简介
SpringSecurity是Spring家族中的一个安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型项目都是使用SpringSecurity来做安全框架,小项目用Shiro的比较多,因为相比于SpringSecurity,Shiro的上手更加简单。
一般web的应用需要进行认证和授权:
认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪一个用户。
授权:经过认证后判断当前用户是否有权限进行某个操作。
而认证和授权也是SpringSecurity作为安全框架的核心功能。
快速入门
1. 创建一个简易的SpirngBoot工程
先要搭建一个一个简单的SpringBoot工程,并创建一个简单的hello()接口。这个就没啥好说的了吧,学到现在了不可能不会创建springboot工程。
2. 引入Springsecurity
我们引入如下依赖:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>引入SpringSecurity的依赖之后,我们再去尝试访问之前的接口就会自动跳转到一个SpringSecurity的默认登录页面:
默认用户名是user,密码则会输出在控制台。
我们必须使用这个随机的密码和user用户名登录之后才能对接口进行访问:
另外security还给我们提供了一个默认的退出页面logout:
点击log out就会退出了:
2. 认证
2.1 登录校验流程
前后端分离项目当中security的验证流程:
前后端分离的情况下进行认证的核心就是依赖token,token简单理解就是一个加密字符串。通过你是否携带这样的token我就可以去判断你是否是我系统的用户。我也可以通过token去获取加密之前的一些数据你究竟是哪一个用户。
登录校验流程中很多地方是要改的,比如登录接口肯定是我们自己定义的,然后用户名和密码我们肯定也得去数据库中进行查找,然后生成一个jwt返回给前端。具体如上图中所描述。
2.2 原理初探
想要知道如何实现自己的登录流程就得要先知道入门案例中的SpringSecurity的认证流程。
2.2.1 SpringSecurity完整流程
SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器,这里我们看看入门案例中的过滤器:
图中只展示了核心过滤器,其他非核心过滤器并没有展示在图中。
2.2.2 认证流程详解
security的默认认证流程如下:
首先我们提交用户名以及密码后,会经过一系列过滤器,直到一个比较关键的过滤器UsernamePasswordAuthenticationFilter,在这个过滤器中会封装一个Authentication对象,这时候最多只有用户名和密码,权限还没有(因为只提交了用户名和密码)。然后将这个对象传给ProviderManager,ProviderManager会调用一个方法authenticate进行认证,光靠authenticate还不行,它的内部还会再调用DaoAuthenticationProvider中的DaoAuthenticationProvider方法进行认证,靠这俩也还不够,还会传给InMemoryUserDetailsManager中的loadUserByUsername方法查询用户。在这个方法中security会根据用户名去查询对应的用户及这个用户对应的权限信息,InMemoryUserDetailsManager是在内存中进行查找的(后面会改掉的)。然后security会将对应的用户信息包括权限信息封装成UserDetails对象进行原路返回。返回途中在DaoAuthenticationProvider中会通过PasswordEncode对比UserDeatils中的密码和Aythentication的密码是否相同正确,如果正确就将UserDetails中的权限信息设置到Authentication对象中再进行返回。最后传到UsernamePasswordAuthenticationFilter中时如果返回了Authentication对象则使用SecurityContextHolder.getContext().setAuthentication()方法存储该对象,后面其他的过滤器会通过SecurityContextHolder来获取当前用户信息(因为当前我们处于UsernamePasswordAuthenticationFilter过滤器中,后面还有很多过滤器要处理这个用户信息呢,所以他们需要通过SecurityContextHolder方法来获取当前用户信息)。
知道了security的认证流程,那么我们就可以修改其中的某些认证环节即修改其认证方式为我们指定的即可:
为了达到实现我们需要的登录验证需求,通过参考默认的security验证流程可以知道。我们只要实现一个登录接口(Controller),用该接口替换默认的UsernamePasswordAuthenticationFilter,然后用该登录接口实现UsernamePasswordAuthenticationFilter对应的方法就可以做到自定义,然后我们还会自定义一个UserDetailsService替换掉默认的在内存中匹配用户数据及权限的InMemoryUserDetailsManager,让security在自定义UserDetailsService中去数据库中匹配用户以及权限信息,这样就可以实现我们的需求了。(如上图)
考虑的更全面一点,登录完之后还需要校验,就是我们怎么去判断该用户是否是登录状态呢?用户是谁呢?的问题。所以我们需要自己定义一个过滤器,前端如果登录了之后,前端就会拿到一个token,那么之后前端再去请求其他接口的时候,就必须携带该token进行请求。所以Jwt认证过滤器的作用就是获取token,然后解析token,获取userId,最后封装Authentication对象存入SecurityContextHolder中。这样security中的各种过滤器需要使用用户信息时就可以直接去context中获取了。(如下图)
关于思考题:上图中前端每次请求都会携带token然后经过Jwt过滤器,而每次获取userId都会对数据库进行访问,频繁访问数据库势必造成数据库的压力,会很影响效率,所以对应的解决办法很多,这个时候就可以使用到我们的redis,如果用数据库的话频繁的查询会使数据库压力过大,而redis用来缓存userId作为key,然后它的权限什么的信息作为value就可以很好的解决这个问题,redis的其中一个作用就是用来缓解数据库的访问压力,如下图所示:
2.3 解决问题
2.3.1 思路分析总结
登录
1、自定义登录接口
调用ProviderManager的方法进行认证,如果认证通过生成jwt
然后把用户信息存入redis中
2、自定义UserDetailsService
在这个实现列中去查询数据库
校验
1、定义jwt认证过滤器
获取token
解析token获取其中的userId
从redis中获取用户信息
存入SecurityContextHolder
2.3.2 准备工作
引入我们需要的依赖:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.33</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency>除了引入依赖之外,我们的redis要基于fastjson做序列化,需要进行配置,这个一般都是有模板的,直接复制粘贴就行:
添加redis相关配置:
