springboot集成springsecurity

转载自：www.javaman.cn

1、整合springsecurity

添加pom.xml

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、springsecurity认证授权流程

认证管理

流程图解读：

1、用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到， 封装为请求Authentication，通常情况下是UsernamePasswordAuthenticationToken这个实现类。

2、然后过滤器将Authentication提交至认证管理器（AuthenticationManager）进行认证 。

3、认证成功后， AuthenticationManager 身份管理器返回一个被填充满了信息的（包括上面提到的权限信息， 身份信息，细节信息，但密码通常会被移除） Authentication 实例。

4、SecurityContextHolder 安全上下文容器将第3步填充了信息的 Authentication ，通过 SecurityContextHolder.getContext().setAuthentication(…)方法，设置到其中。 可以看出AuthenticationManager接口（认证管理器）是认证相关的核心接口，也是发起认证的出发点，它 的实现类为ProviderManager。而Spring Security支持多种认证方式，因此ProviderManager维护着一个 List 列表，存放多种认证方式，最终实际的认证工作是由 AuthenticationProvider完成的。咱们知道web表单的对应的AuthenticationProvider实现类为 DaoAuthenticationProvider，它的内部又维护着一个UserDetailsService负责UserDetails的获取。最终 AuthenticationProvider将UserDetails填充至Authentication。

授权管理

访问资源（即授权管理），访问url时，会通过FilterSecurityInterceptor拦截器拦截，其中会调用SecurityMetadataSource的方法来获取被拦截url所需的全部权限，再调用授权管理器AccessDecisionManager，这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息，还会获取被拦截的url和被拦截url所需的全部权限，然后根据所配的投票策略（有：一票决定，一票否定，少数服从多数等），如果权限足够，则决策通过，返回访问资源，请求放行，否则跳转到403页面、自定义页面。

根据上面的认证授权流程，具体的实现步骤从3-8

1、首先定义一个我们自己的实现类集成SpringSecurity的UserDetailsService，实现loadUserByUsername方法，就是下面的步骤3，当抛出AccessDeniedException时，就要进行处理，也就是步骤4，

2、接着编写SpringSecurityConfig配置文件，就是下面的步骤7，需要进行认证成功后的处理，就是下面的步骤5

3、认证失败后，对认证失败进行处理，就是下面的步骤6

5、通过auth.userDetailsService(sysUserService)，配置 AuthenticationManagerBuilder 来使用 sysUserService 加载用户的详细信息，并使用密码编码器来处理密码。这样，当应用程序需要验证用户的身份时，它会使用这些配置来检查用户提供的凭据（通常是用户名和密码）是否正确。如果凭据正确，用户将被允许访问受保护的资源；如果凭据不正确，将拒绝访问

6、接下来通过步骤7的安全配置：

定义哪些URL不需要身份验证（如/loginPage和/getImgCode）。
配置登录页面、登录处理URL、成功和失败的处理程序等。
添加一个自定义的验证码过滤器。
配置“记住我”功能。
禁用CSRF保护（通常不推荐这样做，但在这里它被禁用了）。
设置响应头中的X-Frame-Options属性。
配置会话管理，例如定义会话失效时的跳转URL。

3、创建SysUserService集成UserDetailsService

定义一个名为SysUserService的服务类，该类主要用于处理与系统用户相关的业务逻辑：

1. 服务类定义：SysUserService继承了ServiceImpl并实现了UserDetailsService接口，这意味着它提供了与用户详细信息相关的服务。
2. 依赖注入：使用@Autowired注解注入了多个mapper（数据访问对象）和一个密码编码器。这些mapper可能用于访问数据库中的用户、菜单、用户角色和用户岗位信息。
3. 根据用户名加载用户信息：loadUserByUsername方法根据提供的用户名从数据库中检索用户信息。如果找不到用户，则抛出UsernameNotFoundException异常。
4. 菜单和角色权限的分配：
   • 如果用户是管理员（由ConfigConsts.ADMIN_USER定义），则为其分配所有的菜单和角色。
   • 对于普通用户，根据其关联的角色ID从数据库中检索菜单和角色。如果用户没有分配任何角色，则抛出AccessDeniedException异常。
5. 创建并返回Spring Security的用户对象：使用从数据库中检索到的用户信息（如用户名、密码等）以及分配的菜单和角色创建一个Spring Security的User对象，并返回。

