专栏首页慕容千语的架构笔记Spring Security 认证的三种方式及简单的授权

Spring Security 认证的三种方式及简单的授权

1.默认身份验证

在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录

2.内存身份验证

自定义用户名和密码(用户名和密码是写在代码内,不好维护),新建

  • 新建一个SecurityConfig的配置类,继承WebSecurityConfigurerAdapter类,重写configure(AuthenticationManagerBuilder auth)自定义身份认证
/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*1.基于内存的身份认证*/
        //添加两个账户密码
        auth.inMemoryAuthentication().passwordEncoder(encoder)
                .withUser("admin").password(encoder.encode("admin")).roles("admin")
                .and()
                .withUser("junko").password(encoder.encode("123456")).roles("common");
    }
}

启动项目,需要输入上面定义好的账户密码才能进行登录,这里有三张表,分别为用户、权限、用户-权限表

3.使用UserDetails进行身份认证

创建查询用户及用户权限的接口

@Mapper
public interface TUserMapper {

 /*根据用户名去查询用户讯息*/
@Select("select * from t_user where username=#{username}")
public TUser selectUserByUserName(String username);
}
@Mapper
public interface AuthorityMapper {
 /*根据用户名去查询用户权限*/
public List<Authority> selectAuthorityByUserName(String username);
}
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="net.junko.mapper.AuthorityMapper">

    <select id="selectAuthorityByUserName" resultType="net.junko.bean.Authority" parameterType="string">
        select a.* from t_user u,t_authority a,user_authority au where u.id=au.uid and a.id=au.aid and u.username=#{username}
    </select>
</mapper>

编写UserDetailsServiceImpl实现类

前面说过,使用数据库的查询方法进行授权认证,需要实现UserDetailsService接口,重写loadUserByUsername方法

@Service
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    TUserMapper userMapper;
    @Autowired
    AuthorityMapper authorityMapper;

    /*根据前端登录页面传入的用户名,查询出数据库对应的用户信息和用户权限,
    把用户信息和权限封装成UserDetails对象,交给SpringSecurity进行身份认证*/
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*根据用户名查询用户信息、权限信息*/
        TUser user = userMapper.selectUserByUserName(s);
        List<Authority> authorities = authorityMapper.selectAuthorityByUserName(s);

        /*遍历封装用户权限*/
        List<SimpleGrantedAuthority>  authorityList = new ArrayList<>();
		for (int i=0;i<authorities.size();i++)
        {
            authorityList.add(new SimpleGrantedAuthority(authorities.get(i).getAuthority()));
        }

        if(user!=null)
        {
            /*将用户名、密码、用户权限封装成UserDetails对象*/
            UserDetails userDetails = new User(user.getUsername(),encoder.encode(user.getPassword()),authorityList);
            return userDetails;
        }
        else {
            throw new UsernameNotFoundException("用户不存在");
        }
    }
}

在SecurityConfig类内配置根据UserDetails进行身份认证

之前2的内存身份验证记得注释掉,注入UserDetailsServiceImpl

/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsServiceImpl userDetailsService;

    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*1.基于内存的身份认证*/
//        auth.inMemoryAuthentication().passwordEncoder(encoder)
//                .withUser("admin").password(encoder.encode("admin")).roles("admin")
//                .and()
//                .withUser("cai").password(encoder.encode("123457")).roles("common");

        /*2.使用UserDetails进行身份认证*/
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
        }
 }

测试,登录时用数据库内存储的用户信息

用户授权管理

在做好了认证方式后,想要指定不同的权限访问不同的页面,即自定义访问控制,则需要再进行一些设置

  • 在SecurityConfig配置类内重写configue(HttpSecurity http)方法,如果用户没有访问某页面的权限,会出现403页面错误,该错误页面提示可以根据自己的项目进行修改。
/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsServiceImpl userDetailsService;

    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*1.基于内存的身份认证*/
//        auth.inMemoryAuthentication().passwordEncoder(encoder)
//                .withUser("admin").password(encoder.encode("admin")).roles("admin")
//                .and()
//                .withUser("cai").password(encoder.encode("123457")).roles("common");

        /*2.使用UserDetails进行身份认证*/
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
    }


    /*自定义用户权限*/
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        /*自定义访问控制*/
        http.authorizeRequests()
                .antMatchers("/").permitAll()  //表示放行“/”访问
                //根据用户拥有的不同权限配置访问权限
                .antMatchers("/admin/**").hasAuthority("admin")
                .antMatchers("/common/**").hasAuthority("common")
                .and()
                .formLogin();
    }
}

在自定义用户权限设置后,就可以实现 / 路径下的页面不需要认证即可访问, /admin/** 下的页面,则需要登录的用户具有admin权限才能访问,同理 /common/**

来源:https://www.tuicool.com/articles/rAr6nez

本文分享自微信公众号 - 慕容千语(mrqy_1507153110),作者:关注我→

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-12-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Spring Security与Java应用安全保护

    Spring Security是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。

    博文视点Broadview
  • Spring Security入门到实践(一)HTTP Basic在Spring Security中的应用原理浅析

    上面的两点是应用安全的基本关注点,Spring Security存在的意义就是帮助开发者更加便捷地实现了应用的认证和授权能力。

    itlemon
  • 【SpringSecurity系列(一)】初识 Spring Security

    《深入浅出Spring Security》一书已由清华大学出版社正式出版发行,感兴趣的小伙伴戳这里->->>深入浅出Spring Security,一本书学会 ...

    江南一点雨
  • 挖一个大坑,Spring Security 开搞!

    自从 Spring Boot、Spring Cloud 火起来之后,Spring Security 也跟着沾了一把光!

    江南一点雨
  • Spring Security技术栈开发企业级认证与授权(十)开发记住我功能

    首先我们在浏览器的属性类BrowserProperties中添加一个字段rememberMeSeconds,这个字段用来描述“记住我”的时间期限,具体的配置类代...

    itlemon
  • 基于Spring Cloud Oauth2 JWT搭建微服务的安全认证中心

    Oauth协议为用户资源的授权提供了一个安全的、开放而又建议的标准。oauth的授权不会是第三方初级到用户的账号信息(如用户名与密码),及第三方无需使用用户的用...

    小东啊
  • 安全框架 Shiro 和 Spring Security 如何选择?

    安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。

    良月柒
  • Spring Security-JWT-OAuth2一本通

    字母哥博客
  • 从零开始的Spring Security Oauth2(一)

    前言 今天来聊聊一个接口对接的场景,A厂家有一套HTTP接口需要提供给B厂家使用,由于是外网环境,所以需要有一套安全机制保障,这个时候oauth2就可以作为一个...

    程序猿DD

扫码关注云+社区

领取腾讯云代金券