Spring Security项目的搭建以及Spring Security的BCrypt加密

.personSunflowerP { background: rgba(51, 153, 0, 0.66); border-bottom: 1px solid rgba(0, 102, 0, 1); border-top-left-radius: 7px; border-top-right-radius: 7px; color: rgba(255, 255, 255, 1); height: 1.8em; line-height: 1.8em; padding: 5px }

spring-cecurity的简介：

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

本博客包含的功能：

　　1）使用基本的spring-security  demo的实现，采用spring-security默认的登录

　　2）在spring-security的基础上自定义登录页面以及注销功能

　　3）使用spring-security数据库中获取数据进行登录验证

　　4）使用spring-decurity的BCrypt对密码进行加密处理

1.新建一个war包类型的maven项目

　　注：新建的maven工程需要转换为Web工程的方法和项目的pom.xml中报错：web.xml is missing and <failOnMissingWebXml> is set to true 解决方法请看：

　　https://www.cnblogs.com/sun-flower1314/p/11732915.html

2.在pom.xml中加入Spring Security的maven配置

    <properties>
        <spring.version>4.2.4.RELEASE</spring.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-core</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-web</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>${spring.version}</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <!-- java编译插件 -->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.2</version>
                <configuration>
                    <source>1.7</source>
                    <target>1.7</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定端口 -->
                    <port>9080</port>
                    <!-- 请求路径 -->
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>

3.在/src/main/resources下新建spring-security.xml的配置文件。

　　该配置文件与以往的稍有不同，需要注意的点有：

　　以往的前缀<beans ></beans>是直接这样，是默认为beans

　　现在的为<beans:beans > </beans:beans>，默认的xmlns为security的，因为这里使用的基本都是以<security:xxx  >开头，为了省去麻烦，所以将security配置为默认的。

　

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <http use-expressions="false">
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login />
    </http>
    <!-- 认证管理器 -->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="admin" password="123456" authorities="ROLE_USER" />
            </user-service>
        </authentication-provider>
    </authentication-manager>
</beans:beans>

spring-security.xml配置文件中属性说明:

　　<1> <http >标签中：属性use-expressions 表示是否启动SPEL表达式 false表示不启用，若不配置use-expressions属性，则在子标签intercept-url中需配置access=hasRole('ROLE_USER')

　　<2><intercept-url>表示拦截url，其属性pattern="/*" 表示只拦截根目录下的资源，不包括子目录中的资源， /** 拦截所有资源； 属性access表示配置角色名称 其值必须是【ROLE_】开头

　　<3><form-login /> 表示开启表单功能

　　<4><authentication-provider> 表示认证提供者

　　<5><user >标签配置当前系统的登录用户：用户名 name； 密码 password； 当前用户所属角色 authorities

4.配置web.xml文件，整个文件为：

　　其中包含加载了classpath:spring-security.xml文件以及加入了一个安全过滤器，其中的springSecurityFilterChain为固定名称，不能改变

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    version="2.5">
       <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
     </context-param>
     <listener>
        <listener-class>
            org.springframework.web.context.ContextLoaderListener
        </listener-class>
     </listener>
     <!-- 安全过滤器 -->
     <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
     </filter>
     <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
     </filter-mapping>
</web-app>

5. 然后启动用maven命令启动项目，tomcat7:run ，启动成功后，在浏览器中输入地址访问，即使没有写任何界面，也可看到security默认的登录界面：

6.输入用户名和密码，若输入错误的用户名和密码，可看到如下界面：

输入正确用户密码登录后，会显示404错误，因为没有配置默认的首页，在webapp下配置index.html页面即可。

7.用户自定义登录页

实际开发中，不可能使用系统的默认登录页

　　1）构建登录页

　　　　①form表单中规定 action=“/login" method="post"

　　　　②<input >输入用户规定的 name="username"；输入密码框规定name="password"

