Spring Security六：自定義認證

通過前面的學習我們可以使用spring security完成簡單的認證和授權(quán)，但是實際項目中用戶的數(shù)據(jù)往往都是存在數(shù)據(jù)庫中，登錄頁面也需要可以自由定制，下面我們就來學習使用spring security如何完成

?

創(chuàng)建mavean項目選擇模板 mavean-archetype-webapp

?

1.1????? 自定義登錄頁面：

?

創(chuàng)建登錄頁面，結(jié)構(gòu)如下：

?

在WEBCONFIG.java中配置認證頁面地址

//默認Url根路徑跳轉(zhuǎn)到/login，此url為spring security提供
@Configuration
public class WebConfig implements WebMvcConfigurer {
 ??? @Override
 ??? public void addViewControllers(ViewControllerRegistry registry) {
 ??????? registry.addViewController("/").setViewName("redirect:/login-view");
 ??????? registry.addViewController("/login-view").setViewName("login");
 ??? }
 }

安全配置：

在WebSecurityConfig中配置表單登錄信息：

http
??????? .authorizeRequests()
??????? .antMatchers("/r/**").authenticated()
??????? .anyRequest().permitAll()
??????? .and()
??????? .formLogin()
??????? .loginPage("/login-view")
??????? .loginProcessingUrl("/login")
??????? .successForwardUrl("/login-success")
??????? .permitAll();

（1）? 允許表單登錄

（2）? 指定自己的登錄頁以重定向方式跳轉(zhuǎn)到/login-view

（3）? 指定登錄處理的url也就是填寫用戶名密碼以后提交到的地址

（4）? 指定登錄成功后跳轉(zhuǎn)到的URL

（5）? 允許所有用戶登錄以后訪問所有URL

?

測試：

輸入用戶名密碼點擊登錄報403錯

?

問題解決：

Spring security為防止CSRF(跨站請求偽造)的發(fā)生,限制除了get以外的大多數(shù)方法。

屏蔽CSRF控制,即spring security不再限制CSRF

配置WebSecurityConfig

protected void configure(HttpSecurity http) throws Exception {
??? http.csrf().disable();

…

}

?

?

連接數(shù)據(jù)庫

前面的例子我們是將用戶的信息保存在內(nèi)存中，實際項目中往往是從數(shù)據(jù)庫中讀取用戶的信息進行驗證，下面看看如何使用數(shù)據(jù)庫中的用戶信息進行登錄，根據(jù)前面的研究我們知道只需要重新定義UserDetailService即可實現(xiàn)根據(jù)用戶賬號查詢數(shù)據(jù)庫。

?

1.?????? 創(chuàng)建數(shù)據(jù)庫

創(chuàng)建user_db數(shù)據(jù)庫

CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';

2.創(chuàng)建t_user表

CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC

3.定義dataSource在application.properties配置

spring.datasource.url=jdbc:mysql://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

4.添加依賴

<dependency>
??? <groupId>org.springframework.boot</groupId>
??? <artifactId>spring-boot-starter-test</artifactId>
??? <scope>test</scope>
</dependency>
<dependency>
??? <groupId>org.springframework.boot</groupId>
??? <artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
??? <groupId>mysql</groupId>
??? <artifactId>mysql-connector-java</artifactId>
??? <version>5.1.47</version>
</dependency>

5.定義實體類

@Data
public class UserDto {
 ??? private String id;
 ??? private String username;
 ??? private String password;
 ??? private String fullname;
 ??? private String mobile;
 }

6.定義數(shù)據(jù)訪問類

@Repository
public class UserDao {
 ??? @Autowired
 ??? JdbcTemplate jdbcTemplate;
 ??? public UserDto getUserByUsername(String username){
 ??????? String sql ="select id,username,password,fullname from t_user where username = ?";
 ??????? List<UserDto> list = jdbcTemplate.query(sql, new Object[]{username}, new
 ??????????????? BeanPropertyRowMapper<>(UserDto.class));
 ??????? if(list == null && list.size() <= 0){
 ??????????? return null;
 ??????? }
 ??????? return list.get(0);
 ??? }
 }

7.定義UserDetailService

在service包下定義SpringDataUserDetailsService實現(xiàn)UserDetailService接口

@Service
public class SpringDataUserDetailsService implements UserDetailsService {
 ??? @Autowired
 ??? UserDao userDao;
 ??? @Override
 ??? public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 ??????? //登錄賬號
 ??????? System.out.println("username="+username);
 ??????? //根據(jù)賬號去數(shù)據(jù)庫查詢...
 ??????? UserDto user = userDao.getUserByUsername(username);
 ??????? if(user == null){
 ??????????? return null;
 ??????? }
 ??????? //這里暫時使用靜態(tài)數(shù)據(jù)
 ??????? UserDetails userDetails =
 ??????????????? User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
 ??????? return userDetails;
 ??? }