import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.serializer.SerializerFeature;import com.fasterxml.jackson.databind.JavaType;import com.fasterxml.jackson.databind.ObjectMapper;import com.fasterxml.jackson.databind.type.TypeFactory;import org.springframework.data.redis.serializer.RedisSerializer;import org.springframework.data.redis.serializer.SerializationException;import com.alibaba.fastjson.parser.ParserConfig;import org.springframework.util.Assert;import java.nio.charset.Charset;/** * Redis使用FastJson序列化 * * @author sg */public class FastJsonRedisSerializer<T> implements RedisSerializer<T>{ public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8"); private Class<T> clazz; static { ParserConfig.getGlobalInstance().setAutoTypeSupport(true); } public FastJsonRedisSerializer(Class<T> clazz) { super(); this.clazz = clazz; } @Override public byte[] serialize(T t) throws SerializationException { if (t == null) { return new byte[0]; } return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET); } @Override public T deserialize(byte[] bytes) throws SerializationException { if (bytes == null || bytes.length <= 0) { return null; } String str = new String(bytes, DEFAULT_CHARSET); return JSON.parseObject(str, clazz); } protected JavaType getJavaType(Class<?> clazz) { return TypeFactory.defaultInstance().constructType(clazz); }}我们创建一个与controller同级的一个utils包,用来放我们的一些工具类:
还有关于redis相关的一些配置,这个配置类也可以直接复制即可,都是模板代码,这些配置可以避免redis当中的一些乱码现象(RedisTemplate和Jedis差不多,都是用来面向Java客户端进行抽象开发的):
import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.data.redis.connection.RedisConnectionFactory;import org.springframework.data.redis.core.RedisTemplate;import org.springframework.data.redis.serializer.StringRedisSerializer;@Configurationpublic class RedisConfig { @Bean @SuppressWarnings(value = { "unchecked", "rawtypes" }) public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory connectionFactory) { RedisTemplate<Object, Object> template = new RedisTemplate<>(); template.setConnectionFactory(connectionFactory); FastJsonRedisSerializer serializer = new FastJsonRedisSerializer(Object.class); // 使用StringRedisSerializer来序列化和反序列化redis的key值 template.setKeySerializer(new StringRedisSerializer()); template.setValueSerializer(serializer); // Hash的key也采用StringRedisSerializer的序列化方式 template.setHashKeySerializer(new StringRedisSerializer()); template.setHashValueSerializer(serializer); template.afterPropertiesSet(); return template; }}同样的与controller同级创建一个config配置包,用来放我们的配置类:
然后前后端分离都会需要一个响应结果的类,这个都差不多,直接粘贴:
import com.fasterxml.jackson.annotation.JsonInclude;/** * @Author 三更 B站: https://space.bilibili.com/663528522 */@JsonInclude(JsonInclude.Include.NON_NULL)public class ResponseResult<T> { /** * 状态码 */ private Integer code; /** * 提示信息,如果有错误时,前端可以获取该字段进行提示 */ private String msg; /** * 查询到的结果数据, */ private T data; public ResponseResult(Integer code, String msg) { this.code = code; this.msg = msg; } public ResponseResult(Integer code, T data) { this.code = code; this.data = data; } public Integer getCode() { return code; } public void setCode(Integer code) { this.code = code; } public String getMsg() { return msg; } public void setMsg(String msg) { this.msg = msg; } public T getData() { return data; } public void setData(T data) { this.data = data; } public ResponseResult(Integer code, String msg, T data) { this.code = code; this.msg = msg; this.data = data; }}然后还有一个工具类,就是生成jwt的类,关于这个类我们不需要了解的太多,就单纯的使用的话直接调用这个工具类就可以了:
