在Spring Boot中使用Spring Security實現權限控制

本文轉載自查看原文 2018-07-10 13:40 15573 spring security

Spring Boot框架我們前面已經介紹了很多了，相信看了前面的博客的小伙伴對Spring Boot應該有一個大致的了解了吧，如果有小伙伴對Spring Boot尚不熟悉，可以先移步這里從SpringMVC到Spring Boot，老司機請略過。OK，那我們今天要說的是Spring Boot中另外一個比較重要的東西，那就是Spring Security，這是一個專門針對基於Spring的項目的安全框架，它主要是利用了我們前文介紹過的的AOP（Spring基礎配置）來實現的。以前在Spring框架中使用Spring Security需要我們進行大量的XML配置，但是，Spring Boot在這里依然有驚喜帶給我們，我們今天就一起來看看。
毫無疑問，Spring Boot針對Spring Security也提供了自動配置的功能，這些默認的自動配置極大的簡化了我們的開發工作，我們今天就來看看這個吧。

創建Project並添加相關依賴

Project的創建和前文一樣，唯一要注意的地方就是創建的時候添加的依賴不同，如下圖：
這里寫圖片描述
OK，創建成功之后添加相關依賴，數據庫我這里使用MySql，所以添加MySql驅動，然后要添加Spring Security的支持，所以還要添加Spring Security的依賴，如下：

<dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.40</version> </dependency>

配置application.properties

這個東東的配置還是和我們上文說到的是一樣的，這里也沒啥好說的，有問題的小伙伴翻看前文(初識在Spring Boot中使用JPA)：

spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/sang?useUnicode=true&characterEncoding=utf-8 spring.datasource.username=root spring.datasource.password=sang logging.level.org.springframework.security=info spring.thymeleaf.cache=false spring.jpa.hibernate.ddl-auto=update spring.jpa.show-sql=true

定義用戶和角色

我們這里使用JPA來定義用戶和角色，用戶和角色都存儲在數據庫中，我們直接通過在數據庫中查詢然后來使用。

定義角色

我們的角色實體類和表都很簡單，就兩個字段，一個id，一個name屬性表示角色的名稱，實體類如下;

@Entity public class SysRole { @Id @GeneratedValue private Long id; private String name; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getName() { return name; } public void setName(String name) { this.name = name; } }

OK，簡簡單單就這兩個屬性。

定義用戶

我們在定義用戶的時候需要實現UserDetails接口，這樣我們的用戶實體即為Spring Security所使用的用戶，定義好用戶之后，我們還要配置用戶和角色之間的多對多關系，正常情況下，角色和權限是兩回事，所以我們還需要重寫getAuthorities方法，將用戶的角色和權限關聯起來，代碼如下：

@Entity public class SysUser implements UserDetails { @Id @GeneratedValue private Long id; private String username; private String password; @ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER) private List<SysRole> roles; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public void setUsername(String username) { this.username = username; } public void setPassword(String password) { this.password = password; } public List<SysRole> getRoles() { return roles; } public void setRoles(List<SysRole> roles) { this.roles = roles; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { List<GrantedAuthority> auths = new ArrayList<>(); List<SysRole> roles = this.getRoles(); for (SysRole role : roles) { auths.add(new SimpleGrantedAuthority(role.getName())); } return auths; } @Override public String getPassword() { return this.password; } @Override public String getUsername() { return this.username; } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } @Override public boolean isEnabled() { return true; } }

OK，經過上面兩個步驟之后我們的用戶就和角色關聯起來了，這個時候運行Project就會在數據庫中自動幫我們生成三張表，用戶表、角色表和兩者的關聯表，如下：
這里寫圖片描述

預設數據

我們先在表中定義好幾個角色和用戶，方便我們后邊做測試用，OK，預設數據的話，那我們執行如下幾行數據插入代碼：

insert into `sys_role`(`id`,`name`) values (1,'ROLE_ADMIN'),(2,'ROLE_USER'); insert into `sys_user`(`id`,`password`,`username`) values (1,'root','root'),(2,'sang','sang'); insert into `sys_user_roles`(`sys_user_id`,`roles_id`) values (1,1),(2,2);

