一文详解Spring Security的基本用法
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架, 提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。 今天通过一个简单的案例了解一下Spring Security的基本用法
1.引入依赖
在项目中引入Spring Security依赖,代码如下:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>引入依赖后,整个项目都被Spring Security保护起来,所有的接口都要登录之后才能访问了,例如,我需要访问/doc.html接口文档,直接跳到登录页面。如下图:
这时,你会有十万个为什么啦?这个页面哪里的?这个用户名和密码是啥?等等。不着急,听我一一道来。
2.用户名和密码在哪里设置
当我们引入了Spring Secruity依赖后,启动项目之后,密码就会在控制台中输出的,格式是UUID,每一次启动密码都不一样的,而用户名是默认是User的。
Using generated security password: 8b2d752b-8892-4cd3-a7a9-a36e79e1cad8
我们可以通过项目的配置文件自定义用户名和密码的,代码如下,这样每次重启项目,用户名和密码都是固定不变的。
spring:
security:
user:
name: didiplus
password: didiplus3.UserDetailsService接口详解
UserDetailsService接口只有一个抽象方法就是loadUserByUsername(String username)。代码如下:
public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}UserDetailsService接口的返回值是UserDetails接口, 这又是一个接口,Spring Security框架提供了它的实现类org.springframework.security.core.userdetails包下的User类对象 。userdetails源码如下:
Spring Security提供了三个UserDetailsService接口的实现类,分别是CachingUserDetailsService,JdbcDaoImpl,InMemoryUserDetailsManager
3.1JdbcDaoImpl实现类
该实现类是通过数据库获取用户名和密码,JdbcUserDetailsManager中定义了一大堆SQL语句,如下:
接着我们在看一下JdbcDaoImpl中的loadUsersByUsername方法,如下:
3.2InMemoryUserDetailsManager实现类
以上代码是判断内存中的HashMap集合中是否有用户数据对应的User对象,如果没有,直接抛出异常,如果有就返回该用户的User对象信息。
以上代码是把配置文件中的User相关信息读取到。通过分析源码发现 Spring Security框架完成用户登录认证的核心就在与org.springframework.security.core.userdetails包下的UserDetailsService接口。
3.3自定义实现类实现UserDetailsService接口
自定义实现类MyUserDetailsServiceImpl,代码如下:
@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {
private static final String USERNAME="admin";
private static final String PASSWORD="admin123";
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
if (!USERNAME.equals(username)){
throw new UsernameNotFoundException("用户名不存在");
}
UserDetails userDetails = new User(USERNAME,PASSWORD, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,common"));
return userDetails;
}
}
重启项目看看,输入定义的用户名和密码,发现登录不了,查看控制台发现报错,提示如下:
报错的原因是没有使用任何的PasswordEncoder,我们输入的密码没有用加密工具进行加密 。 Spring Security其实已经给我们提供了很多的PasswordEncoder 。 在org.springframework.security.crypto.password包下有一个PasswordEncoder接口,看看他的实现类
把这个PasswordEncoder的任意一个我们需要用来加密密码的实现类的Bean注入到容器里面,就可以直接拿来使用 ,代码如下:
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder(){
return new BCryptPasswordEncoder();
}
}
修改MyUserDetailsServiceImpl类如下:
@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {
private static final String USERNAME="admin";
private static final String PASSWORD="admin123";
@Resource
BCryptPasswordEncoder cryptPasswordEncoder;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
if (!USERNAME.equals(username)){
throw new UsernameNotFoundException("用户名不存在");
}
UserDetails userDetails = new User(USERNAME,cryptPasswordEncoder.encode(PASSWORD), AuthorityUtils.commaSeparatedStringToAuthorityList("admin,common"));
return userDetails;
}
}
重启项目再次测试,输入定义的账号和密码。即可访问到接口文档页面。
4.如何修改登录页面
觉得默认的登录页面很丑,我们如何定义自己的登录页面呢?方法也很简单,首先我们先去准备一个登录页面。如下:
前端代码如下:
<form action="/login" class="login-form" >
<h1>登录</h1>
<div class="txtb">
<input type="text" name="user">
<span data-placeholder="Username"></span>
</div>
<div class="txtb">
<input type="password" name="pass">
<span data-placeholder="Password"></span>
</div>
<input type="submit" class="logbtn" value="登录">
<div class="bottom-text">
Don't have account? <a href="#" rel="external nofollow" >Sign up</a>
</div>
</form>把登录页面文件存放到项目的资源文件夹中static目录下,然后在SecurityConfig重写configure(HttpSecurity http)这个方法,代码如下:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
.loginPage("/login.html") #自定义登录页面
.usernameParameter("user") #对应前端表达name属性
.passwordParameter("pass") #对应前端表达name属性
.loginProcessingUrl("/login")
.defaultSuccessUrl("/doc.html") #登录成功后跳转的页面地址
.failureUrl("/login?error=true")
.and()
.authorizeRequests()
.antMatchers("/login.html").permitAll() #放通登录页面
.anyRequest().authenticated(); #其他请求都要认证
http.csrf().disable();
}重新启动项目,输入定义的用户名和密码,登录成功直接跳转到/doc.html。
antMatchers("url").permitAll() 是把某个url放通,不需要登录就能访问。
到此这篇关于一文详解Spring Security的基本用法的文章就介绍到这了,更多相关Spring Security用法内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
在之前的学习中,我们主要了解了很多 Java 的 基本语法,但是在之后的 Java学习中,了解基础数据结构的知识非常重要,数据结构的思想可以帮助我们更加清晰明白的了解 Java 的解题思路等等.今天我们就来开始学习实现一个Java基础的单链表,需要的朋友可以参考下2021-05-05
这篇文章将用实例来和大家介绍一下WebMvcConfigurer拦截器。文中的示例代码讲解详细,对我们学习Java有一定的帮助,需要的可以参考一下2022-06-06
这篇文章主要介绍了Spring中的路径匹配器AntPathMatcher详解,Spring的PathMatcher路径匹配器接口,用于支持带通配符的资源路径匹配,本文提供了部分实现代码,需要的朋友可以参考下2023-09-09
这篇文章主要为大家详细介绍了SSH框架网上商城项目第11战之查询和删除商品功能实现的相关资料,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2016-06-06
这篇文章主要介绍了用Java实现一个静态链表的方法步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-02-02
一切的一切都是从javac开始的。从那一刻开始,java文件就从我们肉眼可分辨的文本文件,变成了冷冰冰的二进制文件。变成了二进制文件是不是意味着我们无法再深入的去了解java class文件了呢?答案是否定的。本文将详细介绍JVM之java class文件的密码本。2021-06-06
这篇文章主要介绍了Mybatis-Plus select不列出全部字段的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2021-03-03
Java Hutool工具包中HttpUtil的日志统一打印及统一超时时间配置
Hutool是一个Java基础工具类,对文件、流、加密解密、转码、正则、线程、XML等JDK方法进行封装,组成各种Util工具类,这篇文章主要给大家介绍了关于Java Hutool工具包中HttpUtil的日志统一打印及统一超时时间配置的相关资料,需要的朋友可以参考下2024-01-01
这篇文章主要介绍了通过实例深入了解java序列化,2019-06-06
最近项目需要使用定时任务,而使用了PowerJob做任务调度模块,感觉这个框架真香,今天我们就来深入了解一下新一代的定时任务框架——PowerJob,需要的朋友可以参考下2024-03-03
最新评论