快捷導(dǎo)航

一文詳解Spring Security的基本用法

更新時(shí)間：2022年05月19日 17:03:28 作者：北根娃

Spring Security是一個(gè)功能強(qiáng)大且高度可定制的身份驗(yàn)證和訪問控制框架, 提供了完善的認(rèn)證機(jī)制和方法級(jí)的授權(quán)功能。本文將通過一個(gè)簡(jiǎn)單的案例了解一下Spring Security的基本用法，需要的可以參考一下

Spring Security是一個(gè)功能強(qiáng)大且高度可定制的身份驗(yàn)證和訪問控制框架, 提供了完善的認(rèn)證機(jī)制和方法級(jí)的授權(quán)功能。是一款非常優(yōu)秀的權(quán)限管理框架。它的核心是一組過濾器鏈，不同的功能經(jīng)由不同的過濾器。今天通過一個(gè)簡(jiǎn)單的案例了解一下Spring Security的基本用法

1.引入依賴

在項(xiàng)目中引入Spring Security依賴，代碼如下：

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

引入依賴后，整個(gè)項(xiàng)目都被Spring Security保護(hù)起來(lái)，所有的接口都要登錄之后才能訪問了，例如，我需要訪問/doc.html接口文檔，直接跳到登錄頁(yè)面。如下圖：

這時(shí)，你會(huì)有十萬(wàn)個(gè)為什么啦？這個(gè)頁(yè)面哪里的？這個(gè)用戶名和密碼是啥？等等。不著急，聽我一一道來(lái)。

2.用戶名和密碼在哪里設(shè)置

當(dāng)我們引入了Spring Secruity依賴后，啟動(dòng)項(xiàng)目之后，密碼就會(huì)在控制臺(tái)中輸出的，格式是UUID，每一次啟動(dòng)密碼都不一樣的，而用戶名是默認(rèn)是User的。

Using generated security password: 8b2d752b-8892-4cd3-a7a9-a36e79e1cad8

我們可以通過項(xiàng)目的配置文件自定義用戶名和密碼的，代碼如下，這樣每次重啟項(xiàng)目，用戶名和密碼都是固定不變的。

spring:
  security:
      user:
        name: didiplus
        password: didiplus

3.UserDetailsService接口詳解

UserDetailsService接口只有一個(gè)抽象方法就是loadUserByUsername(String username)。代碼如下：

public interface UserDetailsService {

	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}

UserDetailsService接口的返回值是UserDetails接口，這又是一個(gè)接口，Spring Security框架提供了它的實(shí)現(xiàn)類org.springframework.security.core.userdetails包下的User類對(duì)象。userdetails源碼如下：

Spring Security提供了三個(gè)UserDetailsService接口的實(shí)現(xiàn)類，分別是CachingUserDetailsService，JdbcDaoImpl，InMemoryUserDetailsManager

3.1JdbcDaoImpl實(shí)現(xiàn)類

該實(shí)現(xiàn)類是通過數(shù)據(jù)庫(kù)獲取用戶名和密碼，JdbcUserDetailsManager中定義了一大堆SQL語(yǔ)句，如下：

接著我們?cè)诳匆幌?code>JdbcDaoImpl中的loadUsersByUsername方法，如下：

3.2InMemoryUserDetailsManager實(shí)現(xiàn)類

以上代碼是判斷內(nèi)存中的HashMap集合中是否有用戶數(shù)據(jù)對(duì)應(yīng)的User對(duì)象，如果沒有，直接拋出異常，如果有就返回該用戶的User對(duì)象信息。

以上代碼是把配置文件中的User相關(guān)信息讀取到。通過分析源碼發(fā)現(xiàn) Spring Security框架完成用戶登錄認(rèn)證的核心就在與org.springframework.security.core.userdetails包下的UserDetailsService接口。

3.3自定義實(shí)現(xiàn)類實(shí)現(xiàn)UserDetailsService接口

自定義實(shí)現(xiàn)類MyUserDetailsServiceImpl，代碼如下：

@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {

    private static  final  String USERNAME="admin";
    private static  final  String PASSWORD="admin123";