为Spring Security框架提供用户的详细信息和权限设置，确保用户在系统中的访问和操作都是基于其分配的权限进行的。

package com.ds.blog.system.service;import cn.hutool.core.util.ObjectUtil;
import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;
import com.ds.blog.system.entity.SysUser;
import com.ds.blog.system.entity.SysUserPost;
import com.ds.blog.system.entity.SysUserRole;
import com.ds.blog.system.entity.dto.ModifyPassDTO;
import com.ds.blog.system.entity.dto.ResetPassDTO;
import com.ds.blog.system.entity.dto.UserParamDTO;
import com.ds.blog.system.mapper.*;
import com.ds.common.constant.ConfigConsts;
import com.ds.common.domain.XmSelectNode;
import com.ds.common.enums.ResultStatus;
import com.ds.core.exception.MyGlobalException;
import com.ds.core.util.CommonUtil;
import org.springframework.aop.framework.AopContext;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;
import org.springframework.util.Assert;
import org.springframework.util.CollectionUtils;
import org.apache.commons.lang3.StringUtils;
import org.thymeleaf.util.ArrayUtils;import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Array;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
import java.util.Objects;
import java.util.stream.Collector;
import java.util.stream.Collectors;
import java.util.stream.Stream;import static java.util.Optional.ofNullable;@Service
public class SysUserService extends ServiceImpl<SysUserMapper, SysUser> implements UserDetailsService {@Autowiredprivate SysUserMapper sysUserMapper;@Autowiredprivate SysMenuMapper sysMenuMapper;@Autowiredprivate SysUserRoleMapper sysUserRoleMapper;@Autowiredprivate SysUserPostMapper sysUserPostMapper;@Autowiredprivate BCryptPasswordEncoder passwordEncoder;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {SysUser user = sysUserMapper.findByUserName(username);if (ObjectUtil.isNull(user)) {throw new UsernameNotFoundException("用户不存在");}List<String> menuRole;if (ConfigConsts.ADMIN_USER.equals(username)) {menuRole = sysMenuMapper.findMenuRole();} else {String roleIds = user.getRoleIds();if (StringUtils.isBlank(roleIds)) {throw new AccessDeniedException("用户未分配菜单");}Long[] ids = CommonUtil.getId(user.getRoleIds());menuRole = sysMenuMapper.findMenuRoleByRoleIds(ids);}return new User(user.getUserName(), user.getPassWord(), ConfigConsts.SYS_YES.equals(user.getEnabled()),true, true, true, AuthorityUtils.commaSeparatedStringToAuthorityList(String.join(",", menuRole)));}
}

4、自定义AccessDeniedHandler

在步骤3中抛出 AccessDeniedException(“用户未分配菜单”)，我们需要自定义处理器来处理该异常。

这段代码定义了一个名为CustomAccessDeniedHandler的类，该类实现了AccessDeniedHandler接口。这主要是用于Spring Security框架中，当用户尝试访问他们没有权限的资源时，自定义如何处理这种访问被拒绝的情况。

以下是代码的详细解释：

1. @Component：这是一个Spring的注解，它表示CustomAccessDeniedHandler是一个Spring组件。这意味着Spring会在启动时自动检测、注册并管理这个类的实例。

2. 实现AccessDeniedHandler接口：AccessDeniedHandler是Spring Security中的一个接口，它要求实现一个handle方法。当在Spring Security中发生AccessDeniedException异常时，这个handle方法会被调用。

