Spring Security(1)——基础篇(引入)

原创性声明:本文完全为笔者原创,请尊重笔者劳动力。转载务必注明原文地址。

Spring securitySpring框架家族中的一员,基于J2EE企业应用软件提供全面安全服务,归纳包含两部分内容: 认证授权,认证理解为登录,授权理解为权限控制,即什么用户能访问什么路径,请求什么资源。

个人认为,Spring Security对于入门而言,学习曲线较高,网上也很难找到系统深入浅出的源码剖析。笔者在项目中很早就使用到了它,但一直处于拷贝、修改的level,最近专门花时间去探究一下它的核心源码,在探究源码之前,会先建立一个空项目以集成Spring Security

集成spring security的几种方式:
1.java配置的方式
2.基于Spring Boot
3.xml配置的方式
4.基于Spring MVC

本文基于第二种。so,首先将搭建一个空的Spring boot项目, 可以参考我的另一篇文章(也可参考上面第2点的链接,更为详细)。现在假设已经有了一个空的spring boot项目。

引入

Spring Boot项目中引入spring security很简单,在pom.xml中添加依赖即可(暂时先注释,不启用):

<!--
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
-->

如果单独引入spring-security-webspring-security-config等,需要特别注意和当前项目spring boot版本兼容问题。

创建一个Controller 
package com.mycompany.app.web;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@Controller
public class MainController {

    @RequestMapping("/")
    public String root() {
        return "redirect:/index";
    }

    @RequestMapping("/index")
    public String index() {
        return "index";
    }

    @RequestMapping("/user/index")
    public String userIndex() {
        return "user/index";
    }

    @RequestMapping("/login")
    public String login() {
        return "login";
    }

    @RequestMapping("/login-error")
    public String loginError(Model model) {
        model.addAttribute("loginError", true);
        return "login";
    }

}

里面定义了几个可供客户端访问的接口。

拓展@Controller@RestController的区别:
1.@Controller修饰的Controller类,其方法返回的字符串,会配合视图解析器InternalResourceViewResolver匹配到对应的视图页面,如返回success,则会对应返回success.htmlsuccess.jsp等。
2.而@RestController则会返回success字符串,而且是方法返回什么,页面就接收到什么。
当使用@Controller时,需要方法返回JSON字符串,只需要再加上@RequestBody即可。因此,可以认为:
@RestController = @Controller+@RequestBody;

创建对应的视图
1.index.html:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org">
    <head>
        <title>Hello Spring Security</title>
        <meta charset="utf-8" />
        <link rel="stylesheet" href="/css/main.css" th:href="@{/css/main.css}" />
    </head>
    <body>
        <div th:substituteby="index::logout"></div>
        <h1>This is a secured page!</h1>
        <p><a href="/index" th:href="@{/index}">Back to home page</a></p>
    </body>
</html>

2.login.html:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org">
<head>
    <title>Login page</title>
    <meta charset="utf-8" />
    <link rel="stylesheet" href="/css/main.css" th:href="@{/css/main.css}" />
</head>
<body>
<h1>Login page</h1>
<p>Example user: user / password</p>
<p th:if="${loginError}" class="error">Wrong user or password</p>
<form th:action="@{/login}" method="post">
    <label for="username">Username</label>:
    <input type="text" id="username" name="username" autofocus="autofocus" /> <br />
    <label for="password">Password</label>:
    <input type="password" id="password" name="password" /> <br />
    <input type="submit" value="Log in" />
</form>
<p><a href="/index" th:href="@{/index}">Back to home page</a></p>
</body>
</html>

3.user/index.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org">
    <head>
        <title>Hello Spring Security</title>
        <meta charset="utf-8" />
        <link rel="stylesheet" href="/css/main.css" th:href="@{/css/main.css}" />
    </head>
    <body>
        <div th:substituteby="index::logout"></div>
        <h1>This is a secured page!</h1>
        <p><a href="/index" th:href="@{/index}">Back to home page</a></p>
    </body>
</html>

4.main.css

body {
    font-family: sans;
    font-size: 1em;
}

p.error {
    font-weight: bold;
    color: red;
}

div.logout {
    float: right;
}

为了方便,视图代码直接取自官方项目中的(可以点击这里spring-security-4.2.3.RELEASE\samples\boot\helloworld),因为采用thymeleaf模板,因此引入:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>

