原來大多數單體項目都是用的shiro,隨着分布式的逐漸普及以及與Spring的天生自然的結合。Spring Security安全框架越受大家的青睞。本文會教你用SpringSecurity設計單項目的權限,關於如何做分布式的權限,后續會跟進。
為什么選擇SpringSecurity?
現如今,在JavaWeb的世界里Spring可以說是一統江湖,隨着微服務的到來,SpringCloud可以說是Java程序員必須熟悉的框架,就連阿里都為SpringCloud寫開源呢。(比如大名鼎鼎的Nacos)作為Spring的親兒子,SpringSecurity很好的適應了了微服務的生態。你可以非常簡便的結合Oauth做認證中心服務。本文先從最簡單的單體項目開始,逐步掌握Security。更多可達官方文檔
准備
我准備了一個簡單的demo,具體代碼會放到文末。提前聲明,本demo沒有用JWT,因為我想把token的維護放到服務端,更好的維護過期時間。(當然,如果將來微服務認證中心的形式,JWT也可以做到方便的維護過期時間,不做過多討論)如果想了解Security+JWT簡易入門,請戳
本項目結構如下
另外,本demo使用了MybatisPlus、lombok。
核心代碼
首先需要實現兩個類,一個是UserDetails的實現類SecurityUser,一個是UserDetailsService的實現類SecurityUserService。
**
* Security 要求需要實現的User類
* */
@Data
public class SecurityUser implements UserDetails {
@Autowired
private SysRoleService sysRoleService;
//用戶登錄名(注意此處的username和SysUser的loginName是一個值)
private String username;
//登錄密碼
private String password;
//用戶id
private SysUser sysUser;
//該用戶的所有權限
private List<SysMenu> sysMenuList;
/**構造函數*/
public SecurityUser(SysUser sysUser){
this.username = sysUser.getLoginName();
this.password = sysUser.getPassword();
this.sysUser = sysUser;
}
public SecurityUser(SysUser sysUser,List<SysMenu> sysMenuList){
this.username = sysUser.getLoginName();
this.password = sysUser.getPassword();
this.sysMenuList = sysMenuList;
this.sysUser = sysUser;
}
/**需要實現的方法*/
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
List<GrantedAuthority> authorities = new ArrayList<>();
for(SysMenu menu : sysMenuList) {
authorities.add(new SimpleGrantedAuthority(menu.getPerms()));
}
return authorities;
}
@Override
public String getPassword() {
return this.password;
}
@Override
public String getUsername() {
return this.username;
}
//默認賬戶未過期
@Override
public boolean isAccountNonExpired() {
return true;
}
//默認賬戶沒有帶鎖
@Override
public boolean isAccountNonLocked() {
return true;
}
//默認憑證沒有過期
@Override
public boolean isCredentialsNonExpired() {
return true;
}
//默認賬戶可用
@Override
public boolean isEnabled() {
return true;
}
}
這個類包含着某個請求者的信息,在Security中叫做主體。其中這個方法是必須實現的,可以獲取用戶的具體權限。我們這邊權限的顆粒度達到了菜單級別,而不是很多開源項目中角色那級別,我覺得顆粒度越細越方便(個人覺得...)
