1、Security简介

1.1 基础概念

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring的IOC,DI,AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为安全控制编写大量重复代码的工作。

1.2 核心API解读

1)、SecurityContextHolder

最基本的对象,保存着当前会话用户认证,权限,鉴权等核心数据。SecurityContextHolder默认使用ThreadLocal策略来存储认证信息,与线程绑定的策略。用户退出时,自动清除当前线程的认证信息。

初始化源码:明显使用ThreadLocal线程。

private static void initialize() {

    if (!StringUtils.hasText(strategyName)) {

        strategyName = "MODE_THREADLOCAL";

    }

    if (strategyName.equals("MODE_THREADLOCAL")) {

        strategy = new ThreadLocalSecurityContextHolderStrategy();

    } else if (strategyName.equals("MODE_INHERITABLETHREADLOCAL")) {

        strategy = new InheritableThreadLocalSecurityContextHolderStrategy();

    } else if (strategyName.equals("MODE_GLOBAL")) {

        strategy = new GlobalSecurityContextHolderStrategy();

    } else {

        try {

            Class<?> clazz = Class.forName(strategyName);

            Constructor<?> customStrategy = clazz.getConstructor();

            strategy = (SecurityContextHolderStrategy)customStrategy.newInstance();

        } catch (Exception var2) {

            ReflectionUtils.handleReflectionException(var2);

        }

    }

    ++initializeCount;

}

2)、Authentication

public interface Authentication extends Principal, Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;

}

源码分析

  1. getAuthorities,权限列表,通常是代表权限的字符串集合;
  2. getCredentials,密码,认证之后会移出,来保证安全性;
  3. getDetails,请求的细节参数;
  4. getPrincipal, 核心身份信息,一般返回UserDetails的实现类。

3)、UserDetails

封装了用户的详细的信息。

public interface UserDetails extends Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();

}

4)、UserDetailsService

实现该接口,自定义用户认证流程,通常读取数据库,对比用户的登录信息,完成认证,授权。

public interface UserDetailsService {

    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;

}

5)、AuthenticationManager

认证流程顶级接口。可以通过实现AuthenticationManager接口来自定义自己的认证方式,Spring提供了一个默认的实现,ProviderManager。

public interface AuthenticationManager {

    Authentication authenticate(Authentication var1) throws AuthenticationException;

}

2、SpringBoot整合SpringSecurity

2.1 流程描述

1)、三个页面分类,page1、page2、page3

2)、未登录授权都不可以访问

3)、登录后根据用户权限,访问指定页面

4)、对于未授权页面,访问返回403:资源不可用

2.2 核心依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

2.3 核心配置

/**

 * EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持

 */

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**

     * 权限配置

     */

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // 配置拦截规则

        http.authorizeRequests().antMatchers("/").permitAll()

                 .antMatchers("/page1/**").hasRole("LEVEL1")

                 .antMatchers("/page2/**").hasRole("LEVEL2")

                 .antMatchers("/page3/**").hasRole("LEVEL3");

        // 配置登录功能

        http.formLogin().usernameParameter("user")

                .passwordParameter("pwd")

                .loginPage("/userLogin");

        // 注销成功跳转首页

        http.logout().logoutSuccessUrl("/");

        //开启记住我功能

        http.rememberMe().rememberMeParameter("remeber");

    }

    /**

     * 自定义认证数据源

     */

    @Override

    protected void configure(AuthenticationManagerBuilder builder) throws Exception{

        builder.userDetailsService(userDetailService())

                .passwordEncoder(passwordEncoder());

    }

    @Bean

    public UserDetailServiceImpl userDetailService (){

        return new UserDetailServiceImpl () ;

    }

    /**

     * 密码加密

     */

    @Bean

    public BCryptPasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();

    }

    /*

     * 硬编码几个用户

    @Autowired

    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication()

                .withUser("spring").password("123456").roles("LEVEL1","LEVEL2")

                .and()

                .withUser("summer").password("123456").roles("LEVEL2","LEVEL3")

                .and()

                .withUser("autumn").password("123456").roles("LEVEL1","LEVEL3");

    }

    */

}

2.4 认证流程

@Service

public class UserDetailServiceImpl implements UserDetailsService {

    @Resource

    private UserRoleMapper userRoleMapper ;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // 这里可以捕获异常,使用异常映射,抛出指定的提示信息

        // 用户校验的操作

        // 假设密码是数据库查询的 123

        String password = "$2a$10$XcigeMfToGQ2bqRToFtUi.sG1V.HhrJV6RBjji1yncXReSNNIPl1K";

        // 假设角色是数据库查询的

        List<String> roleList = userRoleMapper.selectByUserName(username) ;

        List<GrantedAuthority> grantedAuthorityList = new ArrayList<>() ;

        /*

         * Spring Boot 2.0 版本踩坑

         * 必须要 ROLE_ 前缀, 因为 hasRole("LEVEL1")判断时会自动加上ROLE_前缀变成 ROLE_LEVEL1 ,

         * 如果不加前缀一般就会出现403错误

         * 在给用户赋权限时,数据库存储必须是完整的权限标识ROLE_LEVEL1

         */

        if (roleList != null && roleList.size()>0){

            for (String role : roleList){

                grantedAuthorityList.add(new SimpleGrantedAuthority(role)) ;

            }

        }

        return new User(username,password,grantedAuthorityList);

    }

}

2.5 测试接口

@Controller

public class PageController {

    /**

     * 首页

     */

    @RequestMapping("/")

    public String index (){

        return "home" ;

