一篇带给你SpringBoot+SpringSecurity入门

 这篇文章主要介绍了SpringBoot + Spring Security 简单入门

创新互联公司是一家业务范围包括IDC托管业务,网站空间、主机租用、主机托管，四川、重庆、广东电信服务器租用,四川电信科技城机房，成都网通服务器托管,成都服务器租用,业务范围遍及中国大陆、港澳台以及欧美等多个国家及地区的互联网数据服务公司。

一、Spring Security 基本介绍

这里就不对Spring Security进行过多的介绍了，具体的可以参考官方文档

我就只说下SpringSecurity核心功能:

1. 认证(你是谁)
2. 授权(你能干什么)
3. 攻击防护(防止伪造身份)

二、基本环境搭建

这里我们以SpringBoot作为项目的基本框架，我这里使用的是maven的方式来进行的包管理，所以这里先给出集成Spring Security的方式

 
 
 
 

  
  
  
  
 
  
  
  
  

  
  
  
  
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
  
  
  
  
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> 
  
  
  
  
     
  
  
  
  
        jeecg-boot-cloud-study 
  
  
  
  
        com.jeecg.cloud 
  
  
  
  
        1.0.0 
  
  
  
  
     
  
  
  
  
    4.0.0 
  
  
  
  
 
  
  
  
  
    jeecg-boot-security 
  
  
  
  
 
  
  
  
  
     
  
  
  
  
         
  
  
  
  
            org.springframework.boot 
  
  
  
  
            spring-boot-starter-web 
  
  
  
  
         
  
  
  
  
             
  
  
  
  
                org.springframework.boot 
  
  
  
  
                spring-boot-starter-security 
  
  
  
  
             
  
  
  
  
     
  
  
  
  
 
  
  
  
  
 
 
 
 
 

 然后建立一个Web层请求接口

 
 
 
 

  
  
  
  
@RestController 
  
  
  
  
@RequestMapping("/user") 
  
  
  
  
public class UserController { 
  
  
  
  
  @GetMapping 
  
  
  
  
  public String getUsers() {     
  
  
  
  
    return "Hello Jeecg Spring Security"; 
  
  
  
  
  } 
  
  
  
  
} 
 
 
 
 

 接下来可以直接进行项目的运行，并进行接口的调用看看效果了。

三、通过网页的调用

我们首先通过浏览器进行接口的调用，直接访问http://localhost:8080/user，如果接口能正常访问，那么应该显示“Hello Jeecg Spring Security”。

但是我们是没法正常访问的，出现了下图的身份验证输入框

这是因为在SpringBoot中，引入的Spring Security依赖，权限控制自动生效了，此时的接口都是被保护的，我们需要通过验证才能正常的访问。 Spring Security提供了一个默认的用户，用户名是user，而密码则是启动项目的时候自动生成的。

我们查看项目启动的日志，会发现如下的一段Log

• Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

当然你看到的password肯定和我是不一样的，我们直接用user和启动日志中的密码进行登录。

登录成功后，就跳转到了接口正常调用的页面了。

如果不想一开始就使能Spring Security，可以在配置文件中做如下的配置：

 
 
 
 

  
  
  
  
# security 使能 
  
  
  
  
security.basic.enabled = false 
 
 
 
 

 刚才看到的登录框是SpringSecurity是框架自己提供的，被称为httpBasicLogin。显示它不是我们产品上想要的，我们前端一般是通过表单提交的方式进行用户登录验证的，所以我们就需要自定义自己的认证逻辑了。

四、自定义用户认证逻辑

每个系统肯定是有自己的一套用户体系的，所以我们需要自定义自己的认证逻辑以及登录界面。 这里我们需要先对SpringSecurity进行相应的配置

 
 
 
 

  
  
  
  
package org.jeecg.auth.config; 
  
  
  
  
 
  
  
  
  
import org.springframework.context.annotation.Configuration; 
  
  
  
  
import org.springframework.security.config.annotation.web.builders.HttpSecurity; 
  
  
  
  
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; 
  
  
  
  
 
  
  
  
  
@Configuration 
  
  
  
  
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { 
  
  
  
  
 
  
  
  
  
    @Override 
  
  
  
  
    protected void configure(HttpSecurity http) throws Exception { 
  
  
  
  
        http.formLogin()          // 定义当需要用户登录时候，转到的登录页面。 
  
  
  
  
                .loginProcessingUrl("/user/login") // 自定义的登录接口 
  
  
  
  
                .and() 
  
  
  
  
                .authorizeRequests()    // 定义哪些URL需要被保护、哪些不需要被保护 
  
  
  
  
                .anyRequest()        // 任何请求,登录后可以访问 
  
  
  
  
                .authenticated(); 
  
  
  
  
    } 
  
  
  
  
} 
 
 
 
 

 自定义密码加密解密 

 
 
 
 

  
  
  
  
package org.jeecg.auth.config; 
  
  
  
  
 
  
  
  
  
import org.springframework.context.annotation.Bean; 
  
  
  
  
import org.springframework.security.crypto.password.PasswordEncoder; 
  
