SpringBoot 整合 SpringSecurity 超详细入门教程

而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时，只需要实现 UserDetailsService 接口即可。

返回值 UserDetails ，这个类是系统默认的用户“主体”

User 是 UserDetails 实现类，我们只需要使用 User 这个实体类即可：

编写实现类，实现 UserDetailsService 接口：

/**

• @Author: Ly

• @Date: 2021-04-16 20:09

*/

@Service("userDetailsService") //将 MyUserDetailsService 注入

public class MyUserDetailsService implements UserDetailsService {

@Autowired

private UsersMapper usersMapper;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role"); //配置角色

//用户名，密码可以从数据库查询

return new User("ly",new BCryptPasswordEncoder().encode("123456"),auths);

}

}

修改配置类：

@Configuration

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired

private UserDetailsService userDetailsService;

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.userDetailsService(userDetailsService).passwordEncoder(password());

}

@Bean

PasswordEncoder password(){

return new BCryptPasswordEncoder();

}

}

测试：

在数据库中查询用户名密码

创建数据库 security，并创建一个 User 表：

对应的数据库 Schema 脚本，数据库 Data 脚本如下：

DROP TABLE IF EXISTS users;

CREATE TABLE users(

id BIGINT(20) PRIMARY KEY AUTO_INCREMENT,

username VARCHAR(20) UNIQUE NOT NULL,

password VARCHAR(100)

);

DELETE FROM users;

INSERT INTO users (id, username, password) VALUES

(1, '张三', '123456'),

(2, '李四', '123456'),

(3, '王五', '123456');

通过 MybatisPlus 完成数据库操作： Mybatis-Plus基本使用

添加依赖：

<dependency>

<groupId>com.baomidou</groupId>

<artifactId>mybatis-plus-boot-starter</artifactId>

<version>3.3.1.tmp</version>

</dependency>

<dependency>

<groupId>mysql</groupId>

<artifactId>mysql-connector-java</artifactId>

<scope>runtime</scope>

</dependency>

<dependency>

<groupId>org.projectlombok</groupId>

<artifactId>lombok</artifactId>

</dependency>

创建实体类 Users：

@Data

@AllArgsConstructor

@NoArgsConstructor

public class Users {

private Integer id;

private String username;

private String password;

}

新建 mapper 包，创建 UsersMapper 接口：

想要使用接口，需要在启动器或配置类上添加注解：@MapperScan("com.ly.mapper")

@Repository

public interface UsersMapper extends BaseMapper<Users> {

}

配置文件添加数据库配置 ：

spring:

#配置数据源

datasource:

driver-class-name: com.mysql.cj.jdbc.Driver

url: jdbc:mysql://localhost:3306/security?useSSL=false&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8

username: root

password: 123456

在实现类中添加数据库相关操作：

@Service("userDetailsService")

public class MyUserDetailsService implements UserDetailsService {

@Autowired

private UsersMapper usersMapper;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

//调用 usersMapper 方法，根据用户名查询数据库

QueryWrapper<Users> wrapper = new QueryWrapper<>();

wrapper.eq("username",username);

Users users = usersMapper.selectOne(wrapper);

//判断

if(users==null){//数据库没有数据，认证失败

throw new UsernameNotFoundException("用户名不存在！");

}

//手动设置了 role，也可以通过数据库查询获取

List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role"); //配置角色

return new User(users.getUsername(),

new BCryptPasswordEncoder().encode(users.getPassword()),auths);

}

}

测试访问：

自定义页面与权限控制

自定义登陆页面：

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>Title</title>

</head>

<body>

<form action="/user/login" method="post">

<!--注意：页面提交方式必须为 post 请求，用户名，密码必须为 username,password

可以通过 usernameParameter()和 passwordParameter()方法修改默认配置-->

用户名：<input type="text" name="username">

<br/>

用户名：<input type="text" name="password">

<br/>

<input type="submit" value="login">

</form>

</body>

</html>

在配置类实现相关配置：

@Override

protected void configure(HttpSecurity http) throws Exception {

//配置没有权限访问跳转自定义页面

http.exceptionHandling().accessDeniedPage("/unauth.html");

http.formLogin() //自定义自己编写的登陆页面

.loginPage("/login.html") //登陆页面设置

.loginProcessingUrl("/user/login") //登陆访问路径

.defaultSuccessUrl("/test/hello").permitAll() //登陆成功后跳转路径

.and().authorizeRequests()