此时,项目结构如下:

项目文件结构

启动项目后访问localhost:8080:

首页index

是我们想要的。然后再点击上图圈圈里的安全页面链接。发现也打开了:

安全页面

显然不是我们想要的。我们希望应该跳转到登录页面login.html的,登录之后才能访问这个安全页面/user/index。此时再放开pom.xml中security依赖的注释。maven重新下载依赖,重启项目,再访问localhost:8080

spring security生效

什么也没做,只是在spring boot项目的pom.xml中通过spring-boot-starter-security依赖了Spring security。它就已经为我们拦截了所有的请求(默认是所有)。显然,我不造这个登录表单该填啥,也不希望首页请求都被拦截。那么是时候简单的进行一些自定义配置了。

创建SecurityConfig.java,java化配置(也可以用xml配置替代,上面有链接)

SecurityConfig.java是用于java式配置security。如下:

创建SecurityConfig.java

文件内容为:

package com.mycompany.app.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * Created by pengxg on 2017/9/19.
 */
@EnableWebSecurity // 1
public class SecurityConfig extends WebSecurityConfigurerAdapter { // 2

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests() // 3
            .antMatchers("/index", "/css/**").permitAll() //4
            .antMatchers("/user/**").hasRole("USER") //5
            .and()                // 6
            .formLogin()
            .loginPage("/login").failureUrl("/login-error");
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // 7
        auth
            .inMemoryAuthentication() //8
            .withUser("user").password("password").roles("USER"); // 9
    }
}

再重启项目,访问下localhost:8080

首页没拦截

点击安全页面链接,发现跳转到登录页面了:

跳转到登录页面

输入userpassword,点击登录。

进入安全页面

这是预想的效果。至此,一个最最基本的Spring security配置就已经完成,并且可以使用了。

下面说明下这个最基本的SecurityConfig.java文件。

这个类继承自WebSecurityConfigurerAdapter 抽象类。重写了一个方法protected void configure(HttpSecurity http)。 此外,还通过@Autowired注入了一个方法public void configureGlobal(AuthenticationManagerBuilder auth)(方法名configureGlobal无关紧要)。
1.注释//1: 启用该security配置。没有这个注解,此文件等同于没有。
2.注释//2: 继承自WebSecurityConfigurerAdapter
3.注释//3: authorizeRequests()启用基于HttpServletRequest的限制访问,启用之后就可以对某些路径进行访问权限控制了。
4.注释//4和//5: 匹配路径为/index/css/**的请求是不进行拦截的(permitAll()),匹配/user/**路径的请求是需要USER角色的用户才可以访问。
5.注释//6及后面两行: 指定支持基于表单的身份验证(formLogin()),指定登录的请求路径(loginPage('/login')),以及登录失败的跳转路径failureUrl("/login-error")。而这几个路径,在MainController中均有定义,结合看起来就一目了然了。
6.注释//7: 一个依赖注入的方法,项目启动时Spring会自动注入并实例化auth,并执行configureGlobal()方法。
7.注释//8: 启用内存验证,同时返回一个Configurer(InMemoryUserDetailsManagerConfigurer)用来自定义内存验证。
8.注释//9:在内存中创建一个用户(用户名为username, 密码为password,角色为USER)。登录表单输入的用户名密码就是以此为准。

个人认为,启用内存验证一般不是实际开发中常用的,在数据库中对应有user用户表,查表数据进行验证才是企业级项目应用spring security更为常见的打开方式(后面再拓展)。不过对于个人博客等单用户系统而言,内存登录验证还是可以的。

至此,这个项目就算是应用了spring security,但是和它搭噶的自己的类就只有SecurityConfig.java,显然,它很重要!这里面涉及到几个重要的来源于Spring Security的类。它们是:

1.WebSecurityConfigurerAdapter
2.HttpSecurity
3.AuthenticationManagerBuilder

文章内容太长了,不得不分一下。下篇尝试以这三个类为切入点,进入Spring Security的源码探索一下。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,590评论 6 478
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,808评论 2 381
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,151评论 0 337
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,779评论 1 277
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,773评论 5 367
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,656评论 1 281
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,022评论 3 398
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,678评论 0 258
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,038评论 1 299
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,756评论 1 330
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,411评论 4 321
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,005评论 3 307
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,973评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,053评论 2 350
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,495评论 2 343

推荐阅读更多精彩内容