Spring Security權限控制
入門案例
1.導包
<!-- 安全架構 -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>${spring.security.version}</version>
</dependency>
2.web.xml
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd" >
<web-app>
<display-name>Archetype Created Web Application</display-name>
<filter>
<!--
DelegatingFilterProxy用于整合第三方架構
整合Spring Security時過濾器的名稱必須為springSecurityFilterChain,
否則會抛出NoSuchBeanDefinitionException異常
-->
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<!-- 指定加載的配置檔案 ,通過參數contextConfigLocation加載 -->
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>*.do</url-pattern>
</servlet-mapping>
</web-app>
3.index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
hello spring security!!
</body>
</html>
4.spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--
http:用于定義相關權限控制
auto-config:是否自動配置.
設定為true時架構會提供預設的一些配置,例如提供預設的登入頁面、登出處理等
設定為false時需要顯示提供登入表單配置,否則會報錯
use-expressions:用于指定intercept-url中的access屬性是否使用spring security提供的表達式來描述權限
-->
<security:http auto-config="true" use-expressions="true">
<!--
intercept-url:用于配置攔截規則
pattern:描述攔截規則,對哪些url進行權限控制,/** 表示攔截所有請求
access:在請求對應的URL時需要什麼權限,預設配置時它應該是一個以逗号分隔的角色清單,請求的使用者隻需擁有其中的一個角色就能成功通路對應的URL
hasRole('ROLE_ADMIN'):指定所需要的角色,如果寫的是ADMIN角色,架構會自動加上字首ROLE
isAuthenticated():隻要認證通過就可以通路
hasAuthority('add'):擁有add權限就可以通路
-->
<security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"/>
</security:http>
<!--authentication-manager:認證管理器,用于處理認證操作-->
<security:authentication-manager>
<!--authentication-provider:認證提供者,執行具體的認證邏輯 -->
<security:authentication-provider>
<!--user-service:用于擷取使用者資訊,提供給authentication-provider進行認證 -->
<security:user-service>
<!--
user:定義使用者資訊,可以指定使用者名、密碼、角色,後期可以改為從資料庫查詢使用者資訊
{noop}:表示目前使用的密碼為明文
-->
<security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" />
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
5.效果
- 不能直接通路index.html
- 需要輸入登入名和密碼
- 這是springsecurity架構自動為我們提供的登入界面
入門案例改進
1.配置可匿名通路的資源
第一步:在項目中建立pages目錄,在pages目錄中建立a.html和b.html
第二步:在spring-security.xml檔案中配置,指定哪些資源可以匿名通路
<!--http:用于定義相關權限控制 指定哪些資源不需要進行權限校驗,可以使用通配符 -->
<security:http security="none" pattern="/pages/a.html" />
<security:http security="none" pattern="/paegs/b.html" />
<security:http security="none" pattern="/pages/**"></security:http>
- 注意:這個配置必須放在patten="/**"配置之前
2.使用指定的登入頁面
第一步:提供login.html作為項目的登入頁面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登入頁面</title>
</head>
<body>
<h3>自定義登入頁面</h3>
<form action="/login.do" method="post">
username:<input type="text" name="username"><br>
password:<input type="password" name="password"><br>
<input type="submit" value="登入">
</form>
</body>
</html>
第二步:修改spring-security.xml檔案,指定login.html頁面可以匿名通路
第三步:修改spring-security.xml檔案,加入表單登入資訊的配置
<!--如果我們要使用自己指定的頁面作為登入頁面,必須配置登入表單.頁面送出的登入表單請求是由架構負責處理-->
<!--
login-page:指定登入頁面通路URL
-->
<security:form-login
login-page="/login.html"
username-parameter="username"
password-parameter="password"
login-processing-url="/login.do"
default-target-url="/index.html"
authentication-failure-url="/login.html"/>
<!--
csrf:對應CsrfFilter過濾器
disabled:是否啟用CsrfFilter過濾器,如果使用自定義登入頁面需要關閉此項,否則登入操作會被禁用(403)
-->
<security:csrf disabled="true"/>
3.從資料庫查詢使用者資訊
如果我們要從資料庫動态查詢使用者資訊,就必須按照spring security架構的要求提供一個實作UserDetailsService接口的實作類,并按照架構的要求進行配置即可。架構會自動調用實作類中的方法并自動進行密碼校驗。
實作類代碼:
public class SpringSecurityService implements UserDetailsService {
//用Map封裝兩個User對象,模拟從資料庫中查詢
private static Map<String, User> map = new HashMap<>();
static {
User user1 = new User();
user1.setUsername("admin");
user1.setPassword("admin");//明文密碼(沒有加密)
User user2 = new User();
user2.setUsername("xiaoming");
user2.setPassword("123");//明文密碼(沒有加密)
map.put(user1.getUsername(),user1);
map.put(user2.getUsername(),user2);
}
//根據使用者輸入的使用者名查詢使用者資訊
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
System.out.println("使用者輸入的使用者名為:" + username);
User user = map.get(username);//模拟查詢根據使用者名查詢資料庫
if (user == null){
return null;
}else {
//将使用者資訊傳回給架構
//架構會進行密碼比對(頁面送出的密碼和資料庫中查詢的密碼進行比對)
List<GrantedAuthority> list = new ArrayList<>();
//為目前登入使用者授權,後期需要改為從資料庫查詢目前使用者對應的權限
list.add(new SimpleGrantedAuthority("權限A"));//授權
list.add(new SimpleGrantedAuthority("權限B"));
