ToB企服应用市场:ToB评测及商务社交产业平台

标题: 认证授权概述和SpringSecurity安全框架快速入门 [打印本页]

---

作者: 王柳    时间: 2024-11-15 19:30
标题: 认证授权概述和SpringSecurity安全框架快速入门
1. 认证授权的概述

1.1 什么是认证

   进入移动互联网时代，大家每天都在刷手机，常用的软件有微信、支付宝、头条、抖音等
  以微信为例阐明认证的相关基本概念。在初次使用微信前需要注册成为微信用户，然后输入账号和暗码即可登录微信，输入账户和暗码登录微信的过程就是认证
    体系为什么需要认证？
  认证是为了掩护体系的隐私数据和资源，用户的身份正当，方可访问该体系的资源
    认证：用户认证就是判定一个用户的信息是否正当的过程，用户去访问体系资源时，体系需要要求验证用户的身份信息，身份正当方可继承访问，不正当则拒绝访问。常见的用户身份认证方式有：用户名和暗码登录、二维码登录、手机短信登录、指纹认证等方式
  1.2 什么是会话

   用户认证通事后，为了制止用户的每次操作都进行认证可将用户的信息包管在会话中。会话就是体系为了保持当前用户的登录状态所提供的机制，常见的有基于session方式、基于token方式
  1.2.1 基于session的认证

   它的交互流程是：
  用户认证乐成后，在服务端生成用户相关的数据保存在session(当前会话)中，发给客户端的session_id存放到cookie中。
  如许用户客户端请求时带上session_id就可以验证服务器端是否存在session数据，以此完成用户的正当校验，当前用户退出体系或session过期销毁时，客户端的session_id也就无效了
  

1.2.2 基于Token的认证

   它的交互流程是
  用户认证乐成后，服务端生成一个token(令牌)【唯一字符串】发给客户端，客户端可以放到cookie或sessionStorage等存储中，每次请求时带上token，服务端收到token通过验证后即可确认用户身份
    基于session的认证方式由servlet规范定制，服务端要存储session信息，需要占用内存资源，客户端需要支持cookie；基于token的方式则一样平常不需要服务端存储token，并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。如今移动互联网时代更多类型的客户端[pC ,android,IOS,]需要接入体系，体系多是采用前后端分离的架构进行实现，所以基于token的方式更适合
    使用前后端分离或后台使用了集群—一定采用token模式。
  传统的项现在端和后端都在一个工程下—基于session模式。
  1.3 什么是授权

还拿微信来举例子，微信登录乐成后用户即可使用微信的功能，比如，发红包、发朋友圈、添加好友等，没有绑定银行卡的用户是无法发送红包的，绑定银行卡的用户才可以发红包，发红包功能、发朋友圈功能都是微信的资源即功能资源，用户拥有发红包功能的权限才可以正常使用发送红包功能，拥有发朋友圈功能的权限才可以便用发朋友圈功能，这个根据用户的权限来控制用户使用资源的过程就是授权。
   

• 权限【权限表】----资源【接口】
  

  1.3.1 为什么要授权

认证是为了包管用户身份的正当性，授权则是为了更细粒度的对隐私数据进行分别，授权是在认证通事后发生的，控制不同的用户能够访问不同的资源。
授权:授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问，没有权限则拒绝访问。
   认证授权的框架: [1]shiro 轻量级的认证授权 它可以整合恣意框架 它支持javase和javaee
  ​ [2]springsecurity 重量级的认证授权框架。它只能和spring整合，只支持javaee web框架。
  spring非常麻烦，但是现在和springboot整合就很简单了。
  2.概述springsecurity

官网：https://spring.io/projects/spring-security#overview
2.1 什么是spring security?

Spring Security是一个能够为基于Spring的企业应用体系提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Sprirg应用上下文中配置的Bean，充分利用了Spring IoC []，DI(控制反转Inversion of Control ,DIependency Injection依赖主入）和AOP(面向切面编程）功能，为应用体系提供声明式的安全访问控制功能，减少了为企业体系安全控制编写大量重复代码的工作。
以上表明泉源于百度白科。可以一句话来概括，SpringSecurity 是一个安全框架。可以帮我们完成认证，暗码加密，授权，，rememberme的功能【security：安全】
3.快速入门springsecurity

   基于内存的数据。
  引入依赖

1. <!--引入springsecurity的依赖-->
2.         <dependency>
3.             <groupId>org.springframework.boot</groupId>
4.             <artifactId>spring-boot-starter-security</artifactId>
5.         </dependency>

