重慶分公司
SpringSecurity六:自定義認證
通過前面的學習我們可以使用spring security完成簡單的認證和授權,但是實際項目中用戶的數據往往都是存在數據庫中,登錄頁面也需要可以自由定制,下面我們就來學習使用spring security如何完成
讓客戶滿意是我們工作的目標,不斷超越客戶的期望值來自于我們對這個行業的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴,公司提供的服務項目有:國際域名空間、網絡空間、營銷軟件、網站建設、陜西網站維護、網站推廣。
?
創建mavean項目選擇模板 mavean-archetype-webapp
?
1.1?????自定義登錄頁面:
?
創建登錄頁面,結構如下:
?
在WEBCONFIG.java中配置認證頁面地址
//默認Url根路徑跳轉到/login,此url為spring security提供
@Configuration
public classWebConfigimplementsWebMvcConfigurer {
???@Override
???public voidaddViewControllers(ViewControllerRegistry registry) {
??????? registry.addViewController("/").setViewName("redirect:/login-view");
??????? registry.addViewController("/login-view").setViewName("login");
??? }
}
安全配置:
在WebSecurityConfig中配置表單登錄信息:
http
??????? .authorizeRequests()
??????? .antMatchers("/r/**").authenticated()
??????? .anyRequest().permitAll()
??????? .and()
??????? .formLogin()
??????? .loginPage("/login-view")
??????? .loginProcessingUrl("/login")
??????? .successForwardUrl("/login-success")
??????? .permitAll();
(1)?允許表單登錄
(2)?指定自己的登錄頁以重定向方式跳轉到/login-view
(3)?指定登錄處理的url也就是填寫用戶名密碼以后提交到的地址
(4)?指定登錄成功后跳轉到的URL
(5)?允許所有用戶登錄以后訪問所有URL
?
測試:
輸入用戶名密碼點擊登錄報403錯
?
問題解決:
Spring security為防止CSRF(跨站請求偽造)的發生,限制除了get以外的大多數方法。
屏蔽CSRF控制,即spring security不再限制CSRF
配置WebSecurityConfig
protected voidconfigure(HttpSecurity http)throwsException {
??? http.csrf().disable();
…
}
?
?
連接數據庫
前面的例子我們是將用戶的信息保存在內存中,實際項目中往往是從數據庫中讀取用戶的信息進行驗證,下面看看如何使用數據庫中的用戶信息進行登錄,根據前面的研究我們知道只需要重新定義UserDetailService即可實現根據用戶賬號查詢數據庫。
?
1.??????創建數據庫
創建user_db數據庫
CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';
2.創建t_user表
CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC
3.定義dataSource在application.properties配置
spring.datasource.url=jdbc:MySQL://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
4.添加依賴
<dependency>
??? <groupId>org.springframework.bootgroupId>
??? <artifactId>spring-boot-starter-testartifactId>
??? <scope>testscope>
dependency>
<dependency>
??? <groupId>org.springframework.bootgroupId>
??? <artifactId>spring-boot-starter-jdbcartifactId>
dependency>
<dependency>
??? <groupId>mysqlgroupId>
??? <artifactId>mysql-connector-javaartifactId>
??? <version>5.1.47version>
dependency>
5.定義實體類
@Data
public classUserDto {
???privateStringid;
???privateStringusername;
???privateStringpassword;
???privateStringfullname;
???privateStringmobile;
}
6.定義數據訪問類
@Repository
public classUserDao {
???@Autowired
???JdbcTemplatejdbcTemplate;
???publicUserDto getUserByUsername(String username){
??????? String sql ="select id,username,password,fullname from t_user where username = ?";
??????? Listlist =jdbcTemplate.query(sql,newObject[]{username},new
???????????????BeanPropertyRowMapper<>(UserDto.class));
???????if(list ==null&& list.size() <=0){
???????????return null;
??????? }
???????returnlist.get(0);
??? }
}
7.定義UserDetailService
在service包下定義SpringDataUserDetailsService實現UserDetailService接口
@Service
public classSpringDataUserDetailsServiceimplementsUserDetailsService {
???@Autowired
???UserDaouserDao;
???@Override
???publicUserDetails loadUserByUsername(String username)throwsUsernameNotFoundException {
???????//登錄賬號
???????System.out.println("username="+username);
???????//根據賬號去數據庫查詢...
