一、Spring Security框架

1. 框架简介

官方介绍：Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样，Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要求。

Spring Security是一个为基于Spring的企业应用系统提供声明式的安全访问控制解决方式的安全框架（简单说是对访问权限进行控制），应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。Spring Security的主要核心功能为认证和授权，所有的架构也是基于这两个核心功能去实现的。

用户认证指的是验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个文件来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。

特征：

对身份验证和授权的全面和可扩展的支持
防止会话固定，点击劫持，跨站点请求伪造等攻击
Servlet API集成
可选与Spring Web MVC集成

2. 框架原理

想要对对Web资源进行保护，最好的办法莫过于Filter，要想对方法调用进行保护，最好的办法莫过于AOP。所以Spring Security在我们进行用户认证以及授予权限的时候，通过各种各样的拦截器来控制权限的访问，从而实现安全。

Spring Security 框架的主要过滤器(Filter) :

Spring Security 框架的主要过滤器(Filter) :

WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
CorsFilter
LogoutFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
AnonymousAuthenticationFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor
UsernamePasswordAuthenticationFilter
BasicAuthenticationFilter

Spring Security框架的核心组件:

SecurityContextHolder：提供对SecurityContext的访问
SecurityContext：持有Authentication对象和其他可能需要的信息
AuthenticationManager 其中可以包含多个AuthenticationProvider
ProviderManager对象为AuthenticationManager接口的实现类
AuthenticationProvider 主要用来进行认证操作的类调用其中的authenticate()方法去进行认证操作
Authentication：Spring Security方式的认证主体
GrantedAuthority：对认证主题的应用层面的授权，含当前用户的权限信息，通常使用角色表示
UserDetails：构建Authentication对象必须的信息，可以自定义，可能需要访问DB得到
UserDetailsService：通过username构建UserDetails对象，通过loadUserByUsername根据userName获取UserDetail对象（可以在这里基于自身业务进行自定义的实现如通过数据库，xml,缓存获取等）

二、SpringBoot 整合Spring Security

1. 项目环境

（1）JDK版本：1.8

（2）Spring Boot：2.1.2.RELEASE

（3）Spring Security 5.1.3

（4）IntelliJ IDEA 2016.3.4

2.建库建表

建表语句如下，用户对应的密码已经使用md5加密。

SET FOREIGN_KEY_CHECKS=0;-- ----------------------------
-- Table structure for `user`
-- ----------------------------
DROP TABLE IF EXISTS `user`;
CREATE TABLE `user` (`Id` int(11) NOT NULL AUTO_INCREMENT,`userName` varchar(255) DEFAULT NULL COMMENT '姓名',`password` varchar(255) DEFAULT NULL COMMENT '密码',`roles` varchar(255) DEFAULT NULL,PRIMARY KEY (`Id`)
) ENGINE=MyISAM AUTO_INCREMENT=4 DEFAULT CHARSET=utf8 COMMENT='用户表';-- ----------------------------
-- Records of user
-- ----------------------------
INSERT INTO `user` VALUES ('1', 'ouyang', 'bbd126f4856c57f68d4e30264da6a4e6', 'ROLE_ADMIN,ROLE_USER');
INSERT INTO `user` VALUES ('2', 'admin', 'bbd126f4856c57f68d4e30264da6a4e6', 'ROLE_ADMIN');
INSERT INTO `user` VALUES ('3', 'user', 'bbd126f4856c57f68d4e30264da6a4e6', 'ROLE_USER');

3.添加依赖并配置yml

依赖pom.xml:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.1.2.RELEASE</version><relativePath/> <!-- lookup parent from repository --></parent><groupId>com.oycbest</groupId><artifactId>springsecuritytest</artifactId><version>0.0.1-SNAPSHOT</version><name>springsecuritytest</name><description>springsecurity 安全认证框架实战项目</description><properties><java.version>1.8</java.version></properties><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 --><dependency><groupId>org.apache.commons</groupId><artifactId>commons-lang3</artifactId><version>3.8.1</version></dependency><!--Spring Boot热加载 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-devtools</artifactId><optional>true</optional></dependency><!--Spring Security--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><!--thymeleaf--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><!--JDBC--><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId><version>5.1.29</version></dependency><!--spring-data-jpa--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-jpa</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-test</artifactId><scope>test</scope></dependency></dependencies><build><plugins><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId></plugin></plugins></build>
</project>

application.yml配置：

server:port: 8082spring:datasource:url: jdbc:mysql://127.0.0.1:3306/springsecurity?autoReconnect=true&autoReconnectForPools=true&useUnicode=true&characterEncoding=utf8username: ouyangchengpassword: 123456driver-class-name: com.mysql.jdbc.Driverdruid:initialSize: 1minIdle: 1maxActive: 50maxWait: 6000timeBetweenEvictionRunsMillis: 6000minEvictableIdleTimeMillis: 30000testWhileIdle: truetestOnBorrow: truetestOnReturn: truevalidationQuery: SELECT 1 from dualconnectionProperties: config.decrypt=false

