u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Autowiredu003Cu002Fcodeu003Eu003Ccodeu003E private LoginFailureHandler loginFailureHandler;u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Autowiredu003Cu002Fcodeu003Eu003Ccodeu003E private MyLogoutHandler logoutHandler;u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Overrideu003Cu002Fcodeu003Eu003Ccodeu003E protected void configure(AuthenticationManagerBuilder auth) throws Exception {u003Cu002Fcodeu003Eu003Ccodeu003E auth.userDetailsService(userDetailsService)u003Cu002Fcodeu003Eu003Ccodeu003E .passwordEncoder(NoOpPasswordEncoder.getInstance);u003Cu002Fcodeu003Eu003Ccodeu003E }u003Cu002Fcodeu003Eu003Cbru003Eu003Ccodeu003E @Overrideu003Cu002Fcodeu003Eu003Ccodeu003E protected void configure(HttpSecurity http) throws Exception {u003Cu002Fcodeu003Eu003Ccodeu003E u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-3″u003Ehttpu003Cu002Fiu003Eu003Cu002Fcodeu003Eu003Ccodeu003E .formLoginu003Cu002Fcodeu003Eu003Ccodeu003E .loginProcessingUrl(“u002Flogin”)u003Cu002Fcodeu003Eu003Ccodeu003E u002Fu002F 登录成功u003Cu002Fcodeu003Eu003Ccodeu003E .successHandler(loginSuccessHandler)u003Cu002Fcodeu003Eu003Ccodeu003E u002Fu002F 登录失败u003Cu002Fcodeu003Eu003Ccodeu003E .failureHandler(loginFailureHandler).permitAllu003Cu002Fcodeu003Eu003Ccodeu003E .andu003Cu002Fcodeu003Eu003Ccodeu003E u002Fu002F 注销成功u003Cu002Fcodeu003Eu003Ccodeu003E .logout.logoutSuccessHandler(logoutHandler)u003Cu002Fcodeu003Eu003Ccodeu003E .andu003Cu002Fcodeu003Eu003Ccodeu003E u002Fu002F 未登录请求资源u003Cu002Fcodeu003Eu003Ccodeu003E .exceptionHandling.authenticationEntryPoint(new u003Ci class=”chrome-extension-mutihighlight chrome-extension-mutihighlight-style-3″u003EHttpu003Cu002Fiu003E403ForbiddenEntryPoint)u003Cu002Fcodeu003Eu003Ccodeu003E .andu003Cu002Fcodeu003Eu003Ccodeu003E .authorizeRequestsu003Cu002Fcodeu003Eu003Ccodeu003E .antMatchers(HttpMethod.POST, “u002Fapiu002Fdata”).hasAuthority(“add”)u003Cu002Fcodeu003Eu003Ccodeu003E .antMatchers(HttpMethod.GET, “u002Fapiu002Fdata”).hasAuthority(“query”)u003Cu002Fcodeu003Eu003Ccodeu003E .antMatchers(“u002Fhome”).hasAuthority(“base”);u003Cu002Fcodeu003Eu003Ccodeu003E }u003Cu002Fcodeu003Eu003Ccodeu003E}u003Cu002Fcodeu003Eu003Cu002Fpreu003Eu003Cpu003E以上就算是完了,前端发起ajax请求时,后端会返回200,401,403状态码,前端可根据状态码做相应的处理。u003Cu002Fpu003E”

原文始发于:Spring Security 简单教程以及实现完全前后端分离

主题测试文章,只做测试使用。发布者:逗乐男神i,转转请注明出处:http://www.cxybcw.com/17866.html

联系我们

13687733322

在线咨询:点击这里给我发消息

邮件:1877088071@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code