　　即如下所示：

　　<form action='/login' method='POST'>
        <table>
            <tr>
                <td>用户名:</td>
                <td><input type='text' name='username' value=''></td>
            </tr>
            <tr>
                <td>密码:</td>
                <td><input type='password' name='password' /></td>
            </tr>
            <tr>
                <td colspan='2'><input name="submit" type="submit" value="登陆" /></td>
            </tr>
        </table>
    </form>

　　 2）构建登陆失败页  login_error.html（内容略）

　　 3）再次修改spring-security.xml的配置文件

　　增加配置说明如下：

　　<1>login-page:指定登录页面。

　　<2>authentication-failure-url：指定了身份验证失败时跳转到的页面。

　　<3>default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。

　　<4>csrf disabled="true"  关闭csrf

　　<5><headers><frame-options policy="SAMEORIGIN"/> </headers> 表示在页面中还存在iframe标签嵌入其他页面

　　<6><logout/> 表示注销退出，并且在注销按钮中配置的action为：/logout

　　<!-- 以下页面不被拦截 -->
    <http pattern="/login.html" security="none"></http>
    <http pattern="/login_error.html" security="none"></http>
    <!-- 页面拦截规则 -->
    <http use-expressions="false">
        <intercept-url pattern="/*" access="ROLE_USER" />
        <form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html" always-use-default-target="true" />
        <csrf disabled="true"/>

　　　　　　<!-- <headers>

<frame-options policy="SAMEORIGIN"/>

</headers> -->

　　　　<logout/>

    </http>

　　其中security="none"表示次资源不被拦截，若未设置登录页，则会出现以下错误

　　csrf disabled="true"  关闭csrf ,如果不加会出现错误，CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

8、从数据库中匹配用户名和密码，而不用配置文件中的用户名和密码

　　1）编写验证实现类，即继承Security自带的接口UserDetailsService

　　　　LoginCheck.java

package com.hxc.securityDemo;

import java.util.ArrayList;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

public class LoginCheck implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //1.构建角色列表
        List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
        grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));

        String password = "123456";
        //2.从数据库中查询数据进行检验
//        TbUser tbUser = userService.findOne(username);
//        if(tbUser == null) {
//            return null;
//        }
//        password = tbUser.getPassword();
        //...
        //new User 为Security包中的类，其中第一个参数为登录界面输入的用户名，第二个为后台参数的密码（即从数据库中查询），第三个为权限角色
        return new User(username, password, grantedAuthorities);    

    }

}

　　2）在spring-security.xml配置文件中 将认证管理 修改为如下：

    <authentication-manager>
        <authentication-provider user-service-ref="userDetailService">
        </authentication-provider>
    </authentication-manager>

    <beans:bean id="userDetailService" class="com.hxc.securityDemo.LoginCheck"></beans:bean>

9.自定义密码加密处理

　　对于存入数据库中密码，不能显示成明文，而需要经过加密处理。而传统的MD5加密算法，虽然时不可逆算法加密，但可以在网上的彩虹表破解得到，因为其对同一密码MD5加密后生成的都是同一密码，固定不变。若采用BCrypt加密，即使时同一密码，其加密后得到的密码也是不同的。其原理是会先使用一个特定的字符串（如域名）加密，再使用一个随机的salt（盐值）加密。特定字符串是程序代码中固定的，salt是每个密码单独随机，混入最终加密后的密码，验证时也无需单独提供之前的salt，从而无需单独处理salt问题。

　　对于在项目中添加用户时密码处理如下：

    public boolean add(TbUser user) {
        String userPassword = user.getPassword();
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String encPassword = passwordEncoder.encode(userPassword);
//        System.out.println(encPassword);
        //存入数据库中....
        //.....
        // return true;
    }

　　用户登录验证时，在spring-security.xml中的认证管理配置如下：

    <beans:bean id="userDetailService" class="com.hxc.securityDemo.LoginCheck" />
    <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <authentication-manager alias="authenticationManager">
        <authentication-provider user-service-ref='userDetailService'>
              <password-encoder ref="bcryptEncoder"></password-encoder>
        </authentication-provider>
    </authentication-manager>  

　　

自此 自定义配置完成