4.创建spring security 的配置文件

package com.oycbest.config;import com.oycbest.domain.User;
import com.oycbest.service.PasswordEncoder;
import com.oycbest.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;import javax.annotation.Resource;/*** @Author: oyc* @Date: 2019/1/29 13:45* @Description:*/
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Resourceprivate UserService<User> userService;@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userService).passwordEncoder(new PasswordEncoder());}@Overrideprotected void configure(HttpSecurity http) throws Exception {//允许基于HttpServletRequest使用限制访问http.authorizeRequests()//不需要身份认证.antMatchers("/", "/home","/toLogin","/**/customer/**").permitAll().antMatchers("/js/**", "/css/**", "/images/**", "/fronts/**", "/doc/**", "/toLogin").permitAll().antMatchers("/user/**").hasAnyRole("USER")//.hasIpAddress()//读取配置权限配置.antMatchers("/**").access("hasRole('ADMIN')").anyRequest().authenticated()//自定义登录界面.and().formLogin().loginPage("/toLogin").loginProcessingUrl("/login").failureUrl("/toLogin?error").permitAll().and().logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout")).and().exceptionHandling().accessDeniedPage("/toLogin?deny").and().httpBasic().and().sessionManagement().invalidSessionUrl("/toLogin").and().csrf().disable();}
}

5.创建UserService实现了UserDetialsServer的类

这个类主要是实现了loadUserByname方法，然后我们可以在这个类中注入我们的service、repository或者mapper接口，然后方法内部根据username获得该用户，然后再获取这个用户的权限。通过用户名到数据库进行查询，如果没有查到这个用户，则登录失败留在原网页，如果查出这个用户，则把用户的账号密码和查出的用户拥有的所有权限，封装到security自己的User类中返回（得到的形式是这样的org.springframework.security.core.userdetails.User@c41325a7: Username: ouyang; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_ADMIN,ROLE_USER），接下来security会把前台发过来的密码和查到的密码进行比较，看是否登录成功，失败停留在原网页，这一步框架自己解决，不需要我们来判断，只需要返回User即可。

我这里直接注入UserRepository，使用UserRepository直接获取用户的信息和权限，对UserRepository有疑问可参考上节Spring Boot入门系列八（SpringBoot 整合SpringData JPA操作Mysql数据库）： https://blog.csdn.net/u014553029/article/details/86662518

package com.oycbest.service;import com.oycbest.domain.User;
import com.oycbest.repository.UserRepository;
import org.apache.commons.lang3.StringUtils;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;import javax.annotation.Resource;
import java.util.ArrayList;
import java.util.List;/*** @Author: oyc* @Date: 2019/1/29 14:19* @Description: 用户服务类*/
@Service
public class UserService<T extends User> implements UserDetailsService {@Resourceprivate UserRepository<User> repository;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {try {User user = repository.findByUserName(username);if (user == null) {throw new UsernameNotFoundException("用户名不存在");}//用户权限List<SimpleGrantedAuthority> authorities = new ArrayList<>();if (StringUtils.isNotBlank(user.getRoles())) {String[] roles = user.getRoles().split(",");for (String role : roles) {if (StringUtils.isNotBlank(role)) {authorities.add(new SimpleGrantedAuthority(role.trim()));}}}return new org.springframework.security.core.userdetails.User(user.getUserName(), user.getPassword(), authorities);} catch (Exception e) {e.printStackTrace();return null;}}
}

6.其他

使用到的login.html、MD5Util和PasswordEncoder，代码如下：

login.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head><title>Spring Security Example </title>
</head>
<body>
<div th:if="${param.error}" style="color: red;">Invalid username and password.
</div>
<div th:if="${param.logout}" style="color: red;">You have been logged out.
</div>
<form th:action="@{/login}" method="post"><div><label> User Name : <input type="text" name="username"/> </label></div><div><label> Password: <input type="password" name="password"/> </label></div><div><input type="submit" value="submit"/> <input type="reset" value="reset"/></div>
</form>
<p>Click <a th:href="@{/home}">here</a> go to home page.</p>
</body>
</html>

