您现在的位置是:框架集

SpringBoot之整合Spring Security,为自己的系统提供安全保障

  • 乐哉
  • 框架集
  • 2019-01-10 22:36:02
  • 345人已阅读
摘要为什么使用security? ①Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架; ②Spring Security 完美的解决了我以上的需求 ③有了security我可以更加便捷的管理我的系统,拦截一个地址,不再需要我去配置一 个filter,只需要添加一个配置就能搞定了,废话不多说进入正题吧:

by 杨乐

需求:

 

        1.权限控制:角色有多种角色,每个角色对应多个用户,每个角色又对应不同的菜单权限

        2.资源控制:

                        ①有些地址只能当用户登录之后才能访问

                        ②有些地址可以对无状态用户开放,例如API

                        ③对不同角色的用户的访问的权限进行控制

                        ...

         3.系统登录与注销:登录成功后将用户信息保存在系统中,转向成功页面,否则重新指向到登录页面,并提示错误信息

初步解决方案:

            使用filter完成所有需求:

            ①将用户登录的信息保存在session中,在filter进行判断,请求的地址是否是在登录  之后才能访问,然后写一堆if判断,解决问题1

          ②解决方法和问题①一样的,在filter中进行过滤

           ③对不同角色有不同的权限则也可以在filter中操作,根据用户信息查到用户所属角                                  色,再进行判断,解决问题。

            ④系统的登录和注销可以使用一个action,在action中进行这些逻辑处理。解决问题

遇到的问题:

        在使用如上方法完成需求之后,反过来看,会发现有好多冗余代码,使系统变得臃肿,光 filter里面就会出现大量的if语句,而且系统代码并不能被下一个系统直接复用,没有将功能进行模块化的开发。

最终解决方案:

      使用springboot 对spring security进行整合:

           为什么使用security?

                    ①Spring Security是能够为J2EE项目提供综合性的安全访问控制解决方案的安全框架;

                    ②Spring Security 完美的解决了我以上的需求

                    ③有了security我可以更加便捷的管理我的系统,拦截一个地址,不再需要我去配置一                       个filter,只需要添加一个配置就能搞定了,废话不多说进入正题吧:

开始coding吧

spring security的starterMaven包:


security maven

一、首先进行安全入口的配置:

WebSecurityConfig.java

         WebSecurityConfig 继承WebSecurityConfigurerAdapter重写config,configureGlobal方法


WebSecurityConfig.java

这里面可以配置不需要拦截的url,和登录,注销后的处理页面,还能添加认证数据源,再登录时获取额外的参数,例如后面提到的验证码等参数


WebSecurityConfig.java

这个方法用来加载 处理登录的逻辑代码(用户名,密码,验证码等逻辑验证)

二、用户验证

CustAuthenticationProvider.java 实现AuthenticationProvider接口中的authenticate方法进行登录认证


CustAuthenticationProvider.java

三、封装用户信息类

CustUserDetails.java 实现UserDetails接口


CustUserDetails.java

四、根据用户名获取用户信息

SnailUserDetailsService.java 实现UserDetailsService接口中的loadUserByUsername方法,从数据库中加载用户信息并封装到CustUserDetails中返回


SnailUserDetailsService.java 

五、添加额外参数验证:

在普通的认证中,我们只能对用户名和密码进行验证,不能够获取表单中额外参数进行验证(如验证码),但是security给我们打开了一扇门,还记得步骤一中的authenticationDetailsSource这个源码,这个就是加载额外数据源参数,我们只需创建一个类实现AuthenticationDetailsSource接口中的buildDetails方法,将我们需要的额外参数加载进来即可

CustomAuthenticationDetailsSource.java实现AuthenticationDetailsSource接口


CustomAuthenticationDetailsSource.java

创建CustomWebAuthenticationDetails.java继承WebAuthenticationDetails加载参数


CustomWebAuthenticationDetails.java

六、到这里,所有代码都写完了,我们还有一个需求就是如何在项目中获取用户信息:security提供了SecurityContextHolder这个类,能够帮助我们获取用户的所有信息,使用方式如下:


controller

附上所有代码下载链接,使用时请大家根据自己的开发环境进行相应的调整,如果没有积分的可以留言,我会上传到百度云中,提供你们下载。

csdn:https://download.csdn.net/download/weixin_34311210/10400629

百度云:https://pan.baidu.com/s/1NNgCgk_2iqjMgq6tgeJEog

打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

文章评论

Top