import io.jsonwebtoken.Claims;import io.jsonwebtoken.JwtBuilder;import io.jsonwebtoken.Jwts;import io.jsonwebtoken.SignatureAlgorithm;import javax.crypto.SecretKey;import javax.crypto.spec.SecretKeySpec;import java.util.Base64;import java.util.Date;import java.util.UUID;/** * JWT工具类 */public class JwtUtil { //有效期为 public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000 一个小时 //设置秘钥明文 public static final String JWT_KEY = "sangeng"; public static String getUUID(){ String token = UUID.randomUUID().toString().replaceAll("-", ""); return token; } /** * 生成jwt * @param subject token中要存放的数据(json格式) * @return */ public static String createJWT(String subject) { JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间 return builder.compact(); } /** * 生成jtw * @param subject token中要存放的数据(json格式) * @param ttlMillis token超时时间 * @return */ public static String createJWT(String subject, Long ttlMillis) { JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间 return builder.compact(); } private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) { SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; SecretKey secretKey = generalKey(); long nowMillis = System.currentTimeMillis(); Date now = new Date(nowMillis); if(ttlMillis==null){ ttlMillis=JwtUtil.JWT_TTL; } long expMillis = nowMillis + ttlMillis; Date expDate = new Date(expMillis); return Jwts.builder() .setId(uuid) //唯一的ID .setSubject(subject) // 主题 可以是JSON数据 .setIssuer("sg") // 签发者 .setIssuedAt(now) // 签发时间 .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥 .setExpiration(expDate); } /** * 创建token * @param id * @param subject * @param ttlMillis * @return */ public static String createJWT(String id, String subject, Long ttlMillis) { JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);// 设置过期时间 return builder.compact(); } public static void main(String[] args) throws Exception { String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiJjYWM2ZDVhZi1mNjVlLTQ0MDAtYjcxMi0zYWEwOGIyOTIwYjQiLCJzdWIiOiJzZyIsImlzcyI6InNnIiwiaWF0IjoxNjM4MTA2NzEyLCJleHAiOjE2MzgxMTAzMTJ9.JVsSbkP94wuczb4QryQbAke3ysBDIL5ou8fWsbt_ebg"; Claims claims = parseJWT(token); System.out.println(claims); } /** * 生成加密后的秘钥 secretKey * @return */ public static SecretKey generalKey() { byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY); SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES"); return key; } /** * 解析 * * @param jwt * @return * @throws Exception */ public static Claims parseJWT(String jwt) throws Exception { SecretKey secretKey = generalKey(); return Jwts.parser() .setSigningKey(secretKey) .parseClaimsJws(jwt) .getBody(); }}放进util包下:
然后还有一个redisCahe,即一个redis的一个工具类,这个工具类对redisTemplate进一步进行了封装,这样调用的时候会更加方便:
import java.util.*;import java.util.concurrent.TimeUnit;@SuppressWarnings(value = { "unchecked", "rawtypes" })@Componentpublic class RedisCache{ @Autowired public RedisTemplate redisTemplate; /** * 缓存基本的对象,Integer、String、实体类等 * * @param key 缓存的键值 * @param value 缓存的值 */ public <T> void setCacheObject(final String key, final T value) { redisTemplate.opsForValue().set(key, value); } /** * 缓存基本的对象,Integer、String、实体类等 * * @param key 缓存的键值 * @param value 缓存的值 * @param timeout 时间 * @param timeUnit 时间颗粒度 */ public <T> void setCacheObject(final String key, final T value, final Integer timeout, final TimeUnit timeUnit) { redisTemplate.opsForValue().set(key, value, timeout, timeUnit); } /** * 设置有效时间 * * @param key Redis键 * @param timeout 超时时间 * @return true=设置成功;false=设置失败 */ public boolean expire(final String key, final long timeout) { return expire(key, timeout, TimeUnit.SECONDS); } /** * 设置有效时间 * * @param key Redis键 * @param timeout 超时时间 * @param unit 时间单位 * @return true=设置成功;false=设置失败 */ public boolean expire(final String key, final long timeout, final TimeUnit unit) { return redisTemplate.expire(key, timeout, unit); } /** * 获得缓存的基本对象。 * * @param key 缓存键值 * @return 缓存键值对应的数据 */ public <T> T getCacheObject(final String key) { ValueOperations<String, T> operation = redisTemplate.opsForValue(); return operation.get(key); } /** * 删除单个对象 * * @param key */ public boolean deleteObject(final String key) { return redisTemplate.delete(key); } /** * 删除集合对象 * * @param collection 多个对象 * @return */ public long deleteObject(final Collection collection) { return redisTemplate.delete(collection); } /** * 缓存List数据 * * @param key 缓存的键值 * @param dataList 待缓存的List数据 * @return 缓存的对象 */ public <T> long setCacheList(final String key, final List<T> dataList) { Long count = redisTemplate.opsForList().rightPushAll(key, dataList); return count == null ? 0 : count; } /** * 获得缓存的list对象 * * @param key 缓存的键值 * @return 缓存键值对应的数据 */ public <T> List<T> getCacheList(final String key) { return redisTemplate.opsForList().range(key, 0, -1); } /** * 缓存Set * * @param key 缓存键值 * @param dataSet 缓存的数据 * @return 缓存数据的对象 */ public <T> BoundSetOperations<String, T> setCacheSet(final String key, final Set<T> dataSet) { BoundSetOperations<String, T> setOperation = redisTemplate.boundSetOps(key); Iterator<T> it = dataSet.iterator(); while (it.hasNext()) { setOperation.add(it.next()); } return setOperation; } /** * 获得缓存的set * * @param key * @return */ public <T> Set<T> getCacheSet(final String key) { return redisTemplate.opsForSet().members(key); } /** * 缓存Map * * @param key * @param dataMap */ public <T> void setCacheMap(final String key, final Map<String, T> dataMap) { if (dataMap != null) { redisTemplate.opsForHash().putAll(key, dataMap); } } /** * 获得缓存的Map * * @param key * @return */ public <T> Map<String, T> getCacheMap(final String key) { return redisTemplate.opsForHash().entries(key); } /** * 往Hash中存入数据 * * @param key Redis键 * @param hKey Hash键 * @param value 值 */ public <T> void setCacheMapValue(final String key, final String hKey, final T value) { redisTemplate.opsForHash().put(key, hKey, value); } /** * 获取Hash中的数据 * * @param key Redis键 * @param hKey Hash键 * @return Hash中的对象 */ public <T> T getCacheMapValue(final String key, final String hKey) { HashOperations<String, String, T> opsForHash = redisTemplate.opsForHash(); return opsForHash.get(key, hKey); } /** * 删除Hash中的数据 * * @param key * @param hkey */ public void delCacheMapValue(final String key, final String hkey) { HashOperations hashOperations = redisTemplate.opsForHash(); hashOperations.delete(key, hkey); } /** * 获取多个Hash中的数据 * * @param key Redis键 * @param hKeys Hash键集合 * @return Hash对象集合 */ public <T> List<T> getMultiCacheMapValue(final String key, final Collection<Object> hKeys) { return redisTemplate.opsForHash().multiGet(key, hKeys); } /** * 获得缓存的基本对象列表 * * @param pattern 字符串前缀 * @return 对象列表 */ public Collection<String> keys(final String pattern) { return redisTemplate.keys(pattern); }}放进utils包下,对工具类其实可以不用太过关注,直接拿来用就行了:
最后因为我们等下可能会涉及到往响应体当中去写入一些数据,所以我们再用一个WebUtils的工具类来完成这个操作:
import javax.servlet.http.HttpServletResponse;import java.io.IOException;public class WebUtils{ /** * 将字符串渲染到客户端 * * @param response 渲染对象 * @param string 待渲染的字符串 * @return null */ public static String renderString(HttpServletResponse response, String string) { try { response.setStatus(200); response.setContentType("application/json"); response.setCharacterEncoding("utf-8"); response.getWriter().print(string); } catch (IOException e) { e.printStackTrace(); } return null; }}最后测试使用的一个实体类:
