11. SpringSecurity
11.1 SpringSecurity簡介
Spring 是一個非常流行和成功的 Java 應用開發框架。Spring Security 基於 Spring 框架,提供了一套 Web 應用安全性的完整解決方案。一般來說,Web 應用的安全性包括用戶認證(Authentication)和用戶授權(Authorization)兩個部分。用戶認證指的是驗證某個用戶是否為系統中的合法主體,也就是說用戶能否訪問該系統。用戶認證一般要求用戶提供用戶名和密碼。系統通過校驗用戶名和密碼來完成認證過程。用戶授權指的是驗證某個用戶是否有權限執行某個操作。在一個系統中,不同用戶所具有的權限是不同的。比如對一個文件來說,有的用戶只能進行讀取,而有的用戶可以進行修改。一般來說,系統會為不同的用戶分配不同的角色,而每個角色則對應一系列的權限。
11.2 實驗環境搭建
1、新建springboot項目
引入web模塊、thymeleaf模塊
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--thymeleaf -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
<version>2.5.6</version>
</dependency>
2、導入靜態資源
index.html
|views
|level1
1.html
2.html
3.html
|level2
1.html
2.html
3.html
|level3
1.html
2.html
3.html
Login.html
3、controller跳轉
package com.dzj.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class RouterController {
@RequestMapping({"/","/index"})
public String toIndex(){
return "index";
}
@RequestMapping("/toLogin")
public String toLogin(){
return "views/login";
}
@RequestMapping("/level1/{id}")
public String toLevel1(@PathVariable("id")int id){
return "views/level1/"+id;
}
@RequestMapping("/level2/{id}")
public String toLevel2(@PathVariable("id")int id){
return "views/level2/"+id;
}
@RequestMapping("/level3/{id}")
public String toLevel3(@PathVariable("id")int id){
return "views/level3/"+id;
}
}
11.3 認識SpringSecurity
Spring Security 是針對Spring項目的安全框架,也是Spring Boot底層安全模塊默認的技術選型,他可以實現強大的Web安全控制,對於安全控制,我們僅需要引入 spring-boot-starter-security 模塊,進行少量的配置,即可實現強大的安全管理!
記住幾個類:
- WebSecurityConfigurerAdapter:自定義Security策略
- AuthenticationManagerBuilder:自定義認證策略
- @EnableWebSecurity:開啟WebSecurity模式
Spring Security的兩個主要目標是 “認證” 和 “授權”(訪問控制)。
“認證”(Authentication)
身份驗證是關於驗證您的憑據,如用戶名/用戶ID和密碼,以驗證您的身份。
身份驗證通常通過用戶名和密碼完成,有時與身份驗證因素結合使用。
“授權” (Authorization)
授權發生在系統成功驗證您的身份后,最終會授予您訪問資源(如信息,文件,數據庫,資金,位置,幾乎任何內容)的完全權限。
這個概念是通用的,而不是只在Spring Security 中存在。
1、認證和授權
目前,我們的測試環境,是誰都可以訪問的,我們使用 Spring Security 增加上認證和授權的功能
引入 Spring Security 模塊
<!-- security-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
編寫SpringSecurity配置類
參考官網:https://spring.io/projects/spring-security
查看我們自己項目中的版本,找到對應的幫助文檔:
https://docs.spring.io/spring-security/site/docs/5.5.3.RELEASE/reference/html5
進行全文搜索:WebSecurityConfigurerAdapter
編寫基礎配置類
package com.dzj.config;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//定義授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
}
//定義認證規則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
}
}
定制請求的授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
// 定制請求的授權規則
// 首頁所有人可以訪問
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
}
測試一下,發現除了首頁都進不去了!因為我們目前沒有登錄的角色,因為請求需要登錄的角色擁有對應的權限才可以!
在configure()方法中加入以下配置,開啟自動配置的登錄功能!
// 開啟自動配置的登錄功能
// /login 請求來到登錄頁
// /login?error 重定向到這里表示登錄失敗
http.formLogin();
測試發現,沒有權限的時候,會跳轉到登錄的頁面!
