SpringSecurity
0.简介
SpringSecurity是Spring家族中的一个安全管理框架。相比于Shiro,功能更为丰富。(Shiro多用于小项目)
一般来说,一个Web应用需要进行认证和授权。
认证:验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户。
授权:经过认证后判断当前用户是否有权限进行某个操作。
而认证和授权也是SpringSecurity作为安全框架的核心功能。
1.快速入门
引入SpringSecurity
1
2
3
4
| <dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
|
默认登录页面,默认用户名user,密码会输出在控制台。
必须登陆后才能对接口进行访问。
2.认证
2.1登录校正流程
2.2原理初探
2.2.1 SpringSecurity完整流程
SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。这里我们看看入门案例中的过滤器。
图中只展示了核心过滤器。
UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写用户名和密码后的登录请求。入门案例的认证工作主要由他负责。
ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException。
FilterSecurityInterceptor:负责权限验证的过滤器。
2.2.2 认证流程详解
2.3 解决问题
2.3.1 思路分析
登录
Ⅰ自定义登录接口 调用ProviderManager的方法进行认证,如果认证通过生成jwt,把用户信息存入redis中。
Ⅱ自定义UserDetailsService 在这个实现类中去查询数据库
校验
Ⅰ定义jwt认证过滤器。
获取token
解析token,获取其中的userid
从redis中获取用户信息
存入SecurityContextHolder
2.3.2 准备工作
①添加依赖
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
|
②添加redis相关配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
| import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.fasterxml.jackson.databind.JavaType;
import com.fasterxml.jackson.databind.type.TypeFactory;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.SerializationException;
import java.nio.charset.Charset;
public class FastJsonRedisSerializer<T> implements RedisSerializer<T> {
public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");
private Class<T> clazz;
static {
ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
}
public FastJsonRedisSerializer(Class<T> clazz){
super();
this.clazz = clazz;
}
@Override
public byte[] serialize(T t) throws SerializationException {
if(t == null){
return new byte[0];
}
return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
}
@Override
public T deserialize(byte[] bytes) throws SerializationException {
if(bytes == null || bytes.length <= 0){
return null;
}
String str = new String(bytes,DEFAULT_CHARSET);
return JSON.parseObject(str,clazz);
}
protected JavaType getJavaType(Class<T> clazz){
return TypeFactory.defaultInstance().constructType(clazz);
}
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| @Configuration
public class RedisConfig {
@Bean
@SuppressWarnings(value = {"unchecked","rawtypes"})
public RedisTemplate<Object,Object> redisTemplate(RedisConnectionFactory connectionFactory){
RedisTemplate<Object,Object> template = new RedisTemplate<>();
template.setConnectionFactory(connectionFactory);
FastJsonRedisSerializer serializer = new FastJsonRedisSerializer(Object.class);
template.setKeySerializer(new StringRedisSerializer());
template.setValueSerializer(serializer);
template.setHashKeySerializer(new StringRedisSerializer());
template.setHashValueSerializer(serializer);
template.afterPropertiesSet();
return template;
}
}
|
③响应类(Result)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| @Data
@JsonInclude(JsonInclude.Include.NON_NULL)
@NoArgsConstructor
@AllArgsConstructor
public class Result<T> {
private Integer code;
private String msg;
private T data;
public Result(Integer code,String msg){
this.code = code;
this.msg = msg;
}
public Result(Integer code, T data){
this.code = code;
this.data = data;
}
|
④工具类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
| public class JwtUtil {
public static final Long JWT_TTL = 60 * 60 * 1000L;
public static final String JWT_KEY = "xjiang";
public static String getUUID(){
String token = UUID.randomUUID().toString().replaceAll("—","");
return token;
}
public static String createJWT(String subject, Long ttlMillis) {
JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());
return builder.compact();
}
private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid){
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
SecretKey secretKey = generalKey();
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
if(ttlMillis == null){
ttlMillis = JwtUtil.JWT_TTL;
}
long expMillis = nowMillis + ttlMillis;
Date expDate = new Date(expMillis);
return Jwts.builder()
.setId(uuid)
.setSubject(subject)
.setIssuer("xj")
.setIssuedAt(now)
.signWith(signatureAlgorithm, secretKey)
.setExpiration(expDate);
}
public static String createJWT(String id, String subject, Long ttlMillis){
JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);
return builder.compact();
}
public static SecretKey generalKey(){