 

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (!USERNAME.equals(username)){
            throw new UsernameNotFoundException("用戶名不存在");
        }
        UserDetails userDetails =  new User(USERNAME,PASSWORD, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,common"));
        return userDetails;
    }
}

重啟項(xiàng)目看看，輸入定義的用戶名和密碼，發(fā)現(xiàn)登錄不了，查看控制臺(tái)發(fā)現(xiàn)報(bào)錯(cuò)，提示如下：

報(bào)錯(cuò)的原因是沒有使用任何的PasswordEncoder，我們輸入的密碼沒有用加密工具進(jìn)行加密。 Spring Security其實(shí)已經(jīng)給我們提供了很多的PasswordEncoder 。在org.springframework.security.crypto.password包下有一個(gè)PasswordEncoder接口，看看他的實(shí)現(xiàn)類

把這個(gè)PasswordEncoder的任意一個(gè)我們需要用來(lái)加密密碼的實(shí)現(xiàn)類的Bean注入到容器里面，就可以直接拿來(lái)使用，代碼如下：

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

修改MyUserDetailsServiceImpl類如下：

@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {

    private static  final  String USERNAME="admin";
    private static  final  String PASSWORD="admin123";

    @Resource
    BCryptPasswordEncoder cryptPasswordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (!USERNAME.equals(username)){
            throw new UsernameNotFoundException("用戶名不存在");
        }
        UserDetails userDetails =  new User(USERNAME,cryptPasswordEncoder.encode(PASSWORD), AuthorityUtils.commaSeparatedStringToAuthorityList("admin,common"));
        return userDetails;
    }
}

重啟項(xiàng)目再次測(cè)試，輸入定義的賬號(hào)和密碼。即可訪問到接口文檔頁(yè)面。

4.如何修改登錄頁(yè)面

覺得默認(rèn)的登錄頁(yè)面很丑，我們?nèi)绾味x自己的登錄頁(yè)面呢？方法也很簡(jiǎn)單，首先我們先去準(zhǔn)備一個(gè)登錄頁(yè)面。如下：

前端代碼如下：

<form action="/login" class="login-form" >
    <h1>登錄</h1>

    <div class="txtb">
        <input type="text" name="user">
        <span data-placeholder="Username"></span>
    </div>

    <div class="txtb">
        <input type="password" name="pass">
        <span data-placeholder="Password"></span>
    </div>
    <input type="submit" class="logbtn" value="登錄">

    <div class="bottom-text">
        Don't have account? <a href="#" rel="external nofollow" >Sign up</a>
    </div>

</form>

把登錄頁(yè)面文件存放到項(xiàng)目的資源文件夾中static目錄下,然后在SecurityConfig重寫configure(HttpSecurity http)這個(gè)方法，代碼如下：

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login.html") #自定義登錄頁(yè)面
                .usernameParameter("user") #對(duì)應(yīng)前端表達(dá)name屬性
                .passwordParameter("pass") #對(duì)應(yīng)前端表達(dá)name屬性
                .loginProcessingUrl("/login")
                .defaultSuccessUrl("/doc.html") #登錄成功后跳轉(zhuǎn)的頁(yè)面地址
                .failureUrl("/login?error=true")
                .and()
                .authorizeRequests()
                .antMatchers("/login.html").permitAll() #放通登錄頁(yè)面
                .anyRequest().authenticated(); #其他請(qǐng)求都要認(rèn)證
        http.csrf().disable();
    }

重新啟動(dòng)項(xiàng)目，輸入定義的用戶名和密碼，登錄成功直接跳轉(zhuǎn)到/doc.html。

antMatchers("url").permitAll() 是把某個(gè)url放通，不需要登錄就能訪問。

到此這篇關(guān)于一文詳解Spring Security的基本用法的文章就介紹到這了,更多相關(guān)Spring Security用法內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: