为了账号安全,请及时绑定邮箱和手机立即绑定

Spring Security 之一 用户名密码登陆

标签:
Java SpringBoot

Spring Security致力于为Java应用提供认证和授权管理。它是一个强大的,高度自定义的认证和访问控制框架。

认证是验证用户身份的合法性,而授权是控制你可以做什么。

Spring Security 的核心原理是一组过滤器链,每个过滤器可以处理一种认证请求,最有一个捕获异常的过滤器用来处理登陆过程中的异常

图片描述

Spring Security的核心组件

  • SecurityContextHolder:提供对SecurityContext的访问
  • SecurityContext,:持有Authentication对象和其他可能需要的信息
  • AuthenticationManager 其中可以包含多个AuthenticationProvider
  • ProviderManager对象为AuthenticationManager接口的实现类
  • AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
  • Authentication:Spring Security方式的认证主体
  • GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
  • UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
  • UserDetailsService:通过username构建UserDetails对象

Spring Security 默认Basic方式登陆,默认用户名user,密码会在控制台输出

Using generated security password: af133231-21ad-4802-8f61-4a8b0bae14e1

需求:

  • 修改为表单登陆
  • 用户名和密码数据库配置(模拟)
  • 自定义登录页和错误页面
  • 完成登出操作
  • 记录登陆成功和失败

首先看WebSecurityConfigurerAdapter 如何配置configure

http.formLogin() //指定采用form方式登录
                .loginPage(securityProperties.getLoginPage())//登录页面
                .failureUrl(securityProperties.getFailureUrl())//登录错误页面
                .loginProcessingUrl(securityProperties.getLoginProcessingUrl())//拦截的登录处理URL
                .successHandler(securityAuthenticationSuccessHandler)//登录成功处理器
                .failureHandler(securityAuthenticationFailureHandler)//登录失败处理器
                .and()
                .logout()//登出相关配置
                .logoutUrl(securityProperties.getLogoutUrl())//登出的url
                .logoutSuccessUrl(securityProperties.getLoginPage())//登出成功后跳转的url
                .permitAll()
                .invalidateHttpSession(true)//是session失效
                .deleteCookies("JSESSIONID")
                .logoutSuccessHandler(securityLogoutSuccessHandler)//登出成功的处理器
                .and()
                .authorizeRequests()//权限
                .antMatchers(securityProperties.getMatchers())//不拦截这些请求
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .userDetailsService(securityUserDetailsService)//指定userdetailsService
                .headers()
                .frameOptions()
                .disable()
                .and()
                .csrf()
                .disable();//禁用跨域

在看下默认的配置文件securityProperties

@ConfigurationProperties(prefix = "demo.security")
@Configuration
@Data
public class SecurityProperties {
  //跳转登录页面(使用了thymeleaf,写在了controler中,不使用的话,可以直接配置为html)
    private String loginPage = "/auth/toLogin";
  //失败页面(需要带参数,否则无法从session中取到错误信息)
    private String failureUrl = "/auth/login?error=true";
    private String loginProcessingUrl = "/auth/login";
    private String logoutUrl = "/auth/logout";
    private String[] matchers = new String[]{"/auth/requrie",
            "/js/**",
            "/iview/**",
            "/css/**",
            "/auth/toLogin",
            "/auth/logout",
            "/images/**",
            "/api/**",
            "/auth/token"
    };
    // 默认登录页
    private String loginPageHtml = "signin";
}

以上配置不做详细说明,简单说明一下;PasswordEncoderUserDetailsService

PasswordEncoder

从数据库读取用户之后,负责对密码进行加密,并与数据库中记录的密码进行比对,如通过,则返回true,否则返回false

public class PasswordEncoderImpl implements PasswordEncoder {

	@Override
	//对密码进行加密(此处采用md5 方式,更多方式此处不做测试)
	public String encode(CharSequence rawPassword) {
		return DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes());
	}

	@Override
	//此处留了一个后门,即直接使用密文作为密码也可以进行登录
	public boolean matches(CharSequence rawPassword, String encodedPassword) {
		return rawPassword.toString().equals(encodedPassword)||this.encode(rawPassword).equals(encodedPassword);
	}

}

UserDetailsService

主要处理loadUserByUsername方法,根据用户名查找用户,若用户不存在,抛出UsernameNotFoundException即可,

UserService用来模拟从数据库根据用户名查询用户的功能

@Service
@Slf4j
public class SecurityUserDetailsService implements UserDetailsService{
    @Autowired
    private UserService userService;
    @Override
    public UserDetails loadUserByUsername(String username) throws
                                                           UsernameNotFoundException{
        log.info("login:{}", username);
        UserDetail user = userService.loadUserByUsername(username);
        if(user == null){
            throw new UsernameNotFoundException("用户未找到");
        }

        return user;
    }
}

登陆界面

此页面包含部分样式,看着较为复杂

有几点需要注意

  • 登陆路径/auth/login需要与配置类中的登录路径一致,否则不认为是登陆请求
  • 需要传递usernamepassword两个参数
  • 必须以post方式提交表单
  • session?.SPRING_SECURITY_LAST_EXCEPTION?.message 这是thymeleafsession中取出错误信息的表达式
<card  :shadow="true" :bordered="false">
                <p slot="title">用户登录</p>
                <i-form id="loginForm" th:action="@{/auth/login}" ref="formInline" :model="formInline" :rules="ruleInline" method="POST">
                    <form-item prop="username">
                        <i-input element-id="username" type="text" v-model="formInline.username" name="username" placeholder="Username">
                             <icon type="ios-person-outline" slot="prepend"></icon>
                        </i-input>
                    </form-item>
                    <form-item prop="password">
                        <i-input element-id="password" type="password" v-model="formInline.password" name="password" placeholder="Password">
                            <icon type="ios-lock-outline" slot="prepend"></icon>
                        </i-input>
                        <div id="message" style="color:red;" th:text="${session?.SPRING_SECURITY_LAST_EXCEPTION?.message}"></div>
                    </form-item>
                    <form-item>
                        <i-button id="login" type="primary"  @click="handleSubmit('formInline')" @keyup.enter.native="handleSubmit('formInline')" long>登录</i-button>
                    </form-item>
                </i-form>
            </card>

效果演示

访问项目,未登陆状态下,踢到登陆页

图片描述

登陆错误演示

图片描述

登陆成功之后.跳转到项目首页

图片描述

点击注销之后,会再次跳转到登陆页面

项目github地址

此文章为第一章,根据用户名和密码进行登录,下一章讲解如何自定义登陆方式

点击查看更多内容
3人点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
JAVA开发工程师
手记
粉丝
3
获赞与收藏
9

关注作者,订阅最新文章

阅读免费教程

感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消