2. 程式人生 > >Spring學習之旅(八) Spring Security的使用

Spring學習之旅(八) Spring Security的使用

阿新 發佈:2019-02-14

辛苦堆砌,轉載請註明出處,謝謝!

        之前的User校驗我們自己通過比較使用者名稱和密碼來完成,這樣可能存在一些安全隱患,還需要自己處理Session的問題。本篇文章使用Spring Security進行安全校驗,對專案進行重構。

        Spring Security是Spring實現的安全框架,可以對請求和方法進行安全保護,Spring Security根本上是一套Filter鏈,當配置使用Spring Security時,Spring會向專案中新增Filter,從而對請求進行攔截,並進行必要的安全校驗。

        首先,為了讓Spring支援Spring Security,需要新增必要的依賴,這是因為Spring Security不屬於Spring Framework,是一個獨立的專案。

<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-web</artifactId>
	<version>${spring-security-web.version}</version>
</dependency>
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-config</artifactId>
	<version>${spring-security-web.version}</version>
</dependency>
然後,建立如下的類 
package com.yjp.springmvc.blog.config;

import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {
}
該類派生自AbstractSecurityWebApplicationInitializer,這樣,當啟用Spring Security時,會加入安全校驗需要的Filter鏈。最後,啟用Spring Security,並配置攔截規則和使用者資料源
package com.yjp.springmvc.blog.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	
	@Autowired
	private UserDetailsService userDetailsService;
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		//配置攔截規則
		http
			.formLogin()
				.loginPage("/login")
				.failureUrl("/loginError")
			.and()
			.logout()
				.logoutSuccessUrl("/login")
			.and()
			.authorizeRequests()
				.antMatchers("/").authenticated()
				.antMatchers("/**").permitAll();
	}
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) 
			throws Exception {
		auth.userDetailsService(userDetailsService);
	}
}
我們派生了WebSecurityConfigurerAdapter類,並重新實現了兩個方法,其中,configure以HttpSecurity為引數的方法,用來定製攔截規則,我們這裡攔截"/"請求,其他請求放行,然後通過表單認證,認證表單為login,驗證失敗進入loginError請求,登出時,預設會進入logout請求,登出成功跳轉到login請求。通過configure以AuthenticationManagerBuilder為引數的方法,我們返回資料來源,資料來源Spring會從UserDetailsService獲取。記得將該配置類引入到RootConfig中。

        下面調整我們之前的專案,刪除LoginController,建立SecurityController

package com.yjp.springmvc.blog.web.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

@Controller
public class SecurityController {
	
	@RequestMapping(method=RequestMethod.GET, value="/login")
	public String login(String error) {
		return "login";
	}
	
	@RequestMapping(method=RequestMethod.GET, value="/loginError")
	public String loginError(Model model) {
		model.addAttribute("error", "使用者名稱或密碼錯誤");
		return "login";
	}
}
主要用來處理login流程的請求,將請求與對應的檢視掛鉤,看看login.jsp 
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page isELIgnored="false"%>
<!DOCTYPE html>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
	<title>簡微</title>
	<link rel="stylesheet" type="text/css" href="resources/css/login.css">
	<link rel="stylesheet" type="text/css" href="resources/css/error.css">
</head>
<body>
	<div class="loginPanel">
	    <div>
	        <img src="resources/images/logo.png" alt="簡微"/>
	    </div>
	    <form method="post" action="login">
	        <table>
	            <tr>
	                <td colspan="2" align="center" style="font-weight:bold">會員登入</td>
	            </tr>
	            <tr>
	                <td>名稱:</td>
	                <td><input type="text" name="username"/></td>
	            </tr>
	            <tr>
	                <td>密碼:</td>
	                <td><input type="password" name="password"/></td>
	            </tr>
	            <tr>
	        		<td colspan="2" align="center"><span class="error">${error}</span></td>
	        	</tr>
	            <tr>
	                <td colspan="2" align="center"><input type="submit" value="登入"></td>
	            </tr>
            	<tr>
            		<td align="center"><a href="registerPage">註冊</a></td>
                	<td align="center"><a href="forgotPage">忘記密碼?</a></td>
            	</tr>
	        </table>
	        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
	    </form>
    </div>
    <div>
        <h1>簡微</h1>
        <ul>
	        <li>說你想說</li>
	        <li>看你想看</li>
	        <li>就這麼簡單</li>
    	</ul>
    </div>
</body>
</html>
刪除了之前用Spring標籤庫做的內容,表單傳送POST請求到login,這裡千萬注意,我們攔截規則的formPage中的/login是GET請求,會發送到我們的SecurityController處理,然後返回login.jsp檢視,而視圖表單中的login是POST給Spring Security處理的,會完成及鑑權相關的工作。另外,編單中添加了一個
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
這個是防止CSRF攻擊的,Spring Security要求要有這個表單域。這樣,如果我們輸入的使用者名稱密碼與資料來源比較通過校驗,就會進入"/"請求,我們在HomeController中處理該請求 
package com.yjp.springmvc.blog.web.controller;

