SpringSecurity 快速实现项目

我的开发环境是springboot(下面简称sb)+freemarker+maven

如大家所知道的，sb里面没有配置文件，需要通过类加载或者解析xml来配置一些东西，这也是初学sb的一个头痛点。（我当时就是，哈哈）

好的不多哔哔，直入正题。但是我还是想告诫一些没有sb读配置文件的经验的小司机。可能会不好理解，但是不要放弃，一步一步跟着我来，就可以

1. pom依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
        </dependency>

第一个依赖是security的核心依赖包，第二个是security对freemarker的标签的支持包。
加了这两个东西之后，重启项目，它就会弹出让你登录的窗口。

你可能会迷惑，我什么都没配置，为什么就给我要密码？因为security依赖包只要引入了，它会默认给项目加入密码。用户名是user 默认密码在控制台找下。

实际开发中，我们肯定不是这样让用户认证。所以我们要重写security的实现类。

2. 继承重写WebSecurityConfigurerAdapter类

/**
 *
 * Created by Fant.J.
 * 2017/10/26 18:48
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    //返回 BCrypt  加密对象
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
//    @Autowired
//    private AuthenticationSuccessHandler myAuthenticationSuccessHandler;
//    @Autowired
//    private MyAuthenticationFailHandler myAuthenticationFailHandler;


    @Bean
    protected UserDetailsService userDetailServiceImpl(){
        return new UserDetailServiceImpl();
    }
    @Override
    protected void configure(HttpSecurity http)throws Exception{
//        ValidateCodeFilter filter = new ValidateCodeFilter();
//        //写入自定义错误过滤器
//        filter.setAuthenticationFailureHandler(myAuthenticationFailHandler);
        //表单登录
       http.formLogin()         
 //        http.httpBasic()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();

        http
                .headers()
                .frameOptions()
                .sameOrigin();


    }
}

http.formLogin() 表示以表单的形式登录，authorizeRequests()表示什么请求需要验证呢？anyRequest()嗯，所有的请求都需要验证。authenticated();证明是有效的情况下。
自己整段话连起来，大家就懂了这种写法的含义了。
相信一些有心人在上面的类中看到了这段代码

    @Bean
    protected UserDetailsService userDetailServiceImpl(){
        return new UserDetailServiceImpl();
    }

我们来看下这个UserDetailsService这个官方接口 image.png

根据方法名我们能看出来，它是用来通过username加载User信息的，这和form验证就关系上了。你只需要把这个类注入到类里，它会自动去找这个实现类，那么下面我们来看下我写的这个实现类。

3. UserDetailServiceImpl 实现UserDetailsService接口

/**
 * Created by Fant.J.
 * 2017/10/26 20:54
 */
@Component
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService{
    @Autowired
    UserAdminMapper userAdminMapper;
    @Autowired
    private PasswordEncoder passwordEncoder;
    /** 超级用户 */
    private static final Integer USER_POWER_ADMIN = 1;
    /** 普通用户 */
    private static final Integer USER_POWER_USER = 2;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        try {
            UserAdmin userAdmin = userAdminMapper.selectByUsername(username);
            log.info("登录用户名" + username);
            log.info("数据库密码" + userAdmin.getPassword());
            if (userAdmin == null) {
                throw new UsernameNotFoundException("没有找到");
            }
            //获取用户使用状态
            boolean status = false;
            if (userAdmin.getUserStatus() == 1){
                status = true;
            }
            if (userAdmin.getUserPower() == 1) {
                log.info("ADMIN用户"+userAdmin.getUserAdminName()+"登录");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        status, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));
            } else if (userAdmin.getUserPower() == 2) {
                log.info("ADMIN用户"+userAdmin.getUserAdminName()+"登录");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        true, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("USER"));
            } else {
                log.error("用户权限错误异常,默认为USER普通用户");
                return new User(username, passwordEncoder.encode(userAdmin.getPassword()),
                        true, true, true, true,
                        AuthorityUtils.commaSeparatedStringToAuthorityList("USER"));
            }
        }catch (Exception e){
            log.error("用户权限错误异常"+e.getMessage());
            throw new MyException("用户权限错误异常");
        }
    }
}

返回类型必须是UserDetails（官方提供类）,来看下它的源码

image.png
可以看到里面包含了账号密码，和是否过期，是否可用，是否被锁，是否有效四个状态。所以我代码里有
return new User(username, passwordEncoder.encode(userAdmin.getPassword()), status, true, true, true, AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));
大家就能看懂了，AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));这个是自定义添加的用户身份，再开发过程中可把它封装起来。（我在这里由于数据库设计原因定成死的），说明它是个admin身份。passwordEncoder.encode是security提供的加密，（挺高端的，随机生成盐然后插入到密码里。每次登录都不一样，还提供了passwordEncoder.match()方法，两者联合判断用户是否有效），不多说 看源码
image.png
然后你返回去看我的SecurityConfig类，你会找到

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

这个注入类就是获取impl中从数据库里查出来的密码，然后match判断。所以就要求我们注册用户的时候，先encode()一下再存入数据库，然后读出来直接返回，我的这个impl是从数据库里读出密码然后加密的，因为我怕数据库密码我都会忘记。。
按照需求来吧。

4. 启动项目

image.png
security默认有个form表单提交页面。我们输入错误的密码。
image.png
输入错误的账号
image.png
看上去没有提示，因为我们没有捕获这个异常。
我们输入正确的帐号密码
image.png
进来了。但是测试的时候你会发现个问题。表单提交的时候会报403无权限访问异常
。好好想想我们引入了两个依赖包，第二个还没用呢！
在每个有form提交的地方都加上
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
这是security框架token认证需要的东西。