3. handle方法：

   • 参数

     ：此方法有三个参数：

     • HttpServletRequest request：代表HTTP请求，可以用来获取请求相关的信息，如请求头、请求参数等。
     • HttpServletResponse response：代表HTTP响应，可以用来设置响应的状态码、响应头、响应体等。
     • AccessDeniedException e：是触发此处理程序的异常。可以提供有关为什么访问被拒绝的信息。

   • 方法体

     ：

     • response.setCharacterEncoding("utf-8")：设置响应的字符编码为UTF-8。
     • response.setContentType("application/json;charset=utf-8")：设置响应的内容类型为JSON，并确保字符编码为UTF-8。
     • response.getWriter().write(new ObjectMapper().writeValueAsString(new MyGlobalException(ResultStatus.TEST_USER_LIMIT)))：使用Jackson库的ObjectMapper将MyGlobalException对象序列化为JSON字符串，并将其写入响应体。从代码中可以看出，当访问被拒绝时，会返回一个具有特定状态的全局异常信息。

总的来说，这段代码的主要作用是为Spring Security提供一个自定义的访问拒绝处理器，当用户尝试访问他们没有权限的资源时，它会返回一个具有特定状态的JSON格式的错误信息。

@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {@Overridepublic void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {response.setCharacterEncoding("utf-8");response.setContentType("application/json;charset=utf-8");response.getWriter().write(new ObjectMapper().writeValueAsString(e.getMessage()));}
}

5、自定义AuthenticationSuccessHandler(认证成功处理)

定义一个名为DefaultAuthenticationSuccessHandler的类，该类是Spring Security框架中用于处理成功认证后的逻辑的组件。以下是代码的主要功能点：

1. @Component：这是一个Spring的注解，表示该类是一个Spring组件，Spring会在启动时自动检测、注册并管理其实例。
2. @Slf4j：这是Lombok库提供的注解，它为这个类自动生成了一个SLF4J的logger实例，名为log。这允许你在类中方便地记录日志。
3. 扩展SavedRequestAwareAuthenticationSuccessHandler：该类继承了SavedRequestAwareAuthenticationSuccessHandler，这是Spring Security提供的一个处理器，用于在用户成功认证后重定向他们到最初请求的页面（如果存在的话）。
4. onAuthenticationSuccess方法：这个方法覆盖了父类中的同名方法。当用户成功认证时，该方法会被调用。在这个方法中，你可以定义成功后想要执行的逻辑。这里的逻辑包括：
   • 记录一个表示成功登录的日志。
   • 设置HTTP响应的字符编码为UTF-8。
   • 设置HTTP响应的内容类型为JSON。
   • 使用响应的PrintWriter对象将一个表示成功的JSON字符串写入响应体，并刷新输出流。

总的来说，这段代码的主要作用是当用户成功认证后，记录一个日志，并向客户端发送一个表示成功的JSON响应。

@Component
@Slf4j
public class DefaultAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {@Overridepublic void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {log.info("-----login in success----");response.setCharacterEncoding("utf-8");response.setContentType("application/json;charset=utf-8");PrintWriter writer = response.getWriter();writer.write(JSON.toJSONString(Result.success()));writer.flush();}
}

6、自定义AuthenticationFailureHandler(认证失败处理)

定义一个名为DefaultAuthenticationFailureHandler的类，该类是Spring Security框架中用于处理认证失败后的逻辑的组件。以下是代码的主要功能点：