import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

@Controller
public class HomeController {
	@RequestMapping(method=RequestMethod.GET, value="/")
	public String home(Model model) {
		//通過Spring Security獲取當前的使用者
		UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext()
			    .getAuthentication()
			    .getPrincipal();
		
		model.addAttribute("username", userDetails.getUsername());
		return "home";
	}
}
該請求會跳轉到home.jsp 
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page isELIgnored="false"%>
<!DOCTYPE html">
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
	<title>簡微</title>
	<link rel="stylesheet" href="resources/css/home.css" type="text/css">
</head>
<body>
	<div class="leftPanel">
		<img src="resources/images/logo.png" alt="簡微" /><br><br>
		<form method="post" action="logout" style="">
			<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
			<button type="submit">登出 ${username}</button>
		</form>
	</div>
	
	<form method="post" action="message">
		說說你的事...<br><br>
        <textarea cols='60' rows='4' name='blabla'></textarea><br><br>
		<button type="submit">送出</button>
	</form>
</body>
</html>
這裡的home.jsp我們已經完成了登出功能,注意有一個傳送POST logout請求的表單,這個同樣的道理,登出流程會交給Spring Security處理,主要是清除及鑑權相關的資料。

        最後,由於我們要給鑑權提供資料來源,持久層做了相應的改動,首先看看UserService

package com.yjp.springmvc.blog.beans.service;

import org.springframework.security.core.userdetails.UserDetailsService;

import com.yjp.springmvc.blog.beans.model.User;

public interface UserService extends UserDetailsService {
	boolean saveUser(User user);
}

package com.yjp.springmvc.blog.beans.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import com.yjp.springmvc.blog.beans.model.User;
import com.yjp.springmvc.blog.beans.repository.UserRepository;

@Service
public class UserServiceImpl implements UserService {
	
	@Autowired
	private UserRepository userRepository;
	
	@Override
	public boolean saveUser(User user) {
		User saveUser = userRepository.save(user);
		return saveUser != null;
	}

	@Override
	public UserDetails loadUserByUsername(String username) 
			throws UsernameNotFoundException {
		UserDetails findUser = 
				userRepository.findUserByUsername(username);
		if (findUser != null) {
			return findUser;
		} else {
			return null;
		}
	}
}
UserService實現了UserDetailsService介面,用來提供資料來源,我們的資料來源就是User物件,但是User物件實現了UserDetails介面 
package com.yjp.springmvc.blog.beans.model;

import java.io.Serializable;
import java.util.Arrays;
import java.util.Collection;

import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.Id;
import javax.persistence.Table;

import org.hibernate.annotations.GenericGenerator;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

@Entity
@Table(name="users")
public class User implements Serializable, UserDetails {
			
	private static final long serialVersionUID = 9038460243059691075L;
	
	@Id
	@GenericGenerator(strategy = "assigned", name = "username")
	private String username;
	
	@Column
	private String password;
	
	@Column
	private String email;
	
	public User() {}
	
	public User(String username, String password, String email) {
		this.username = username;
		this.password = password;
		this.email = email;
	}

	public String getUsername() {
		return username;
	}
	
	public void setUsername(String username) {
		this.username = username;
	}
	
	public String getPassword() {
		return password;
	}
	
	public void setPassword(String password) {
		this.password = password;
	}
	
	public String getEmail() {
		return email;
	}
	
	public void setEmail(String email) {
		this.email = email;
	}

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		//返回使用者許可權
		return Arrays.asList(new SimpleGrantedAuthority("USER"));
	}

	@Override
	public boolean isAccountNonExpired() {
		//賬戶是否會過期
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		//使用者是否被鎖定
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		//密碼是否會過期
		return true;
	}

	@Override
	public boolean isEnabled() {
		//使用者是否使能
		return true;
	}

}
UserDetails介面的方法已經添加註釋,可以酌情修改。這樣就完成了Spring Security的配置,並將其使用在了我們的專案中。

相關推薦

Spring學習() Spring Security的使用

辛苦堆砌,轉載請註明出處,謝謝!         之前的User校驗我們自己通過比較使用者名稱和密碼來完成,這樣可能存在一些安全隱患,還需要自己處理Session的問題。本篇文章使用Spring Security進行安全校驗,對專案進行重構。         Spring

Spring學習(四)Spring工作原理再探

容器 mxml 實現 span ssp express 16px 部分 做了 上篇博文對Spring的工作原理做了個大概的介紹,想看的同學請出門左轉。今天詳細說幾點。 (一)Spring IoC容器及其實例化與使用 Spring IoC容器負責Bean的實例化、配置和組裝工

Spring學習——手寫Spring原始碼V2.0(實現IOC、DI、MVC、AOP)

前言 在上一篇《Spring學習之——手寫Spring原始碼(V1.0)》中,我實現了一個Mini版本的Spring框架,在這幾天,博主又看了不少關於Spring原始碼解析的視訊,受益匪淺,也對Spring的各元件有了自己的理解和認識,於是乎,在空閒時間把之前手寫Spring的程式碼重