.antMatchers("/","/user/login").permitAll() //设置那些路径可以直接访问，不需要认证

// .antMatchers("/test/addUser").hasAuthority("addUser")

// .antMatchers("/test/findAll").hasAnyAuthority("addUser,findAll")

// .antMatchers("/test/hello").hasRole("admin")

// .antMatchers("/test/hello").hasAnyRole("admin")

.anyRequest().authenticated()

.and().csrf().disable(); //关闭 csrf 的保护

}

权限控制：

1.在配置类设置当前访问地址有那些权限

//当前用户只有具有 addUser 权限时才能访问该路径

.antMatchers("/test/add").hasAuthority("addUser")

相关方法： 角色和权限都可以设置多个，以逗号分开

| 方法名称 | 说明 |

| --- | --- |

| hasAuthority | 如果当前的主体具有指定的权限，则可以访问 |

| hasAnyAuthority | 如果当前的主体有任何提供的角色的话，就可以访问 |

| hasRole | 如果用户具备给定角色就允许访问 |

| hasAnyRole | 用户具备任何一个角色都可以访问 |

2.在 UserDetailsService 中为 User 对象设置权限

对于权限可以直接设置，对于角色以ROLE_**的方式设置

List<GrantedAuthority> auths = AuthorityUtils

.commaSeparatedStringToAuthorityList("addUser,findAll,ROLE_admin,ROLE_user");

当 User 对象没有对应权限时会返回 403 错误：

自定义 403 页面：

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>403</title>

</head>

<body>

<h1>对不起，您没有访问权限！</h1>

</body>

</html>

在配置类实现相关配置：http.exceptionHandling().accessDeniedPage("/403.html");

再次测试：

注解的使用

使用注解前需要在启动器或配置类上添加注解：@EnableGlobalMethodSecurity(securedEnabled=true,...)

@SpringBootApplication

@MapperScan("com.ly.mapper")

@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)

public class SecurityDemoApplication {

public static void main(String[] args) {

SpringApplication.run(SecurityDemoApplication.class, args);

}

}

@Secured：判断是否具有角色：

@RequestMapping("t

【一线大厂Java面试题解析+后端开发学习笔记+最新架构讲解视频+实战项目源码讲义】
浏览器打开：qq.cn.hn/FTf 免费领取

estSecured")

@ResponseBody

@Secured({"ROLE_normal","ROLE_admin"})

public String testSecured() {

return "testSecured";

}

登录之后直接访问：http://localhost:10081/test/testSecured

@PreAuthorize：进入方法前进行权限验证， @PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中。

@RequestMapping("/preAuthorize")

@ResponseBody

//@PreAuthorize("hasRole('ROLE_管理员')")

@PreAuthorize("hasAnyAuthority('findAll')")

public String preAuthorize(){

System.out.println("preAuthorize");

return "preAuthorize";

}

登录之后直接访问：http://localhost:10081/test/preAuthorize

@PostAuthorize：方法执行后再进行权限验证，适合验证带有返回值的权限：

@RequestMapping("/postAuthorize")

@ResponseBody

@PostAuthorize("hasAnyAuthority('find')")

public String postAuthorize(){

System.out.println("postAuthorize");

return "PostAuthorize";

}

登录之后直接访问：http://localhost:10081/test/postAuthorize

@PostFilter ：权限验证之后对数据进行过滤，留下指定的数据，表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

@RequestMapping("findAll")

@PostAuthorize("hasAnyAuthority('findAll')")

@PostFilter("filterObject.username == 'admin1'")