/**
* Security 要求需要實現的UserService類
* */
@Service
public class SecurityUserService implements UserDetailsService{
@Autowired
private SysUserService sysUserService;
@Autowired
private SysMenuService sysMenuService;
@Autowired
private HttpServletRequest httpServletRequest;
@Override
public SecurityUser loadUserByUsername(String loginName) throws UsernameNotFoundException {
LambdaQueryWrapper<SysUser> condition = Wrappers.<SysUser>lambdaQuery().eq(SysUser::getLoginName, loginName);
SysUser sysUser = sysUserService.getOne(condition);
if (Objects.isNull(sysUser)){
throw new UsernameNotFoundException("未找到該用戶!");
}
Long projectId = null;
try{
projectId = Long.parseLong(httpServletRequest.getHeader("projectId"));
}catch (Exception e){
}
SysMenuModel sysMenuModel;
if (sysUser.getUserType()){
sysMenuModel = new SysMenuModel();
}else {
sysMenuModel = new SysMenuModel().setUserId(sysUser.getId());
}
sysMenuModel.setProjectId(projectId);
List<SysMenu> menuList = sysMenuService.getList(sysMenuModel);
return new SecurityUser(sysUser,menuList);
}
}
顯而易見,這個類實現了唯一的方法loadUserByUsername,從而可以拿到某用戶的所有權限,並生成主體,在后面的filter中就可以見到他的作用了。
在看配置和filter之前,還有一個類需要說明一下,此類提供方法,可以讓用戶未登錄、或者token失效的情況下進行統一返回。
@Component
public class SecurityAuthenticationEntryPoint implements AuthenticationEntryPoint, Serializable {
private static final long serialVersionUID = 1L;
@Override
public void commence(HttpServletRequest request, HttpServletResponse response,
AuthenticationException authException) throws IOException, ServletException {
response.sendError(HttpServletResponse.SC_UNAUTHORIZED,"token失效,請登陸后重試");
}
}
ok,接下來看配置,實現了WebSecurityConfigurerAdapter的SecurityConfig類,特別說明,本demo算是前后端分離的前提下寫的,所以實現過多的方法,其實這個類可以實現三個方法,具體請戳。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter{
@Autowired
SecurityAuthenticationEntryPoint securityAuthenticationEntryPoint;
@Autowired
SecurityFilter securityFilter;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
//禁止csrf
.csrf().disable()
//異常處理
.exceptionHandling().authenticationEntryPoint(securityAuthenticationEntryPoint).and()
//Session管理方式
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
//開啟認證
.authorizeRequests()
.antMatchers("/login/login").permitAll()
.antMatchers("/login/register").permitAll()
.antMatchers("/login/logout").permitAll()
.anyRequest().authenticated();
http
.addFilterBefore(securityFilter, UsernamePasswordAuthenticationFilter.class);
}
}
異常處理就是上面那個類,Session那幾種管理方式我在那篇Security+JWT的文章中也有所講解,比較簡單,然后是幾個不用驗證的登錄路徑,剩下的都需要經過我們下面這個filter。
@Slf4j
@Component
public class SecurityFilter extends OncePerRequestFilter {
@Autowired
SecurityUserService securityUserService;
@Autowired
SysUserService sysUserService;
@Autowired
SysUserTokenService sysUserTokenService;
/**
* 認證授權
* */
@Override
protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
FilterChain filterChain) throws ServletException, IOException {
log.info("訪問的鏈接是:{}",httpServletRequest.getRequestURL());
try {
final String token = httpServletRequest.getHeader("token");
LambdaQueryWrapper<SysUserToken> condition = Wrappers.<SysUserToken>lambdaQuery().eq(SysUserToken::getToken, token);
SysUserToken sysUserToken = sysUserTokenService.getOne(condition);
if (Objects.nonNull(sysUserToken)){
SysUser sysUser = sysUserService.getById(sysUserToken.getUserId());
if (Objects.nonNull(sysUser)){
SecurityUser securityUser = securityUserService.loadUserByUsername(sysUser.getLoginName());
//將主體放入內存
UsernamePasswordAuthenticationToken authentication =