MD5Util.java

package com.oycbest.util;import java.io.UnsupportedEncodingException;
import java.math.BigInteger;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;/*** @Author: oyc* @Date: 2018/12/3 11:11* @Description: MD5加密工具*/
public class MD5Util {public static final int time = 5;public static final String SALT = "springsecurity";/*** 密码加密方法** @param password* @return*/public static String encode(String password) {MessageDigest digest;try {digest = MessageDigest.getInstance("MD5");} catch (NoSuchAlgorithmException e) {throw new IllegalStateException("MD5 algorithm not available.  Fatal (should be in the JDK).");}try {for (int i = 0; i < time; i++) {byte[] bytes = digest.digest((password + SALT).getBytes("UTF-8"));password = String.format("%032x", new BigInteger(1, bytes));}return password;} catch (UnsupportedEncodingException e) {throw new IllegalStateException("UTF-8 encoding not available.  Fatal (should be in the JDK).");}}public static void main(String[] args) {System.out.println(MD5Util.encode("123456"));}
}

PasswordEncoder.java

package com.oycbest.service;import com.oycbest.util.MD5Util;/*** @Author: oyc* @Date: 2018/12/3 10:29* @Description: 密码加密类*/
public class PasswordEncoder implements org.springframework.security.crypto.password.PasswordEncoder {@Overridepublic String encode(CharSequence rawPassword) {return MD5Util.encode((String) rawPassword);}@Overridepublic boolean matches(CharSequence rawPassword, String encodedPassword) {//user Details Service验证return encodedPassword.equals(MD5Util.encode((String) rawPassword));}}

三、测试

先使用用户ouyang登录，因为ouayng拥有所有权限，所以可以访问admin和user；当使用admin用户登录的时候，可以正常访问到admin，但是访问user路径时候，就被拦截的，因为admin用户不具备访问user路径的权限。