 }

8.測試

9. 使用BcryptPasswordEncoder

在安全配置類中定義BcryptPasswordEncoder

@Bean
public PasswordEncoder passwordEncoder() {
 ??? return new BCryptPasswordEncoder();
 }

UserDetails中的密碼存儲BCrypt格式

前邊實現(xiàn)了從數(shù)據(jù)庫查詢用戶信息，所以數(shù)據(jù)庫中的密碼應該存儲BCrypt格式

10.修改LoginController獲取用戶身份信息

@RestController
public class LoginController {
 ??? /**
 ???? * 用戶登錄成功
 ???? * @return
 ???? */
 ??? @RequestMapping(value = "/login‐success",produces = {"text/plain;charset=UTF‐8"})
 ??? public String loginSuccess() {
 ??????? String username = getUsername();
 ??????? return username + " 登錄成功";
 ??? }

 ??? /**
 ???? * 獲取當前登錄用戶名
 ???? * @return
 ???? */
 ??? private String getUsername(){
 ??????? Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
 ??????? if(!authentication.isAuthenticated()){
 ??????????? return null;
 ??????? }
 ??????? Object principal = authentication.getPrincipal();
 ??????? String username = null;
 ??????? if (principal instanceof org.springframework.security.core.userdetails.UserDetails) {
 ??????????? username =
 ??????????????????? ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
 ??????? } else {
 ??????????? username = principal.toString();
 ??????? }
 ??????? return username;
 ??? }

@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF‐8"})
public String r1(){
 ??????? String username = getUsername();
 ??????? return username + " 訪問資源1";
 ??????? }

@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF‐8"})
public String r2(){
 ??????? String username = getUsername();
 ??????? return username + " 訪問資源2";
 ??????? }


 }

?

11.測試

?

12.會話控制：

我們可以通過以下選項控制會話何時創(chuàng)建

Always 如果沒有session存在就創(chuàng)建一個

ifRequired 如果需要就創(chuàng)建一個session登錄時

never: Spring Security將不會創(chuàng)建session,但是如果應用中其它地方創(chuàng)建了session,那么spring security將會使用它

stateless:Spring Security將不會創(chuàng)建Session也不會使用Session

?

通過以下方式對該選項進行配置：

在WebSecurityConfig.java中加上:

protected void configure(HttpSecurity http) throws Exception {
??? http.sessionManagement()
??????????? .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);

…

}

默認情況下Spring Security會為每一個登錄成功的用戶創(chuàng)建一個Session,就是IF_REQUIRED

若選用never則指示Spring Security對登錄成功的用戶不創(chuàng)建Session了，但若你的應用程序在某地方新建了Session,那么Spring Security會用它的。

若使用stateless,則Spring Security對登錄成功的用戶不會創(chuàng)建Session,你的應用程序也不會創(chuàng)建Session,每個請求都需要重新進行身份驗證，這種無狀態(tài)架構(gòu)適用于Rest API及其無狀態(tài)認證機制。

?

會話超時：

可以設置Session超時時間,比如設置Session有效期為 3600秒：

在Spring Security配置文件中：

server.servlet.session.timeout=3600s

?

安全會話cookie

httpOnly:如果為true那么瀏覽器腳本無法訪問cookie

secure：如果為true則cookie將僅通過Https連接發(fā)送

server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true

?

13.退出

Spring Security默認幫我們實現(xiàn)了退出功能,訪問/logout就可以實現(xiàn)退出

自定義退出成功頁面：

.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");

?

當執(zhí)行退出時將會完成以下動作：

1.? session失效

2.? 清除SecurityContextHolder

3.? 跳轉(zhuǎn)到/login-view?logout

如果想進一步配置退出功能可以如下配置：

?

.logout() ?????????????????????????????????????????(1)
.logoutUrl("/logout") ?????????????????????????????(2)
.logoutSuccessUrl("/login‐view?logout")????? ??????(3)
.logoutSuccessHandler(logoutSuccessHandler) ?????(4)
.addLogoutHandler(logoutHandler)??????????? ??(5)
.invalidateHttpSession(true); ????????????????????(6)

(1)??? 提供系統(tǒng)退出支持

(2)??? 設置觸發(fā)退出操作的url,默認是/logout

(3)??? 退出之后跳轉(zhuǎn)的url,默認是/login?logout

(4)??? 定制的LogoutSuccessHandler,用于實現(xiàn)用戶退出成功時的處理，如果指定了這個選項則logoutSuccessUrl()的設置會被忽略

(5)??? 添加一個logoutHandler,用于實現(xiàn)用戶退出時的清理工作，

(6)??? 指定在用戶退出時是否讓HttpSession無效，默認為true

注意：如果讓logout在Get請求下生效,必須關(guān)閉防止csrf***的csrf().disable().如果開啟了CSRF,必須使用post方式請求/logout