在Spring Boot中使用Spring Security實現權限控制

 

Spring Boot框架咱們前面已經介紹了不少了，相信看了前面的博客的小夥伴對Spring Boot應該有一個大體的瞭解了吧，若是有小夥伴對Spring Boot尚不熟悉，能夠先移步這裏從SpringMVC到Spring Boot，老司機請略過。OK，那咱們今天要說的是Spring Boot中另一個比較重要的東西，那就是Spring Security，這是一個專門針對基於Spring的項目的安全框架，它主要是利用了咱們前文介紹過的的AOP（Spring基礎配置）來實現的。之前在Spring框架中使用Spring Security須要咱們進行大量的XML配置，可是，Spring Boot在這裏依然有驚喜帶給咱們，咱們今天就一塊兒來看看。 
毫無疑問，Spring Boot針對Spring Security也提供了自動配置的功能，這些默認的自動配置極大的簡化了咱們的開發工做，咱們今天就來看看這個吧。

建立Project並添加相關依賴

Project的建立和前文同樣，惟一要注意的地方就是建立的時候添加的依賴不一樣，以下圖： 
 
OK，建立成功以後添加相關依賴，數據庫我這裏使用MySql，因此添加MySql驅動，而後要添加Spring Security的支持，因此還要添加Spring Security的依賴，以下：

<dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.40</version> </dependency>

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9

配置application.properties

這個東東的配置仍是和咱們上文說到的是同樣的，這裏也沒啥好說的，有問題的小夥伴翻看前文(初識在Spring Boot中使用JPA)：

spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/sang?useUnicode=true&characterEncoding=utf-8 spring.datasource.username=root spring.datasource.password=sang logging.level.org.springframework.security=info spring.thymeleaf.cache=false spring.jpa.hibernate.ddl-auto=update spring.jpa.show-sql=true

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8

定義用戶和角色

咱們這裏使用JPA來定義用戶和角色，用戶和角色都存儲在數據庫中，咱們直接經過在數據庫中查詢而後來使用。

定義角色

咱們的角色實體類和表都很簡單，就兩個字段，一個id，一個name屬性表示角色的名稱，實體類以下;

@Entity public class SysRole { @Id @GeneratedValue private Long id; private String name; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getName() { return name; } public void setName(String name) { this.name = name; } }

OK，簡簡單單就這兩個屬性。

定義用戶

咱們在定義用戶的時候須要實現UserDetails接口，這樣咱們的用戶實體即爲Spring Security所使用的用戶，定義好用戶以後，咱們還要配置用戶和角色之間的多對多關係，正常狀況下，角色和權限是兩回事，因此咱們還須要重寫getAuthorities方法，將用戶的角色和權限關聯起來，代碼以下：

@Entity public class SysUser implements UserDetails { @Id @GeneratedValue private Long id; private String username; private String password; @ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER) private List<SysRole> roles; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public void setUsername(String username) { this.username = username; } public void setPassword(String password) { this.password = password; } public List<SysRole> getRoles() { return roles; } public void setRoles(List<SysRole> roles) { this.roles = roles; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { List<GrantedAuthority> auths = new ArrayList<>(); List<SysRole> roles = this.getRoles(); for (SysRole role : roles) { auths.add(new SimpleGrantedAuthority(role.getName())); } return auths; } @Override public String getPassword() { return this.password; } @Override public String getUsername() { return this.username; } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } @Override public boolean isEnabled() { return true; } } 

 

OK，通過上面兩個步驟以後咱們的用戶就和角色關聯起來了，這個時候運行Project就會在數據庫中自動幫咱們生成三張表，用戶表、角色表和二者的關聯表，以下： 

預設數據

咱們先在表中定義好幾個角色和用戶，方便咱們後邊作測試用，OK，預設數據的話，那咱們執行以下幾行數據插入代碼：

insert into `sys_role`(`id`,`name`) values (1,'ROLE_ADMIN'),(2,'ROLE_USER'); insert into `sys_user`(`id`,`password`,`username`) values (1,'root','root'),(2,'sang','sang'); insert into `sys_user_roles`(`sys_user_id`,`roles_id`) values (1,1),(2,2); 

