下面将详细讲解“详解Spring Security认证流程”的完整攻略。
Spring Security简介
Spring Security是Spring框架家族中的重要成员,它提供了全面的安全性解决方案,能够帮助开发者快速构建安全稳定的Web应用程序。Spring Security的主要特点包括认证、授权、会话管理、防止Web攻击等等。
Spring Security认证流程
Spring Security的认证流程主要分为以下四个步骤:
-
用户登录。
-
对用户提交的信息进行验证。
-
验证通过后,生成SecurityContext上下文,保存用户信息。
-
用户访问资源时,通过SecurityContext进行校验授权。
用户登录
用户访问需要认证的资源时,系统将会重定向到登录页面,因此需要定义一个登录页面,例如:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>登录页面</title>
</head>
<body>
<form method="post" action="/login">
<input type="text" name="username" placeholder="请输入用户名">
<br><br>
<input type="password" name="password" placeholder="请输入密码">
<br><br>
<button type="submit">登录</button>
</form>
</body>
</html>
在用户输入用户名和密码点击“登录”按钮后,将会提交给Spring Security进行处理。在处理之前需要配置WebSecurityConfigurerAdapter,例如:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/login").permitAll() // 登录页面可以任意访问
.anyRequest().authenticated() // 其他页面需要认证
.and()
.formLogin()
.loginPage("/login") // 登录页面
.defaultSuccessUrl("/home") // 登录成功后跳转的页面
.permitAll()
.and()
.logout().permitAll();
}
// 配置自定义的认证方式
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
}
}
其中,UserDetailsServiceImpl是我们自己编写的一个类,用于从数据库中获取用户信息。下面是一个简化版的示例:
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userMapper.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException("用户名不存在");
}
return new User(user.getUsername(), user.getPassword(), new ArrayList<>());
}
}
这个类实现了UserDetailsService,并重写了其中的loadUserByUsername方法,根据用户名查找用户并返回用户信息。
验证用户信息
在用户提交了登录信息之后,Spring Security会调用UserDetailsService中的loadUserByUsername方法,获取用户信息。如果用户信息不存在,Spring Security将会抛出一个UsernameNotFoundException异常。否则,将会校验用户密码是否正确,如果密码不正确,则会抛出一个BadCredentialsException异常。
如果用户信息校验通过,Spring Security会生成一个Authentication对象,保存用户信息,例如:
Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authentication);
通过Security Context校验权限
在用户访问需要认证的资源时,Spring Security会将SecurityContext中保存的用户信息取出,校验用户是否有权限访问该资源。因此,可以在Controller中添加@PreAuthorize注解来限制用户访问特定资源的权限,例如:
@GetMapping("/admin")
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String adminPage(HttpServletRequest request) {
return "admin";
}
以上就是Spring Security认证流程的完整攻略。
示例
下面将给出两个简单的Spring Security认证的示例:
示例一:基本Spring Security认证功能
-
首先,创建一个简单的Spring Boot应用程序。
-
在
pom.xml文件中添加Spring Security依赖:
xml
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
- 在
application.properties文件中添加默认的登录账号和密码:
properties
spring.security.user.name=admin
spring.security.user.password=admin
- 创建一个Java类继承
WebSecurityConfigurerAdapter,并重写其中的configure方法,配置Spring Security:
```java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login").permitAll()
.and()
.logout().permitAll();
}
}
```
其中,permitAll()表示该页面可以任意访问,anyRequest()表示除了登录页面以外的其他页面需要认证。
- 创建一个登录页面,例如:
```html
```
- 创建一个欢迎页面,例如:
```html
欢迎访问本站!
```
- 运行该应用程序,并访问
http://localhost:8080/,将会重定向到登录页面。输入用户名和密码(默认是admin/admin),成功登录后,将会跳转到欢迎页面。
示例二:使用数据库中的用户信息进行认证
- 在示例一的基础上,修改
SecurityConfig类中的configure方法,使用自定义的认证方式:
```java
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
}
```
- 创建一个
User类,用于存储用户信息。
java
public class User {
private Long id;
private String username;
private String password;
private boolean enabled;
private List<Role> roles;
// getter和setter省略
}
- 创建一个
Role类,用于存储用户的角色信息。
java
public class Role {
private Long id;
private String name;
private List<Permission> permissions;
// getter和setter省略
}
- 创建一个
Permission类,用于存储用户的权限信息。
java
public class Permission {
private Long id;
private String name;
// getter和setter省略
}
- 创建一个
UserDetailsServiceImpl类,用于从数据库中获取用户信息:
```java
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userMapper.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException("用户不存在");
}
List<GrantedAuthority> authorities = new ArrayList<>();
List<Role> roles = user.getRoles();
for (Role role : roles) {
authorities.add(new SimpleGrantedAuthority(role.getName()));
List<Permission> permissions = role.getPermissions();
for (Permission permission : permissions) {
authorities.add(new SimpleGrantedAuthority(permission.getName()));
}
}
return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), user.isEnabled(), true, true, true, authorities);
}
}
```
其中,UserMapper是自己编写的一个Mapper类,用于从数据库中获取用户信息。
- 创建一个登录页面,例如:
```html
```
- 创建一个欢迎页面,例如:
```html
欢迎访问本站!
```
- 运行该应用程序,并访问
http://localhost:8080/,将会重定向到登录页面。输入数据库中已有的用户名和密码,成功登录后,将会跳转到欢迎页面。
以上就是两个简单的Spring Security认证的示例。
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:详解Spring Security认证流程 - Python技术站
微信扫一扫 
支付宝扫一扫 