spring security使用方法

1.1      自定義登錄頁面：

創建登錄頁面，結構如下：

在WEBCONFIG.java中配置認證頁面地址

//默認Url根路徑跳轉到/login，此url為spring security提供
@Configuration
public class WebConfig implements WebMvcConfigurer {
     @Override
     public void addViewControllers(ViewControllerRegistry registry) {
         registry.addViewController("/").setViewName("redirect:/login-view");
         registry.addViewController("/login-view").setViewName("login");
     }
 }

安全配置：

在WebSecurityConfig中配置表單登錄信息：

http
        .authorizeRequests()
        .antMatchers("/r/**").authenticated()
        .anyRequest().permitAll()
        .and()
        .formLogin()
        .loginPage("/login-view")
        .loginProcessingUrl("/login")
        .successForwardUrl("/login-success")
        .permitAll();

（1）  允許表單登錄

（2）  指定自己的登錄頁以重定向方式跳轉到/login-view

（3）  指定登錄處理的url也就是填寫用戶名密碼以后提交到的地址

（4）  指定登錄成功后跳轉到的URL

（5）  允許所有用戶登錄以后訪問所有URL

測試：

輸入用戶名密碼點擊登錄報403錯

問題解決：

Spring security為防止CSRF(跨站請求偽造)的發生,限制除了get以外的大多數方法。

屏蔽CSRF控制,即spring security不再限制CSRF

配置WebSecurityConfig

protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();

…

}

連接數據庫

前面的例子我們是將用戶的信息保存在內存中，實際項目中往往是從數據庫中讀取用戶的信息進行驗證，下面看看如何使用數據庫中的用戶信息進行登錄，根據前面的研究我們知道只需要重新定義UserDetailService即可實現根據用戶賬號查詢數據庫。

1.       創建數據庫

創建user_db數據庫

CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';

2.創建t_user表

CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC

3.定義dataSource在application.properties配置

spring.datasource.url=jdbc:mysql://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

4.添加依賴

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
    <scope>test</scope>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>5.1.47</version>
</dependency>

5.定義實體類

@Data
public class UserDto {
     private String id;
     private String username;
     private String password;
     private String fullname;
     private String mobile;
 }

6.定義數據訪問類

@Repository
public class UserDao {
     @Autowired
     JdbcTemplate jdbcTemplate;
     public UserDto getUserByUsername(String username){
         String sql ="select id,username,password,fullname from t_user where username = ?";
         List<UserDto> list = jdbcTemplate.query(sql, new Object[]{username}, new
                 BeanPropertyRowMapper<>(UserDto.class));
         if(list == null && list.size() <= 0){
             return null;
         }
         return list.get(0);
     }
 }

7.定義UserDetailService

在service包下定義SpringDataUserDetailsService實現UserDetailService接口

@Service
public class SpringDataUserDetailsService implements UserDetailsService {
     @Autowired
     UserDao userDao;
     @Override
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
         //登錄賬號
         System.out.println("username="+username);
         //根據賬號去數據庫查詢...
         UserDto user = userDao.getUserByUsername(username);
         if(user == null){
             return null;
         }
         //這里暫時使用靜態數據
         UserDetails userDetails =
                 User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
         return userDetails;
     }

 }

8.測試

9. 使用BcryptPasswordEncoder

在安全配置類中定義BcryptPasswordEncoder

@Bean
public PasswordEncoder passwordEncoder() {
     return new BCryptPasswordEncoder();
 }

UserDetails中的密碼存儲BCrypt格式

前邊實現了從數據庫查詢用戶信息，所以數據庫中的密碼應該存儲BCrypt格式

10.修改LoginController獲取用戶身份信息

@RestController
public class LoginController {
     /**
      * 用戶登錄成功
      * @return
      */
     @RequestMapping(value = "/login‐success",produces = {"text/plain;charset=UTF‐8"})
     public String loginSuccess() {
         String username = getUsername();
         return username + " 登錄成功";
     }

     /**
      * 獲取當前登錄用戶名
      * @return
      */
     private String getUsername(){
         Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
         if(!authentication.isAuthenticated()){
             return null;
         }
         Object principal = authentication.getPrincipal();
         String username = null;
         if (principal instanceof org.springframework.security.core.userdetails.UserDetails) {
             username =
                     ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
         } else {
             username = principal.toString();
         }
         return username;
     }

@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF‐8"})
public String r1(){
         String username = getUsername();
         return username + " 訪問資源1";
         }

@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF‐8"})
public String r2(){
         String username = getUsername();
         return username + " 訪問資源2";
         }


 }

11.測試

12.會話控制：

我們可以通過以下選項控制會話何時創建

Always 如果沒有session存在就創建一個

ifRequired 如果需要就創建一個session登錄時

never: Spring Security將不會創建session,但是如果應用中其它地方創建了session,那么spring security將會使用它

stateless:Spring Security將不會創建Session也不會使用Session

通過以下方式對該選項進行配置：

在WebSecurityConfig.java中加上:

protected void configure(HttpSecurity http) throws Exception {
    http.sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);

…

}

默認情況下Spring Security會為每一個登錄成功的用戶創建一個Session,就是IF_REQUIRED

若選用never則指示Spring Security對登錄成功的用戶不創建Session了，但若你的應用程序在某地方新建了Session,那么Spring Security會用它的。

若使用stateless,則Spring Security對登錄成功的用戶不會創建Session,你的應用程序也不會創建Session,每個請求都需要重新進行身份驗證，這種無狀態架構適用于Rest API及其無狀態認證機制。

會話超時：

可以設置Session超時時間,比如設置Session有效期為 3600秒：

在Spring Security配置文件中：

server.servlet.session.timeout=3600s

安全會話cookie

httpOnly:如果為true那么瀏覽器腳本無法訪問cookie

secure：如果為true則cookie將僅通過Https連接發送

server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true

13.退出

Spring Security默認幫我們實現了退出功能,訪問/logout就可以實現退出

自定義退出成功頁面：

.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");

當執行退出時將會完成以下動作：

1.  session失效

2.  清除SecurityContextHolder

3.  跳轉到/login-view?logout

如果想進一步配置退出功能可以如下配置：

.logout()                                          (1)
.logoutUrl("/logout")                              (2)
.logoutSuccessUrl("/login‐view?logout")            (3)
.logoutSuccessHandler(logoutSuccessHandler)      (4)
.addLogoutHandler(logoutHandler)              (5)
.invalidateHttpSession(true);                     (6)

(1)    提供系統退出支持

(2)    設置觸發退出操作的url,默認是/logout

(3)    退出之后跳轉的url,默認是/login?logout

(4)    定制的LogoutSuccessHandler,用于實現用戶退出成功時的處理，如果指定了這個選項則logoutSuccessUrl()的設置會被忽略

(5)    添加一個logoutHandler,用于實現用戶退出時的清理工作，

(6)    指定在用戶退出時是否讓HttpSession無效，默認為true

注意：如果讓logout在Get請求下生效,必須關閉防止csrf***的csrf().disable().如果開啟了CSRF,必須使用post方式請求/logout