@ResponseBody

public List<Users> findAllUser(){

ArrayList<Users> list = new ArrayList<>();

list.add(new Users(1,"admin1","123456"));

list.add(new Users(2,"admin2","123456"));

return list;

}

登录之后直接访问：http://localhost:10081/test/findAll

@PreFilter: 进入控制器之前对数据进行过滤

@RequestMapping("preFilter")

@PostAuthorize("hasAnyAuthority('findAll')")

@PreFilter(value = "filterObject.id%2==0")

@ResponseBody

public List<Users> testPreFilter(@RequestBody List<Users> list){

list.forEach(t-> {

System.out.println(t.getId()+"\t"+t.getUsername());

});

return list;

}

先登录，然后使用 postman 进行测试：

测试的 Json 数据：

[

{"id": "1","username": "admin","password": "666"},

{"id": "2","username": "admins","password": "888"},

{"id": "3","username": "admins11","password": "11888"},

{"id": "4","username": "admins22","password": "22888"}

]

输出结果：

用户注销

1. 在配置类中添加退出映射地址：http.logout().logoutUrl("/logout").logoutSuccessUrl("/login.html").permitAll();

新建一个登录成功页面 success.html：

在登录页面添加一个退出连接：

<!DOCTYPE html>

<html lang="en">

<head>

<meta charset="UTF-8">

<title>success</title>

</head>

<body>

登录成功<br> <a href="/logout">退出</a>

</body>

</html>

修改登陆成功后的跳转页面：

测试：退出之后，是无法访问需要登录时才能访问的控制器！

基于数据库实现自动登录

创建表，在 JdbcTokenReponsitoryImpl 中有创建表的语句，可以直接使用：

CREATE TABLE persistent_logins (

username varchar(64) NOT NULL,

series varchar(64) NOT NULL,

token varchar(64) NOT NULL,

last_used timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE

CURRENT_TIMESTAMP,

PRIMARY KEY (series)

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

创建成功：

在配置类中添加一下信息：

@Autowired

//注入数据源

private DataSource dataSource;

@Autowired

private PersistentTokenRepository tokenRepository;

@Bean

public PersistentTokenRepository persistentTokenRepository(){

JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();

// 赋值数据源

jdbcTokenRepository.setDataSource(dataSource);

//自动创建表,第一次执行会创建，以后要执行就要删除掉！

//jdbcTokenRepository.setCreateTableOnStartup(true);

return jdbcTokenRepository;

}

开启记住我功能：

// 开启记住我功能 cookie

http.rememberMe()

.tokenRepository(tokenRepository)

.tokenValiditySeconds(600) //设置有效期 600 秒

.userDetailsService(userDetailsService);

在登陆页面添加记住我复选框：

记住我：<input type="checkbox" name="remember-me" title="记住密码"/><br/>

界面效果：

点击登陆，可以看到 cookies 中增加了一条 remember-me 的数据：

登录成功之后，关闭浏览器再次测试访问 http://localhost:10081/findAll，发现依然可以使用，同时可以看到数据库中存在一条数据：

跨站请求伪造

跨站请求伪造（英语：Cross-site request forgery，CSRF）， 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

跨站请求攻击，简单地说，是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。

这利用了 web 中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。

从 Spring Security 4.0 开始，默认情况下会启用 CSRF 保护，以防止 CSRF 攻击应用程序，Spring Security CSRF 会针对 PATCH，POST，PUT 和 DELETE 方法进行防护。

使用 CSRF：

需要在 pom 文件中添加相关依赖：

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-thymeleaf</artifactId>

</dependency>

<dependency>

<groupId>org.thymeleaf.extras</groupId>

<artifactId>thymeleaf-extras-springsecurity5</artifactId>

</dependency>

在登录页面添加一个隐藏域，使用了 Thymeleaf模板： 因为使用了 Thymeleaf，我们不能像上面一样访问**.html的静态页面，而是通过 controller 返回地址，页面才能解析。

@GetMapping( "/login")

public String testLogin() {

return "login";

}