• 1
• 2
• 3
• 4
• 5
• 6

咱們向數據庫中插入兩個用戶兩個角色，再將這兩個用戶兩個角色關聯起來便可。

建立傳值對象

數據建立成功以後，在客戶端請求網頁的時候咱們須要有一個實體類用來向客戶端傳遞消息，OK，那咱們建立一個MSG對象：

public class Msg { private String title; private String content; private String extraInfo; public Msg() { } public String getTitle() { return title; } public void setTitle(String title) { this.title = title; } public String getContent() { return content; } public void setContent(String content) { this.content = content; } public String getExtraInfo() { return extraInfo; } public void setExtraInfo(String extraInfo) { this.extraInfo = extraInfo; } public Msg(String title, String content, String extraInfo) { this.title = title; this.content = content; this.extraInfo = extraInfo; } }

這就是一個普通的類，沒什麼好說的。

建立數據訪問接口

public interface SysUserRepository extends JpaRepository<SysUser, Long> { SysUser findByUsername(String username); }

這個也是寫了n多遍的東西了，不贅述，關於這裏若是小夥伴有疑問能夠參考這裏(初識在Spring Boot中使用JPA)。須要注意的是這裏只須要一個根據用戶名查詢出用戶的方法便可，不須要經過用戶名和密碼去查詢。

自定義UserDetailsService

自定義UserDetailsService，實現相應的接口，以下：

public class CustomUserService implements UserDetailsService { @Autowired SysUserRepository userRepository; @Override public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { SysUser user = userRepository.findByUsername(s); if (user == null) { throw new UsernameNotFoundException("用戶名不存在"); } System.out.println("s:"+s); System.out.println("username:"+user.getUsername()+";password:"+user.getPassword()); return user; } }

首先這裏咱們須要重寫UserDetailsService接口，而後實現該接口中的loadUserByUsername方法，經過該方法查詢到對應的用戶，這裏之因此要實現UserDetailsService接口，是由於在Spring Security中咱們配置相關參數須要UserDetailsService類型的數據。

SpringMVC配置

@Configuration public class WebMvcConfig extends WebMvcConfigurerAdapter { @Override public void addViewControllers(ViewControllerRegistry registry) { registry.addViewController("/login").setViewName("login"); } }

當用戶訪問login時跳轉到login.html頁面。

配置Spring Security

@Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Bean UserDetailsService customUserService() { return new CustomUserService(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customUserService()); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and().formLogin().loginPage("/login").failureUrl("/login?error").permitAll().and() .logout().permitAll(); } }

OK ，關於這個配置我要多說兩句：

1.首先當咱們要自定義Spring Security的時候咱們須要繼承自WebSecurityConfigurerAdapter來完成，相關配置重寫對應 方法便可。 
2.咱們在這裏註冊CustomUserService的Bean，而後經過重寫configure方法添加咱們自定義的認證方式。 
3.在configure(HttpSecurity http)方法中，咱們設置了登陸頁面，並且登陸頁面任何人均可以訪問，而後設置了登陸失敗地址，也設置了註銷請求，註銷請求也是任何人均可以訪問的。 
4.permitAll表示該請求任何人均可以訪問，.anyRequest().authenticated(),表示其餘的請求都必需要有權限認證。 
5.這裏咱們能夠經過匹配器來匹配路徑，好比antMatchers方法，假設我要管理員才能夠訪問admin文件夾下的內容，我能夠這樣來寫：.antMatchers("/admin/**").hasRole("ROLE_ADMIN")，也能夠設置admin文件夾下的文件能夠有多個角色來訪問，寫法以下：.antMatchers("/admin/**").hasAnyRole("ROLE_ADMIN","ROLE_USER") 
6.能夠經過hasIpAddress來指定某一個ip能夠訪問該資源,假設只容許訪問ip爲210.210.210.210的請求獲取admin下的資源，寫法以下.antMatchers("/admin/**").hasIpAddress("210.210.210.210") 
7.更多的權限控制方式參看下表： 

8.這裏咱們還能夠作更多的配置，參考以下代碼：

http.authorizeRequests() .anyRequest().authenticated() .and().formLogin().loginPage("/login") //設置默認登陸成功跳轉頁面 .defaultSuccessUrl("/index").failureUrl("/login?error").permitAll() .and() //開啓cookie保存用戶數據 .rememberMe() //設置cookie有效期 .tokenValiditySeconds(60 * 60 * 24 * 7) //設置cookie的私鑰 .key("") .and() .logout() //默認註銷行爲爲logout，能夠經過下面的方式來修改 .logoutUrl("/custom-logout") //設置註銷成功後跳轉頁面，默認是跳轉到登陸頁面 .logoutSuccessUrl("") .permitAll();

