1. Spring Security简介

详细介绍：spring security——基本介绍（一）
spring security 的核心功能主要包括：
认证 （你是谁）
授权 （你能干什么）
攻击防护 （防止伪造身份）

  Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

2. Spring Security入门Demo

2.1 创建工程spring-security-demo, pom.xml内容

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>com.study</groupId><artifactId>spring-security-demo</artifactId><version>1.0</version><packaging>war</packaging><properties><webVersion>3.0</webVersion> <spring.version>4.2.5.RELEASE</spring.version></properties><dependencies><dependency><groupId>org.springframework</groupId><artifactId>spring-core</artifactId><version>${spring.version}</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-web</artifactId><version>${spring.version}</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-webmvc</artifactId><version>${spring.version}</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-context-support</artifactId><version>${spring.version}</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-test</artifactId><version>${spring.version}</version></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-jdbc</artifactId><version>${spring.version}</version></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId><version>4.1.0.RELEASE</version></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-config</artifactId><version>4.1.0.RELEASE</version></dependency><dependency><groupId>javax.servlet</groupId><artifactId>servlet-api</artifactId><version>2.5</version><scope>provided</scope></dependency></dependencies><build><plugins><plugin><artifactId>maven-compiler-plugin</artifactId><configuration><source>1.8</source><target>1.8</target></configuration></plugin><plugin><groupId>org.apache.tomcat.maven</groupId><artifactId>tomcat7-maven-plugin</artifactId><configuration><!-- 指定端口 --><port>9090</port><!-- 请求路径 --><path>/</path></configuration></plugin></plugins></build>
</project>

2.2 创建web.xml

注意： 过滤器名字必须固定为 springSecurityFilterChain，原因是在org.springframework.security.config包下的BeanIds类中已经定义好了，public static final String SPRING_SECURITY_FILTER_CHAIN = "springSecurityFilterChain";

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns="http://java.sun.com/xml/ns/javaee"xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"version="2.5">		<context-param><param-name>contextConfigLocation</param-name><param-value>classpath:spring-security.xml</param-value></context-param><listener><listener-class>org.springframework.web.context.ContextLoaderListener</listener-class></listener>	<filter>  <filter-name>springSecurityFilterChain</filter-name>  		 <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  </filter>  <filter-mapping>  <filter-name>springSecurityFilterChain</filter-name>  <url-pattern>/*</url-pattern>  </filter-mapping>	
</web-app>

2.3 创建index.html

<!DOCTYPE html>
<html><head><meta charset="UTF-8"><title>主页</title></head><body><h1>主页面，登录成功</h1></body>
</html>

2.4 用户自定义登录页(可省略这一步直接配置spring-security.xml)

如果我们没有登录页，则使用系统自动生成的登录页，效果如下：

实际开发中，我们不可能使用系统生成的登录页，而是使用我们自己的登录页。

注意：登录提交地址/login 该地址由SpringSecurity生成，提交方法必须是POST

<!DOCTYPE html>
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>登录</title></head><body>	<form action='/login' method='POST'><table><tr><td>用户名:</td><td><input type='text' name='username' value=''></td></tr><tr><td>密码:</td><td><input type='password' name='password' /></td></tr><tr><td colspan='2'><input name="submit" type="submit"value="登录" /></td></tr></table></form></body>
</html>

2.5 创建spring配置文件spring-security.xml

最基本的三步：
1、配置不被拦截的页面
2、配置页面拦截规则
3、配置认证管理器

spring-security.xml配置文件详细内容：

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsdhttp://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"><!-- 配置 favicon.ico不进行安全拦截，security="none"设置此资源不被拦截--><http pattern="/favicon.ico" security="none"/><!-- 登录页和登录失败页不进行安全拦截，security="none"设置此资源不被拦截. --><http pattern="/login.html" security="none"></http><http pattern="/login_error.html" security="none"></http><!-- 页面拦截规则 --><http use-expressions="false"><!-- 拦截页面，ROLE_USER:必须验证具备该角色后才能访问,注意角色名称必须以ROLE_开头 --><intercept-url pattern="/**" access="ROLE_USER" /><!-- 必须有，开启表单登录，最起码得有个 <form-login>login-page：指定登录页面。authentication-failure-url：指定了身份验证失败时跳转到的页面。default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。always-use-default-target：指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。csrf disabled="true"  关闭csrf ,如果不加会出现错误--><form-login login-page="/login.html" default-target-url="/index.html"always-use-default-target="true" authentication-failure-url="/login_error.html"/><csrf disabled="true"/></http><!-- 认证管理器 --><authentication-manager><authentication-provider><user-service><user name="admin" password="123456" authorities="ROLE_USER"/></user-service></authentication-provider></authentication-manager></beans:beans>

配置说明：

2.5.1 配置说明：配置不被拦截的页面

<!-- 配置 favicon.ico不进行安全拦截，security="none"设置此资源不被拦截--><http pattern="/favicon.ico" security="none"/><!-- 登录页和登录失败页不进行安全拦截，security="none"设置此资源不被拦截. --><http pattern="/login.html" security="none"></http><http pattern="/login_error.html" security="none"></http>

security="none"属性 设置此资源不被拦截，如果你没有设置登录页security=“none” ，将会出现以下错误 ：因为登录页会被反复重定向

2.5.2 配置说明：页面拦截规则

	<!-- 页面拦截规则 --><http use-expressions="false"><!-- 拦截页面，ROLE_USER:必须验证具备该角色后才能访问,注意角色名称必须以ROLE_开头 --><intercept-url pattern="/**" access="ROLE_USER" /><!-- 必须有，开启表单登录，最起码得有个 <form-login>login-page：指定登录页面。authentication-failure-url：指定了身份验证失败时跳转到的页面。default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。always-use-default-target：指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。csrf disabled="true"  关闭csrf ,如果不加会出现错误--><form-login login-page="/login.html" default-target-url="/index.html"always-use-default-target="true" authentication-failure-url="/login_error.html"/><csrf disabled="true"/><logout /></http>

<intercept-url>标签 表示拦截页面
/* 表示的是该目录下的资源，只包括本级目录不包括下级目录
/** 表示的是该目录以及该目录下所有级别子目录的资源

<form-login>标签 为开启表单登录(必须有，即使没有任何属性)，内部可以指定以下属性：
login-page：指定登录页面。
authentication-failure-url：指定了身份验证失败时跳转到的页面。
default-target-url：指定了成功进行身份验证和授权后默认呈现给用户的页面。
always-use-default-target：指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。

<http>标签内的use-expressions属性 为是否使用使用 Spring 表达式语言（ SpEL ），默认为true ,如果开启，则拦截的配置应该写成以下形式
<intercept-url pattern="/secure/extreme/**" access="hasRole('ROLE_USER')"/>
如果为false，则拦截的配置应该写成以下形式
<intercept-url pattern="/secure/extreme/**" access="ROLE_USER"/>

<csrf disabled="true"> 关闭csrf ,如果不加会出现错误

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

<logout />元素 加上此配置后，会自动的产生退出登录的地址/logout，如果你不想用这个地址，你也可以定义生成的退出地址以及跳转的页面，配置为：<logout logout-url="" logout-success-url=""/>
logout-url:退出的地址，会自动生成
logout-success-url:退出后跳转的地址
修改注销的链接：<a href="../logout" class="btn btn-default btn-flat">注销</a>

2.5.3 配置说明： 配置认证管理器（含自定义认证类）

	<!-- 认证管理器 --><authentication-manager><authentication-provider><user-service><user name="admin" password="123456" authorities="ROLE_USER"/></user-service></authentication-provider></authentication-manager>

  <AuthenticationManager>元素用于管理认证，但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider，AuthenticationManager 中可以定义有多个 AuthenticationProvider。

  当我们使用 <authentication-provider>元素来定义一个 AuthenticationProvider 时，如果没有指定对应关联的 AuthenticationProvider 对象，Spring Security 默认会使用 DaoAuthenticationProvider。DaoAuthenticationProvider 在进行认证的时候需要一个 UserDetailsService 来获取用户的信息 UserDetails，其中包括用户名、密码和所拥有的权限等。

  如果我们需要改变认证的方式，我们可以实现自己的 AuthenticationProvider；如果需要改变认证的用户信息来源，我们可以实现 UserDetailsService。

  通常我们的用户信息都不会像示例中那样简单的写在配置文件中(即用<user-service>元素)，而是从其它存储位置获取，比如数据库。用户信息是通过 UserDetailsService 获取的，要从数据库获取用户信息，我们就需要实现自己的 UserDetailsService。所以我们需要自定义一个认证类，如何自定义认证类？实现接口UserDetailsService并重写方法public UserDetails loadUserByUsername(String username)

详细内容：
在认证类中需要注入sellerService，注入有两种方式，一种是注解，一种是set之property方法，下面是set方法注入(需要给成员变量提供setter方法)：

package com.study.service;import com.study.pojo.TbSeller;
import com.study.sellergoods.service.SellerService;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;import java.util.ArrayList;
import java.util.List;/*** 认证类*/public class UserDetailsServiceImpl implements UserDetailsService {private SellerService sellerService;// 提供的 setter 方法public void setSellerService(SellerService sellerService) {this.sellerService = sellerService;}public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {System.out.println("经过了UserDetailsServiceImpl");// 构建角色列表List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();grantedAuths.add(new SimpleGrantedAuthority("ROLE_SELLER"));// 得到商家对象TbSeller seller = sellerService.findOne(username);if (seller != null){if (seller.getStatus().equals("1")){// 返回 用户名、密码、所拥有的权限集合return new User(username, seller.getPassword(), grantedAuths);}else {return null;}}else{return null;}}
}