new UsernamePasswordAuthenticationToken(securityUser, null, securityUser.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
//放入內存中去
SecurityContextHolder.getContext().setAuthentication(authentication);
}
}
}catch (Exception e){
log.error("認證授權時出錯:{}", Arrays.toString(e.getStackTrace()));
}
filterChain.doFilter(httpServletRequest, httpServletResponse);
}
}
判斷用戶是否登錄,就是從數據庫中查看是否有未過期的token,如果存在,就把主體信息放進到項目的內存中去,特別說明的是,每個請求鏈結束,SecurityContextHolder.getContext()的數據都會被clear的,所以,每次請求的時候都需要set。
以上就完成了Security核心的創建,為了業務代碼方便獲取內存中的主體信息,我特意加了一個獲取用戶信息的方法
/**
* 獲取Security主體工具類
* @author pjjlt
* */
public class SecurityUserUtil {
public static SysUser getCurrentUser(){
SecurityUser securityUser = (SecurityUser) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (Objects.nonNull(securityUser) && Objects.nonNull(securityUser.getSysUser())){
return securityUser.getSysUser();
}
return null;
}
}
業務代碼
以上是Security核心代碼,下面簡單加兩個業務代碼,比如登錄和某個接口的權限訪問測試。
萬物之源登錄登出
首先,不被filter攔截的那三個方法注冊、登錄、登出,我都寫在了moudle.controller.LoginController這個路徑下,注冊就不用說了,就是一個insertUser的方法,做好判斷就好,密碼通過AES加個密。
下面看下登錄代碼,controller層就不說了,反正就是個驗參。
/**
* 登錄,返回登錄信息,前端需要緩存
* */
@Override
@Transactional(rollbackFor = Exception.class)
public JSONObject login(SysUserModel sysUserModel) throws Exception{
JSONObject result = new JSONObject();
//1. 驗證賬號是否存在、密碼是否正確、賬號是否停用
Wrapper<SysUser> sysUserWrapper = Wrappers.<SysUser>lambdaQuery()
.eq(SysUser::getLoginName,sysUserModel.getLoginName()).or()
.eq(SysUser::getEmail,sysUserModel.getEmail());
SysUser sysUser = baseMapper.selectOne(sysUserWrapper);
if (Objects.isNull(sysUser)){
throw new Exception("用戶不存在!");
}
String password = CipherUtil.encryptByAES(sysUserModel.getPassword());
if (!password.equals(sysUser.getPassword())){
throw new Exception("密碼不正確!");
}
if (sysUser.getStatus()){
throw new Exception("賬號已刪除或已停用!");
}
// 2.更新最后登錄時間
sysUser.setLoginIp(ServletUtil.getClientIP(request));
sysUser.setLoginDate(LocalDateTime.now());
baseMapper.updateById(sysUser);
// 3.封裝token,返回信息
String token = UUID.fastUUID().toString().replace("-","");
LocalDateTime expireTime = LocalDateTime.now().plusSeconds(expireTimeSeconds);
SysUserToken sysUserToken = new SysUserToken()
.setToken(token).setUserId(sysUser.getId()).setExpireTime(expireTime);
sysUserTokenService.save(sysUserToken);
result.putOpt("token",token);
result.putOpt("expireTime",expireTime);
return result;
}
首先驗證下用戶是否存在,登錄密碼是否正確,然后封裝token,值得一提的是,我並沒有從數據庫(sysUserToken)中獲取用戶已經登錄的token,然后更新過期時間的形式做登錄,而是每次登錄都獲取新token,這樣就可以做到多端登錄了,后期還可以做賬號登錄數量的控制。
然后就是登出,刪除庫中存在的token
/**
* 登出,刪除token
* */
@Override
public void logout() throws Exception{
String token = httpServletRequest.getHeader("token");
if (Objects.isNull(token)){
throw new LoginException("token不存在",ResultEnum.LOGOUT_ERROR);
}
LambdaQueryWrapper<SysUserToken> sysUserWrapper = Wrappers.<SysUserToken>lambdaQuery()
.eq(SysUserToken::getToken,token);
baseMapper.delete(sysUserWrapper);
}
權限驗證
這邊我維護了兩個賬號,一個是超級管理員majian,擁有所有權限。一個是普通人員_pjjlt,只有一些權限,我們看一下訪問接口的效果。
我們訪問的接口是moudle.controller.LoginController路徑下的
@PreAuthorize("hasAnyAuthority('test')")
@GetMapping("test")
public String test(){
return "test";
}
其中hasAnyAuthority('test')就是權限碼
我們模擬用不同賬號訪問,就是改變請求header中的token值,就是登錄階段返回給前端的token。
首先是超級管理員驗證
然后是普通管理員訪問
接着沒有登錄(token不存在或者已過期)訪問
demo地址
https://github.com/majian1994/easy-file-back
結束語
本文簡單講解了,主要是將Security相關的東西,具體實現角色的三要素,用戶、角色、權限(菜單)可以看我的代碼,都寫完測完了,本來想寫個文檔管理系統,幫助我司更好的管理接口文檔,but有位小伙伴找了一個不錯的開源的了,所以這代碼就成了我的一個小demo。