我們向數據庫中插入兩個用戶兩個角色，再將這兩個用戶兩個角色關聯起來即可。

創建傳值對象

數據創建成功之后，在客戶端請求網頁的時候我們需要有一個實體類用來向客戶端傳遞消息，OK，那我們創建一個MSG對象：

public class Msg { private String title; private String content; private String extraInfo; public Msg() { } public String getTitle() { return title; } public void setTitle(String title) { this.title = title; } public String getContent() { return content; } public void setContent(String content) { this.content = content; } public String getExtraInfo() { return extraInfo; } public void setExtraInfo(String extraInfo) { this.extraInfo = extraInfo; } public Msg(String title, String content, String extraInfo) { this.title = title; this.content = content; this.extraInfo = extraInfo; } }

這就是一個普通的類，沒什么好說的。

創建數據訪問接口

public interface SysUserRepository extends JpaRepository<SysUser, Long> { SysUser findByUsername(String username); }

這個也是寫了n多遍的東西了，不贅述，關於這里如果小伙伴有疑問可以參考這里(初識在Spring Boot中使用JPA)。需要注意的是這里只需要一個根據用戶名查詢出用戶的方法即可，不需要通過用戶名和密碼去查詢。

自定義UserDetailsService

自定義UserDetailsService，實現相應的接口，如下：

public class CustomUserService implements UserDetailsService { @Autowired SysUserRepository userRepository; @Override public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { SysUser user = userRepository.findByUsername(s); if (user == null) { throw new UsernameNotFoundException("用戶名不存在"); } System.out.println("s:"+s); System.out.println("username:"+user.getUsername()+";password:"+user.getPassword()); return user; } }

首先這里我們需要重寫UserDetailsService接口，然后實現該接口中的loadUserByUsername方法，通過該方法查詢到對應的用戶，這里之所以要實現UserDetailsService接口，是因為在Spring Security中我們配置相關參數需要UserDetailsService類型的數據。

SpringMVC配置

@Configuration public class WebMvcConfig extends WebMvcConfigurerAdapter { @Override public void addViewControllers(ViewControllerRegistry registry) { registry.addViewController("/login").setViewName("login"); } }

當用戶訪問login時跳轉到login.html頁面。

配置Spring Security

@Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Bean UserDetailsService customUserService() { return new CustomUserService(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customUserService()); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and().formLogin().loginPage("/login").failureUrl("/login?error").permitAll().and() .logout().permitAll(); } }

OK ，關於這個配置我要多說兩句：

1.首先當我們要自定義Spring Security的時候我們需要繼承自WebSecurityConfigurerAdapter來完成，相關配置重寫對應方法即可。
2.我們在這里注冊CustomUserService的Bean，然后通過重寫configure方法添加我們自定義的認證方式。
3.在configure(HttpSecurity http)方法中，我們設置了登錄頁面，而且登錄頁面任何人都可以訪問，然后設置了登錄失敗地址，也設置了注銷請求，注銷請求也是任何人都可以訪問的。
4.permitAll表示該請求任何人都可以訪問，.anyRequest().authenticated(),表示其他的請求都必須要有權限認證。
5.這里我們可以通過匹配器來匹配路徑，比如antMatchers方法，假設我要管理員才可以訪問admin文件夾下的內容，我可以這樣來寫：.antMatchers("/admin/**").hasRole("ROLE_ADMIN")，也可以設置admin文件夾下的文件可以有多個角色來訪問，寫法如下：.antMatchers("/admin/**").hasAnyRole("ROLE_ADMIN","ROLE_USER")
6.可以通過hasIpAddress來指定某一個ip可以訪問該資源,假設只允許訪問ip為210.210.210.210的請求獲取admin下的資源，寫法如下.antMatchers("/admin/**").hasIpAddress("210.210.210.210")
7.更多的權限控制方式參看下表：

8.這里我們還可以做更多的配置，參考如下代碼：

http.authorizeRequests() .anyRequest().authenticated() .and().formLogin().loginPage("/login") //設置默認登錄成功跳轉頁面 .defaultSuccessUrl("/index").failureUrl("/login?error").permitAll() .and() //開啟cookie保存用戶數據 .rememberMe() //設置cookie有效期 .tokenValiditySeconds(60 * 60 * 24 * 7) //設置cookie的私鑰 .key("") .and() .logout() //默認注銷行為為logout，可以通過下面的方式來修改 .logoutUrl("/custom-logout") //設置注銷成功后跳轉頁面，默認是跳轉到登錄頁面 .logoutSuccessUrl("") .permitAll();

