您好,登錄后才能下訂單哦!
通過前面的學習我們可以使用spring security完成簡單的認證和授權,但是實際項目中用戶的數據往往都是存在數據庫中,登錄頁面也需要可以自由定制,下面我們就來學習使用spring security如何完成
?
創建mavean項目選擇模板 mavean-archetype-webapp
?
?
創建登錄頁面,結構如下:
?
在WEBCONFIG.java中配置認證頁面地址
//默認Url根路徑跳轉到/login,此url為spring security提供
@Configuration
public class WebConfig implements WebMvcConfigurer {
??? @Override
??? public void addViewControllers(ViewControllerRegistry registry) {
??????? registry.addViewController("/").setViewName("redirect:/login-view");
??????? registry.addViewController("/login-view").setViewName("login");
??? }
}
安全配置:
在WebSecurityConfig中配置表單登錄信息:
http
??????? .authorizeRequests()
??????? .antMatchers("/r/**").authenticated()
??????? .anyRequest().permitAll()
??????? .and()
??????? .formLogin()
??????? .loginPage("/login-view")
??????? .loginProcessingUrl("/login")
??????? .successForwardUrl("/login-success")
??????? .permitAll();
(1)? 允許表單登錄
(2)? 指定自己的登錄頁以重定向方式跳轉到/login-view
(3)? 指定登錄處理的url也就是填寫用戶名密碼以后提交到的地址
(4)? 指定登錄成功后跳轉到的URL
(5)? 允許所有用戶登錄以后訪問所有URL
?
測試:
輸入用戶名密碼點擊登錄報403錯
?
問題解決:
Spring security為防止CSRF(跨站請求偽造)的發生,限制除了get以外的大多數方法。
屏蔽CSRF控制,即spring security不再限制CSRF
配置WebSecurityConfig
protected void configure(HttpSecurity http) throws Exception {
??? http.csrf().disable();
…
}
?
?
連接數據庫
前面的例子我們是將用戶的信息保存在內存中,實際項目中往往是從數據庫中讀取用戶的信息進行驗證,下面看看如何使用數據庫中的用戶信息進行登錄,根據前面的研究我們知道只需要重新定義UserDetailService即可實現根據用戶賬號查詢數據庫。
?
1.?????? 創建數據庫
創建user_db數據庫
CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';
2.創建t_user表
CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC
3.定義dataSource在application.properties配置
spring.datasource.url=jdbc:mysql://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
4.添加依賴
<dependency>
??? <groupId>org.springframework.boot</groupId>
??? <artifactId>spring-boot-starter-test</artifactId>
??? <scope>test</scope>
</dependency>
<dependency>
??? <groupId>org.springframework.boot</groupId>
??? <artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
??? <groupId>mysql</groupId>
??? <artifactId>mysql-connector-java</artifactId>
??? <version>5.1.47</version>
</dependency>
5.定義實體類
@Data
public class UserDto {
??? private String id;
??? private String username;
??? private String password;
??? private String fullname;
??? private String mobile;
}
6.定義數據訪問類
@Repository
public class UserDao {
??? @Autowired
??? JdbcTemplate jdbcTemplate;
??? public UserDto getUserByUsername(String username){
??????? String sql ="select id,username,password,fullname from t_user where username = ?";
??????? List<UserDto> list = jdbcTemplate.query(sql, new Object[]{username}, new
??????????????? BeanPropertyRowMapper<>(UserDto.class));
??????? if(list == null && list.size() <= 0){
??????????? return null;
??????? }
??????? return list.get(0);
??? }
}
7.定義UserDetailService
在service包下定義SpringDataUserDetailsService實現UserDetailService接口
@Service
public class SpringDataUserDetailsService implements UserDetailsService {
??? @Autowired
??? UserDao userDao;
??? @Override
??? public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
??????? //登錄賬號
??????? System.out.println("username="+username);
??????? //根據賬號去數據庫查詢...
