Spring Security 与Spring Boot结合的认证授权机制

Hi 大家好 今天我将和大家分享一下我在做安全框架遇到的难题以及如果正确使用spring security以及Spring Security OAuth2 Client 。

本文将讲述一下几点:

1 为什么需要Spring Security?

2 如何将 Spring Security与Spring Boot结合?

3 如何使用Spring Security进行认证,授权流程的登录验证?

1 因为Spirng Security 可以解决Session 固化问题,如果没有安全框架,会有cookie攻击的问题,黑客很容易就可以拿到一个用户的sessionId(默认是一个名为JSSIONID的cookie的值即为sessionId),然后伪装登录。仅仅通过配置就可以打开唯一登录功能(shiro没有唯一登录的机制,我以前是自己开发,结合拦截器 以及 redis实现了唯一登录功能),还有csrf机制(后续和大家分享csrf)。

2 Spring Boot的众多好处中的一个好处就是用java config代替 xml的配置,这样无疑性能会更高一些。然而大家第一次接触java config,会很陌生。其实java config很简单的,从表面上看就是将xml的标签用@Bean注解代替。Spring Boot 有更多的注解解决程序问题,例如@EnableAsync和@Async注解,能实现方法的异步。等等(如果大家有兴趣,后续会和大家分享Spring Boot)。

官网有相关的demo项目,可以看到Spring Security与Spring Boot的结合。

https://spring.io/guides/tutorials/spring-security-and-angular-js/

然而官网的demo项目,仅仅是演示了Spring Security框架可以解决什么企业问题:如 安全登录,权限控制,然而并不能拿到企业当中来用。接下来,我将和大家分享最关键也是最核心的内容就是Spring Security如何在企业当中解决安全认证(我使用了md5加密来作为密码加密器),权限控制。

3 首先是jar包依赖,我使用的是maven项目,需要添加maven依赖:

org.springframework.bootspring-boot-starter-security

下面仔细说明一下Spring Security工作的核心类信息:

HttpSecurity类:进行权限的配置,具体哪里路径可以直接放行.antMatchers(...).permitAll()哪些路径需要权限认证 .antMatchers(...).hasAutority(...)  仅测试需要.anyRequest().authenticated()配置登录页面,登录错误页面 以及安全退出,安全退出页面,记住我等等。

FilterInvocationSecurityMetadataSource:该类为过滤器类,容器启动就会加载该类进行资源 角色的加载。需要自定义该类的实现类,自定义init方法,从数据库加载该程序需要的全部的权限信息。然后每次请求都回走getAttributes,加载该url需要的角色列表。AccessDecisionManager:该接口 的decide方法即为权限审核接口,判断当前用户有没有访问该url的权限

UserDetailsService: 用户登录真正工作类,需要自定义实现类实现该接口,实现loadUserByUserNameUserDetails:用户信息实体类接口,自定义的javaBean需要实现该类。下面是我的部分的java config代码,供大家参考。

```@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true)@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Override

protected void configure(HttpSecurity http) throws Exception 

{http.antMatcher("/**").authorizeRequests().antMatchers( "/se-home","/se-public/**","/login**", "/webjars/**","/js/**","/myexcel","/upload*").permitAll().antMatchers("/se/**").hasAuthority("ROLE_USER").anyRequest().fullyAuthenticated().and().formLogin().loginPage("/se-goLogin").failureUrl("/se-goLogin?error").loginProcessingUrl("/se-login").defaultSuccessUrl("/se/se-hello").permitAll().and().logout().logoutSuccessUrl("/se-home").permitAll().invalidateHttpSession(true).and().rememberMe();}@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(getCustomUserDetailsServiceImpl())//自定义开发的UserDeatilsService.passwordEncoder(getMD5Encoder());//自定义开发的密码加密器}``

`自定义的类都需要通过@Bean注解的形式交给Spring Boot来管理,如下获取Spring Security的过滤器代理的类配置:``

`@Beanpublic DelegatingFilterProxy getDelegatingFilterProxy(){FilterRegistrationBean registrationBean=new FilterRegistrationBean();DelegatingFilterProxy delegatingFilterProxy=new DelegatingFilterProxy();delegatingFilterProxy.setTargetBeanName(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME);registrationBean.setFilter(delegatingFilterProxy);registrationBean.setName(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME);registrationBean.addUrlPatterns("/*");registrationBean.setOrder(1);return delegatingFilterProxy;}``

`上面的那个bean是有一定难度的配置,我自己琢磨了好久,参考了大量的资料,才琢磨出来。其他的配置相对比较简单大家可以自己动手,来做,其实在做的过程中,大家的能力就在不知不觉中有了很大的提升。具体的我就不贴了哟,相信大家可以的。

做好了SpirngBoot与Spring Security的整合,接下来就是接着上一篇博客继续说明Spring Security 与Spring Boot结合后的使用框架原理流程:

1 容器启动,spring security 从库里头加载权限信息 并以map的形式存取(HashMap  resourceMap key:资源url,value:角色名称 ROLE_为前缀的值)

2 用户进行登录操作:加载用户的角色列表(Collection)loadUserByUsername

3 决策当前用户有没有访问该url的权限decide从两个集合中找到相互匹配equals的角色名称,就放行然后就是对相应的需要自定义的开发,只要流程搞明白了 并且知道哪些是需要自定义的开发,接下来的开发的工作就比较简单了。

我是用google java style (http://www.hawstein.com/posts/google-java-style.html ) 来规范了自己的代码,大家也可以这样,养成一个良好的开发习惯,很重要 会避免很多弯路。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,214评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,307评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,543评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,221评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,224评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,007评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,313评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,956评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,441评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,925评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,018评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,685评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,234评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,240评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,464评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,467评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,762评论 2 345

推荐阅读更多精彩内容