复制代码

创建接口资源——创建一个controller

1. @RestController
2. public class HelloController {
4.     @GetMapping("/hello")
5.     public String hello(){
6.         return "Hello~~~~~~~~~~~~~~~";
7.     }

复制代码

启动项目并访问资源

   发现：帮你跳转到登录页面。 因为springsecurity包含了很多过滤器，认证过滤器发现你没有登录就访问资源。默认调解到它内置的登录页面
  

   账号为: user
  暗码: 在控制台可以看见
  

  4. 自界说账号和暗码

在配置文件中添加配置——但只能界说一个用户

1. #定义账号和密码 一旦自定义了账号和密码 原来自带的就不存在了 这里只能定义一个账号和密码
2. spring.security.user.name=admin
3. spring.security.user.password=123456

复制代码

5. 界说多用户–基于内存

界说一个配置类——springboot版本2.7.0以下

1. @Configuration
2. public class MySecurityConfig extends WebSecurityConfigurerAdapter {
4.     //配置文件中的账号和密码失效
5.     @Override
6.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
7.         auth.
8.                 //基于内存完成认证和授权
9.                 inMemoryAuthentication()
10.                 // 表示用户名
11.                 .withUser("lay")
12.                 //表示密码
13.                 .password("123456")
14.                 //当前用户具有的角色
15.                 .roles("admin")
16.                 //表示具有的权限
17.                 .authorities("user:select","user:delete","user:insert","user:update")
18.                 .and()
19.                 .withUser("xiumin")
20.                 .password("123456")
21.                 .roles("user")
22.                 .authorities("user:select","user:export");
24.     }

复制代码

输入暗码登录后报错

   没有使用暗码加密器。
  解决：修改配置类——1.在配置类中添加暗码加密器

1.     @Bean
2.     public PasswordEncoder passwordEncoder(){
3.         PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
4.         return passwordEncoder;
5.     }

复制代码

修改配置类——给暗码使用加密器

1. @Override
2.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
3.         auth.inMemoryAuthentication()
4.                 .withUser("lay")
5.                 .password(passwordEncoder().encode("1007"))//添加密码加密器
6.                 .roles("admin")
7.                 .authorities("user:select")
8.                 .and()
9.                 .withUser("lays")
10.                 .password(passwordEncoder().encode("10072"))
11.                 .roles("user")
12.                 .authorities("user:export");
13.     }

复制代码

  在password中添加暗码加密器：passwordEncoder().encode("暗码")
  6. 暗码加密器

   分成两种类型: 对称加密和非对称加密
  对称加密:表示加密息争密使用同一把密钥。
  非对称加密: 表示加密息争密不是使用同一个密钥。 md5 hash

1. public class Test {
2.     public static void main(String[] args) {
3.         PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
4.         //用于加密
5.         String encode = passwordEncoder.encode("123456");
6.         String encode2 = passwordEncoder.encode("123456");
7.         String encode3 = passwordEncoder.encode("123456");
8.         System.out.println(encode);
9.         System.out.println(encode2);
10.         System.out.println(encode3);
11.         //安全.
12.         boolean matches = passwordEncoder.matches("123456", encode2);
13.         System.out.println("是否密码正确:"+matches);
14.     }

复制代码

7. 获取当前用户的信息

1. // springsecurity默认把当前用户的信息保存SecurityContext上下文中.
2. @GetMapping("info")
3.     public Authentication info(){
4.         //获取SecurityContext对象
5.         SecurityContext context = SecurityContextHolder.getContext();
6.         //把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态[]
7.         Authentication authentication = context.getAuthentication();
8.         UserDetails principal = (UserDetails) authentication.getPrincipal();
9.        // System.out.println(principal.getUsername());
10.         return authentication;
11.     }

复制代码

  springsecurity默认为当前用户的信息保存在SecurityContext上下文中
  

• 起首获取SecurityContext对象
  SecurityContext context = SecurityContextHolder.getContext();
  SecurityContextHolder:是安全上下文容器，可以在此得知操作的用户是谁，该用户是否已经被验证，它拥有哪些脚色权限，这些都被保存在SecurityContextHolder中
  
• 返回认证信息——getAuthentication()方法
  Authentication authentication = context.getAuthentication();
  
• 返转身份信息——getPrincipal()方法。UserDetail便是Spring对身份信息封装的一个接口
    UserDetails principal = (UserDetails) authentication.getPrincipal();
  
• Authentication接口-认证信息包罗：
  
  
  