???????UserDto user =userDao.getUserByUsername(username);
???????if(user ==null){
???????????return null;
??????? }
???????//這里暫時使用靜態數據
???????UserDetails userDetails =
??????????????? User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
???????returnuserDetails;
??? }
}
8.測試
9. 使用BcryptPasswordEncoder
在安全配置類中定義BcryptPasswordEncoder
@Bean
publicPasswordEncoder passwordEncoder() {
???return newBCryptPasswordEncoder();
}
UserDetails中的密碼存儲BCrypt格式
前邊實現了從數據庫查詢用戶信息,所以數據庫中的密碼應該存儲BCrypt格式
10.修改LoginController獲取用戶身份信息
@RestController
public classLoginController {
???/**
???? *用戶登錄成功
???? * @return
????*/
???@RequestMapping(value ="/login‐success",produces = {"text/plain;charset=UTF‐8"})
???publicString loginSuccess() {
??????? String username = getUsername();
???????returnusername +"登錄成功";
??? }
???/**
???? *獲取當前登錄用戶名
???? * @return
????*/
???privateString getUsername(){
??????? Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
???????if(!authentication.isAuthenticated()){
???????????return null;
??????? }
??????? Object principal = authentication.getPrincipal();
??????? String username =null;
???????if(principalinstanceoforg.springframework.security.core.userdetails.UserDetails) {
??????????? username =
??????????????????? ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
??????? }else{
??????????? username = principal.toString();
??????? }
???????returnusername;
??? }
@GetMapping(value ="/r/r1",produces = {"text/plain;charset=UTF‐8"})
publicString r1(){
??????? String username = getUsername();
???????returnusername +"訪問資源1";
??????? }
@GetMapping(value ="/r/r2",produces = {"text/plain;charset=UTF‐8"})
publicString r2(){
??????? String username = getUsername();
???????returnusername +"訪問資源2";
??????? }
}
?
11.測試
?
12.會話控制:
我們可以通過以下選項控制會話何時創建
Always 如果沒有session存在就創建一個
ifRequired 如果需要就創建一個session登錄時
never: Spring Security將不會創建session,但是如果應用中其它地方創建了session,那么spring security將會使用它
stateless:Spring Security將不會創建Session也不會使用Session
?
通過以下方式對該選項進行配置:
在WebSecurityConfig.java中加上:
protected voidconfigure(HttpSecurity http)throwsException {
??? http.sessionManagement()
??????????? .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
…
}
默認情況下Spring Security會為每一個登錄成功的用戶創建一個Session,就是IF_REQUIRED
若選用never則指示Spring Security對登錄成功的用戶不創建Session了,但若你的應用程序在某地方新建了Session,那么Spring Security會用它的。
若使用stateless,則Spring Security對登錄成功的用戶不會創建Session,你的應用程序也不會創建Session,每個請求都需要重新進行身份驗證,這種無狀態架構適用于Rest API及其無狀態認證機制。
?
會話超時:
可以設置Session超時時間,比如設置Session有效期為 3600秒:
在Spring Security配置文件中:
server.servlet.session.timeout=3600s
?
安全會話cookie
httpOnly:如果為true那么瀏覽器腳本無法訪問cookie
secure:如果為true則cookie將僅通過Https連接發送
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true
?
13.退出
Spring Security默認幫我們實現了退出功能,訪問/logout就可以實現退出
自定義退出成功頁面:
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");
?
當執行退出時將會完成以下動作:
1.?session失效
2.?清除SecurityContextHolder
3.?跳轉到/login-view?logout
如果想進一步配置退出功能可以如下配置:
?
.logout() ?????????????????????????????????????????(1)
.logoutUrl("/logout") ?????????????????????????????(2)
.logoutSuccessUrl("/login‐view?logout")????? ??????(3)
.logoutSuccessHandler(logoutSuccessHandler) ?????(4)
.addLogoutHandler(logoutHandler)??????????? ??(5)
.invalidateHttpSession(true); ????????????????????(6)
(1)???提供系統退出支持
(2)???設置觸發退出操作的url,默認是/logout
(3)???退出之后跳轉的url,默認是/login?logout
(4)???定制的LogoutSuccessHandler,用于實現用戶退出成功時的處理,如果指定了這個選項則logoutSuccessUrl()的設置會被忽略
(5)???添加一個logoutHandler,用于實現用戶退出時的清理工作,
(6)???指定在用戶退出時是否讓HttpSession無效,默認為true
注意:如果讓logout在Get請求下生效,必須關閉防止csrf***的csrf().disable().如果開啟了CSRF,必須使用post方式請求/logout
分享名稱:SpringSecurity六:自定義認證
文章鏈接:http://www.xueling.net.cn/article/gchohj.html