OK，這里算是核心了，多說兩句。

創建登錄頁面

在template文件夾中創建login.html頁面，內容如下：

<!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"/> <title>登錄</title> <link rel="stylesheet" th:href="@{css/bootstrap.min.css}"/> <link rel="stylesheet" th:href="@{css/signin.css}"/> <style type="text/css"> body { padding-top: 50px; } .starter-template { padding: 40px 15px; text-align: center; } </style> </head> <body> <nav class="navbar navbar-inverse navbar-fixed-top"> <div class="container"> <div class="navbar-header"> <a class="navbar-brand" href="#">Spring Security演示</a> </div> <div id="navbar" class="collapse navbar-collapse"> <ul class="nav navbar-nav"> <li><a th:href="@{/}">首頁</a></li> <li><a th:href="@{http://www.baidu.com}">百度</a></li> </ul> </div> </div> </nav> <div class="container"> <div class="starter-template"> <p th:if="${param.logout}" class="bg-warning">已注銷</p> <p th:if="${param.error}" class="bg-danger">有錯誤，請重試</p> <h2>使用賬號密碼登錄</h2> <form class="form-signin" role="form" name="form" th:action="@{/login}" action="/login" method="post"> <div class="form-group"> <label for="username">賬號</label> <input type="text" class="form-control" name="username" value="" placeholder="賬號"/> </div> <div class="form-group"> <label for="password">密碼</label> <input type="password" class="form-control" name="password" placeholder="密碼"/> </div> <input type="submit" id="login" value="Login" class="btn btn-primary"/> </form> </div> </div> </body> </html>

這里就是一個普通的html頁面，用到了thymeleaf模板引擎（thymeleaf可以參考這兩篇文章使用Spring Boot開發Web項目/使用Spring Boot開發Web項目(二)之添加HTTPS支持），

創建登錄成功后跳轉頁面

<!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"> <head> <meta charset="UTF-8"/> <title sec:authentication="name"></title> <link rel="stylesheet" th:href="@{css/bootstrap.min.css}"/> <style type="text/css"> body { padding-top: 50px; } .starter-template { padding: 40px 15px; text-align: center; } </style> </head> <body> <nav class="navbar navbar-inverse navbar-fixed-top"> <div class="container"> <div class="navbar-header"> <a class="navbar-brand" href="#">Spring Security演示</a> </div> <div id="navbar" class="collapse navbar-collapse"> <ul class="nav navbar-nav"> <li><a th:href="@{/}">首頁</a></li> <li><a th:href="@{http://www.baidu.com}">百度</a></li> </ul> </div> </div> </nav> <div class="container"> <div class="starter-template"> <h1 th:text="${msg.title}"></h1> <p class="bg-primary" th:text="${msg.content}"></p> <div sec:authorize="hasRole('ROLE_ADMIN')"> <p class="bg-info" th:text="${msg.extraInfo}"></p> </div> <div sec:authorize="hasRole('ROLE_USER')"> <p class="bg-info">無更多顯示信息</p> </div> <form th:action="@{/logout}" method="post"> <input type="submit" class="btn btn-primary" value="注銷"/> </form> </div> </div> </body> </html>

這里有如下幾個問題需要說明：

1.在html標簽中我們引入的Spring Security
2.通過sec:authentication=”name”我們可以獲取當前用戶名
3.sec:authorize="hasRole('ROLE_ADMIN')表示當前用戶角色為ROLE_ADMIN的話顯示里邊的內容
4.sec:authorize="hasRole('ROLE_USER')表示當前用戶角色為ROLE_USER的話顯示該DIV里邊的內容

添加控制器

@Controller public class HomeController { @RequestMapping("/") public String index(Model model) { Msg msg = new Msg("測試標題", "測試內容", "額外信息，只對管理員顯示"); model.addAttribute("msg", msg); return "index"; } }