UserService中的loadUserByUsername在认证过程获取数据如下：

源码地址：https://github.com/oycyqr/SpringSecurity

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

Kotlin与Java之争
Kotlin\\Kotlin是一门相对比较新的JVM语言，JetBrains自2011年以来一直在积极地开发。\\多年来，该语言在Android社区受到的关注度越来越高，并在Google IO 2017大会之后成为Android开发领域最热门的话题。这次大会宣布，Android正式支持Kotlin。\\遗憾的是，虽然已经有许多关于…...
2024/4/16 22:26:09
visual basic 6 下载和 Vb6sp6 下载
同学让我帮他写个软件.......无奈光盘已坏,只好在网上寻找了.还找到了.共享一下: visual Basic 6 中文企业版地址:http://book2.ibook8.com/ibook8com/down/7/vb60.rar大小:190M VB6SP6 地址:微软 http://download.microsoft.com/download/e/c/9/ec94a5d4-d0cf-4484-8b7a-2180…...
2024/4/20 16:18:00
Spring Security3.1登陆验证
一、前言在上一篇http://blog.csdn.net/k10509806/archive/2011/04/28/6369131.aspx文章中，提到的MyUserDetailServiceImpl获取用户权限，在用户没有登陆的时候，Spring Security会让我们自动跳转到默认的登陆界面，但在实际应用绝大多数是用我们自己的登陆界面的，其中就包括…...
2024/4/16 22:26:15
sharedPerferences单例整个app使用唯一一个sharedperferences
package banner.test.com.shareperfrence;import android.content.Context; import android.content.SharedPreferences; import android.preference.PreferenceManager;/*** sp管理类，放入项目即可*/ public class SPManager {public static SPManager mSPManager;public Sha…...
2024/4/16 22:26:21
LInux常用的60个命令，小白必须掌握的命令
login 1.作用 login的作用是登录系统，它的使用权限是所有用户。 2.格式 login [name] [-p][-h 主机名称] 3.主要参数 -p:通知login保存现在的环境参数。 -h:用来向远程登录的质检传输用户名。如果选择用命令行模式登录Linux的话，name看到的第一个Linux命令就是login。 …...
2024/4/16 22:25:57
springsecurity如何自定义登录页面
springsecurity默认为我们提供了一个登录页面，在登录页面，如果填入的用户名和密码不匹配后端设置，那么就会在当前页面弹出错误提示，这个页面很简单，而且是单调的。在实际开发中，有时候，为了让登录页面更加的美观和展现定制化的内容，我们需要自定义登录页面。自定义登录…...
2024/4/24 11:33:05
【百度人脸识别api】二、人脸比对
import json import urllib import base64 from baidu_face_detect.token11 import GetToken#转换图片读取文件内容转换为base64编码 #二进制打开图片 def img_compare_data(fp1,fp2):f = open(fp1,rb)pic1 = base64.b64encode(f.read())f.close()f = open(fp2,rb)pic2 = bas…...
2024/4/16 22:27:15
ibook导入pdf简单方法
1、将pdf文件拖进itunes的书籍下面（也可以通过导入文件到资料库实现）； 2、将itunes书籍中的pdf文件拖进ipad的书籍里面； 3、同步完成后，打开ipad的ibook就可以看到那个PDF标签了。...
2024/4/20 0:29:28
panabit 流控大师
panabit panabit panabit 介绍： Panabit是目前国内开放度最高、免费、专业的应用层流量管理系统，特别针对P2P应用的识别与控制，(panabit不是一种NAT软件，要实现以上功能需要与其他软件配合来实现)2009年10月25日，已经支持实际主流应用360种以上，并以两周更新一次…...
2024/4/4 21:54:38
6个实例详解如何把if-else代码重构成高质量代码
本文提纲：为什么我们写的代码都是if-else？这样的代码有什么缺点？是否有优化的方法？如何重构？异常逻辑处理型重构方法状态处理型重构方法为什么我们写的代码都是if-else？程序员想必都经历过这样的场景：刚开始自己写的代码很简洁，逻辑清晰，函数精简，没有一个if-else，…...
2024/4/18 4:46:17
Spring Security 源码合集
《Spring Security(一)--Architecture Overview》《Spring Security(二)--Guides》《Spring Security(三)--核心配置解读》《Spring Security(四)--核心过滤器源码分析》《Spring Security(五)--动手实现一个IP_Login》《从零开始的Spring Security OAuth2（一）》《从零开始的…...
2024/4/16 22:27:09
Kotlin语言概述
最近发现Kotlin在各大论坛成为了一个很火热的话题，抽空了解了一下这个语言。2017年谷歌I/O大会上，谷歌宣布将Kotlin作为Android编程的一级开发语言。Kotlin由JetBrains公司开发，与Java 100%互通，并具备诸多Java尚不支持的新特性，目前已经开源。Github上也有越来越多的项目…...
2024/4/16 22:26:51
Linux入门
Linux文件系统结构在Linux底下，所有的文件与目录都是由根目录开始，是目录与文件的源头，然后一个个的分支下来，如同树枝状，因此称为这种目录配置为：目录树。目录树的特点是什么呢？目录树的起始点是根目录(/,root); 每一个目录不止能使用本地的文件系统，也可以使用网络…...
2024/4/19 20:00:48
iBook文件的导出
所有的iBook文件存储在下面这个目录，可以从这个目录copy出来。~/Library/Containers/com.apple.BKAgentService/Data/Documents/iBooks/Books/...
2024/4/16 22:26:15
初次接触Kotlin
Kotlin介绍 Kotlin 是在2016年2月16号正式发布了1.0版本，是一个基于 JVM 的新的编程语言， Kotlin是一门与Swift类似的静态类型JVM语言,由JetBrains设计开发并开源。与Java相比，Kotlin的语法更简洁、更具表达性，而且提供了更多的特性，比如，高阶函数、操作符重载、字符串模…...
2024/4/19 18:37:50
android 通过检测和比对实现人脸追踪
转载:http://blog.csdn.net/duan19920101/article/details/50705253?locationNum=3&fps=11.不管是单目标还是多目标的跟踪，在每一帧需要保存的是：某个人到该帧为止最清晰的人脸区域图像和该帧人脸区域的特征(因为跟踪使用的是上一帧人脸图像的特征)。2.单个人脸的跟踪：…...
2024/4/4 10:58:45
Linux必学的60个命令(二)
3.用crontab命令实现每天定时的病毒扫描前面已经介绍了一个简单的crontab命令操作，这里看一些更重要的操作。（1）建立一个文件，文件名称自己设定，假设为caoproject：＃crontab －e （2）文件内容如下： 05 09 * * * antivir 用vi编辑后存盘退出。antivir是一个查杀Linux…...
2024/4/16 22:26:39
爱电子书吧 - http://ibook8.com/
爱电子书吧 - http://ibook8.com/...
2024/4/16 22:26:45
Destructuring Declarations in kotlin (kotlin的解构声明) 的正确打开方式
熟悉JS的读者朋友们知道，ES6有一个非常好用的特性，解构析值。这个特性可以帮助我们实现如下简洁的代码：const {a, b} = {a:"Alice", b:"Bob"}简单地说，就是拆解一个对象。我在写kotlin的时候想：kotliin有没有类似的特性呢？kotlin有一个类似的，但是…...
2024/4/16 22:25:45
SpringBoot2+SpringSecurity整合JWT，前后端分离的API权限认证框架搭建手册
前言之前又用到JWT，但是基本都是别人搭建，直接使用，有什么可以优化的，也不知道，所以还是要自己实践一遍，实践才能出真理。也看到很多整合的文章，有些说的细致但是版本太旧了，有些说的不够详细，而且细节也挺多的，纸上得来终觉浅，绝知此事要躬行，所以自己动手实践了…...
2024/4/18 6:37:02

SpringBoot+SpringSecurity+mysql实现认证与授权