Spring Security 之一 用户名密码登陆

Spring Security致力于为Java应用提供认证和授权管理。它是一个强大的，高度自定义的认证和访问控制框架。

认证是验证用户身份的合法性，而授权是控制你可以做什么。

Spring Security 的核心原理是一组过滤器链,每个过滤器可以处理一种认证请求,最有一个捕获异常的过滤器用来处理登陆过程中的异常

链路.jpg

Spring Security的核心组件

• SecurityContextHolder：提供对SecurityContext的访问
• SecurityContext,：持有Authentication对象和其他可能需要的信息
• AuthenticationManager 其中可以包含多个AuthenticationProvider
• ProviderManager对象为AuthenticationManager接口的实现类
• AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
• Authentication：Spring Security方式的认证主体
• GrantedAuthority：对认证主题的应用层面的授权，含当前用户的权限信息，通常使用角色表示
• UserDetails：构建Authentication对象必须的信息，可以自定义，可能需要访问DB得到
• UserDetailsService：通过username构建UserDetails对象

Spring Security 默认Basic方式登陆,默认用户名user,密码会在控制台输出

Using generated security password: af133231-21ad-4802-8f61-4a8b0bae14e1

需求:

• 修改为表单登陆
• 用户名和密码数据库配置(模拟)
• 自定义登录页和错误页面
• 完成登出操作
• 记录登陆成功和失败

首先看WebSecurityConfigurerAdapter 如何配置configure

http.formLogin() //指定采用form方式登录
                .loginPage(securityProperties.getLoginPage())//登录页面
                .failureUrl(securityProperties.getFailureUrl())//登录错误页面
                .loginProcessingUrl(securityProperties.getLoginProcessingUrl())//拦截的登录处理URL
                .successHandler(securityAuthenticationSuccessHandler)//登录成功处理器
                .failureHandler(securityAuthenticationFailureHandler)//登录失败处理器
                .and()
                .logout()//登出相关配置
                .logoutUrl(securityProperties.getLogoutUrl())//登出的url
                .logoutSuccessUrl(securityProperties.getLoginPage())//登出成功后跳转的url
                .permitAll()
                .invalidateHttpSession(true)//是session失效
                .deleteCookies("JSESSIONID")
                .logoutSuccessHandler(securityLogoutSuccessHandler)//登出成功的处理器
                .and()
                .authorizeRequests()//权限
                .antMatchers(securityProperties.getMatchers())//不拦截这些请求
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .userDetailsService(securityUserDetailsService)//指定userdetailsService
                .headers()
                .frameOptions()
                .disable()
                .and()
                .csrf()
                .disable();//禁用跨域

在看下默认的配置文件securityProperties

@ConfigurationProperties(prefix = "demo.security")
@Configuration
@Data
public class SecurityProperties {
  //跳转登录页面(使用了thymeleaf,写在了controler中,不使用的话,可以直接配置为html)
    private String loginPage = "/auth/toLogin";
  //失败页面(需要带参数,否则无法从session中取到错误信息)
    private String failureUrl = "/auth/login?error=true";
    private String loginProcessingUrl = "/auth/login";
    private String logoutUrl = "/auth/logout";
    private String[] matchers = new String[]{"/auth/requrie",
            "/js/**",
            "/iview/**",
            "/css/**",
            "/auth/toLogin",
            "/auth/logout",
            "/images/**",
            "/api/**",
            "/auth/token"
    };
    // 默认登录页
    private String loginPageHtml = "signin";
}

以上配置不做详细说明,简单说明一下;PasswordEncoder 和UserDetailsService

PasswordEncoder

从数据库读取用户之后,负责对密码进行加密,并与数据库中记录的密码进行比对,如通过,则返回true,否则返回false

public class PasswordEncoderImpl implements PasswordEncoder {

    @Override
    //对密码进行加密(此处采用md5 方式,更多方式此处不做测试)
    public String encode(CharSequence rawPassword) {
        return DigestUtils.md5DigestAsHex(rawPassword.toString().getBytes());
    }

    @Override
    //此处留了一个后门,即直接使用密文作为密码也可以进行登录
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return rawPassword.toString().equals(encodedPassword)||this.encode(rawPassword).equals(encodedPassword);
    }

}

UserDetailsService

主要处理loadUserByUsername方法,根据用户名查找用户,若用户不存在,抛出UsernameNotFoundException即可,

UserService用来模拟从数据库根据用户名查询用户的功能

@Service
@Slf4j
public class SecurityUserDetailsService implements UserDetailsService{
    @Autowired
    private UserService userService;
    @Override
    public UserDetails loadUserByUsername(String username) throws
                                                           UsernameNotFoundException{
        log.info("login:{}", username);
        UserDetail user = userService.loadUserByUsername(username);
        if(user == null){
            throw new UsernameNotFoundException("用户未找到");
        }

        return user;
    }
}

登陆界面

此页面包含部分样式,看着较为复杂

有几点需要注意

• 登陆路径/auth/login需要与配置类中的登录路径一致,否则不认为是登陆请求
• 需要传递username和password两个参数
• 必须以post方式提交表单
• session?.SPRING_SECURITY_LAST_EXCEPTION?.message 这是thymeleaf从session中取出错误信息的表达式

<card  :shadow="true" :bordered="false">
                <p slot="title">用户登录</p>
                <i-form id="loginForm" th:action="@{/auth/login}" ref="formInline" :model="formInline" :rules="ruleInline" method="POST">
                    <form-item prop="username">
                        <i-input element-id="username" type="text" v-model="formInline.username" name="username" placeholder="Username">
                             <icon type="ios-person-outline" slot="prepend"></icon>
                        </i-input>
                    </form-item>
                    <form-item prop="password">
                        <i-input element-id="password" type="password" v-model="formInline.password" name="password" placeholder="Password">
                            <icon type="ios-lock-outline" slot="prepend"></icon>
                        </i-input>
                        <div id="message" style="color:red;" th:text="${session?.SPRING_SECURITY_LAST_EXCEPTION?.message}"></div>
                    </form-item>
                    <form-item>
                        <i-button id="login" type="primary"  @click="handleSubmit('formInline')" @keyup.enter.native="handleSubmit('formInline')" long>登录</i-button>
                    </form-item>
                </i-form>
            </card>

效果演示

访问项目,未登陆状态下,踢到登陆页

login.jpg

登陆错误演示

error.jpg

登陆成功之后.跳转到项目首页

index.jpg

点击注销之后,会再次跳转到登陆页面

项目github地址