if (username.equals("xiaoming")){
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
}
org.springframework.security.core.userdetails.User securityUser =
new org.springframework.security.core.userdetails.User(username,"{noop}"+user.getPassword(),list);
return securityUser;
}
}
}
spring-security.xml
<!--authentication-manager:認證管理器,用于處理認證操作-->
<security:authentication-manager>
<!--authentication-provider:認證提供者,執行具體的認證邏輯 -->
<security:authentication-provider user-service-ref="userService"/>
</security:authentication-manager>
<bean id="userService" class="com.lw.service.SpringSecurityService"/>
4.對密碼進行加密
前面我們使用的密碼都是明文的,這是非常不安全的。一般情況下使用者的密碼需要進行加密後再儲存到資料庫中。
常見的密碼加密方式有:
3DES、AES、DES:使用對稱加密算法,可以通過解密來還原出原始密碼
MD5、SHA1:使用單向HASH算法,無法通過計算還原出原始密碼,但是可以建立彩虹表進行查表破解
bcrypt:将salt随機并混入最終加密後的密碼,驗證時也無需單獨提供之前的salt,進而無需單獨處理salt問題
bcrypt加密後的格式一般為:
$2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa
第一步:在spring-security.xml檔案中指定密碼加密對象
<!--authentication-manager:認證管理器,用于處理認證操作-->
<security:authentication-manager>
<!--authentication-provider:認證提供者,執行具體的認證邏輯 -->
<security:authentication-provider user-service-ref="userService1">
<!--配置加密政策-->
<security:password-encoder ref="passwordEncoder"/>
</security:authentication-provider>
</security:authentication-manager>
<bean id="userService1" class="com.lw.service.SpringSecurityService1"/>
<!--配置密碼加密對象-->
<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
第二步:修改UserService實作類
public class SpringSecurityService1 implements UserDetailsService {
@Autowired
private BCryptPasswordEncoder passwordEncoder;
//模拟資料庫中的使用者資料
public Map<String, User> map = new HashMap<>();
public void initUserData(){
User user1 = new User();
user1.setUsername("admin");
user1.setPassword(passwordEncoder.encode("admin"));//使用bcrypt提供的方法對密碼進行加密
User user2 = new User();
user2.setUsername("xiaoming");
user2.setPassword(passwordEncoder.encode("123"));
map.put(user1.getUsername(),user1);
map.put(user2.getUsername(),user2);
}
//根據使用者名查詢使用者資訊
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
initUserData();
System.out.println("使用者輸入的使用者名為:" + username);
//根據使用者名查詢資料庫獲得使用者資訊(包含資料庫中存儲的密碼資訊)
User user = map.get(username);//模拟查詢根據使用者名查詢資料庫
if(user == null){
//使用者名不存在
return null;
}else{
//将使用者資訊傳回給架構
//架構會進行密碼比對(頁面送出的密碼和資料庫中查詢的密碼進行比對)
List<GrantedAuthority> list = new ArrayList<>();
//為目前登入使用者授權,後期需要改為從資料庫查詢目前使用者對應的權限
list.add(new SimpleGrantedAuthority("permission_A"));//授權
list.add(new SimpleGrantedAuthority("permission_B"));
if(username.equals("admin")){
list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
list.add(new SimpleGrantedAuthority("add"));//授權
}
org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);
return securityUser;
}
}
}
5.配置多種校驗規則
spring-security.xml
<!--隻要認證通過就可以通路-->
<security:intercept-url pattern="/pages/a.html" access="isAuthenticated()" />
<!--擁有add權限就可以通路b.html頁面-->
<security:intercept-url pattern="/pages/b.html" access="hasAuthority('add')" />
<!--擁有ROLE_ADMIN角色就可以通路c.html頁面-->
<security:intercept-url pattern="/pages/c.html" access="hasRole('ROLE_ADMIN')" />
<!--擁有ROLE_ADMIN角色就可以通路d.html頁面,
注意:此處雖然寫的是ADMIN角色,架構會自動加上字首ROLE_-->
<security:intercept-url pattern="/pages/d.html" access="hasRole('ADMIN')" />
6.注解方式權限控制
第一步:在spring-security.xml檔案中配置元件掃描,用于掃描Controller
<mvc:annotation-driven/>
<context:component-scan base-package="com.lw.controller"/>
第二步:在spring-security.xml檔案中開啟權限注解支援
<!--開啟注解方式權限控制-->
<security:global-method-security pre-post-annotations="enabled" />
第三步:建立Controller類并在Controller的方法上加入注解進行權限控制
@RestController
@RequestMapping("/hello")
public class HelloController {
@RequestMapping("/add")
@PreAuthorize("hasAuthority('add')")
public String add(){
System.out.println("add");
return "add";
}
@RequestMapping("/delete")
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String delete(){
System.out.println("delete");
return "delete";
}
}
7.登出
使用者完成登入後Spring Security架構會記錄目前使用者認證狀态為已認證狀态,即表示使用者登入成功了。那使用者如何登出呢?我們可以在spring-security.xml檔案中進行如下配置:
<!--
logout:登出
logout-url:登出操作對應的請求路徑
logout-success-url:登出後的跳轉頁面
-->
<security:logout logout-url="/logout.do"
logout-success-url="/login.html" invalidate-session="true"/>