import java.io.Serializable;import java.util.Date;/** * 用户表(User)实体类 * * @author 三更 */@Data@AllArgsConstructor@NoArgsConstructorpublic class User implements Serializable { private static final long serialVersionUID = -40356785423868312L; /** * 主键 */ private Long id; /** * 用户名 */ private String userName; /** * 昵称 */ private String nickName; /** * 密码 */ private String password; /** * 账号状态(0正常 1停用) */ private String status; /** * 邮箱 */ private String email; /** * 手机号 */ private String phonenumber; /** * 用户性别(0男,1女,2未知) */ private String sex; /** * 头像 */ private String avatar; /** * 用户类型(0管理员,1普通用户) */ private String userType; /** * 创建人的用户id */ private Long createBy; /** * 创建时间 */ private Date createTime; /** * 更新人 */ private Long updateBy; /** * 更新时间 */ private Date updateTime; /** * 删除标志(0代表未删除,1代表已删除) */ private Integer delFlag;}放进domain实体包:
2.3.3 实现
2.3.3.1 数据库用户校验
从之前的分析我们可以知道,我们可以自定义一个UserDetailsService,让SpringSecurity使用我们的UserDetailsService。我们自己的UserDetailsService可以从数据库中查询用户名和密码。
准备工作
我们先创建一个用户表, 建表语句如下:
CREATE TABLE `sys_user` ( `id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '主键', `user_name` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMMENT '用户名', `nick_name` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMMENT '昵称', `password` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMMENT '密码', `status` CHAR(1) DEFAULT '0' COMMENT '账号状态(0正常 1停用)', `email` VARCHAR(64) DEFAULT NULL COMMENT '邮箱', `phonenumber` VARCHAR(32) DEFAULT NULL COMMENT '手机号', `sex` CHAR(1) DEFAULT NULL COMMENT '用户性别(0男,1女,2未知)', `avatar` VARCHAR(128) DEFAULT NULL COMMENT '头像', `user_type` CHAR(1) NOT NULL DEFAULT '1' COMMENT '用户类型(0管理员,1普通用户)', `create_by` BIGINT(20) DEFAULT NULL COMMENT '创建人的用户id', `create_time` DATETIME DEFAULT NULL COMMENT '创建时间', `update_by` BIGINT(20) DEFAULT NULL COMMENT '更新人', `update_time` DATETIME DEFAULT NULL COMMENT '更新时间', `del_flag` INT(11) DEFAULT '0' COMMENT '删除标志(0代表未删除,1代表已删除)', PRIMARY KEY (`id`)) ENGINE=INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COMMENT='用户表'在你自己的数据库中创建好这个表:
引入mybatisplus和mysql驱动:
<dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>3.4.3</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency>然后配置数据库信息:
spring: datasource: url: jdbc:mysql://localhost:3306/sg_security?characterEncoding=utf-8&serverTimezone=UTC username: root password: root driver-class-name: com.mysql.cj.jdbc.Driver
定义Mapper接口:
修改一下User实体类,在其类名上加上@TableName(value=“sys_user”),id字段上添加@TableId,还有记得在启动类上加上Mapper包扫描:
这里可以测试一下mybatisplus是否能正常工作:
在测试包下:
结果:
说明正常工作。
核心代码实现
现在可以开始进行springsecurity的代码改造了,按照之前的思路,现在我们创建一个类来实现UserDetailsService接口,重写其中的loadUserByUsername方法,这个类我们放在service包下的impl包中,让其从我们的数据库中查询用户信息:
重写它:
package com.ss.securitylearn.service.impl;import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;import com.ss.securitylearn.domain.LoginUser;import com.ss.securitylearn.domain.User;import com.ss.securitylearn.mapper.UserMapper;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.stereotype.Service;import java.util.Objects;@Servicepublic class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserMapper userMapper; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //1、查询用户信息,让其从我们的数据库中查 LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>(); queryWrapper.eq(User::getUserName,username); User user = userMapper.selectOne(queryWrapper); //如果没有查询到用户就抛出异常 if(Objects.isNull(user)){ //security有一个专门的Filter来捕获这些异常(即流程图中的ExceptionTranslationFilter过滤器) throw new RuntimeException("用户名或者密码错误"); } //TODO 2、查询该用户对应的权限信息,后面我们会来做,现在讲认证 //3、最后封装成UserDetails对象返回 //UserDetails为一个接口,所以我们必然需要一个该接口的实现类来new对象 //我们在domain包中创建该实现类:LoginUser return new LoginUser(user); }}上面注释中上也有提到,我们需要domain包下添加一个userDetails的实现类LoginUser,并且要重写UserDetails接口中的方法(因为UserDetailsService方法的返回值是UserDetails类型,所以需要定义一个类,实现该接口,把用户信息封装在其中。):