Spring 學習筆記()AOP XML方式

術語先來一發 目標物件(Target) 代理物件(Proxy) 連線點(Joinpoint) 切入點(Pointcut) 通知(增強)(Advice) 切面(Aspect、Advisor) 織入、切入(weaving) 第一步,建立目標類和切面類

Spring Boot學習:(四)springboot 整合 fastjson

springboot 預設使用的 jackson 但是聽說某寶的fastjson 效能很好,而且平時用的習慣,所以來整合一下。 首先在pom 中匯入依賴 <dependency> <groupId>

Spring boot 學習--載入靜態資原始檔

介面寫久了感覺Jquery忘光了,在網上蕩了一個帶頁面的專案,根據要求搭建好spring boot+thymeleaf配置,js 、css放到static資料夾下,啟動專案發現樣式不顯示,查閱資料boot專案是預設載入static下的靜態資源,在頁面'ctr'下也能進去,好鬱

Spring Boot 學習

1. Spring Boot預設讀取的application.properties有點坑,並沒有主動去掉每一行後邊的空格,如 encoding.spring.thymeleaf.encoding=UTF-8 就識別成了UTF-8+空格,所以導致查詢編碼格式

WebService學習(三)JAX-WS與Spring整合釋出WebService

Spring本身就提供了對JAX-WS的支援,有興趣的讀者可以研究下Spring的Spring-WS專案,專案地址: http://docs.spring.io/spring-ws/sites/1.5/downloads/releases.html 基於Sp

Android的DatePicker和TimePicker-android學習(三十

cursor ini lis drawable textview @+ type pin view DatePicker和TimePicker簡單介紹 DatePicker和TimePicker是從FrameLayout繼承而來。他們都是比較簡單的組件

Spring學習路(三)bean註解管理AOP操作

spec resource 自定義屬性 開始 java framework XML 方法名 jar包 在類上面、方法上面、屬性上面添加註解;並用bean來管理; 書寫方法:@註解名稱(屬性名稱=值) 第一步:導入jar包   導入spring-aop.jar(spri

Spring學習路(四)spring對數據庫操作

date val mapr text core 導入 sed package assert 1、導入jdbc.jar、tx. jar包 2、測試 package com.junit; import static org.junit.Assert.*;

開啟Spring Boot

document sse 項目 場景 resource 大型 start.s 什麽是 ron 開啟Spring Boot 之旅 1、Spring Boot 簡介 簡化Spring應用開發的一個框架; 整個Spring技術棧的一個大整合; JavaEE開發的一站式解決方案。

spring學習IOC的學習

##1、xml配置檔案模板 建立一個applicationContext.xml的檔案,內容如下: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/s

Python學習

Python基礎知識(7):資料基本型別之元組、字典 一、元組 用括號把元素括起來中間用逗號隔開。用逗號分開一些值便可建立元組 1,2,3 結果: (1, 2, 3) 空元組可以用沒有包含任何內容的兩個圓括號表示,如()。 1、元素不可被修改,不能進行增加、刪除操作 2、建議寫元組的

Python學習(十

expand red function encode tabs reduce repl nbsp 試圖 Python基礎知識(17):面向對象編程(Ⅱ) 獲取對象信息 在不知道對象信息的情況下,我們想要去獲取對象信息,可以使用以下方法 1、type (1)判斷對象類型 &

Python學習(二十

Python基礎知識(27):常用內建模組(Ⅲ) 1、urlblib urllib提供了一系列用於操作URL的功能 url是統一資源定位符,對可以從網際網路上得到的資源的位置和訪問方法的一種簡潔的表示,是網際網路上標準資源的地址 網際網路上的每個檔案都有一個唯一的URL,它包含的資訊指出檔案的位置以及

Spring學習路 -- Java配置

Java配置是Spring4.x推薦的配置方式,可以完全替代xml配置 Java配置是通過@Configuration和@Bean來實現的 @Configuration聲明當前類是一個配置類,相當於

spring學習DI依賴注入

何為DI:傳統的物件與物件的呼叫,使得以後修改程式碼變得困難,在spring得IOC控制反轉下,使得在上層呼叫下層的耦合性得到了緩解,不過還是得使用getBean方法去獲得,DI的依賴注入,使得spring容器直接在xml檔案中配置,動態的使得物件與物件之間的注入關係變成動態

Spring學習Spring三種裝配機制:(二)顯示裝配bean

  今天我們介紹一下Spring三種裝配機制中的另外兩種裝配方式:JavaConfig和XML配置,這兩種方式區別於自動化裝配方式都屬於顯示裝配。 1、Java程式碼裝配bean 首先,我們通過在Config類中使用@Bean註解來宣告bean; @Bean註

機器學習

吳恩達教授的機器學習課程的第八週相關內容: 1、聚類(Clustering) 1.1、無監督學習:簡介 在一個典型的監督學習中,我們有一個有標籤的訓練集,我們的目標是找到能夠區分正樣本和負樣本的決策邊界,在這裡的監督學習中,我們有一系列標籤,我們需要據此擬合一個