byte[] decode = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
SecretKey key = new SecretKeySpec(decode, 0, decode.length, "AES");
return key;
}
public static Claims parseJWT(String jwt) throws Exception{
SecretKey secretKey = generalKey();
return Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(jwt)
.getBody();
}
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
| public class RedisCache {
@Autowired
public RedisTemplate redisTemplate;
public <T> ValueOperations<String, T> setCacheObject(String key, T value){
ValueOperations<String, T> operations = redisTemplate.opsForValue();
operations.set(key, value);
return operations;
}
public <T> ValueOperations<String, T> setCacheObject(String key, T value, Integer timeout, TimeUnit timeUnit){
ValueOperations<String, T> operations = redisTemplate.opsForValue();
operations.set(key, value, timeout, timeUnit);
return operations;
}
public <T> T getCacheObject(String key){
ValueOperations<String, T> operations = redisTemplate.opsForValue();
return operations.get(key);
}
public void deleteObject(String key){
redisTemplate.delete(key);
}
public void deleteObject(Collection collection){
redisTemplate.delete(collection);
}
public <T> ListOperations<String, T> setCacheList(String key, List<T> dataList){
ListOperations<String, T> listOperations = redisTemplate.opsForList();
if (dataList != null) {
int size = dataList.size();
for (int i = 0; i < size; i++) {
listOperations.leftPush(key, dataList.get(i));
}
}
return listOperations;
}
public <T> List<T> getCacheList(String key){
List<T> list = new ArrayList<>();
ListOperations<String, T> listOperations = redisTemplate.opsForList();
Long size = listOperations.size(key);
for (int i = 0; i < size; i++) {
list.add(listOperations.index(key, i));
}
return list;
}
public <T> BoundSetOperations<String, T> setCacheSet(String key, Set<T> dataSet) {
BoundSetOperations<String, T> setOperation = redisTemplate.boundSetOps(key);
Iterator<T> it = dataSet.iterator();
while (it.hasNext())
{
setOperation.add(it.next());
}
return setOperation;
}
public <T> Set<T> getCacheSet(String key) {
Set<T> dataSet = new HashSet<T>();
BoundSetOperations<String, T> operation = redisTemplate.boundSetOps(key);
dataSet = operation.members();
return dataSet;
}
public <T> HashOperations<String, String, T> setCacheMap(String key, Map<String, T> dataMap) {
HashOperations hashOperations = redisTemplate.opsForHash();
if (null != dataMap)
{
for (Map.Entry<String, T> entry : dataMap.entrySet())
{
hashOperations.put(key, entry.getKey(), entry.getValue());
}
}
return hashOperations;
}
public <T> Map<String, T> getCacheMap(String key) {
Map<String, T> map = redisTemplate.opsForHash().entries(key);
return map;
}
public Collection<String> keys(String pattern){
return redisTemplate.keys(pattern);
}
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
| public class WebUtils{
public static String renderString(HttpServletResponse response, String string){
try{
response.setStatus(200);
response.setContentType("application/json");
response.setCharacterEncoding("utf-8");
response.getWriter().print(string);
} catch (IOException e){
e.printStackTrace();
}
return null;
}
}
|
⑤实体类
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| @Data
@NoArgsConstructor
@AllArgsConstructor
public class User implements Serializable {
private Long id;
private String userName;
private String NickName;
private String password;
private String status;
private String email;
private String phonenumber;
private String sex;
private String userType;
private Long createBy;
private Date createTime;
private Long updateBy;
private Date updateTime;
private Integer delFlag;
}
|
2.3.3 实现
2.3.3.1数据库校验用户
我们自己定义一个UserDetailsService,让SpringSecurity使用我们的UserDetailsService,从数据库中查询用户名和密码。
准备工作
先创建一个用户表。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| create table `sys_user` (
`id` BIGINT(20) NOT NULL AUTO_INCREMENT COMMENT '主键',
`user_name` VARCHAR(64) NOT NULL DEFAULT 'NULL' comment '用户名',
`nick_name` VARCHAR(64) NOT NULL DEFAULT 'NULL' COMMENT '昵称',
`password` VARCHAR(64) NOT NULL DEFAULT 'NULL',
`status` CHAR(1) DEFAULT '0',
`email` VARCHAR(64) DEFAULT NULL,
`phonenumber` VARCHAR(32) DEFAULT NULL,
`sex` CHAR(1) DEFAULT NULL,
`avatar` VARCHAR(128) DEFAULT NULL COMMENT '头像',
`user_type` CHAR(1) NOT NULL DEFAULT '1',
`create_by` BIGINT(20) DEFAULT NULL,
`create_time` DATETIME DEFAULT NULL,