??????? UserDto user = userDao.getUserByUsername(username);
??????? if(user == null){
??????????? return null;
??????? }
??????? //這里暫時使用靜態數據
??????? UserDetails userDetails =
??????????????? User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
??????? return userDetails;
??? }
}
8.測試
9. 使用BcryptPasswordEncoder
在安全配置類中定義BcryptPasswordEncoder
@Bean
public PasswordEncoder passwordEncoder() {
??? return new BCryptPasswordEncoder();
}
UserDetails中的密碼存儲BCrypt格式
前邊實現了從數據庫查詢用戶信息,所以數據庫中的密碼應該存儲BCrypt格式
10.修改LoginController獲取用戶身份信息
@RestController
public class LoginController {
??? /**
???? * 用戶登錄成功
???? * @return
???? */
??? @RequestMapping(value = "/login‐success",produces = {"text/plain;charset=UTF‐8"})
??? public String loginSuccess() {
??????? String username = getUsername();
??????? return username + " 登錄成功";
??? }
??? /**
???? * 獲取當前登錄用戶名
???? * @return
???? */
??? private String getUsername(){
??????? Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
??????? if(!authentication.isAuthenticated()){
??????????? return null;
??????? }
??????? Object principal = authentication.getPrincipal();
??????? String username = null;
??????? if (principal instanceof org.springframework.security.core.userdetails.UserDetails) {
??????????? username =
??????????????????? ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
??????? } else {
??????????? username = principal.toString();
??????? }
??????? return username;
??? }
@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF‐8"})
public String r1(){
??????? String username = getUsername();
??????? return username + " 訪問資源1";
??????? }
@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF‐8"})
public String r2(){
??????? String username = getUsername();
??????? return username + " 訪問資源2";
??????? }
}
?
11.測試
?
12.會話控制:
我們可以通過以下選項控制會話何時創建
Always 如果沒有session存在就創建一個
ifRequired 如果需要就創建一個session登錄時
never: Spring Security將不會創建session,但是如果應用中其它地方創建了session,那么spring security將會使用它
stateless:Spring Security將不會創建Session也不會使用Session
?
通過以下方式對該選項進行配置:
在WebSecurityConfig.java中加上:
protected void configure(HttpSecurity http) throws Exception {
??? http.sessionManagement()
??????????? .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
…
}
默認情況下Spring Security會為每一個登錄成功的用戶創建一個Session,就是IF_REQUIRED
若選用never則指示Spring Security對登錄成功的用戶不創建Session了,但若你的應用程序在某地方新建了Session,那么Spring Security會用它的。
若使用stateless,則Spring Security對登錄成功的用戶不會創建Session,你的應用程序也不會創建Session,每個請求都需要重新進行身份驗證,這種無狀態架構適用于Rest API及其無狀態認證機制。
?
會話超時:
可以設置Session超時時間,比如設置Session有效期為 3600秒:
在Spring Security配置文件中:
server.servlet.session.timeout=3600s
?
安全會話cookie
httpOnly:如果為true那么瀏覽器腳本無法訪問cookie
secure:如果為true則cookie將僅通過Https連接發送
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true
?
13.退出
Spring Security默認幫我們實現了退出功能,訪問/logout就可以實現退出
自定義退出成功頁面:
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");
?
當執行退出時將會完成以下動作:
1.? session失效
2.? 清除SecurityContextHolder
3.? 跳轉到/login-view?logout
如果想進一步配置退出功能可以如下配置:
?
.logout() ?????????????????????????????????????????(1)
.logoutUrl("/logout") ?????????????????????????????(2)
.logoutSuccessUrl("/login‐view?logout")????? ??????(3)
.logoutSuccessHandler(logoutSuccessHandler) ?????(4)
.addLogoutHandler(logoutHandler)??????????? ??(5)
.invalidateHttpSession(true); ????????????????????(6)
(1)??? 提供系統退出支持
(2)??? 設置觸發退出操作的url,默認是/logout
(3)??? 退出之后跳轉的url,默認是/login?logout
(4)??? 定制的LogoutSuccessHandler,用于實現用戶退出成功時的處理,如果指定了這個選項則logoutSuccessUrl()的設置會被忽略
(5)??? 添加一個logoutHandler,用于實現用戶退出時的清理工作,
(6)??? 指定在用戶退出時是否讓HttpSession無效,默認為true
注意:如果讓logout在Get請求下生效,必須關閉防止csrf***的csrf().disable().如果開啟了CSRF,必須使用post方式請求/logout
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。