查看剛才登錄頁的注釋信息,我們可以定義認證規則,重寫configure(AuthenticationManagerBuilder auth)方法
//定義認證規則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//在內存中定義,也可以在jdbc中去拿....
auth.inMemoryAuthentication()
.withUser("dengzj").password("aadzj").roles("vip2","vip3")
.and()
.withUser("root").password("aadzj").roles("vip1","vip2","vip3")
.and()
.withUser("guest").password("aadzj").roles("vip1","vip2");
}
測試,我們可以使用這些賬號登錄進行測試!發現會報錯!There is no PasswordEncoder mapped for the id “null”
原因,我們要將前端傳過來的密碼進行某種方式加密,否則就無法登錄,修改代碼
//認證
//密碼編碼:passwordEncoder,需要對密碼進行加密處理
//在SpringSecurity 5.0+ 中新增了很多的加密方法~
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進行某種方式加密
//spring security 官方推薦的是使用bcrypt加密方式。
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("dengzi").password(new BCryptPasswordEncoder().encode("aadzj")).roles("vip2","vip3")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("aadzj")).roles("vip1","vip2","vip3")
.and()
.withUser("guest").password(new BCryptPasswordEncoder().encode("aadzj")).roles("vip1");
}
測試,發現,登錄成功,並且每個角色只能訪問自己認證下的規則!搞定
2、權限控制和注銷
開啟自動配置的注銷的功能
//定制請求的授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
//....
//開啟自動配置的注銷的功能
// /logout 注銷請求
http.logout();
}
在前端增加一個注銷的按鈕,index.html 導航欄中
<a class="item" th:href="@{/logout}">
<i class="sign-out icon"></i> 注銷
</a>
測試一下,登錄成功后點擊注銷,發現注銷完畢會跳轉到登錄頁面!
但是,如果想注銷成功后,依舊可以跳轉到首頁,該怎么處理呢?
// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");
測試,注銷完畢后,發現跳轉到首頁OK
根據真實網站需求定制
用戶沒有登錄的時候,導航欄上只顯示登錄按鈕,用戶登錄之后,導航欄可以顯示登錄的用戶信息及注銷按鈕!還有就是,比如 dengzj 這個用戶,它只有 vip2,vip3功能,那么登錄則只顯示這兩個功能,而vip1的功能菜單不顯示,這個就是真實的網站情況,該如何做呢?
我們需要結合thymeleaf中的一些功能,導入security-thymeleaf整合包
<!-- security-thymeleaf整合包 -->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>
sec:authorize="isAuthenticated()" :判斷是否認證登錄,顯示不同的信息
修改前端頁面(index.html)
導入命名空間
xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/extras/spring-security"
修改導航欄,增加認證判斷
<!--登錄注銷-->
<div class="right menu">
<!--如果未登錄,顯示登陸按鈕-->
<div sec:authorize="!isAuthenticated()">
<a class="item" th:href="@{/toLogin}">
<i class="address card icon"></i> 登錄
</a>
</div>
<!--如果登錄,顯示用戶名、注銷-->
<div sec:authorize="isAuthenticated()">
<a class="item">
用戶名:<span sec:authentication="name"></span>
角色:<span sec:authentication="principal.authorities"></span>
</a>
</div>
<div sec:authorize="isAuthenticated()">
<a class="item" th:href="@{/logout}">
<i class="sign-out icon"></i> 注銷
</a>
</div>
</div>
重啟測試,登錄成功后確實顯示了我們想要的頁面
關閉csrf功能
如果注銷404了,就是因為它默認防止csrf跨站請求偽造,產生安全問題,我們可以將請求改為post表單提交,或者在spring security中關閉csrf功能,在配置中增加:http.csrf().disable();
http.csrf().disable();//關閉csrf功能:跨站請求偽造,默認只能通過post方式提交logout請求
http.logout().logoutSuccessUrl("/");
角色功能塊認證 sec:authorize="hasRole('xxx')"
<div class="ui three column stackable grid">
<!--菜單根據用戶不同權限動態實現 sec:authorize="hasRole('vip1')" -->
<div class="column" sec:authorize="hasRole('vip1')">
<div class="ui raised segment">
<div class="ui">
<div class="content">
<h5 class="content">Level 1</h5>
<hr>
<div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
<div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
<div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
</div>
</div>
</div>
</div>
<div class="column" sec:authorize="hasRole('vip2')">
<div class="ui raised segment">
<div class="ui">
<div class="content">
<h5 class="content">Level 2</h5>
<hr>
<div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
<div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
<div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
</div>
</div>
</div>
</div>
<div class="column" sec:authorize="hasRole('vip3')">
<div class="ui raised segment">
<div class="ui">
<div class="content">
<h5 class="content">Level 3</h5>
<hr>
<div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
<div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
<div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
</div>
</div>
</div>
</div>
</div>
登錄測試,成功!權限控制和注銷搞定!