package com.ss.securitylearn.domain;import lombok.AllArgsConstructor;import lombok.Data;import lombok.NoArgsConstructor;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;import java.util.Collection;@Data@AllArgsConstructor@NoArgsConstructorpublic class LoginUser implements UserDetails { private User user;//有参构造中设置了user的值为传进来的user值:return new LoginUser(user); @Override //getAythorties方法用来返回权限信息 public Collection<? extends GrantedAuthority> getAuthorities() { //权限信息后面来给,还没学到 return null; } @Override //获取密码 public String getPassword() { //security会来这里拿到user密码 //我们直接返回传进来的user的密码就行了 return user.getPassword(); } @Override //获取用户名 public String getUsername() { //security会来这里拿到user用户名 //我们直接返回传进来的user的用户名就行了 return user.getUserName(); } //下面这些布尔类型全部先改为true,以免发生问题 @Override //判断是否没过期 public boolean isAccountNonExpired() { return true; } @Override //是否没有锁 public boolean isAccountNonLocked() { return true; } @Override //是否没有超时 public boolean isCredentialsNonExpired() { return true; } @Override //用户是否可用 public boolean isEnabled() { return true; }}
测试一下,启动之后依然会来到默认的登录页,因为我们还没改写这个,但是因为现在我们是从数据库里面查询用户信息了,在我的数据库中有一条用户名为黑起华的记录,密码为123456,我们登录试试:
登录是不行的,报错:
后面这个会细说,这里先简单解释一下:目前security会有一个默认的PasswordEncoder用来进行一个密码校验的东西,这个校验工具会要求我们的实际查到的这个密码如果是明文存放在数据库中的话,就必须要在密码明文前面加上一些标识即{noop},如下:
现在就可以登录了。
2.3.3.2 密码加密存储
现在就来解释为什么不加大括号就无法登录的原因。
实际项目中我们不会把密码明文存储在数据库中。
默认使用的PasswordEncoder要求数据库中的密码格式为:{id}password 。它会根据id去判断密码的加密方式。但是我们一般不会采用这种方式。所以就需要替换PasswordEncoder。
写上{noop}之后security就知道我们的密码没有加密,所以直接就会用明文去进行匹配了。
因为这样的方式并不方便,所以我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。
我们只需要使用把BCryptPasswordEncoder对象注入Spring容器中,SpringSecurity就会使用该PasswordEncoder来进行密码校验。
我们可以定义一个SpringSecurity的配置类,SpringSecurity要求这个配置类要继承WebSecurityConfigurerAdapter。
所以现在去config包下创建这个配置类:
package com.ss.securitylearn.config;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.security.crypto.password.PasswordEncoder;@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter { //创建BCryptPasswordEncoder注入Spring容器中 @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); }//注释里面写的还挺清楚的,反正就是对security的一些配置 @Override protected void configure(HttpSecurity http) throws Exception { http //关闭csrf .csrf().disable() //不通过Session获取SecurityContext .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() // 对于登录接口 允许匿名访问 .antMatchers("/user/login").anonymous() // 除上面外的所有请求全部需要鉴权认证 .anyRequest().authenticated(); }//这个配置方法会注入AuthenticationManager到spring容器当中//是后面使用AuthenticationManager时候要用的 @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); }}
现在我们测试一下这个BC啥啥的怎么使用和它的作用是什么:
@Test public void testBC(){ BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); //将登陆密码的原文密码用盐加密 //同一个密码encode两次所得到的密码也不一样 String encode = bCryptPasswordEncoder.encode("123456"); System.out.println(encode); //我们拿到这段加密过后的密文: //$2a$10$vfprkrX9fyKUSHSC4s6giOnFg3GTYtHQBH3OBw7tKK9Sc7LmPgR.W //现在又可以用其给定的matches方法进行匹配这两个密码是否一样 System.out.println(bCryptPasswordEncoder.matches("123456","$2a$10$vfprkrX9fyKUSHSC4s6giOnFg3GTYtHQBH3OBw7tKK9Sc7LmPgR.W")); //结果为true,所以我们只要把这段加密过后的原文放入数据库就行了 }现在我们再去登录,因为我们已经在security的配置类里将原来的PasswordEncoder加密方式改成了BCript啥的,所以现在我们再登录就会显示错误无法登录,而我们刚刚测试时已经拿到了一个由123456密码加密后的密码:
$2a$10$vfprkrX9fyKUSHSC4s6giOnFg3GTYtHQBH3OBw7tKK9Sc7LmPgR.W所以现在我们只要把这段加密的密码放进数据库中,再重新用123456登录就可以成功啦。
铺垫:jwt工具类的使用
jwt就认为是一个给密码加密的一个解决方案就可以了。
现在我们进入jwt的工具类,注意使用jwt的前提是引入jjwt的依赖。
然后在jwt工具类中主要就是两个方法:
一个是createJWT(创建加密的方法):
可以看见有三个重载形式,第一个方法的参数是传入id,传入加密的数据还可以设置过期时间,第二个是直接传入加密数据即可,第三个和第一个差不多。
(注意加密数据可以是一个对象形式,它可以转化为json格式)
我们来测试生成jwt:
