SpringSecurity在单机环境下的使用

1397 字

7 分钟

SpringSecurity在单机环境下的使用

2025-02-04

SpringSecurity

参考#

来源于黑马程序员：手把手教你精通新版SpringSecurity

技术选型#

SpringBoot2.1.3，SpringSecurity，MySQL，mybatis，jsp

初步整合认证第一版#

创建工程并导入jar包#

先只导入SpringBoot

1
<parent>
2
    <groupId>org.springframework.boot</groupId>
3
    <artifactId>spring-boot-starter-parent</artifactId>
4
    <version>2.1.3.RELEASE</version>
5
    <relativePath/>
6
</parent>
7

8
<dependencies>
9
    <dependency>
10
    <groupId>org.springframework.boot</groupId>
11
    <artifactId>spring-boot-starter-web</artifactId>
12
    </dependency>
13
</dependencies>

提供处理器#

1
@Controller
2
@RequestMapping("/product")
3
public class ProductController {
4
    @RequestMapping
5
    @ResponseBody
6
  public String hello(){
7
      return "success";
8
    }
9
}

编写启动类#

1
@SpringBootApplication
2
public class SecurityApplication {
3
    public static void main(String[] args) {
4
      SpringApplication.run(SecurityApplication.class, args);
5
    }
6
}

测试效果#

使用SpringBoot内置tomcat启动项目，即可访问处理器。

加入SpringSecurity的jar包#

1
<dependency>
2
    <groupId>org.springframework.boot</groupId>
3
    <artifactId>spring-boot-starter-security</artifactId>
4
</dependency>

重启再次测试#

SpringBoot已经为SpringSecurity提供了默认配置，默认所有资源都必须认证通过才能访问。

那么问题来了！此刻并没有连接数据库，也并未在内存中指定认证用户，如何认证呢？

其实SpringBoot已经提供了默认用户名user，密码在项目启动时随机生成，如图：

认证通过后可以继续访问处理器资源：

整合认证第二版#

加入jsp，使用自定义认证页面

说明#

SpringBoot官方是不推荐在SpringBoot中使用jsp的，那么到底可以使用吗？答案是肯定的！

不过需要导入tomcat插件启动项目，不能再用SpringBoot默认tomcat了。

我们不能通过启动类的方式来进行启动了，因为它会不识别Jsp页面，必须导入jar包，然后更换方法

导入SpringBoot的tomcat启动插件jar包#

1
<dependency>
2
    <groupId>org.springframework.boot</groupId>
3
    <artifactId>spring-boot-starter-tomcat</artifactId>
4
</dependency>
5
<dependency>
6
    <groupId>org.apache.tomcat.embed</groupId>
7
    <artifactId>tomcat-embed-jasper</artifactId>
8
</dependency>

加入jsp页面等静态资源#

在src/main目录下创建webapp目录

这时webapp目录并不能正常使用，因为只有web工程才有webapp目录，在pom文件中修改项目为web工程

这时webapp目录，可以正常使用了！

导入第一天案例中静态资源，注意WEB-INF就不用了哈！

修改login.jsp中认证的url地址

修改header.jsp中退出登录的url地址

提供SpringSecurity配置类#

1
@Configuration
2
@EnableWebSecurity
3
@EnableGlobalMethodSecurity(securedEnabled=true)
4
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
5

6
    @Autowired
7
    private UserService userService;
8

9
    @Bean
10
    public BCryptPasswordEncoder passwordEncoder(){
11
        return new BCryptPasswordEncoder();
12
    }
13

14
    //指定认证对象的来源
15
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
16
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
17
    }
18
    //SpringSecurity配置信息
19
    public void configure(HttpSecurity http) throws Exception {
20
        http.authorizeRequests()
21
                .antMatchers("/login.jsp", "failer.jsp", "/css/**", "/img/**", "/plugins/**").permitAll()
22
                .antMatchers("/product").hasAnyRole("USER")
23
                .anyRequest().authenticated()
24
                .and()
25
                .formLogin()
26
                .loginPage("/login.jsp")
27
                .loginProcessingUrl("/login")
28
                .successForwardUrl("/index.jsp")
29
                .failureForwardUrl("/failer.jsp")
30
                .and()
31
                .logout()
32
                .logoutSuccessUrl("/logout")
33
                .invalidateHttpSession(true)
34
                .logoutSuccessUrl("/login.jsp")
35
                .and()
36
                .csrf()
37
                .disable();
38
    }
39
}

修改产品处理器#

有页面了，就跳转一个真的吧！

1
@Controller
2
@RequestMapping("/product")
3
public class ProductController {
4
    @RequestMapping("/findAll")
5
    public String findAll(){
6
      return "product-list";
7
    }
8
}

配置视图解析器#

使用tomcat插件启动项目#

测试效果#

自定义的认证页面

认证成功页面

整合认证第三版【数据库认证】#

数据库环境准备#

依然使用security_authority数据库，sql语句在第一天资料里。

导入数据库操作相关jar包#

1
<!--MySQL驱动包-->
2
<dependency>
3
    <groupId>mysql</groupId>
4
    <artifactId>mysql-connector-java</artifactId>
5
    <version>5.1.47</version>
6
</dependency>
7
<!--springboot启动类-->
8
<dependency>
9
    <groupId>tk.mybatis</groupId>
10
    <artifactId>mapper-spring-boot-starter</artifactId>
11
    <version>2.1.5</version>
12
</dependency>
13
<!--导入通用Mapper-->
14
<dependency>
15
    <groupId>tk.mybatis</groupId>
16
    <artifactId>mapper-spring-boot-starter</artifactId>
17
    <version>2.1.5</version>
18
</dependency>