    }

    /**

     * 登录页

     */

    @RequestMapping("/userLogin")

    public String loginPage (){

        return "pages/login" ;

    }

    /**

     * page1 下页面

     */

    @PreAuthorize("hasAuthority('LEVEL1')")

    @RequestMapping("/page1/{pageName}")

    public String onePage (@PathVariable("pageName") String pageName){

        return "pages/page1/"+pageName ;

    }

    /**

     * page2 下页面

     */

    @PreAuthorize("hasAuthority('LEVEL2')")

    @RequestMapping("/page2/{pageName}")

    public String twoPage (@PathVariable("pageName") String pageName){

        return "pages/page2/"+pageName ;

    }

    /**

     * page3 下页面

     */

    @PreAuthorize("hasAuthority('LEVEL3')")

    @RequestMapping("/page3/{pageName}")

    public String threePage (@PathVariable("pageName") String pageName){

        return "pages/page3/"+pageName ;

    }

}

2.6 登录界面

这里要和Security的配置文件相对应。

<div align="center">

    <form th:action="@{/userLogin}" method="post">

        用户名:<input name="user"/><br>

        密   码:<input name="pwd"><br/>

        <input type="checkbox" name="remeber"> 记住我<br/>

        <input type="submit" value="Login">

    </form>

</div>

(十三)整合 SpringSecurity 框架,实现用户权限管理的更多相关文章

  1. (十二)整合 Shiro 框架,实现用户权限管理

    整合 Shiro 框架,实现用户权限管理 1.Shiro简介 1.1 基础概念 1.2 核心角色 1.3 核心理念 2.SpringBoot整合Shiro 2.1 核心依赖 2.2 Shiro核心配置 ...

  2. [原]Jenkins(十三)---jenkins用户权限管理

    * 版权声明:本博客欢迎转发,但请保留原作者信息! http://www.cnblogs.com/horizonli/p/5337874.html 两种策略的比较

  3. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(21)-用户角色权限基本的实现说明

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(21)-用户角色权限基本的实现说明     ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框 ...

  4. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(19)-用户信息的修改和浏览

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(19)-用户信息的修改和浏览  ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建    ...

  5. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(17)-注册用户功能的细节处理(各种验证)

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(17)-注册用户功能的细节处理(各种验证) ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框 ...

  6. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(16)-类库架构扩展以及DLL文件生成修改和用户的简单添加

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(16)-类库架构扩展以及DLL文件生成修改和用户的简单添加 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇) ...

  7. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(15)-用户登录详细错误和权限数据库模型设计

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(15)-用户登录详细错误和权限数据库模型设计     ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)    ...

  8. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建  ...

  9. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(14)-主框架搭建

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(14)-主框架搭建    ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建    (2 ...

随机推荐

  1. Linux嵌入式学习-交叉编译mplayer

    http://bbs.gkong.com/archive.aspx?ID=286721

  2. Java Queue 队列

    队列是一种先进先出的数据结构,队列中插入元素和删除元素分别位于队列的两端. 在Java中 队列实现类众多,本文不再赘述.本文探讨的是如何自定义队列实现类: 基于数组方式实现队列: 注意点: 当出队时队 ...

  3. orcl数据库自定义函数--金额小写转大写

    很多时候在打印票据的时候需要用到大写,ireport无法转换,只能先在查询语句里面进行转换,首先定义好函数,之后再调用函数 CREATE OR REPLACE Function MoneyToChin ...

  4. Hive 中的四种排序详解,再也不会混淆用法了

    Hive 中的四种排序 排序操作是一个比较常见的操作,尤其是在数据分析的时候,我们往往需要对数据进行排序,hive 中和排序相关的有四个关键字,今天我们就看一下,它们都是什么作用. 数据准备 下面我们 ...

  5. 面试官:Mysql 中主库跑太快,从库追不上怎么整?

    写这篇文章是因为之前有一次删库操作,需要进行批量删除数据,当时没有控制好删除速度,导致产生了主从延迟,出现了一点小事故. 今天我们就来看看为什么会产生主从延迟以及主从延迟如何处理等相关问题. 坐好了, ...

  6. 查找linux系统下的端口被占用进程的两种方法 【转】

    在linux下开发时,你的软件可能要使用某一个端口,或者想查找某一个端口是否被占用.需要怎么做呢??这的确是一个比较烦恼的问题,我也此为这个苦恼过.但是通过查找man手册,还是同事的交流.总结出来两种 ...

  7. JPEG解码--(1)JPEG文件格式概览

    由于懒和人的忘性,以前做的一些笔记再回过头看时又有些生疏了,我决定把一些内容整理出来,以供有需要的来参考. 了解的人知道其价值所在,不知道的人就弃之如废物吧. 本篇是JPEG解码系列的第一篇--JPE ...

  8. 【Jboss】一台服务器上如何部署多个jboss

    一台服务器上如何部署多个jboss呢?直接把整个部署环境copy一份到相应的目录下? 这样只是前提,但是启动复制后的jboss就会发现,有很多端口被占用 3873,8080,8009,8443,808 ...

  9. 文件监控性能问题【BUG】

    文件监控性能问题[BUG] 背景:JAVA写了一个文件夹目录监控的程序,使用的是org.apache.commons.io.monitor 包,项目稳定运行了一个月,现场反馈,文件夹数据处理越来越慢, ...

  10. leetcode 730. 统计不同回文子序列(区间dp,字符串)

    题目链接 https://leetcode-cn.com/problems/count-different-palindromic-subsequences/ 题意 给定一个字符串,判断这个字符串中所 ...