SpringSecurity安全管理
SpringSecurity安全管理
一、安全簡介
在 Web 開發中,安全一直是非常重要的一個方面,因此從應用開發的第一天就應該把安全相關的因素考慮進來,并在整個應用的開發過程中。
主要安全框架:Shiro,Spring Security
Spring Security是一個功能強大且高度可定制的身份驗證和訪問控制框架。它實際上是保護基于spring的應用程序的標準。
Spring Security是一個框架,側重于為Java應用程序提供身份驗證和授權。與所有Spring項目一樣,Spring安全性的真正強大之處在于它可以輕松地擴展以滿足定制需求。
這是一個權限框架,權限 一般會細分為功能權限,訪問權限,和菜單權限,代碼會寫的非常的繁瑣,冗余。
Spring 是一個非常流行和成功的 Java 應用開發框架。Spring Security 基于 Spring 框架,提供了一套 Web 應用安全性的完整解決方案。一般來說,Web 應用的安全性包括用戶認證(Authentication)和用戶授權(Authorization)兩個部分。用戶認證指的是驗證某個用戶是否為系統中的合法主體,也就是說用戶能否訪問該系統。用戶認證一般要求用戶提供用戶名和密碼。系統通過校驗用戶名和密碼來完成認證過程。用戶授權指的是驗證某個用戶是否有權限執行某個操作。在一個系統中,不同用戶所具有的權限是不同的。比如對一個文件來說,有的用戶只能進行讀取,而有的用戶可以進行修改。一般來說,系統會為不同的用戶分配不同的角色,而每個角色則對應一系列的權限。
對于上面提到的兩種應用情景,Spring Security 框架都有很好的支持。在用戶認證方面,Spring Security 框架支持主流的認證方式,包括 HTTP 基本認證、HTTP 表單驗證、HTTP 摘要認證、OpenID 和 LDAP 等。在用戶授權方面,Spring Security 提供了基于角色的訪問控制和訪問控制列表(Access Control List,ACL),可以對應用中的領域對象進行細粒度的控制。
二、認識SpringSecurity
Spring Security 是針對Spring項目的安全框架,也是Spring Boot底層安全模塊默認的技術選型,他可以實現強大的Web安全控制,對于安全控制,我們僅需要引入spring-boot-starter-security 模塊,進行少量的配置,即可實現強大的安全管理!
記住幾個類:
- WebSecurityConfigurerAdapter:自定義Security策略
- AuthenticationManagerBuilder:自定義認證策略
- @EnableWebSecurity:開啟WebSecurity模式
Spring Security的兩個主要目標是 “認證” 和 “授權”(訪問控制)。
“認證”(Authentication)
身份驗證是關于驗證您的憑據,如用戶名/用戶ID和密碼,以驗證您的身份。
身份驗證通常通過用戶名和密碼完成,有時與身份驗證因素結合使用。
“授權” (Authorization)
授權發生在系統成功驗證您的身份后,最終會授予您訪問資源(如信息,文件,數據庫,資金,位置,幾乎任何內容)的完全權限。
這個概念是通用的,而不是只在Spring Security 中存在。
三、認證和授權
1.引入 Spring Security 模塊
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
2.編寫 Spring Security 配置類
基礎配制
參考幫助文檔:
package com.dyt.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
}
}
3.定制請求的授權規則
//授權
// 鏈式編程
@Override
protected void configure(HttpSecurity http) throws Exception {
//首頁所有人可以訪問,功能頁只有對應有權限的人才能訪問
//請求授權的規則
http.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
//沒有權限默認會到登錄頁面,需要開啟登錄頁面
// /login 請求來到登錄頁
// /login?error 重定向到這里表示登錄失敗
http.formLogin();
}
4.測試一下:發現,沒有權限的時候,會跳轉到登錄的頁面!
5.認證規則
重寫configure(AuthenticationManagerBuilder auth)方法
//認證
//在內存中定義,也可以在jdbc中去拿....
//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進行某種方式加密
//spring security 官方推薦的是使用bcrypt加密方式。
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("gdh").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("456")).roles("vip1","vip2","vip3")
.and()
.withUser("user").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
}
測試,發現,登錄成功,并且每個角色只能訪問自己認證下的規則!搞定
四.權限控制和注銷
1、開啟自動配置的注銷的功能
//定制請求的授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
//....
//開啟自動配置的注銷的功能
// /logout 注銷請求
http.logout();
}
2、我們在前端,增加一個注銷的按鈕,index.html 導航欄中
<a class="item" th:href="@{/logout}">
<i class="address card icon"></i> 注銷
</a>
3、我們可以去測試一下,登錄成功后點擊注銷,發現注銷完畢會跳轉到登錄頁面!
4、但是,我們想讓他注銷成功后,依舊可以跳轉到首頁,該怎么處理呢?
// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");
5、測試,注銷完畢后,發現跳轉到首頁OK
6、我們現在又來一個需求
用戶沒有登錄的時候,導航欄上只顯示登錄按鈕,用戶登錄之后,導航欄可以顯示登錄的用戶信息及注銷按鈕!還有就是,比如kuangshen這個用戶,它只有 vip2,vip3功能,那么登錄則只顯示這兩個功能,而vip1的功能菜單不顯示!這個就是真實的網站情況了!該如何做呢?