`update_by` BIGINT(20) DEFAULT NULL,
`update_time` DATETIME DEFAULT NULL,
`del_flag` INT(11) DEFAULT '0',
PRIMARY KEY (`id`)
)ENGINE =INNODB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COMMENT='用户表'
|
引入MybatisPlus和mysql驱动依赖
1
2
3
4
5
6
7
8
9
10
| <dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>com.baomidou</groupId>
<artifactId>mybatis-plus-boot-starter</artifactId>
<version>3.4.3</version>
</dependency>
|
配置数据库信息
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| spring:
datasource:
driver-class-name: com.mysql.cj.jdbc.Driver
url: jdbc:mysql://localhost:3306/springsecuritydemo?characterEncoding=utf-8&serverTimezone=UTC
username: root
data-password: root
redis:
port: 6379
host: 192.168.159.130
password: xxx
lettuce:
pool:
max-active: 10
max-idle: 10
min-idle: 1
time-between-eviction-runs: 10s
|
定义Mapper接口
1
2
| public interface UserMapper extends BaseMapper<User> {
}
|
修改User实体类
1
| @TableName(value="sys_user"),id字段加上@TableId
|
配置Mapper扫描
1
| @MapperScan("com.jiang.mapper")
|
核心代码实现
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
| @Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
LambdaQueryWrapper<User> userLambdaQueryWrapper = new LambdaQueryWrapper<>();
userLambdaQueryWrapper.eq(User::getUserName,username);
User user = userMapper.selectOne(userLambdaQueryWrapper);
if(Objects.isNull(user)){
throw new RuntimeException("用户名或者密码错误");
}
return new LoginUser(user);
}
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
| @Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {
private User user;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return null;
}
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUserName();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
|
2.3.3.2 密码加密存储
默认使用的PasswordEncoder要求数据库中的密码格式为:{id}password。它会根据id去判断密码的加密方式。但我们一般不采用这种方式,所以就需要替换PasswordEncoder。
我们一般使用SpringSecurity为我们提供的BCryptPasswordEncoder。
我们只需要把BCryptPasswordEncoder对象注入Spring容器中,SpringSecurity就会使用该PasswordEncoder来进行密码校验。
我们可以定义一个SpringSecurity的配置类,要求继承WebSecurityConfigurerAdapter
1
2
3
4
5
6
7
8
| @Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}
|
2.3.3.3 登录接口
接下来我们需要自定义登录接口,然后让SpringSecurity对这个接口放行,让用户访问这个接口的时候不用登录也能访问。
1
2
3
4
5
6
7
|
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/user/login");
}
|
在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在SecurityConfig中配置把AuthenticationManager注入容器。
认证成功的话生成一个jwt,放到响应中返回。并且为了让用户下回请求时能通过jwt识别出具体是哪个用户,我们需要把用户信息存入redis,可以把用户id作为key。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| @Service
public class LoginServiceImpl implements LoginService {
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private RedisCache redisCache;
@Override
public Result login(User user) {
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());
Authentication authenticate = authenticationManager.authenticate(usernamePasswordAuthenticationToken);
if(Objects.isNull(authenticate)){
throw new RuntimeException("登陆失败");
}
LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
String userId = loginUser.getUser().getId().toString();
String jwt = JwtUtil.createJWT(userId);
Map<String, String> map = new HashMap<>();
map.put("token",jwt);
redisCache.setCacheObject("login:" + userId,loginUser);
return new Result(200,"登陆成功",map);
}
}
|
2.3.3.4 认证过滤器
我们需要自定义一个过滤器,这个过滤器获取请求头的token,对token解析后取出userId.
使用userId去redis中获取对应的LoginUser对象。
然后封装Authentication对象存入SecurityContextHolder
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| @Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
@Autowired
private RedisCache redisCache;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
String token = request.getHeader("token");
if(!StringUtils.hasText(token)){
filterChain.doFilter(request,response);
return;
}
String userId = null;
try {
Claims claims = JwtUtil.parseJWT(token);
userId = claims.getSubject();
} catch (Exception e) {
e.printStackTrace();
throw new RemoteException("token非法");
}
String redisKey = "login:" + userId;
LoginUser loginUser = redisCache.getCacheObject(redisKey);
if(Objects.isNull(loginUser)){
throw new RuntimeException("用户未登录");
}
UsernamePasswordAuthenticationToken athenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,null);
SecurityContextHolder.getContext().setAuthentication(athenticationToken);
filterChain.doFilter(request,response);
}
}
|
1
2
3
4
5
6
7
8
9
10
11
| @Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/user/login").anonymous()
