系列目录

Spring Boot+Vue项目微博系统

前言

后端的权限框架也有多种选择，比如Shiro、Spring Security，这里选择Spring Security。框架的好处就是它本来就提供了一整套完整的机制，而且还都是基于接口编程，并提供了setter方法，所以对原生框架有任何不满意，或不满足具体需求的地方，只需要实现它的对应接口，自定义其实现，并把自己的实现set进框架中即可。这种编程方法也很值得学习。

感觉用户管理这个需求从刚学编程就是绕不过去的一关，虽然很常见，但它并不简单，甚至根据具体系统的需求，可能成为最核心最复杂的模块。关于Web程序的用户管理，又会涉及Cookie、Session、JWT、OAuth 2等一大堆相关的知识。由于Spring Security默认实现了传统的基于Cookie/Session的用户管理。我也折腾过很久的JWT方式，但是因为涉及token的过期、续签等一些问题，一直想不到比较简单、完善的解决方案。所以本着简单的原则就先基于Cookie/Session实现吧。以后有需要或者有兴趣再去改进。

Spring Security简介

Spring Security框架比较庞大、复杂，简单来说就是提供了一系列的过滤器（Filter）对传递来的HTTP请求进行处理，每层过滤器也都预设了一些常用的默认实现，比如用户登录认证、记住我功能等。可以说是提供了保姆式服务。用户只需要根据自己的需求，重写一些配置信息或者自定义实现一些接口即可对原生框架进行“偷梁换柱”。

基于内存的用户认证

配置

Spring Security提供了多种用户认证方式，先从简单的基于内存的认证来学习，新建security.config目录下的SecurityConfig类来配置Spring Security。

在这里插入图片描述

做如下配置：

package cn.novalue.blog.security.config;import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;// 加上这个注解，让其能够自动注册到Spring容器中
@Configuration
@EnableWebSecurity
// 允许在方法上添加权限注解来拦截请求
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {// Spring Security默认使用这种加密方式来对密码加密BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();// 创建基于内存的用户认证控制auth.inMemoryAuthentication().passwordEncoder(encoder)// 配置一个root用户.withUser("root").password(encoder.encode("root"))// root用户有ADMIN角色.roles("ADMIN").and().withUser("normal").password(encoder.encode("normal")).roles("NORMAL");}@Overrideprotected void configure(HttpSecurity http) throws Exception {// 禁用csrfhttp.csrf().disable()// 表单登录.formLogin()// 允许所有请求访问.permitAll().and()// 其他所有请求都需要认证.authorizeRequests().anyRequest().authenticated();}
}

在权限控制这里有个RBAC（Role-Based Access Control）策略，即基于角色的访问控制，以下截取自百度百科的解释：

对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。这样做的好处是，不必在每次创建用户时都进行分配权限的操作，只要分配用户相应的角色即可，而且角色的权限变更比用户的权限变更要少得多，这样将简化用户的权限管理，减少系统的开销。

这也算是一种解耦思想吧。因为这里用户权限并不是很重要，就暂时不过多涉及权限的问题了，只配置个用户和角色，体会一下思想就行。

这里选择继承自 WebSecurityConfigurerAdapter ，其实是应用了适配器设计模式，因为我们只需要重写部分配置，但是如果直接实现原生接口，那么就必须重写很多不需要重写的配置，因为如果一个类要实现一个接口是必须要实现接口的所有方法的。

同时去掉原来在主类@SpringBootApplication注解中添加的exclude：

package cn.novalue.blog;import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;@SpringBootApplication
public class BlogApplication {public static void main(String[] args) {SpringApplication.run(BlogApplication.class, args);}}

测试

在 TestController 中添加一个方法接受GET请求，并且需要验证用户角色，只有是“ADMIN”角色才能访问。

    @GetMapping("/user")@PreAuthorize("hasRole('ADMIN')")public String user() {return "hello user";}

启动项目，访问localhost:8080/user，会被重定向到localhost:8080/login，使用root用户登录后，能正常显示结果，因为root用户有user()方法上标注的所需ADMIN角色。
在这里插入图片描述

重新使用normal用户登录，再次访问/user接口，返回403错误。因为normal用户没有ADMIN角色权限
在这里插入图片描述

基于数据库的用户认证

真实项目中肯定不会用内存来管理用户，用户信息肯定都是从数据库中加载的，下面我从源码分析，探究该如何配置，能使其从我们的数据库中加载用户信息。如果对源码头疼可以直接看后边的总结。

原理分析

首先从配置中的formLogin()入手，看看框架里是怎么做的。按住Ctrl+左键点击该方法，进入方法内部。在这里插入图片描述
可以看到，是给配置中加了一个FormLoginConfigurer对象，继续点击进入这个类，查看其构造方法。

在这里插入图片描述

这里又加入了一个 UsernamePasswordAuthenticationFilter 过滤器，顾名思义，是做用户名密码认证的过滤器。此外还配置了对应的参数名字，即“username”和“password”，也就是说我们请求的时候，只要把请求参数与之对应，就可以被框架获取。

再次进入 UsernamePasswordAuthenticationFilter 类查看。

    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";// 依然是参数名字，默认值，可设定private String usernameParameter = "username";private String passwordParameter = "password";private boolean postOnly = true;public UsernamePasswordAuthenticationFilter() {// 该过滤器拦截“/login”路径的POST请求super(new AntPathRequestMatcher("/login", "POST"));}// 重点，该过滤器起主要作用的方法public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {// 如果不是所要拦截的POST方法，则抛出异常if (this.postOnly && !request.getMethod().equals("POST")) {throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());} else {// 从request中获取对应的用户名和密码参数String username = this.obtainUsername(request);String password = this.obtainPassword(request);// 设置默认值，防止后续操作出现NullPointerException异常if (username == null) {username = "";}if (password == null) {password = "";}username = username.trim();// 封装用户信息UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);this.setDetails(request, authRequest);// 调用AuthenticationManager的authenticate方法return this.getAuthenticationManager().authenticate(authRequest);}}@Nullableprotected String obtainPassword(HttpServletRequest request) {return request.getParameter(this.passwordParameter);}@Nullableprotected String obtainUsername(HttpServletRequest request) {return request.getParameter(this.usernameParameter);}

从源码中可以看出，这里只是对request的参数做了一些处理和封装，然后调用了 AuthenticationManager的authenticate(authRequest) 方法。继续点击进这个方法。

在这里插入图片描述

AuthenticationManager是一个接口，点击方法左侧绿色图标，查看该接口的实现类

在这里插入图片描述

这里有个位于 org.springframework.security.authentication 包下的 ProviderManager 类，就是它提供（provide）了不同的认证方式。查看这个类的 authenticate方法，这里我只保留了比较重要的代码。

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {Class<? extends Authentication> toTest = authentication.getClass();Iterator var8 = this.getProviders().iterator();while(var8.hasNext()) {AuthenticationProvider provider = (AuthenticationProvider)var8.next();if (provider.supports(toTest)) {try {result = provider.authenticate(authentication);}}}}

可以看到，该类肯定会有一个providers集合，提供了各种各样的provider，这里认证方法就是遍历这个集合，看哪个provider支持（supports）所需要的认证方式，就让它去认证。点击进入 provider.authenticate方法，发现。。。又是个接口

public interface AuthenticationProvider {Authentication authenticate(Authentication var1) throws AuthenticationException;boolean supports(Class<?> var1);
}

继续找它的实现类。

在这里插入图片描述

这里有一系列的provider，比如RememberMeAuthenticationProvider ，顾名思义就是处理记住我功能的。我们要找的是验证用户信息的，所以就是这个 AbstractUserDetailsAuthenticationProvider 类，继续进入查看，该类是个抽象类，查看其 authenticate 方法。

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();// 从之前的用户缓存中获取到用户信息UserDetails user = this.userCache.getUserFromCache(username);// 如果还没有用户信息if (user == null) {try {// 调用retrieveUser方法去获取用户user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);}}// 回调函数，会做一些在认证成功后需要的操作return this.createSuccessAuthentication(principalToReturn, authentication, user);}protected abstract UserDetails retrieveUser(String var1, UsernamePasswordAuthenticationToken var2) throws AuthenticationException;

经过一顿分析，定位到加载用户的操作是在 retrieveUser 方法中，但是该类的该方法是抽象方法。。。点击查看有没有默认实现。

点击发现只有一个 DaoAuthenticationProvider 的实现类，“dao”，即DAO(Data Access Object) ，是数据访问对象是一个面向对象的数据库接口。所以这就是我们要的数据库Provider，查看其retrieveUser 方法。

    protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {try {UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);if (loadedUser == null) {throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");} else {return loadedUser;}}}

终于看出点眉目了，它通过 this.getUserDetailsService().loadUserByUsername(username); 来加载通过之前获取的用户名来加载用户。我们都知道**Service就是用来干业务逻辑的。点击查看该方法。

public interface UserDetailsService {UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

又是接口。。。查看其实现类
在这里插入图片描述

这里有几种不同的Service，其中就有之前我们用的基于内存（InMemory）的service。所以现在看明白了：

总结

Spring Security的用户认证是基于UserDetailsService接口来加载用户了，默认实现了内存模式，缓存模式，jdbc模式等，之前我们在配置类中配置了inMemoryAuthentication()，所以就是基于内存的用户管理。所以我们要是想让Spring Security从我们自己的数据库中加载用户信息，只需要写一个类实现UserDetailsService接口，在其loadUserByUsername方法中，访问自己的数据库获取用户。然后把我们自己写的service配置上即可。

题外话

相信很多初学者都是谈源码色变，觉得源码很高深很难，自己是不可能看懂的。确实，我们看待源码相当于只是在二维层面上去摸索，跟着源码一步步走。没有从三维层面上去看源码的布局规划，确实很难看懂整个框架。但是如果我们只是按需查看的话，源码其实也并没有很难。就像上边，如果只是为了看如何让Spring Security从我们的数据库中加载用户。那么按着调用轨迹一步步往下走就行了，其它不相关的都不看。作为框架的使用者，我认为这样就可以了，当然如果能对框架有更全面的认识是更好了。

对于Java体系的技术而言，最好的一手学习资料就是官方文档和源码。网络上满天飞的文章都不知道转几手了，且不说能不能理解、能不能记住，甚至有些都被转变味了，压根就是错误的说法。如果只是日常遇到一点小问题，可以随便找个文章瞅一下。如果想要更系统的学习，我认为还是要回归到官方文档和源码上去。而且这些技术都是出自一些专家团队之手，并且经过实践验证的东西，我们从中可以学习到很多知识，比如上边的适配器模式、基于接口编程等等，这都会对我们产生潜移默化的帮助。

上一篇：
Spring Boot+Vue项目微博系统（4）：前后端通信测试

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

联想电脑不显示WIFI列表
联想电脑忽然不显示wifi列表解决办法：按住windows（键盘左下角四个方块的按键）和X键→选择“Windows PowerShell（管理员）或者命令提示符（管理员）”→输入：netsh（空格）winsock（空格）reset敲击回车，会提示成功的重置winsock目录，然后重启电脑即可。...
2024/4/27 19:29:41
Docker容器的数据卷
一、数据卷概念数据卷可以理解为宿主机中的一个文件或者一个目录；当容器目录和数据卷目录绑定后，对方的修改会立即同步；一个数据卷可以被多个容器同时挂载；一个容器也可以挂载多个数据卷二、配置数据卷-it：运行容器并进入到容器内部 [root@dbb72956ef0c /][root@hadoop101…...
2024/4/17 0:40:50
leetcode: LRU缓存机制（hash)
运用你所掌握的数据结构，设计和实现一个 LRU (最近最少使用) 缓存机制。它应该支持以下操作：获取数据 get 和写入数据 put 。获取数据 get(key) - 如果密钥 (key) 存在于缓存中，则获取密钥的值（总是正数），否则返回 -1。写入数据 put(key, value) - 如果密钥已经存在，…...
2024/4/19 12:13:18
PAT-A-1058-霍格兹沃的A+B(送温暖系列)
题意描述如果你是哈利波特的粉丝，你就会知道魔术世界有其自己的货币体系。正如海格对哈利解释的那样：“17 个银镰刀（Sickle）可以换 1 个帆船（Galleon），29 个克努特（Knut）可以换 1 个银镰刀。” 你的工作是编写一个计算 A+B 的程序，其中 A 和 B 以 Galleon.Sickle.K…...
2024/4/16 21:21:58
Django：A server error occurred. Please contact the administrator.
错误提示：A server error occurred. Please contact the administrator.网上说什么的都有，其实就是时区的问题OK，搞定...
2024/4/16 21:21:44
创建一个函数fib（datas，n），其中形参datas为一个空列表，n为一个大于1的整数。
创建一个函数fib（datas，n），其中形参datas为一个空列表，n为一个大于1的整数。要求：运行fib函数后，列表datas中的元素为小于n的斐波那契数列。datas = [ ]fib(datas,400)print(datas);怎么做啊？求大神指点...
2024/4/16 21:21:52
编码器的集电极输出、电压输出、互补输出和线性驱动输出
集电极开路输出是以输出电路的晶体管发射极作为公共端，并且集电极悬空的输出电路。一般分为NPN集电极开路输出（见图1）和PNP集电极开路输出（见图2）。电压输出是在集电极开路输出的电路基础上，在电源间和集电极之间接了一个上拉电阻，使得集电极和电源之间能有一个稳定的电…...
2024/4/16 21:21:38
js防止多次提交
1防止多次提交方法1/*** 函数防止多次提交 **/ function Throttle(method, context, params) {if (!method.IsUsed){method.IsUsed = true;method.apply(context, params);method.IsUsed = false;} }调用代码：/***对外调用 @method Save**/ function Save(gatherFun, callback…...
2024/4/17 23:52:04
#开源星球# github项目排行榜
开源星球，带你探索新的宇宙~ 提到开源，不得不说用于4000万粉丝的github. 今天小源球带你看看最后欢迎的开源项目，简单粗暴一点，就以点赞数的多少来排名。把时间定格在这一刻，先看Top 10。1. freeCodeCamp/freeCodeCampfreeCodeCamp.org 开源代码库和教程，用于在家学习敲代…...
2024/4/16 21:21:38
阅读的误区
认为阅读一本书应该一字不漏的读完读书时好像总有一些想法，“我要在xxx时间之前读完这本书”，“这本书读了差不多三分之一了，还有三分之二…”，“啊，这本书读完了（松了一口气），可以开始下一本了”，无形中总是给自己一些限制，在阅读的同时增加了焦虑感。仔细想想，书…...
2024/4/24 6:59:12
javaweb
文章目录一、相关概念1、Web静态Web概念特点动态Web概念特点访问过程技术2、Web应用程序概念3.C/S类型应用程序：Client客户端/Server服务器4、动态web访问5、常见的web的服务器6.协议概念HTTP协议是基于”请求”和“响应”的HTTP协议请求两种方法GET方式POST方式浏览器中请求服…...
2024/4/24 6:59:13
toml的使用示例
1.编写配置文件 xx.toml [email] host="smtp.mxhichina.com" port=465 username="xx@xx.com" password="xxxxx" toUsers = [ "xxxx@xx.com" ][server] port=8777[mysql] dsn = "root:password@tcp(127.0.0.1:3306)/xxx?charset=…...
2024/4/24 6:59:19
js集合与python集合的一个差异
let a = new Set([1]) // Set(1) {1} let b = new Set([[1]]) //Set(1) {Array(1)} // 这样命名是ok的a = {1} # {1} a = {[1]} # 会报错 TypeError: unhashable type: list 并且在js中 let a = new Set([1]) a.add([1]) // 得到 Set(2) {Array(1), Array(1)} 没有去重...
2024/4/24 6:59:07
【LeetCode】96. 不同的二叉搜索树
我的直观思路是递归。先确定根节点。左子树和右子树都是二叉搜索树。public class Solution {public int numTrees(int n) {if (n == 0) return 1;int sum = 0;for (int i = 1; i <= n; i++) {// 跟结点的序号sum += numTrees(i - 1) * numTrees(n - i);}return sum;} }直接…...
2024/4/24 6:59:13
机器学习支持向量机简介
文章目录一、支持向量机1、SVM简介2、SVM算法原理3、非线性SVM算法原理二、通过代码理解1、绘制决策边界2、使用多项式特征和核函数3、高斯核函数4、超参数 γ三、参考链接一、支持向量机 1、SVM简介支持向量机（support vector machines, SVM）是一种二分类模型，它的基本模…...
2024/4/24 6:59:12
React 父子组件传值
React 父子组件传值组件传值主要是使用的this.props方法 1. 父组件向子组件传值父组件向子组件传递数据的时候先要在父组件初始化一个state，子组件通过this.props接收就行父组件部分import React from react import Home from ./Pages/home export default class App extend…...
2024/4/24 6:59:03
JavaScript的字符串之HTML包装方法
JavaScript的字符串之HTML包装方法前面以前文章我们讲解了字符串的各种方法。这篇文章对字符串的方法进行一些补充。 1.字符串的indexOf()和lastIndexOf()方法的补充var str=hello world;// indexOf() lastIndexOf()// 不加第二个参数console.log(str.indexOf("l")…...
2024/4/24 6:59:10
module has no attribute +python
使用openpyxl.load_workbook()报错：AttributeError: module ‘openpyxl’ has no attribute ‘load_workbook’ 明明使用时还有提醒，怎么就说没有呢？，如图下可能与当前目录下的模块名与python底部的模块名相冲突的原因。试试修改当前目录下新建的python文件名，能不能解决…...
2024/4/24 6:59:01
微信小程序开发入门与实践（1）
基础知识 MINA 框架为方便微信小程序开发，微信为小程序提供了 MINA 框架，这套框架集成了大量的原生组件以及 API。通过这套框架，我们可以方便快捷的完成相关的小程序开发工作。 MINA 框架提供了自己的视图层描述语言 WXML 和 WXSS，以及基于 JavaScript 的逻辑层框架，并在…...
2024/4/24 6:59:04
按钮样式
https://tympanus.net/Development/CreativeLinkEffects/#cl-effect-13...
2024/4/24 6:59:02

Spring Boot+Vue项目微博系统（5）：Spring Security登录流程源码分析

系列目录

目录

前言

Spring Security简介

基于内存的用户认证

配置

测试

基于数据库的用户认证

原理分析

总结

题外话

相关文章

最新文章

Spring Boot+Vue项目 微博系统（5）：Spring Security登录流程源码分析

系列目录

目录

前言

Spring Security简介

基于内存的用户认证

配置

测试

基于数据库的用户认证

原理分析

总结

题外话

相关文章

最新文章

Spring Boot+Vue项目微博系统（5）：Spring Security登录流程源码分析