前面我们已经把用户角色权限这些串了起来,接下来,我们讲如何实现我们系统常见必备的登录验证功能。
1、加入依赖
加入依赖后,我们重新启动,会发现控制台会输出下列信息
再在浏览器访问我们系统时,会发现进入一个登录页面
这是security提供给我们的默认登录页,默认的用户名是user,密码是之前控制台输出的密码,输入完后,我们就可以正常使用之前的功能了。
但是这并不是我们所要的效果,即使这个用户名密码,我们可以通过下面的方式配置
我们需要用户名密码都从我们的用户表里面去取。
2、security配置
我们新建一个SecurityConfiguration配置类
之前,我们所有的请求都需要登录才能访问,在这里,我们设置成了anyRequest().permitAll(),即所有请求都不需要经过授权即可访问。相对的有anyRequest().denyAll(),就是都要经过授权。这个其实是一个默认值的问题,一般的系统应该都是有些请求是需要授权,有些请求不需要授权就能访问的(如登录,忘记密码),我们有两种方法处理这种情况,一种是,所有请求都需要授权,一些特殊的页面进行例外处理,另一种就是,所有请求都不需要授权,需要授权的页面例外处理。笔者一直习惯使用第二种方式,这里也推荐大家使用第二种方式。
测试发现所有get请求都不需要登录就能访问,但是其他非get请求报错,这里涉及到一个csrf攻击问题,我们暂时先将security的csrf防御关掉,http.csrf().disable(),并打开http.headers().frameOptions().sameOrigin()这样,所有请求都正常了。
我们访问localhost:8080/login发现原来的登录界面没有了,我们再添加一句代码,启用表单验证
这样我们的登录页面又回来了。但是,现在登录界面的用户数据源还不是我们想要的,不管输入什么都是用户名和密码错误。
3、配置UserDetailsService
我们创建一个UserDetailsService接口的实现类
我们先暂时不实现这个方法,直接重启,测试登录
这时页面返回的错误信息不同了,可以看到我们新建的service生效了,我们可以在service里面打断点,确认在页面调登录接口时,会进入到service里面的loadUserByUsername方法。
为什么会这样,简单来说,WebSecurityConfigurerAdapter类里面有个userDetailsService()方法,返回一个UserDetailsService实例,userDetailsService()方法实现里面会从Spring容器里面去找UserDetailsService实现,有兴趣的同学可以研究下源码。
4、UserDetails实现
上面的UserDetailsService方法需要返回一个UserDetails接口实现,这个UserDetails可以理解为用户详细信息。他包括了以下内容
权限,密码,用户名,账户是不是没有过期,账户是不是没被锁定,密码是不是没过期,用户是否启用。可以看到security对用户的管理还是考虑得比较全面。
这里我们简单修改一下原来的User类,让他实现UserDetails接口。
getAuthorities就是获取当前用户对应的权限字符串。
5、完成UserDetailsService
loadUserByUsername方法命名写得很清楚,通过username查找用户,那我们查找方法之前我们讲过很多了,这里我们使用QBE吧。
重启应用测试,笔者数据库里面的用户名是test,密码是123456,测试时发现,控制台报:
There is no PasswordEncoder mapped for the id "null"
这里我们还有一个事没有处理,即PasswordEncoder,一般有经验的程序员都知道,我们的密码是不能明文存储在数据库里面的,一般要经过加密存储,security默认是给我们提供了一个密码加密的策略,而这个错误是因为我们的密码不是按照security提供的加密策略加密的。
6、配置PasswordEncoder
security给我们已经提供了很多加密策略
我们先使用明文存储密码测试下,这里看名字,NoOpPasswordEncoder是我们需要的。
ide提示我们这个类是过时的,上面说过了,因为security不建议我们使用明文存储,即什么加密操作也不做。
再测试时发现,如果用户密码错误,页面会直接提示,而如果用户密码正确,则会跳到网站根目录,而我们网站根目录现在是没有内容的
7、配置登录成功导航页面
我们修改defaultSuccessUrl,就可以设置默认成功页面。这里还可以设置很多其他属性值,如登录接口映射地址,失败页面,登出接口等等,基本上所有的值都有默认值,所以我们经常只需要修改我们需要的属性即可。
8、总结
这章主要讲了怎么把我们系统中的用户权限和spring security相结合,可以看到,基本上security都给我们提供了许多种实现,像UserDetailsService,其实security也已经提供了好几种实现,有我们测试可能会用到的InMemoryUserDetailsManager(用户信息存在内存中),有数据库的JdbcUserDetailsManager,为什么我们没用JdbcUserDetailsManager呢,因为JdbcUserDetailsManager里面指定了用户表的表名和字段名,这对我们来说,可能不太灵活。即使security没有我们合适的实现,我们只需要自己写一个实现,security可以轻松的注入进去,完成整个流程的闭环,这也是Spring DI设计的一大优点,我们以后会大量看到这种情况。
代码:
https://github.com/www15119258/springboot-study/tree/branch22
网友评论