  
  
  
import org.springframework.stereotype.Component; 
  
  
  
  
 
  
  
  
  
@Component 
  
  
  
  
public class MyPasswordEncoder implements PasswordEncoder { 
  
  
  
  
    @Override 
  
  
  
  
    public String encode(CharSequence charSequence) { 
  
  
  
  
        return charSequence.toString(); 
  
  
  
  
    } 
  
  
  
  
 
  
  
  
  
    @Override 
  
  
  
  
    public boolean matches(CharSequence charSequence, String s) { 
  
  
  
  
        return s.equals(charSequence.toString()); 
  
  
  
  
    } 
  
  
  
  
} 
 
 
 
 

 接下来再配置用户认证逻辑，因为我们是有自己的一套用户体系的

 
 
 
 

  
  
  
  
package org.jeecg.auth.config; 
  
  
  
  
 
  
  
  
  
import org.slf4j.Logger; 
  
  
  
  
import org.slf4j.LoggerFactory; 
  
  
  
  
import org.springframework.beans.factory.annotation.Autowired; 
  
  
  
  
import org.springframework.security.core.authority.AuthorityUtils; 
  
  
  
  
import org.springframework.security.core.userdetails.User; 
  
  
  
  
import org.springframework.security.core.userdetails.UserDetails; 
  
  
  
  
import org.springframework.security.core.userdetails.UserDetailsService; 
  
  
  
  
import org.springframework.security.core.userdetails.UsernameNotFoundException; 
  
  
  
  
import org.springframework.security.crypto.factory.PasswordEncoderFactories; 
  
  
  
  
import org.springframework.security.crypto.password.PasswordEncoder; 
  
  
  
  
import org.springframework.stereotype.Component; 
  
  
  
  
 
  
  
  
  
@Component 
  
  
  
  
public class MyUserDetailsService implements UserDetailsService { 
  
  
  
  
    private Logger logger = LoggerFactory.getLogger(getClass()); 
  
  
  
  
 
  
  
  
  
    @Autowired 
  
  
  
  
    private PasswordEncoder passwordEncoder; 
  
  
  
  
 
  
  
  
  
    @Override 
  
  
  
  
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { 
  
  
  
  
        logger.info("用户的用户名: {}", username); 
  
  
  
  
        // TODO 根据用户名，查找到对应的密码，与权限 
  
  
  
  
 
  
  
  
  
        // 封装用户信息，并返回。参数分别是：用户名，密码，用户权限 
  
  
  
  
        User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin")); 
  
  
  
  
        return user; 
  
  
  
  
    } 
  
  
  
  
} 
 
 
 
 

 这里我们没有进行过多的校验，用户名可以随意的填写，但是密码必须得是“123456”，这样才能登录成功。

同时可以看到，这里User对象的第三个参数，它表示的是当前用户的权限，我们将它设置为”admin”。

我们这里随便填写一个user，然后Password写填写一个错误的(非123456)的。这时会提示校验错误：

同时在控制台，也会打印出刚才登录时填写的user

现在我们再来使用正确的密码进行登录试试，可以发现就会通过校验，跳转到正确的接口调用页面了。

六、UserDetails

刚刚我们在写MyUserDetailsService的时候，里面实现了一个方法，并返回了一个UserDetails。这个UserDetails 就是封装了用户信息的对象，里面包含了七个方法

 
 
 
 

  
  
  
  
public interface UserDetails extends Serializable { 
  
  
  
  
  // 封装了权限信息 
  
  
  
  
  Collection getAuthorities(); 
  
  
  
  
  // 密码信息 
  
  
  
  
  String getPassword(); 
  
  
  
  
  // 登录用户名 
  
  
  
  
  String getUsername(); 
  
  
  
  
  // 帐户是否过期 
  
  
  
  
  boolean isAccountNonExpired(); 
  
  
  
  
  // 帐户是否被冻结 
  
  
  
  
  boolean isAccountNonLocked(); 
  
  
  
  
  // 帐户密码是否过期，一般有的密码要求性高的系统会使用到，比较每隔一段时间就要求用户重置密码 
  
  
  
  
  boolean isCredentialsNonExpired(); 
  
  
  
  
  // 帐号是否可用 
  
  
  
  
  boolean isEnabled(); 
  
  
  
  
} 
 
 
 
 

 我们在返回UserDetails的实现类User的时候，可以通过User的构造方法，设置对应的参数

七、密码加密解密

SpringSecurity中有一个PasswordEncoder接口

 
 
 
 

  
  
  
  
public interface PasswordEncoder { 
  
  
  
  
  // 对密码进行加密 
  
  
  
  
  String encode(CharSequence var1); 
  
  
  
  
  // 对密码进行判断匹配 
  
  
  
  
  boolean matches(CharSequence var1, String var2); 
  
  
  
  
} 
 
 
 
 

 我们只需要自己实现这个接口，并在配置文件中配置一下就可以了。

本文名称：一篇带给你SpringBoot+SpringSecurity入门
链接分享：http://www.shufengxianlan.com/qtweb/news20/135970.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联