摘要:導讀在上一篇文章中對集成做了一個簡單的介紹�����,這篇文章中主要圍繞集成展開文章末尾附有學習資料。當我們使用元素來定義一個時���,如果沒有指定對應(yīng)關(guān)聯(lián)的對象��,默認會使用��。在進行認證的時候需要一個來獲取用戶的信息����,其中包括用戶名密碼和所擁有的權(quán)限等���。
導讀
在上一篇文章中對Spring Boot 集成Shrio做了一個簡單的介紹�����,這篇文章中主要圍繞Spring Boot 集成 Spring Security展開,文章末尾附有學習資料���。
快速上手:
1.引入pom依賴
org.springframework.boot
spring-boot-starter-security
2.實現(xiàn)一個簡單的用戶權(quán)限類
用戶權(quán)限功能的設(shè)計不是本篇文章的重點�,這里以一個簡單的例子作為演示�����,需要創(chuàng)建兩個實體類一個枚舉類
用戶類:
@JsonIgnoreProperties(value = { "hibernateLazyInitializer","password" ,"new"})
@DynamicUpdate
@Entity
public class User extends AbstractPersistable {
private static final long serialVersionUID = 2080627010755280022L;
private String userName;
@Column(unique = true, updatable = false)
private String loginName;
private String password;
@ManyToMany(cascade = CascadeType.ALL, fetch = FetchType.EAGER)
@JoinTable(name = "user_role", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "role_id"))
private Set roles;
/**省略get/set**/
}
角色類別:
public enum RoleType {
//級別從高到低 ADMIN->USER
ADMIN,//管理員
USER//普通用戶
}
角色類:
@Entity
public class Role extends AbstractPersistable {
private static final long serialVersionUID = -856234002396786101L;
@Enumerated(EnumType.STRING)
@Column(name = "role_name", unique = true)
private RoleType roleType;
}
3.定制自己的配置
首先需要從數(shù)據(jù)庫中查詢出來用戶數(shù)據(jù)交給Spring Security這里有兩種主要的方式:
AuthenticationProvider&&UserDetailsService兩種方式的介紹:
Spring Security認證是由 AuthenticationManager 來管理的�����,但是真正進行認證的是 AuthenticationManager 中定義的 AuthenticationProvider�。AuthenticationManager 中可以定義有多個 AuthenticationProvider。當我們使用 authentication-provider 元素來定義一個 AuthenticationProvider 時����,如果沒有指定對應(yīng)關(guān)聯(lián)的 AuthenticationProvider 對象,Spring Security 默認會使用 DaoAuthenticationProvider���。DaoAuthenticationProvider 在進行認證的時候需要一個 UserDetailsService 來獲取用戶的信息 UserDetails����,其中包括用戶名、密碼和所擁有的權(quán)限等���。所以如果我們需要改變認證的方式���,我們可以實現(xiàn)自己的 AuthenticationProvider;如果需要改變認證的用戶信息來源�,我們可以實現(xiàn) UserDetailsService。
a.實現(xiàn)UserDetailsService 接口
public class CustomUserDetailsService implements UserDetailsService {
@Autowired UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByLoginName(username);
if(user == null){
throw new UsernameNotFoundException("not found");
}
List authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority(user.getRole().name()));
System.err.println("username is " + username + ", " + user.getRole().name());
return new org.springframework.security.core.userdetails.User(user.getUsername(),
user.getPassword(), authorities);
}
}
將自己的配置托管給Sprng 管理,Security為我們提供了WebSecurityConfigurerAdapter 我們只需要根據(jù)自己的需要進行繼承重寫即可
@Configuration
@EnableWebMvcSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
@Bean
public UserDetailsService userDetailsService() {
return new CustomUserDetailsService();
}
@Override
protected void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.userDetailsService(userDetailsService());
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/index").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.defaultSuccessUrl("/admin")
.permitAll()
.and()
.logout()
.permitAll();
}
}
b.實現(xiàn) AuthenticationProvider接口
@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {
private static final Logger logger = LoggerFactory.getLogger(CustomAuthenticationProvider.class);
@Autowired
private UserRepository userRepository;
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
String loginName = authentication.getName();
String password = authentication.getCredentials().toString();
List grantedAuths = new ArrayList<>();
if (vaildateUser(loginName, password, grantedAuths)) {
Authentication auth = new UsernamePasswordAuthenticationToken(loginName, password, grantedAuths);
return auth;
} else {
return null;
}
}
public boolean vaildateUser(String loginName, String password, List grantedAuths) {
User user = userRepository.findByLoginName(loginName);
if (user == null || loginName == null || password == null) {
return false;
}
if (user.getPassword().equals(SHA.getResult(password)) && user.getUserStatus().equals(UserStatus.NORMAL)) {
Set roles = user.getRoles();
if (roles.isEmpty()) {
grantedAuths.add(new SimpleGrantedAuthority(RoleType.USER.name()));
}
for (Role role : roles) {
grantedAuths.add(new SimpleGrantedAuthority(role.getRoleType().name()));
logger.debug("username is " + loginName + ", " + role.getRoleType().name());
}
return true;
}
return false;
}
@Override
public boolean supports(Class authentication) {
return authentication.equals(UsernamePasswordAuthenticationToken.class);
}
}
將配置托管給Spring
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CustomAuthenticationProvider customAuthenticationProvider;
@Override
protected void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.authenticationProvider(customAuthenticationProvider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/index").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.defaultSuccessUrl("/admin")
.permitAll()
.and()
.logout()
.permitAll();
}
}
4.添加角色驗證
我們將用戶分成了管理員與普通用戶,用戶頁面對用戶與管理可見,管理員頁面只對管理員可見
@Controller
public class UserController {
PreAuthorize("hasAnyAuthority("ADMIN","USER")")
@GetMapping("/user")
public String user(){
return "user";
}
@PreAuthorize("hasAnyAuthority("ADMIN")")@
@GetMapping("/admin")
public String admin(){
return "admin";
}
}
Spring Security雖然要比Apache Shiro功能強大���,但作為Spring 自家的應(yīng)用與Spring 整合確實非常簡單��,同樣Spring Security 學習成本要比Apache Shiro高�。
結(jié)語
這篇文章是匆忙中擠時間趕工出來的產(chǎn)物����,有些地方也許寫的有些問題��,歡迎提出反饋�����。下篇文章打算用之前所學的技術(shù)做一個簡單的項目����,正在想做什么���,歡迎提出建議。
學習資料:
Spring Security 中文參考手冊
Spring Security系列博客
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/66915.html