我們需要結合thymeleaf中的一些功能
sec:authorize=”isAuthenticated()”:是否認證登錄!來顯示不同的頁面
Maven依賴:
<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>
7、修改我們的 前端頁面
導入命名空間
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
修改導航欄,增加認證判斷
<!--登錄注銷-->
<div class="right menu">
<!--如果未登錄-->
<div sec:authorize="!isAuthenticated()">
<a class="item" th:href="@{/login}">
<i class="address card icon"></i> 登錄
</a>
</div>
<!--如果已登錄-->
<div sec:authorize="isAuthenticated()">
<a class="item">
<i class="address card icon"></i>
用戶名:<span sec:authentication="principal.username"></span>
角色:<span sec:authentication="principal.authorities"></span>
</a>
</div>
<div sec:authorize="isAuthenticated()">
<a class="item" th:href="@{/logout}">
<i class="address card icon"></i> 注銷
</a>
</div>
</div>
8、重啟測試,我們可以登錄試試看,登錄成功后確實,顯示了我們想要的頁面;
9、如果注銷404了,就是因為它默認防止csrf跨站請求偽造,因為會產生安全問題,我們可以將請求改為post表單提交,或者在spring security中關閉csrf功能;我們試試:在 配置中增加 http.csrf().disable();
http.csrf().disable();//關閉csrf功能:跨站請求偽造,默認只能通過post方式提交logout請求
http.logout().logoutSuccessUrl("/");
10、我們繼續將下面的角色功能塊認證完成!
<!-- sec:authorize="hasRole('vip1')" -->
<div class="column" sec:authorize="hasRole('vip1')">
<div class="ui raised segment">
<div class="ui">
<div class="content">
<h5 class="content">Level 1</h5>
<hr>
<div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
<div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
<div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
</div>
</div>
</div>
</div>
<div class="column" sec:authorize="hasRole('vip2')">
<div class="ui raised segment">
<div class="ui">
<div class="content">
<h5 class="content">Level 2</h5>
<hr>
<div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
<div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
<div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
</div>
</div>
</div>
</div>
<div class="column" sec:authorize="hasRole('vip3')">
<div class="ui raised segment">
<div class="ui">
<div class="content">
<h5 class="content">Level 3</h5>
<hr>
<div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
<div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
<div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
</div>
</div>
</div>
</div>
11、測試一下!
12、權限控制和注銷搞定!
五.記住我
現在的情況,我們只要登錄之后,關閉瀏覽器,再登錄,就會讓我們重新登錄,但是很多網站的情況,就是有一個記住密碼的功能,這個該如何實現呢?很簡單
1、開啟記住我功能
//定制請求的授權規則
@Override
protected void configure(HttpSecurity http) throws Exception {
//。。。。。。。。。。。
//記住我
http.rememberMe();
}
2、我們再次啟動項目測試一下,發現登錄頁多了一個記住我功能,我們登錄之后關閉 瀏覽器,然后重新打開瀏覽器訪問,發現用戶依舊存在!
3、我們點擊注銷的時候,可以發現,spring security 幫我們自動刪除了這個 cookie
4、結論:登錄成功后,將cookie發送給瀏覽器保存,以后登錄帶上這個cookie,只要通過檢查就可以免登錄了。如果點擊注銷,則會刪除這個cookie。
六.定制登錄頁
現在這個登錄頁面都是spring security 默認的,怎么樣可以使用我們自己寫的Login界面呢?
1、在剛才的登錄頁配置后面指定 loginpage
http.formLogin().loginPage("/toLogin");
2、然后前端也需要指向我們自己定義的 login請求
<a class="item" th:href="@{/toLogin}">
<i class="address card icon"></i> 登錄
</a>
3、我們登錄,需要將這些信息發送到哪里,我們也需要配置,login.html 配置提交請求及方式,方式必須為post:
在 loginPage()源碼中的注釋上有寫明:
<form th:action="@{/login}" method="post">
<div class="field">
<label>Username</label>
<div class="ui left icon input">
<input type="text" placeholder="Username" name="username">
<i class="user icon"></i>
</div>
</div>
<div class="field">
<label>Password</label>
<div class="ui left icon input">
<input type="password" name="password">
<i class="lock icon"></i>
</div>
</div>
<input type="submit" class="ui blue submit button"/>
</form>
4、這個請求提交上來,我們還需要驗證處理,怎么做呢?我們可以查看formLogin()方法的源碼!我們配置接收登錄的用戶名和密碼的參數!
http.formLogin()
.usernameParameter("username")
.passwordParameter("password")
.loginPage("/toLogin")
.loginProcessingUrl("/login"); // 登陸表單提交請求
5、在登錄頁增加記住我的多選框
<input type="checkbox" name="remember"> 記住我
6、后端驗證處理!
//定制記住我的參數!
http.rememberMe().rememberMeParameter("remember");
7、測試,OK
完整配制代碼
package com.dyt.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
//AOP 橫切 攔截器
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//授權
// 鏈式編程
@Override
protected void configure(HttpSecurity http) throws Exception {
//首頁所有人可以訪問,功能頁只有對應有權限的人才能訪問
//請求授權的規則
http.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
//沒有權限默認會到登錄頁面,需要開啟登錄頁面
http.formLogin()
.usernameParameter("username")
.passwordParameter("password")
.loginPage("/toLogin")
.loginProcessingUrl("/login"); // 登陸表單提交請求
http.csrf().disable();//關閉csrf功能:跨站請求偽造,默認只能通過post方式提交logout請求
//記住我
http.rememberMe().rememberMeParameter("remember");
//開啟自動配置的注銷的功能
// /logout 注銷請求
// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");
}
//認證
//在內存中定義,也可以在jdbc中去拿....
//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進行某種方式加密
//spring security 官方推薦的是使用bcrypt加密方式。
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("gdh").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("456")).roles("vip1","vip2","vip3")
.and()
.withUser("user").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
}
}
浙公網安備 33010602011771號