SpringSecurity六:自定义认证

通过前面的学习我们可以使用spring security完成简单的认证和授权,但是实际项目中用户的数据往往都是存在数据库中,登录页面也需要可以自由定制,下面我们就来学习使用spring security如何完成

让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:国际域名空间、网络空间、营销软件、网站建设、陕西网站维护、网站推广。

 

创建mavean项目选择模板 mavean-archetype-webapp

 

1.1     自定义登录页面:

 

创建登录页面,结构如下:

Spring Security六:自定义认证

 

在WEBCONFIG.java中配置认证页面地址

//默认Url根路径跳转到/login,此url为spring security提供
@Configuration
public classWebConfigimplementsWebMvcConfigurer {
   @Override
   public voidaddViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login-view");
        registry.addViewController("/login-view").setViewName("login");
    }
}

安全配置:

在WebSecurityConfig中配置表单登录信息:

http
        .authorizeRequests()
        .antMatchers("/r/**").authenticated()
        .anyRequest().permitAll()
        .and()
        .formLogin()
        .loginPage("/login-view")
        .loginProcessingUrl("/login")
        .successForwardUrl("/login-success")
        .permitAll();

(1) 允许表单登录

(2) 指定自己的登录页以重定向方式跳转到/login-view

(3) 指定登录处理的url也就是填写用户名密码以后提交到的地址

(4) 指定登录成功后跳转到的URL

(5) 允许所有用户登录以后访问所有URL

 

测试:

输入用户名密码点击登录报403错

 

问题解决:

Spring security为防止CSRF(跨站请求伪造)的发生,限制除了get以外的大多数方法。

屏蔽CSRF控制,即spring security不再限制CSRF

配置WebSecurityConfig

protected voidconfigure(HttpSecurity http)throwsException {
    http.csrf().disable();

}

 

 

连接数据库

前面的例子我们是将用户的信息保存在内存中,实际项目中往往是从数据库中读取用户的信息进行验证,下面看看如何使用数据库中的用户信息进行登录,根据前面的研究我们知道只需要重新定义UserDetailService即可实现根据用户账号查询数据库。

 

1.      创建数据库

创建user_db数据库

CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';

2.创建t_user表

CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用户id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用户姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手机号',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC

3.定义dataSource在application.properties配置

spring.datasource.url=jdbc:MySQL://localhost:3306/user_db
spring.datasource.username
=root
spring.datasource.password
=123456
spring.datasource.driver-class-name
=com.mysql.jdbc.Driver

4.添加依赖

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-testartifactId>
    <scope>testscope>
dependency>
<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-jdbcartifactId>
dependency>
<dependency>
    <groupId>mysqlgroupId>
    <artifactId>mysql-connector-javaartifactId>
    <version>5.1.47version>
dependency>

5.定义实体类

@Data
public classUserDto {
   privateStringid;
   privateStringusername;
   privateStringpassword;
   privateStringfullname;
   privateStringmobile;
}

6.定义数据访问类

@Repository
public classUserDao {
   @Autowired
   JdbcTemplatejdbcTemplate;
   publicUserDto getUserByUsername(String username){
        String sql ="select id,username,password,fullname from t_user where username = ?";
        List list =jdbcTemplate.query(sql,newObject[]{username},new
               
BeanPropertyRowMapper<>(UserDto.class));
       if(list ==null&& list.size() <=0){
           return null;
        }
       returnlist.get(0);
    }
}

7.定义UserDetailService

在service包下定义SpringDataUserDetailsService实现UserDetailService接口

@Service
public classSpringDataUserDetailsServiceimplementsUserDetailsService {
   @Autowired
   UserDaouserDao;
   @Override
   publicUserDetails loadUserByUsername(String username)throwsUsernameNotFoundException {
       //登录账号
       
System.out.println("username="+username);
       //根据账号去数据库查询...
       