在配置文件中添加数据库操作相关配置#

在启动类上添加扫描dao接口包注解#

创建用户pojo对象#

这里直接实现SpringSecurity的用户对象接口，并添加角色集合私有属性。注意接口属性都要标记不参与json的处理

1
@Data
2
public class SysRole implements GrantedAuthority {
3

4
    private Integer id;
5
    private String roleName;
6
    private String roleDesc;
7
}

创建角色pojo对象#

这里直接使用SpringSecurity的角色规范，我们实现UserDetails的类型

1
@Data
2
public class SysUser implements UserDetails {
3

4
    private Integer id;
5
    private String username;
6
    private String password;
7
    private Integer status;
8
    private List<SysRole> roles;
9

10
    @JsonIgnore
11
    @Override
12
    public Collection<? extends GrantedAuthority> getAuthorities() {
13
        return roles;
14
    }
15

16
    @Override
17
    public String getPassword() {
18
        return password;
19
    }
20

21
    @Override
22
    public String getUsername() {
23
        return username;
24
    }
25

26
    @JsonIgnore
27
    @Override
28
    public boolean isAccountNonExpired() {
29
        return true;
30
    }
31

32
    @JsonIgnore
33
    @Override
34
    public boolean isAccountNonLocked() {
35
        return true;
36
    }
37

38
    @JsonIgnore
39
    @Override
40
    public boolean isCredentialsNonExpired() {
41
        return true;
42
    }
43

44
    @JsonIgnore
45
    @Override
46
    public boolean isEnabled() {
47
        return true;
48
    }
49
}

提供角色mapper接口#

1
public interface RoleMapper extends Mapper<SysRole> {
2
    @Select("SELECT r.id, r.role_name roleName, r.role_desc roleDesc " +
3
    "FROM sys_role r, sys_user_role ur " +
4
    "WHERE r.id=ur.rid AND ur.uid=#{uid}")
5
    public List<SysRole> findByUid(Integer uid);
6
}

提供用户mapper接口#

这里就用到了Mybatis的一对多进行操作

1
public interface UserMapper extends Mapper<SysUser> {
2

3
    @Select("select * from sys_user where username = #{username}")
4
    @Results({
5
            @Result(id = true, property = "id", column = "id"),
6
            @Result(property = "roles", column = "id", javaType = List.class,
7
                many = @Many(select = "com.itheima.mapper.RoleMapper.findByUid"))
8
    })
9
    public SysUser findByName(String username);
10
}

提供认证service接口#

1
@Service
2
@Transactional
3
public class UserServiceImpl implements UserService {
4
    @Autowired
5
    private UserMapper userMapper;
6
    @Override
7
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
8
      return userMapper.findByUsername(s);
9
    }
10
}

在启动类中把加密对象放入IOC容器#

1
@SpringBootApplication
2
@MapperScan("com.itheima.mapper")
3
public class SecurityApplication {
4
    public static void main(String[] args) {
5
      SpringApplication.run(SecurityApplication.class, args);
6
    }
7
    @Bean
8
    public BCryptPasswordEncoder passwordEncoder(){
9
      return new BCryptPasswordEncoder();
10
    }
11
}

修改配置类#

1
@Configuration
2
@EnableWebSecurity
3
@EnableGlobalMethodSecurity(securedEnabled=true)
4
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
5

6
    @Autowired
7
    private UserService userService;
8

9
    @Bean
10
    public BCryptPasswordEncoder passwordEncoder(){
11
        return new BCryptPasswordEncoder();
12
    }
13

14
    //指定认证对象的来源
15
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
16
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
17
    }
18
    //SpringSecurity配置信息
19
    public void configure(HttpSecurity http) throws Exception {
20
        http.authorizeRequests()
21
                .antMatchers("/login.jsp", "failer.jsp", "/css/**", "/img/**", "/plugins/**").permitAll()
22
                .antMatchers("/product").hasAnyRole("USER")
23
                .anyRequest().authenticated()
24
                .and()
25
                .formLogin()
26
                .loginPage("/login.jsp")
27
                .loginProcessingUrl("/login")
28
                .successForwardUrl("/index.jsp")
29
                .failureForwardUrl("/failer.jsp")
30
                .and()
31
                .logout()
32
                .logoutSuccessUrl("/logout")
33
                .invalidateHttpSession(true)
34
                .logoutSuccessUrl("/login.jsp")
35
                .and()
36
                .csrf()
37
                .disable();
38
    }
39
}

大功告成尽管测试，注意还是用插件启动项目，使用数据库表中的用户名和密码。

整合实现授权功能#

在启动类上添加开启方法级的授权注解

在产品处理器类上添加注解#

要求产品列表功能必须具有ROLE_ADMIN角色才能访问！

重启项目测试#

再次访问产品列表发现权限不足

指定自定义异常页面#

编写异常处理器拦截403异常

1
@ControllerAdvice
2
public class HandleControllerException {
3
    @ExceptionHandler(RuntimeException.class)
4
    public String exceptionHandler(RuntimeException e){
5
      if(e instanceof AccessDeniedException){
6
            //如果是权限不足异常，则跳转到权限不足页面！
7
            return "redirect:/403.jsp";
8
      }
9
        //其余的异常都到500页面！
10
        return "redirect:/500.jsp";
11
    }
12
}