修改认证管理器的配置：
由于自定义认证类的实现类UserDetailsServiceImpl中用到了SellerService，所以需要先在spring容器中注入该bean对象，该bean接口的实现类不在shop-web模块下，而在sellergoods-service模块下，所以需要通过配置<dubbo:reference>远程调用接口SellerService

<!-- 引用dubbo服务 -->
<dubbo:application name="shop-web" />
<dubbo:registry address="zookeeper://192.168.202.129:2181"/>
<dubbo:reference id="sellerService" interface="com.study.sellergoods.service.SellerService"/>

  在配置文件中定义自定义认证类，注册bean到spring容器中，供认证管理器通过user-service-ref属性引用

<!-- 定义自定义认证类 -->
<beans:bean id="userDetailService"class="com.study.service.UserDetailsServiceImpl"><!-- 通过property元素的ref属性将sellerService注入 --><beans:property name="sellerService" ref="sellerService"></beans:property>
</beans:bean>

  认证管理器注入自定义认证类，即上面id为userDetailService的bean

<!-- 认证管理器 -->
<authentication-manager><!-- 将bean进行注入 --><authentication-provider user-service-ref="userDetailService"></authentication-provider>
</authentication-manager>

配置文件spring-security.xml中认证管理器的代码综合：

<!-- 引用dubbo服务 -->
<dubbo:application name="shop-web" />
<dubbo:registry address="zookeeper://192.168.202.129:2181"/>
<dubbo:reference id="sellerService" interface="com.study.sellergoods.service.SellerService"/><!-- 定义自定义认证类 -->
<beans:bean id="userDetailService"class="com.study.service.UserDetailsServiceImpl"><!-- 通过property元素的ref属性将sellerService注入 --><beans:property name="sellerService" ref="sellerService"></beans:property><!-- 认证管理器 -->
<authentication-manager><!-- 将bean进行注入 --><authentication-provider user-service-ref="userDetailService"></authentication-provider>
</authentication-manager>
</beans:bean>

3. 密码加密

3.1 BCrypt加密算法

  用户表的密码通常使用MD5等不可逆算法加密后存储，为防止彩虹表破解更会先使用一个特定的字符串（如域名）加密，然后再使用一个随机的salt（盐值）加密。 特定字符串是程序代码中固定的，salt是每个密码单独随机，一般给用户表加一个字段单独存储，比较麻烦。 BCrypt算法将salt随机并混入最终加密后的密码，验证时也无需单独提供之前的salt，从而无需单独处理salt问题。

3.2 商家入驻密码加密

  商家申请入驻的密码要使用BCrypt算法进行加密存储，修改SellerController.java的add方法

/*** 增加* @param seller* @return*/
@RequestMapping("/add")
public Result add(@RequestBody TbSeller seller){//密码加密BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();String password = passwordEncoder.encode(seller.getPassword());seller.setPassword(password);try {sellerService.add(seller);return new Result(true, "增加成功");} catch (Exception e) {e.printStackTrace();return new Result(false, "增加失败");}
}

3.3 加密配置

  在shop-web的spring-security.xml配置文件中，配置id为bcryptEncoder的bean并将这个bean注入到认证管理器的<password-encoder>属性下，配置如下：

<!-- 配置加密bean对象 -->
<beans:bean id="bcryptEncoder"  class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" /><!-- 认证管理器 -->
<authentication-manager alias="authenticationManager">  <authentication-provider user-service-ref='userDetailService'>  <!-- 注入加密bean对象 --> <password-encoder ref="bcryptEncoder"></password-encoder>	   		</authentication-provider>  
</authentication-manager>  	

3.4 小案例：显示登录名

获取登录名的核心代码：SecurityContextHolder.getContext().getAuthentication().getName();

注意：SecurityContextHolder的作用：整个应用就一个SecurityContextHolder，保留系统当前所有用户的安全上下文细节(即SecurityContext)，其中就包括当前使用系统的用户的信息。相当于web服务器中的ServletContext
用SecurityContext对象来表示安全上下文细节

后端代码LoginController.java

package com.study.shop.controller;import java.util.HashMap;
import java.util.Map;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/login")
@SuppressWarnings("unchecked")
public class LoginController {@RequestMapping("/name")public Map name(){String name=SecurityContextHolder.getContext().getAuthentication().getName();Map map=new HashMap();map.put("loginName", name);return map ;}	
}