可以看见生成了老长一串加密过后的数据了:
然后还有一个方法是parseJWT,即将我们生成的jwt进行解析:
可以看见又解析回来了:
2.3.3.3 登陆接口
接下来我们需要自定义登陆接口,然后让SpringSecurity对这个接口放行,让用户访问这个接口的时候不用登录也能访问,只要配置一下就可以(因为security默认的是访问任何一个接口都必须先登录才给放行访问)。
在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在SecurityConfig中配置把AuthenticationManager注入容器(使用时因为已经在spring容器当中了,所以直接@Autowired即可)。
认证成功的话要生成一个jwt,放入响应中返回。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,我们需要把用户信息存入redis,可以把用户id作为key。
所以我们现在去controller包下写一个LoginController,有和认证相关的一些操作就放在这里面(因为是POST请求,所以参数肯定是以json对象的格式放在请求体当中传送过来的,所以我们用@RequestBody进行接收该对象):
但是我们不会直接在控制层直接写登录业务,都是在service业务层进行写的,所以我们还需要一个LoginService接口以及一个LoginServiceImpl类,在Impl中进行登录业务的实现:
package com.ss.securitylearn.service.impl;import com.ss.securitylearn.domain.LoginUser;import com.ss.securitylearn.domain.ResponseResult;import com.ss.securitylearn.domain.User;import com.ss.securitylearn.mapper.UserMapper;import com.ss.securitylearn.service.LoginService;import com.ss.securitylearn.utils.JwtUtil;import com.ss.securitylearn.utils.RedisCache;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;import org.springframework.security.core.Authentication;import org.springframework.stereotype.Service;import java.util.HashMap;import java.util.Map;import java.util.Objects;@Servicepublic class LoginServiceImpl implements LoginService { @Autowired UserMapper userMapper; @Autowired private AuthenticationManager authenticationManager; @Autowired private RedisCache redisCache; @Override public ResponseResult login(User user) { //AuthenticationManager authenticate进行用户验证 //因为authenticate方法传入的是一个Authentication类型的对象 //而Authentication是个接口,所以我们创建一个对应的实现类UsernamePasswordAuthenticationToken UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());//传入用户名和密码 Authentication authenticate = authenticationManager.authenticate(authenticationToken);//将封装好的Authentication类型的值authenticationToken //AuthenticationManager会去调用UserDetailsService中的loadUserByUsername来进行用户认证 //如果认证没通过,给出对应的提示 if(Objects.isNull(authenticate)){ throw new RuntimeException("登录失败"); } //如果认证通过了,使用userId生成一个jwt LoginUser loginUser = (LoginUser) authenticate.getPrincipal();//将Object类型强转为LoginUser以接收参数 String userid = loginUser.getUser().getId().toString();//拿到LoginUser中的user变量中封装的用户id的属性,并转为字符串形式以生成jwt String jwt = JwtUtil.createJWT(userid); Map<String,String> map = new HashMap<>(); map.put("token",jwt); //把完整的用户信息存入redis userid作为key redisCache.setCacheObject("login:"+userid,loginUser);//因为完整的用户信息存在了loginUser当中 return new ResponseResult(200,"登录成功",map);//返回给前端token }}注意在写上面这段代码之前,要先对SecurityConfig类进行修改,前后端分离项目中这些内容都是要加上的:
package com.ss.securitylearn.config;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.config.http.SessionCreationPolicy;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;import org.springframework.security.crypto.password.PasswordEncoder;@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter { //创建BCryptPasswordEncoder注入Spring容器中 @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); }//对security的某些配置都在这个方法中 protected void configure(HttpSecurity http) throws Exception{ http //关闭csrf .csrf().disable() //不通过Session获取SecurityContext .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() // 对于登录接口 允许匿名访问 .antMatchers("/user/login").anonymous() // 除上面外的所有请求全部需要鉴权认证 .anyRequest().authenticated(); } //重写这个类中的AuthenticationManager @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); }}最后在测试连接时,一定要先打开redis,redis打开还不够,记得要在boot的资源文件里面写上redis的配置信息。然后就可以使用postman进行测试了。
2.3.3.4 认证过滤器
我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的userid。
使用userid去redis中获取对应的LoginUser对象。