.anyRequest().authenticated();
http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
}
}
|
2.3.3.5 退出登录
我们只需要定义一个登录接口,然后获取SecurityContextHolder中的认证信息,删除redis中对应的数据即可。
1
2
3
4
5
6
7
8
9
10
11
| @Override
public Result logout() {
Authentication authentication =(UsernamePasswordAuthenticationToken)SecurityContextHolder.getContext().getAuthentication();
LoginUser loginUser = (LoginUser) authentication.getPrincipal();
Long userId = loginUser.getUser().getId();
redisCache.deleteObject("login:" + userId);
return new Result(200,"注销成功");
}
}
|
3.授权
3.0 权限系统的作用
例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。如果是一个图书馆管理员的账号登陆,应该就能看到并使用添加书籍信息等功能。
总结就是不同用户可以使用不同的功能。这就是权限系统要去实现的效果。
我们不能只依赖前端去判断用户的权限来选择显示哪些菜单。如果有人知道对应功能的接口就可以不通过前端,直接去发送请求来实现相关功能操作。
所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须基于所需权限才能进行相应的操作。
3.1 授权基本流程
在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登陆的用户权限信息也存入Authentication。
然后设置我们的资源所需要的权限即可。
3.2.1 限制访问资源所需权限
SpringSecurity为我们提供了基于注解的权限控制方案。这也是我们项目中主要采用的方式。我们可以使用注解去指定访问对应的资源所需的权限。
要使用他我们需要先开启相关配置。
1
| @EnableGlobalMethodSecurity(prePostEnabled=true)
|
然后就可以使用对应的注解。@PreAuthorize
1
2
3
4
5
6
7
8
| @RestController
public class HelloController {
@RequestMapping("/hello")
@PreAuthorize("hasAuthority('test')")
public String hello(){
return "hello";
}
}
|
3.2.2 封装权限信息
在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。
我们先直接把权限信息写死封装到UserDetails中进行测试。
我们之前定义了UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
| @Data
@NoArgsConstructor
public class LoginUser implements UserDetails {
private User user;
private List<String> permissions;
public LoginUser(User user, List<String> permissions) {
this.user = user;
this.permissions = permissions;
}
@JSONField(serialize = false)
private List<SimpleGrantedAuthority> authorities;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
if(authorities != null){
return authorities;
}
authorities = permissions.stream()
.map(SimpleGrantedAuthority::new).collect(Collectors.toList());
return authorities;
}
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUserName();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| @Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
LambdaQueryWrapper<User> userLambdaQueryWrapper = new LambdaQueryWrapper<>();
userLambdaQueryWrapper.eq(User::getUserName,username);
User user = userMapper.selectOne(userLambdaQueryWrapper);
if(Objects.isNull(user)){
throw new RuntimeException("用户名或者密码错误");
}
List<String> list = new ArrayList<>(Arrays.asList("test","admin"));
return new LoginUser(user,list);
}
}
|
3.2.3 从数据库查询权限信息
3.2.3.1 RBAC权限模型
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是最常被开发者使用,也是最相对易用、通用权限和模型。
3.2.3.2 准备工作
4.自定义失败处理
我们希望在认证授权失败的情况下也能和我们接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。
在SpringSecurity中,认证和授权的过程中出现的异常,会被ExceptionTranslationFilter捕获。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
如果是认证失败过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法去进行异常处理。
如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理。
所以如果我们需要自定义异常处理,我们只需要去自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。
①自定义实现类
1
2
3
4
5
6
7
8
9
10
| @Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throw Exception{
Result result = new Result(HttpStatus.UNAUTHORIZED.value(),"用户认证失败,请重新登录");
String json = JSON.toJSONString(result)
WebUtils.renderString(response,json)l
}
}
|
②然后配置给SpringSecurity
我们可以使用HttpSecurity对象的方法去配置。
1
2
3
|
http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint)
.accessDeniedHandler(accessDeniedHandler);
|
5. 跨域
浏览器处于安全的考虑,使用XMLHttpRequest对象发起HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。
①先对SpringBoot配置,允许跨域请求
1
2
3
4
5
6
7
8
9
10
11
12
| @Comfiguration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOriginPatterns("*")
.allowCredentials(true)
.allowedMethods("GET","POST","DELETE","PUT")
.allowedHeaders("*")
.maxAge(3)
}
}
|
②开启SpringSecurity的跨域访问
由于我们资源都会受到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。
6.问题
其他权限校验方法
前面都是使用@PreAuthorize注解,然后在其中使用的是hasAuthority方法进行校验。SpringSecurity还为我们提供了其他的方法。例如:hasAnyAuthority,hasRole,hasAnyRole等。
CSRF
CSRF是指跨域请求伪造,是web常见的攻击之一、
SpringSecurity去防止CSRF攻击的方式就是通过csrf_token,后端会生成这么一个token,前端发起请求时需要携带这个token,后端会有过滤器进行校验。如果没有携带或者伪造就不允许访问。
我么可以发现CSRF攻击依靠的是cookie中所携带的认证信息。但是在前后端分离的项目中我们的认证信息其实就是token,而token并不是存储在cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击就不用担心。