  • getAuthorities()：权限信息列表，默认是GrantedAuthority接口的一些实现类，通常是代表权限信息的一系列字符串
    
  • getCredentials()：暗码信息，用户输入的暗码字符串，在认证事后通常会被移除，用于保障安全
    
  • getDetails()：细节信息，web应用中的实现接口通常为WebAuthenticationDetails,它记录了访问者的ip地点和sessionId的值
    
  • getPrincipal()：身份信息，大部分情况下返回的是UserDetails接口的实现类，也是框架中常用接口之一
    
  
  

  8. security零散配置

1.     @Override
2.     protected void configure(HttpSecurity http) throws Exception {
3.         http.formLogin()
4.                 //登录页面;
5.                 .loginPage("/login.html")
6.                 //登录的处理路径 默认 /login
7.                 .loginProcessingUrl("/login")
8.                 .successForwardUrl("/success") //登录成功转发的路径 必须为post请求
9.                 .failureForwardUrl("/fail") //登录失败转发的路径 必须为post请求
10.                 .permitAll(); //上面的请求路径无需认证
12.         http.csrf().disable();//禁用跨域伪造请求的过滤器
13.         //除了上的请求,其他请求都需要认证
14.         http.authorizeRequests().anyRequest().authenticated();
16.     }

复制代码

  

• 设置跳转到指定的登录页面——loginPage("/login.html")
  
• 设置登录的处置惩罚路径——loginProcessingUrl("/login")【默认登录的处置惩罚路径为：/login】
  
• 设置乐成转发的路径——successForwardUrl("/success")【必须为Post请求】
  
• 设置登录失败转发的路径——failureForwardUrl("/fail")【必须为Post请求】
  
• 表名上面的请求路径无需认证——permitAll()
  
• 禁用跨域伪造请求的过滤器——http.csrf().disable();
  
• 设置处置惩罚以上的请求，其他请求都需要认证——http.authorizeRequests().anyRequest().authenticated();
  

  9. security完成授权

   授权：把当前用户具有的权限和对应的资源绑定的过程
  授权一定发生在认证后
  步骤

• 界说一些资源接口
  

1.     @GetMapping("select")
2.     public String select(){
3.         System.out.println("查询用户");
4.         return "查询用户";
5.     }
6.     @GetMapping("insert")
7.     public String insert(){
8.         System.out.println("添加用户");
9.         return "添加用户";
10.     }
11.     @GetMapping("update")
12.     public String update(){
13.         System.out.println("修改用户");
14.         return "修改用户";
15.     }
16.     @GetMapping("delete")
17.     public String delete(){
18.         System.out.println("删除用户");
19.         return "删除用户";
20.     }
21.     @GetMapping("export")
22.     public String export(){
23.         System.out.println("导出用户");
24.         return "导出用户";
25.     }

复制代码

• 修改配置类
  在配置类中将资源和权限绑定
  

1. http.authorizeRequests().
2. //user/select资源与user:select权限绑定
3. antMatcher("/user/select").hasAuthority("user:select")
4. antMatcher("/user/insert").hasAuthority("user:insert")
5. antMatcher("/user/update").hasAuthority("user:update")
6. antMatcher("/user/delete").hasAuthority("user:delete")
7. antMatcher("/user/export").hasAuthority("user:export");

复制代码

10. 使用注解完成授权

   上述的授权代码比较麻烦，我们可以使用注解完成授权的过程
  步骤

• 开启security授权的注解驱动
  
  1. @EnableGlobalMethodSecurity(prePostEnabled = true)

  复制代码
• 在资源上使用注解
         @PreAuthorize("hasAuthority(‘权限’)——资源执行前判定当前用户是否拥有该权限
     
  1. @GetMapping("select")
  2.     @PreAuthorize("hasAuthority('user:select')") //资源执行前判断当前用户是否拥有user:select权限
  3.     public String select(){
  4.         System.out.println("查询用户");
  5.         return "查询用户";
  6.     }

  复制代码
• 修改配置类*——将配置类中上述的手动绑定的代码删除
  

11. 处置惩罚权限不敷

   权限不敷，使其跳转到指定页面
  

• 起首创建一个用于当权限不敷时要跳转的页面
  
  1. <!DOCTYPE html>
  2. <html lang="en">
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <title>Title</title>
  6. </head>
  7. <body>
  8. 权限不足， 请联系管理员！！！！！！！！
  9. </body>
  10. </html>

  复制代码
• 修改配置类
         http.exceptionHandling().accessDeniedPage("/页面名称");
     
  1. //指定权限不足跳转的页面
  2.         http.exceptionHandling().accessDeniedPage("/403.html");

  复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4