通過前面的學(xué)習(xí)我們可以使用spring security完成簡單的認證和授權(quán)，但是實際項目中用戶的數(shù)據(jù)往往都是存在數(shù)據(jù)庫中，登錄頁面也需要可以自由定制，下面我們就來學(xué)習(xí)使用spring security如何完成

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴，公司提供的服務(wù)項目有：國際域名空間、網(wǎng)絡(luò)空間、營銷軟件、網(wǎng)站建設(shè)、陜西網(wǎng)站維護、網(wǎng)站推廣。

?

創(chuàng)建mavean項目選擇模板 mavean-archetype-webapp

?

1.1?????自定義登錄頁面：

?

創(chuàng)建登錄頁面，結(jié)構(gòu)如下：

?

在WEBCONFIG.java中配置認證頁面地址

//默認Url根路徑跳轉(zhuǎn)到/login，此url為spring security提供
@Configuration
public classWebConfigimplementsWebMvcConfigurer {
???@Override
???public voidaddViewControllers(ViewControllerRegistry registry) {
??????? registry.addViewController("/").setViewName("redirect:/login-view");
??????? registry.addViewController("/login-view").setViewName("login");
??? }
}

安全配置：

在WebSecurityConfig中配置表單登錄信息：

http
??????? .authorizeRequests()
??????? .antMatchers("/r/**").authenticated()
??????? .anyRequest().permitAll()
??????? .and()
??????? .formLogin()
??????? .loginPage("/login-view")
??????? .loginProcessingUrl("/login")
??????? .successForwardUrl("/login-success")
??????? .permitAll();

（1）?允許表單登錄

（2）?指定自己的登錄頁以重定向方式跳轉(zhuǎn)到/login-view

（3）?指定登錄處理的url也就是填寫用戶名密碼以后提交到的地址

（4）?指定登錄成功后跳轉(zhuǎn)到的URL

（5）?允許所有用戶登錄以后訪問所有URL

?

測試：

輸入用戶名密碼點擊登錄報403錯

?

問題解決：

Spring security為防止CSRF(跨站請求偽造)的發(fā)生,限制除了get以外的大多數(shù)方法。

屏蔽CSRF控制,即spring security不再限制CSRF

配置WebSecurityConfig

protected voidconfigure(HttpSecurity http)throwsException {
??? http.csrf().disable();

…

}

?

?

連接數(shù)據(jù)庫

前面的例子我們是將用戶的信息保存在內(nèi)存中，實際項目中往往是從數(shù)據(jù)庫中讀取用戶的信息進行驗證，下面看看如何使用數(shù)據(jù)庫中的用戶信息進行登錄，根據(jù)前面的研究我們知道只需要重新定義UserDetailService即可實現(xiàn)根據(jù)用戶賬號查詢數(shù)據(jù)庫。

?

1.??????創(chuàng)建數(shù)據(jù)庫

創(chuàng)建user_db數(shù)據(jù)庫

CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';

2.創(chuàng)建t_user表

CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC

3.定義dataSource在application.properties配置

spring.datasource.url=jdbc:MySQL://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

4.添加依賴

<dependency>
??? <groupId>org.springframework.bootgroupId>
??? <artifactId>spring-boot-starter-testartifactId>
??? <scope>testscope>
dependency>
<dependency>
??? <groupId>org.springframework.bootgroupId>
??? <artifactId>spring-boot-starter-jdbcartifactId>
dependency>
<dependency>
??? <groupId>mysqlgroupId>
??? <artifactId>mysql-connector-javaartifactId>
??? <version>5.1.47version>
dependency>

5.定義實體類

@Data
public classUserDto {
???privateStringid;
???privateStringusername;
???privateStringpassword;
???privateStringfullname;
???privateStringmobile;
}

6.定義數(shù)據(jù)訪問類

@Repository
public classUserDao {
???@Autowired
???JdbcTemplatejdbcTemplate;
???publicUserDto getUserByUsername(String username){
??????? String sql ="select id,username,password,fullname from t_user where username = ?";
??????? List list =jdbcTemplate.query(sql,newObject[]{username},new
???????????????BeanPropertyRowMapper<>(UserDto.class));
???????if(list ==null&& list.size() <=0){
???????????return null;
??????? }
???????returnlist.get(0);
??? }
}

7.定義UserDetailService

在service包下定義SpringDataUserDetailsService實現(xiàn)UserDetailService接口

@Service
public classSpringDataUserDetailsServiceimplementsUserDetailsService {
???@Autowired
???UserDaouserDao;
???@Override
???publicUserDetails loadUserByUsername(String username)throwsUsernameNotFoundException {
???????//登錄賬號
???????System.out.println("username="+username);
???????//根據(jù)賬號去數(shù)據(jù)庫查詢...
???????UserDto user =userDao.getUserByUsername(username);
???????if(user ==null){
???????????return null;
??????? }
???????//這里暫時使用靜態(tài)數(shù)據(jù)
???????UserDetails userDetails =
??????????????? User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
???????returnuserDetails;
??? }

