在整合springsecurity時遇到好幾個問題,自動配置登錄,下線,注銷用戶的操作,數據基於mybatis,模版引擎用的thymeleaf+bootstrap。
一、認證時密碼的加密(passwordEncoder)原理如下
- 其中 MD5Util是自定義密碼加密工具類,隨便寫(注意添加鹽值),注意點:理解匹配密碼這個過程
//認證
@Override
protected void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.userDetailsService(userDetailsService()).passwordEncoder(new PasswordEncoder() {
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
//匹配 =================將用戶表單登錄的密碼和encodedPasswor(這個值是從MyUserDetailService那邊封裝過來的))對比=================
return encodedPassword.equals(encode(rawPassword));
}
@Override
public String encode(CharSequence rawPassword) {
return MD5Util.encode((String) rawPassword);
}
});
}
- MyUserDetailService是一個實現了UserDetailsService(springsecurity本身的接口)的方法,在這里面實現認證的數據查詢及其登錄用戶權限查詢封裝。
- 注意點:理解權限的賦予,即當前用戶在這里就已經將所有的角色封裝到springsecurity本身的User中了,但是在這里並沒有認證成功,單純的進行封裝而已
@Service
public class MyUserDetailService implements UserDetailsService {
@Autowired
UserService userService;
@Autowired
private SessionRegistry sessionRegistry;
@Override
public UserDetails loadUserByUsername(String username) {
if (username==null || username.equals("")) {
throw new UsernameNotFoundException("用戶名不存在");
}
Sys_User user=userService.getUserByName(username);
//獲得所有登錄用戶的信息
List<Object> list =sessionRegistry.getAllPrincipals();
for (Object object : list) {
if (((User)object).getUsername().equals(user.getUsername())) {
throw new SessionAuthenticationException("當前用戶已經在線,登錄失敗");
}
System.out.println("getAllPrincipals的遍歷"+((User)object).getUsername());
}
//得到當前登錄用戶的信息
List<SimpleGrantedAuthority> authorities = new ArrayList<>();
for (Role role : user.getRoles()) {
//將得到的角色封裝 在后面頁面認證成功后會用到
authorities.add(new SimpleGrantedAuthority(role.getRolename()));
System.out.println("擁有的角色:"+role.getRolename());
}
return new User(user.getUsername(), user.getPassword(), authorities);
}
}
二、授權時session的管理的配置(configure(HttpSecurity http)中)
- 這個可以說是核心了,首先開啟自動配置的注銷功能(重點在開啟否則默認的是自帶的注銷頁面),LogoutUrl:自定義的登出URL,登出成功后的頁面也可以自定義,這里就都不寫了,在controller層實現自己定義的
//開啟自動配置的注銷功能。
http.logout().permitAll();//logoutUrl("/logout").logoutSuccessUrl("/");//表示注銷成功以后來到首頁
http //session管理
.sessionManagement()
.maximumSessions(1).maxSessionsPreventsLogin(true)
.sessionRegistry(getSessionRegistry());
- http.sessionManagement().invalidSessionUrl("/login") 使用未過期但完全無效的sessionid用戶發送請求,也會被重定向至特定url
http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true)
- MaximumLogins必須是-1以允許無限制的登錄,或者是一個正整數來指定最大值
- .maximumSessions(1)設置一個用戶允許登錄的個數 maxSessionsPreventsLogin 啟用超出報錯。
在實測后發現設定上限后 最大登錄次數為設定數目 +1 比如設定數2 則最大訪問數目為3 第四次開始報錯
由此 如果我們用這個配置去指定用戶單登錄是不行的 -
http.sessionManagement().sessionFixation().migrateSession()spring security防止篡改session
三、自定義注銷,下線的實現(重點)
- 第一種實現單純的進行了下線,暫時將session置為無效,並未去掉(看源碼部分)
if (invalidateHttpSession) {//部分源碼
HttpSession session = request.getSession(false);
if (session != null) {
logger.debug("Invalidating session: " + session.getId());
session.invalidate();
}
}
@RequestMapping("/logout")
public String logout(HttpServletRequest request,HttpServletResponse response){
/**
* 第一種方式 單純的離線 並未注銷用戶 即sessionID還在
*
*/
//獲得注銷用戶的信息
Authentication auth=SecurityContextHolder.getContext().getAuthentication();
if (auth != null){
//設置為離線狀態
new SecurityContextLogoutHandler().logout(request, response, auth);
}
return "redirect:/login";
}
- 第二種徹底將sessionid從sessionRegistry中移除,實現用戶注銷
@RequestMapping("/logout")
public String logout2() {
/**
* 第二種 將獲取到登錄用戶信息后將該用戶sessionID置為無效 然后再從sessionRegistry中移除
* 這種方式可以徹底注銷用戶登錄狀態
*/
List<Object> pList=sessionRegistry.getAllPrincipals();
List<SessionInformation> sessionsInfo = null;
for (Object principle : pList) {
sessionsInfo=sessionRegistry.getAllSessions(principle, false);
}
System.out.println("sesssion個數"+sessionsInfo.size());
for (SessionInformation sessionInformation : sessionsInfo) {
//獲取當前sessionid
System.out.println("SESSIONID:"+sessionInformation.getSessionId());
sessionInformation.expireNow();//將session置為無效然后在下一步移除
sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());
}
return "redirect:/login";
}