3、記住我功能
現在的情況,我們只要登錄之后,關閉瀏覽器,再登錄,就會讓我們重新登錄,但是很多網站的情況,就是有一個記住密碼的功能,這個該如何實現呢?
開啟記住我功能
//定制請求的授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
// ......
//記住我
http.rememberMe();
}
啟動測試,查看瀏覽器的cookie
再次啟動項目測試,發現登錄頁多了一個記住我功能,登錄之后關閉瀏覽器,然后重新打開瀏覽器訪問,發現用戶依舊存在!
如何實現的呢?其實非常簡單,我們可以查看瀏覽器的cookie
注銷時cookie的刪除 spring security 幫我們自動刪除 cookie
結論
登錄成功后,將cookie發送給瀏覽器保存,以后登錄帶上這個cookie,只要通過檢查就可以免登錄了,如果點擊注銷,則會刪除這個cookie。
4、定制登錄頁
現在這個登錄頁面都是spring security 默認的,怎么樣可以使用我們自己寫的Login界面呢?
在剛才的登錄頁配置后面指定 loginpage
http.formLogin().loginPage("/toLogin");
//http.formLogin().loginPage("/toLogin").usernameParameter("user").passwordParameter("pwd").loginProcessingUrl("/login");
前端也需要指向我們自己定義的 login 請求
<div sec:authorize="!isAuthenticated()">
<a class="item" th:href="@{/toLogin}">
<i class="address card icon"></i> 登錄
</a>
</div>
login.html頁面配置
請求登錄,需要將這些信息發送到哪里,我們也需要配置,login.html 配置提交請求及方式,方式必須為post,在 loginPage()源碼中的注釋上有寫明:
<form th:action="@{/login}" method="post">
<div class="field">
<label>Username</label>
<div class="ui left icon input">
<input type="text" placeholder="Username" name="user">
<i class="user icon"></i>
</div>
</div>
<div class="field">
<label>Password</label>
<div class="ui left icon input">
<input type="password" name="pwd">
<i class="lock icon"></i>
</div>
</div>
<div class="field">
<input type="checkbox" name="remember">記住我
</div>
<input type="submit" class="ui blue submit button"/>
</form>
接收登錄的用戶名和密碼的參數
這個請求提交上來,我們還需要驗證處理,怎么做呢?我們可以查看formLogin()方法的源碼!我們配置接收登錄的用戶名和密碼的參數!
http.formLogin()
.usernameParameter("username")
.passwordParameter("password")
.loginPage("/toLogin")
.loginProcessingUrl("/login"); // 登陸表單提交請求
在登錄頁增加記住我的多選框
<div class="field">
<input type="checkbox" name="remember">記住我
</div>
后端驗證處理 rememberMe()
//開啟記住我功能,默認保存時間兩周
http.rememberMe().rememberMeParameter("remember");
測試,OK!搞定!
5、完整配置代碼(SecurityConfig.java)
package com.dzj.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//定義授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
//首頁所有人可以訪問,功能也只有有對應權限的人才能訪問
//請求授權的規則
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
//沒有權限會跳轉到登錄頁,需要開啟登錄的頁面
http.formLogin().loginPage("/toLogin").usernameParameter("username").passwordParameter("password").loginProcessingUrl("/login");
//防止網站攻擊
http.csrf().disable(); //關閉csrf功能,登錄失敗存在的原因
//注銷
http.logout().logoutSuccessUrl("/"); //注銷成功后跳轉到哪個位置
//開啟記住我功能,默認保存時間兩周
http.rememberMe().rememberMeParameter("remember");
}
//定義認證規則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//在內存中定義,也可以在jdbc中去拿....
//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進行某種方式加密
//spring security 官方推薦的是使用bcrypt加密方式。
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("dengzi").password(new BCryptPasswordEncoder().encode("aadzj")).roles("vip2","vip3")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("aadzj")).roles("vip1","vip2","vip3")
.and()
.withUser("guest").password(new BCryptPasswordEncoder().encode("aadzj")).roles("vip1");
}
}