然后封装Authentication对象存入SecurityContextHolder。
@Componentpublic class JwtAuthenticationTokenFilter extends OncePerRequestFilter { @Autowired private RedisCache redisCache; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { //获取token String token = request.getHeader("token"); if (!StringUtils.hasText(token)) {//如果没有携带token,那么直接放行,都没有token还怎么解析token //放行 filterChain.doFilter(request, response); return;//因为上面放行之后在所有的filter过完之后还会回到本过滤器中继续执行剩下的代码,如果不return,下面解析token肯定会报错(因为压根就没有token) } //解析token String userid; try { Claims claims = JwtUtil.parseJWT(token); userid = claims.getSubject();//之前封装的工具类中的方法,意思是直接拿到数据对象 } catch (Exception e) { e.printStackTrace(); throw new RuntimeException("token非法"); } //从redis中获取用户信息 String redisKey = "login:" + userid; LoginUser loginUser = redisCache.getCacheObject(redisKey); if(Objects.isNull(loginUser)){ throw new RuntimeException("用户未登录"); } //存入SecurityContextHolder //TODO 获取权限信息封装到Authentication中 //这里需要封装成authentication对象是因为setAuthentication方法中的参数是该类型 //另外这里使用三个参数的重载形式方法的原因是该方法会帮我们自动设置该authentication已认证,这样后面的filter才能顺利执行 //第三个参数就是权限信息 UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,null); SecurityContextHolder.getContext().setAuthentication(authenticationToken); //放行 filterChain.doFilter(request, response); }}上面代码中我们选择继承OncePerRequestFilter是因为这个实现类可以保证我们的请求只会经过该过滤器一次。该过滤器的存在就会让前端的每次请求都被该过滤器捕获,处理完我们的需求之后再放行。
为什么最后一定要放入SecurityContextHolder?
因为后面的过滤器需要使用SecurityContextHolder中所存入的用户信息进行认证比对。
这里有一个很重要的点,security的过滤器链是由它自己内部的代码去维护的,我们刚刚自己写的过滤器只是注入到了spring容器当中,security根本不知道该filter的存在,所以我们需要将自己写的过滤器配置进入security中,另外在该过滤器加入了security中之后,我们也必须指定其在security中的过滤器执行顺序,不然就没效果了,所以我们需要去security的配置类中进行相应的配置:
@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } @Autowired JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter; @Override protected void configure(HttpSecurity http) throws Exception { http //关闭csrf .csrf().disable() //不通过Session获取SecurityContext .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() // 对于登录接口 允许匿名访问 .antMatchers("/user/login").anonymous() // 除上面外的所有请求全部需要鉴权认证 .anyRequest().authenticated(); //把token校验过滤器添加到过滤器链中 //该方法第一个参数写我们需要添加的过滤器,第二个参数写我们要在哪个过滤器之前执行的那个过滤器的字节码对象 http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); }}2.3.3.5 退出登陆
我们只需要定义一个登陆接口,然后获取SecurityContextHolder中的认证信息,进而删除redis中对应的数据即可,这样当退出登录再次请求时因为和redis中的用户信息匹配不上(因为redis中已经没有该值了)肯定就无法访问了。
@Servicepublic class LoginServiceImpl implements LoginServcie { @Autowired private AuthenticationManager authenticationManager; @Autowired private RedisCache redisCache; @Override public ResponseResult login(User user) { UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword()); Authentication authenticate = authenticationManager.authenticate(authenticationToken); if(Objects.isNull(authenticate)){ throw new RuntimeException("用户名或密码错误"); } //使用userid生成token LoginUser loginUser = (LoginUser) authenticate.getPrincipal(); String userId = loginUser.getUser().getId().toString(); String jwt = JwtUtil.createJWT(userId); //authenticate存入redis redisCache.setCacheObject("login:"+userId,loginUser); //把token响应给前端 HashMap<String,String> map = new HashMap<>(); map.put("token",jwt); return new ResponseResult(200,"登陆成功",map); }//退出登录的接口服务实现 @Override public ResponseResult logout() { //获取SecurityContextHolder中的用户Id Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); LoginUser loginUser = (LoginUser) authentication.getPrincipal(); Long userid = loginUser.getUser().getId(); //通过该userId删除redis中的用户信息 redisCache.deleteObject("login:"+userid); return new ResponseResult(200,"退出成功"); }}