OK，這裏算是核心了，多說兩句。

建立登陸頁面

在template文件夾中建立login.html頁面，內容以下：

<!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"/> <title>登陸</title> <link rel="stylesheet" th:href="@{css/bootstrap.min.css}"/> <link rel="stylesheet" th:href="@{css/signin.css}"/> <style type="text/css"> body { padding-top: 50px; } .starter-template { padding: 40px 15px; text-align: center; } </style> </head> <body> <nav class="navbar navbar-inverse navbar-fixed-top"> <div class="container"> <div class="navbar-header"> <a class="navbar-brand" href="#">Spring Security演示</a> </div> <div id="navbar" class="collapse navbar-collapse"> <ul class="nav navbar-nav"> <li><a th:href="@{/}">首頁</a></li> <li><a th:href="@{http://www.baidu.com}">百度</a></li> </ul> </div> </div> </nav> <div class="container"> <div class="starter-template"> <p th:if="${param.logout}" class="bg-warning">已註銷</p> <p th:if="${param.error}" class="bg-danger">有錯誤，請重試</p> <h2>使用帳號密碼登陸</h2> <form class="form-signin" role="form" name="form" th:action="@{/login}" action="/login" method="post"> <div class="form-group"> <label for="username">帳號</label> <input type="text" class="form-control" name="username" value="" placeholder="帳號"/> </div> <div class="form-group"> <label for="password">密碼</label> <input type="password" class="form-control" name="password" placeholder="密碼"/> </div> <input type="submit" id="login" value="Login" class="btn btn-primary"/> </form> </div> </div> </body> </html>

這裏就是一個普通的html頁面，用到了thymeleaf模板引擎（thymeleaf能夠參考這兩篇文章使用Spring Boot開發Web項目/使用Spring Boot開發Web項目(二)之添加HTTPS支持），

建立登陸成功後跳轉頁面

<!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"> <head> <meta charset="UTF-8"/> <title sec:authentication="name"></title> <link rel="stylesheet" th:href="@{css/bootstrap.min.css}"/> <style type="text/css"> body { padding-top: 50px; } .starter-template { padding: 40px 15px; text-align: center; } </style> </head> <body> <nav class="navbar navbar-inverse navbar-fixed-top"> <div class="container"> <div class="navbar-header"> <a class="navbar-brand" href="#">Spring Security演示</a> </div> <div id="navbar" class="collapse navbar-collapse"> <ul class="nav navbar-nav"> <li><a th:href="@{/}">首頁</a></li> <li><a th:href="@{http://www.baidu.com}">百度</a></li> </ul> </div> </div> </nav> <div class="container"> <div class="starter-template"> <h1 th:text="${msg.title}"></h1> <p class="bg-primary" th:text="${msg.content}"></p> <div sec:authorize="hasRole('ROLE_ADMIN')"> <p class="bg-info" th:text="${msg.extraInfo}"></p> </div> <div sec:authorize="hasRole('ROLE_USER')"> <p class="bg-info">無更多顯示信息</p> </div> <form th:action="@{/logout}" method="post"> <input type="submit" class="btn btn-primary" value="註銷"/> </form> </div> </div> </body> </html>

這裏有以下幾個問題須要說明：

1.在html標籤中咱們引入的Spring Security 
2.經過sec:authentication=」name」咱們能夠獲取當前用戶名 
3.sec:authorize="hasRole('ROLE_ADMIN')表示當前用戶角色爲ROLE_ADMIN的話顯示裏邊的內容 
4.sec:authorize="hasRole('ROLE_USER')表示當前用戶角色爲ROLE_USER的話顯示該DIV裏邊的內容

添加控制器

@Controller public class HomeController { @RequestMapping("/") public String index(Model model) { Msg msg = new Msg("測試標題", "測試內容", "額外信息，只對管理員顯示"); model.addAttribute("msg", msg); return "index"; } }

測試

首頁以下：

訪問http://localhost:8080/自動跳轉到http://localhost:8080/login 

登陸出錯

輸入錯誤的帳號密碼進行登陸，結果以下： 

管理員登陸

使用管理員賬號密碼登陸，結果以下： 

普通用戶登陸

使用普通用戶賬號密碼登陸，結果以下： 

註銷

點擊註銷按鈕，結果以下： 

OK，以上就是對Spring Security的一個簡單介紹，是否是比本身經過過濾器、攔截器神馬的來弄簡單多了。