}

8.測試

9. 使用BcryptPasswordEncoder

在安全配置類中定義BcryptPasswordEncoder

@Bean
publicPasswordEncoder passwordEncoder() {
???return newBCryptPasswordEncoder();
}

UserDetails中的密碼存儲BCrypt格式

前邊實現(xiàn)了從數(shù)據(jù)庫查詢用戶信息，所以數(shù)據(jù)庫中的密碼應(yīng)該存儲BCrypt格式

10.修改LoginController獲取用戶身份信息

@RestController
public classLoginController {
???/**
???? *用戶登錄成功
???? * @return
????*/
???@RequestMapping(value ="/login‐success",produces = {"text/plain;charset=UTF‐8"})
???publicString loginSuccess() {
??????? String username = getUsername();
???????returnusername +"登錄成功";
??? }

???/**
???? *獲取當(dāng)前登錄用戶名
???? * @return
????*/
???privateString getUsername(){
??????? Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
???????if(!authentication.isAuthenticated()){
???????????return null;
??????? }
??????? Object principal = authentication.getPrincipal();
??????? String username =null;
???????if(principalinstanceoforg.springframework.security.core.userdetails.UserDetails) {
??????????? username =
??????????????????? ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
??????? }else{
??????????? username = principal.toString();
??????? }
???????returnusername;
??? }

@GetMapping(value ="/r/r1",produces = {"text/plain;charset=UTF‐8"})
publicString r1(){
??????? String username = getUsername();
???????returnusername +"訪問資源1";
??????? }

@GetMapping(value ="/r/r2",produces = {"text/plain;charset=UTF‐8"})
publicString r2(){
??????? String username = getUsername();
???????returnusername +"訪問資源2";
??????? }


}

?

11.測試

?

12.會話控制：

我們可以通過以下選項控制會話何時創(chuàng)建

Always 如果沒有session存在就創(chuàng)建一個

ifRequired 如果需要就創(chuàng)建一個session登錄時

never: Spring Security將不會創(chuàng)建session,但是如果應(yīng)用中其它地方創(chuàng)建了session,那么spring security將會使用它

stateless:Spring Security將不會創(chuàng)建Session也不會使用Session

?

通過以下方式對該選項進行配置：

在WebSecurityConfig.java中加上:

protected voidconfigure(HttpSecurity http)throwsException {
??? http.sessionManagement()
??????????? .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);

…

}

默認情況下Spring Security會為每一個登錄成功的用戶創(chuàng)建一個Session,就是IF_REQUIRED

若選用never則指示Spring Security對登錄成功的用戶不創(chuàng)建Session了，但若你的應(yīng)用程序在某地方新建了Session,那么Spring Security會用它的。

若使用stateless,則Spring Security對登錄成功的用戶不會創(chuàng)建Session,你的應(yīng)用程序也不會創(chuàng)建Session,每個請求都需要重新進行身份驗證，這種無狀態(tài)架構(gòu)適用于Rest API及其無狀態(tài)認證機制。

?

會話超時：

可以設(shè)置Session超時時間,比如設(shè)置Session有效期為 3600秒：

在Spring Security配置文件中：

server.servlet.session.timeout=3600s

?

安全會話cookie

httpOnly:如果為true那么瀏覽器腳本無法訪問cookie

secure：如果為true則cookie將僅通過Https連接發(fā)送

server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true

?

13.退出

Spring Security默認幫我們實現(xiàn)了退出功能,訪問/logout就可以實現(xiàn)退出

自定義退出成功頁面：

.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");

?

當(dāng)執(zhí)行退出時將會完成以下動作：

1.?session失效

2.?清除SecurityContextHolder

3.?跳轉(zhuǎn)到/login-view?logout

如果想進一步配置退出功能可以如下配置：

?

.logout() ?????????????????????????????????????????(1)
.logoutUrl("/logout") ?????????????????????????????(2)
.logoutSuccessUrl("/login‐view?logout")????? ??????(3)
.logoutSuccessHandler(logoutSuccessHandler) ?????(4)
.addLogoutHandler(logoutHandler)??????????? ??(5)
.invalidateHttpSession(true); ????????????????????(6)

(1)???提供系統(tǒng)退出支持

(2)???設(shè)置觸發(fā)退出操作的url,默認是/logout

(3)???退出之后跳轉(zhuǎn)的url,默認是/login?logout

(4)???定制的LogoutSuccessHandler,用于實現(xiàn)用戶退出成功時的處理，如果指定了這個選項則logoutSuccessUrl()的設(shè)置會被忽略

(5)???添加一個logoutHandler,用于實現(xiàn)用戶退出時的清理工作，

(6)???指定在用戶退出時是否讓HttpSession無效，默認為true

注意：如果讓logout在Get請求下生效,必須關(guān)閉防止csrf***的csrf().disable().如果開啟了CSRF,必須使用post方式請求/logout