UserDto user =userDao.getUserByUsername(username);
       if(user ==null){
           return null;
        }
       //这里暂时使用静态数据
       
UserDetails userDetails =
                User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
       returnuserDetails;
    }

}

8.测试

9. 使用BcryptPasswordEncoder

在安全配置类中定义BcryptPasswordEncoder

@Bean
publicPasswordEncoder passwordEncoder() {
   return newBCryptPasswordEncoder();
}

UserDetails中的密码存储BCrypt格式

前边实现了从数据库查询用户信息,所以数据库中的密码应该存储BCrypt格式

10.修改LoginController获取用户身份信息

@RestController
public classLoginController {
   /**
     *用户登录成功
     * @return
    
*/
   
@RequestMapping(value ="/login‐success",produces = {"text/plain;charset=UTF‐8"})
   publicString loginSuccess() {
        String username = getUsername();
       returnusername +"登录成功";
    }

   /**
     *获取当前登录用户名
     * @return
    
*/
   
privateString getUsername(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
       if(!authentication.isAuthenticated()){
           return null;
        }
        Object principal = authentication.getPrincipal();
        String username =null;
       if(principalinstanceoforg.springframework.security.core.userdetails.UserDetails) {
            username =
                    ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
        }else{
            username = principal.toString();
        }
       returnusername;
    }

@GetMapping(value ="/r/r1",produces = {"text/plain;charset=UTF‐8"})
publicString r1(){
        String username = getUsername();
       returnusername +"访问资源1";
        }

@GetMapping(value ="/r/r2",produces = {"text/plain;charset=UTF‐8"})
publicString r2(){
        String username = getUsername();
       returnusername +"访问资源2";
        }


}

 

11.测试

 

12.会话控制:

我们可以通过以下选项控制会话何时创建

Always 如果没有session存在就创建一个

ifRequired 如果需要就创建一个session登录时

never: Spring Security将不会创建session,但是如果应用中其它地方创建了session,那么spring security将会使用它

stateless:Spring Security将不会创建Session也不会使用Session

 

通过以下方式对该选项进行配置:

在WebSecurityConfig.java中加上:

protected voidconfigure(HttpSecurity http)throwsException {
    http.sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);

}

默认情况下Spring Security会为每一个登录成功的用户创建一个Session,就是IF_REQUIRED

若选用never则指示Spring Security对登录成功的用户不创建Session了,但若你的应用程序在某地方新建了Session,那么Spring Security会用它的。

若使用stateless,则Spring Security对登录成功的用户不会创建Session,你的应用程序也不会创建Session,每个请求都需要重新进行身份验证,这种无状态架构适用于Rest API及其无状态认证机制。

 

会话超时:

可以设置Session超时时间,比如设置Session有效期为 3600秒:

在Spring Security配置文件中:

server.servlet.session.timeout=3600s

 

安全会话cookie

httpOnly:如果为true那么浏览器脚本无法访问cookie

secure:如果为true则cookie将仅通过Https连接发送

server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure
=true

 

13.退出

Spring Security默认帮我们实现了退出功能,访问/logout就可以实现退出

自定义退出成功页面:

.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");

 

当执行退出时将会完成以下动作:

1. session失效

2. 清除SecurityContextHolder

3. 跳转到/login-view?logout

如果想进一步配置退出功能可以如下配置:

 

.logout()                                          (1)
.logoutUrl("/logout")                              (2)
.logoutSuccessUrl("/login‐view?logout")            (3)
.logoutSuccessHandler(logoutSuccessHandler)      (4)
.addLogoutHandler(logoutHandler)              (5)
.invalidateHttpSession(true);                     (6)

(1)   提供系统退出支持

(2)   设置触发退出操作的url,默认是/logout

(3)   退出之后跳转的url,默认是/login?logout

(4)   定制的LogoutSuccessHandler,用于实现用户退出成功时的处理,如果指定了这个选项则logoutSuccessUrl()的设置会被忽略

(5)   添加一个logoutHandler,用于实现用户退出时的清理工作,

(6)   指定在用户退出时是否让HttpSession无效,默认为true

注意:如果让logout在Get请求下生效,必须关闭防止csrf***的csrf().disable().如果开启了CSRF,必须使用post方式请求/logout


网站题目:SpringSecurity六:自定义认证
文章来源:http://hbruida.cn/article/gchohj.html