为了账号安全,请及时绑定邮箱和手机立即绑定
首页 手记 Spring Security(3)

Spring Security(3)

2022.11.22 22:25 75浏览

您好,我是湘王,这是我的慕课手记,欢迎您来,欢迎您再来~


面运行写好的代码之所以没有任何显示,是因为还没有对Spring Security进行配置当然啥也不显示了这就好比你坐在车上却不打开发动机车子当然跑不起来所以咱们就来让它跑起来不过在配置之前,有必要对Spring Security的登录流程做个大致了解

如果深入源码去了解这个玩意及其复杂但是没必要知道它的机制就行了就好比你买车也不必把发动机拆开去看它是怎么工作的吧简单来说它就是下面这些步骤

1、Spring Security通过AuthenticationManager接口进行身份验证

2、ProviderManager是AuthenticationManager的一个默认实现

3、ProviderManager把验证工作委托给了AuthenticationProvider接口

4、AuthenticationProvider的实现类DaoAuthenticationProvider会检查身份认证

5、DaoAuthenticationProvider又把认证工作委托给了UserDetailsService接口

6、自定义UserDetailsService类从数据库中获取用户账号、密码、角色等信息,然后封装成UserDetails返回

7、使用Spring Security还需要自定义AuthenticationProvider接口,获取用户输入的账号、密码等信息,并封装成Authentication接口

8、UserDetails和Authentication进行比对,如果一致就返回UsernamePasswordAuthenticationToken,否则抛出异常

下面是认证流程图

https://img1.sycdn.imooc.com/637cda1300011f4b09370545.jpg

 

首先重写loadUserByUsername

/**
 * 自定义用户详情
 *
 * @author 湘王
 */
@Service("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserService userService;
    @Autowired
    private RoleService roleService;
    @Autowired
    private UserRoleService userRoleService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        // 从数据库中取出用户信息
        SysUser user = userService.getByName(username);
        // 判断用户是否存在
        if(null == user) {
            System.out.println("user is not exist");
            throw new UsernameNotFoundException("user is not exist");
        }

        // 获得用户角色:方式一
        List<SysUserRole> list = userRoleService.getByUserId(user.getId());
//        // 获得用户角色:方式二
//        List<SysRole> list = roleService.getByUserId(user.getId());

//        // 给用户添加授权:方式一
//        for (SysUserRole userRole : list) {
//            SysRole role = roleService.getById(userRole.getRoleid());
//            authorities.add(new SimpleGrantedAuthority(role.getName()));
//        }
//        // 返回UserDetails实现类
//        return new User(user.getName(), user.getPassword(), authorities);

        // 给用户添加授权:方式二
        return User
                .withUsername(username)
                .password(user.getPassword())
                .authorities(list.stream()
                                    .filter(Objects::nonNull)// 判断是否为空
                                    .map(userRole -> roleService.getById(userRole.getRoleid()))// 从SysUserRole获取Role
                                    .map(SysRole::getName)// 转变为角色名称字符串
                                    .map(SimpleGrantedAuthority::new)// 依据角色名称创建SimpleGrantedAuthority
                                    .toArray(SimpleGrantedAuthority[]::new)// list转变为数组
                ).build();
    }
}


 

因为UserDetailsService返回了封装的UserDetails所以需要再自定义AuthenticationProvider返回Authentication接口

/**
 * 自定义登录验证
 *
 * @author 湘王
 */
@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {
    @Autowired
    private CustomUserDetailsService customUserDetailsService;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        // 获取表单输入中返回的用户名
        String username = (String) authentication.getPrincipal();
        // 获取表单中输入的密码
        String password = (String) authentication.getCredentials();
        // 这里调用我们的自己写的获取用户的方法
        UserDetails userInfo = customUserDetailsService.loadUserByUsername(username);
        if (userInfo == null) {
            System.out.println("user is not exist");
            throw new UsernameNotFoundException("user is not exist");
        }

        PasswordEncoder passwordEncoder = new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return charSequence.toString();
            }
            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return s.equals(charSequence.toString());
            }
        };

        // 采用简单密码验证
        if (!passwordEncoder.matches(password, userInfo.getPassword())) {
            System.out.println("user or password error");
            throw new BadCredentialsException("user or password error");
        }

        Collection<? extends GrantedAuthority> authorities = userInfo.getAuthorities();
        // 构建返回的用户登录成功的token
        return new UsernamePasswordAuthenticationToken(userInfo, password, authorities);
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}


 

接着来实现实现WebSecurityConfigurerAdapter它通过重写WebSecurityConfigurerAdapter中的相关方法(一般是configurer)来自定义配置WebSecurityConfigurerAdapter主要做几件事

1、初始化

2、开启Security

3、配置各种过滤器实现验证过滤器链

 

下面是它的代码

/**
 * spring security验证配置
 *
 * @author 湘王
 */
// 配置类
@Configuration
// 开启Security服务
@EnableWebSecurity
// 开启全局Securtiy注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
   @Autowired
   private CustomUserDetailsService customUserDetailsService;
   @Autowired
   private CustomAuthenticationProvider authenticationProvider;

   // 自定义的登录验证逻辑
   @Override
   protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      auth.authenticationProvider(authenticationProvider);
   }
   // 控制逻辑
   @Override
   protected void configure(HttpSecurity http) throws Exception {
      // 执行UsernamePasswordAuthenticationFilter之前添加拦截过滤
      http.addFilterBefore(new CustomInterceptorFilter(), UsernamePasswordAuthenticationFilter.class);

      http.authorizeRequests()
         .anyRequest().authenticated()
         // 设置自定义认证成功、失败及登出处理器
         .and().formLogin().loginPage("/login")
         .and().cors()
         .and().csrf().disable();
   }
   @Override
   public void configure(WebSecurity web) throws Exception {
      // 设置拦截忽略文件夹,可以对静态资源放行
      web.ignoring().antMatchers("/css/**", "/js/**");
   }
}

 

接着用postman进行测试

https://img2.sycdn.imooc.com/637cdb040001342909990321.jpg

 

回顾整个调用过程它的时序图是

https://img2.sycdn.imooc.com/637cdb120001335510080514.jpg

 

但是等等好像除了/login,其他方法不能正常访问!

 


感谢您的大驾光临!咨询技术、产品、运营和管理相关问题,请关注后留言。欢迎骚扰,不胜荣幸~

 


点击查看更多内容
0人点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
资深架构师
手记
粉丝
2
获赞与收藏
6

关注TA,一起探索更多经验知识

同主题相似文章浏览排行榜

风间影月说签约讲师

51篇手记,涉及Java、MySQL、Redis、Spring等方向

进入讨论

Tony Bai 说签约讲师

151篇手记,涉及Go、C、Java、Python等方向

进入讨论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消