SpringSecurity
1.SpringSecurity的基础知识
SpringSecurity是spring中的一个安全管理框架,对比另一个安全框架shiro,他提供了更丰富的功能。一般来说web应用需要进行认证和授权。
认证:验证当前访问系统的是不是本系统的用户,并且要确认是具体哪一个用户
授权:经过认证后判断当前用户是否有权限进行某个操作
这两个操作就是SpringSecurity作为安全框架的核心功能
2.快速入门
先试用springboot快速构建web项目,编写pom依赖,编写启动类,编写controller。然后在pom中引入springsecurity的依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
引入依赖后,它会自动在请求接口之前加一个拦截器,具体就是当你请求controller中的接口时会首先跳转到一个springsecurity的界面,登录之后才能进行接口访问。
3.认证
3.1 登录校验流程
(1)用户在登录界面发起登录请求时会携带账户和密码,同时这个登录的接口是直接在拦截器的配置里配置为放行的,然后服务器接收到账户密码进行数据库查询和比对,一致的话会根据账户id或者用户名使用jwt的工具类生成一个jwt的令牌然后返回给前端,这个token包含的信息为用户的id和她的权限信息。
(2)登录完成后进行其他接口请求的时候,这个jwt令牌或者token就会和接口一起传给服务端,然后服务端的springsecurity的拦截器就会先拦截这个请求,然后解析这个token,取出这个token里面的信息,例如用户id,权限信息,如果当前请求用户具有这个权限则会放行,然后就是正常的访问资源的流程。
3.2 springsecurity完整流程
springsecurity原理是一个过滤器链条,这个链条包含了各种功能的过滤器,其中有些是核心过滤器,就是用的最多的。
(1)UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。
(2)ExceptionTranslationFilter: 处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。
(3)FilterSecurityInterceptor: 负责权限校验的过滤器。
3.3 认证详细的流程,主要是UsernamePasswordAuthenticationFilter
(1)拦截器拦截请求获取到用户名和密码
(2)调用UsernamePasswordAuthenticationFilter的实现类就是调用Authentication接口,解析jwt的token获取到用户信息,把用户名和密码封装成Authentication对象,只不过目前的Authentication对象里面的信息只有用户名和密码,还没有权限信息
(3)Providermanager调用AuthenticationManager接口进行认证
(4)AuthenticationManager调用DaoAuthenticationProvider的authenicate方法进行认证
(5)authenicate调用loadUserByUsername方法就是UserDetailsService接口查询用户,然后通过用户名查询到这个用户的权限信息,然后把该用户信息和权限信息封装成UserDetails对象
(6)调用UserDetails接口把UserDetails对象设置到Authentication对象中
(7)返回Authentication对象
(8)如果7返回了对象,就将其对象缓存在服务端本地,一般缓存在redis,方便下一次身份验证
4.实战
认证
(1)引入redis,fastjson,jwt的依赖
(2)导入redis的工具类和设置redis配置,方便调用方法。导入jwt的工具类。导入json响应类,设置数据库实体类,配置好mybatisplus和mysql等的依赖,mapper和yml等
(3)创建一个类实现UserDetailsService接口,重写其中的方法。增加用户名从数据库中查询用户信息
(4)编写一个登录接口
(5)我们需要编写springsecurity的config文件,然后把登录接口放行
(6)登录成功后生成jwt的token存入redis然后返回给前端
(7)因为自带的过滤器方法并不能实现查数据库,因此我们需要自行自定义一个过滤器,然后实现查询数据库进行权限查询和账户验证
(8)退出的逻辑是,先从SecurityContextHolder中获取到信息,然后去redis中查询并把它删除
授权
(1) SpringSecurity为我们提供了基于注解的权限控制方案,我们可以使用注解去指定访问对应的资源所需的权限。但是要使用它我们需要先开启相关配置。
@EnableGlobalMethodSecurity(prePostEnabled = true)然后就可以使用对应的注解。@PreAuthorize
@RestController
public class HelloController {
@RequestMapping("/hello")
@PreAuthorize("hasAuthority('test')")
public String hello(){
return "hello";
}
}
在重写UserDetailsServiceImpl时,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。修改LoginUser实现UserDetails然后写入权限信息,UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。
@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {
private User user;
//存储权限信息
private List<String> permissions;
public LoginUser(User user,List<String> permissions) {
this.user = user;
this.permissions = permissions;
}
//存储SpringSecurity所需要的权限信息的集合
@JSONField(serialize = false)
private List<GrantedAuthority> authorities;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
if(authorities!=null){
return authorities;
}
//把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
authorities = permissions.stream().
map(SimpleGrantedAuthority::new)
.collect(Collectors.toList());
return authorities;
}
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUserName();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们写死权限进行测试,后面我们再从数据库中查询权限信息。
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
wrapper.eq(User::getUserName,username);
User user = userMapper.selectOne(wrapper);
if(Objects.isNull(user)){
throw new RuntimeException("用户名或密码错误");
}
//TODO 根据用户查询权限信息 添加到LoginUser中
List<String> list = new ArrayList<>(Arrays.asList("test"));
return new LoginUser(user,list);
}
}
校验的时候从redis中获取权限
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
@Autowired
private RedisCache redisCache;
@Override
protected void doFilterInternal(HttpServletRequest resuest, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
//获取token
String token = resuest.getHeader("token");
if (!StringUtils.hasLength(token)) {
//放行
filterChain.doFilter(resuest, response);
return;
}
//解析token
String userId;
try {
Claims claims = JwtUtil.parseJWT(token);
userId = claims.getSubject();
} catch (Exception e) {
e.printStackTrace();
throw new RuntimeException("token非法");
}
//从redis中获取用户信息
String redisKey = SysConsts.LOGIN_KEY + ":" + userId;
LoginUser loginUser = redisCache.getCacheObject(redisKey);
if (Objects.isNull(loginUser)) {
throw new RuntimeException("用户未登录");
}
//存入SecurityContextHolder
//TODO 获取权限信息封装到Authentication中
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null,loginUser.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
//放行
filterChain.doFilter(resuest, response);
}
}
(2)从数据库查询权限信息,使用RBAC权限模型, RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。
(3)导入数据库表,引入实体类,写好mqpper,配置yml文件
(4)在UserDetailsServiceImpl中去调用该mapper的方法查询权限信息封装到LoginUser对象中即可。