1. @Component：这是一个Spring的注解，表示该类是一个Spring组件，Spring会在启动时自动检测、注册并管理其实例。
2. @Slf4j：这是Lombok库提供的注解，它为这个类自动生成了一个SLF4J的logger实例，名为log。这允许你在类中方便地记录日志。
3. 扩展SimpleUrlAuthenticationFailureHandler：该类继承了SimpleUrlAuthenticationFailureHandler，这是Spring Security提供的一个处理器，用于处理认证失败的情况，并默认重定向到一个指定的失败URL。
4. onAuthenticationFailure方法：这个方法覆盖了父类中的同名方法。当认证失败时，该方法会被调用。在这个方法中，你可以定义认证失败后想要执行的逻辑。这里的逻辑包括：
   • 记录一个表示登录失败的日志，并打印出具体的异常信息。
   • 设置HTTP响应的内容类型为JSON。
   • 设置HTTP响应的字符编码为UTF-8。
   • 使用响应的PrintWriter对象将错误信息写入响应体。
   • 如果异常是BadCredentialsException（通常表示用户名或密码不正确），则返回一个特定的错误消息“用户名或密码错误，请重试。”。
   • 对于其他类型的异常，直接返回异常的错误消息。

总的来说，这段代码的主要作用是当认证失败时，记录一个日志，并根据异常类型向客户端发送一个表示失败的JSON响应，其中包含具体的错误信息。

@Component
@Slf4j
public class DefaultAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {@Overridepublic void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {log.info("login in failure : " +  exception.getMessage());response.setContentType("application/json;charset=utf-8");response.setCharacterEncoding("utf-8");PrintWriter writer = response.getWriter();String message;if (exception instanceof BadCredentialsException) {message =  "用户名或密码错误，请重试。";writer.write(JSON.toJSONString(Result.failure(message)));}else{writer.write(JSON.toJSONString(Result.failure(exception.getMessage())));}writer.flush();}
}

7、MySecurityConfig配置

这段代码是一个Spring Security的配置类，用于配置Web应用的安全性。Spring Security是一个功能强大且可定制的身份验证和访问控制框架。

以下是该代码的主要功能点：

1. @Configuration：这是一个Spring的注解，表示该类是一个配置类，用于定义和注册beans。
2. @EnableWebSecurity：这个注解告诉Spring Boot启用Spring Security的默认Web安全性。
3. @EnableGlobalMethodSecurity(prePostEnabled = true)：这个注解启用了全局方法安全性，允许你使用注解（如@PreAuthorize、@PostAuthorize等）在方法级别上定义访问控制。
4. WebSecurityConfigurerAdapter：该类继承了WebSecurityConfigurerAdapter，允许你自定义Spring Security的配置。
5. configure(AuthenticationManagerBuilder auth)：在这个方法中，你可以配置AuthenticationManager，这是处理身份验证逻辑的核心组件。在这里，它配置了一个UserDetailsService和一个PasswordEncoder来处理用户的身份验证。
6. configure(HttpSecurity http)：这个方法用于配置HTTP安全性。其中包括：
   • 定义哪些URL不需要身份验证（如/loginPage和/getImgCode）。
   • 配置登录页面、登录处理URL、成功和失败的处理程序等。
   • 添加一个自定义的验证码过滤器。
   • 配置“记住我”功能。
   • 禁用CSRF保护（通常不推荐这样做，但在这里它被禁用了）。
   • 设置响应头中的X-Frame-Options属性。
   • 配置会话管理，例如定义会话失效时的跳转URL。

总的来说，这段代码配置了Spring Security来处理Web应用的安全性，包括身份验证、访问控制、会话管理等。需要注意的是，其中禁用了CSRF保护，这通常是不安全的做法，除非有特定的原因。

package com.ds.core.config;import com.ds.blog.system.service.SysUserService;
import com.ds.core.security.CustomAccessDeniedHandler;
import com.ds.core.security.DefaultAuthenticationFailureHandler;
import com.ds.core.security.DefaultAuthenticationSuccessHandler;
import com.ds.core.security.filter.ValidateCodeFilter;
import net.bytebuddy.asm.Advice;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate SysUserService sysUserService;@Autowiredprivate DefaultAuthenticationSuccessHandler defaultAuthenticationSuccessHandler;@Autowiredprivate DefaultAuthenticationFailureHandler defaultAuthenticationFailureHandler;@Autowiredprivate ValidateCodeFilter validateCodeFilter;@Autowiredprivate CustomAccessDeniedHandler accessDeniedHandler;@Beanpublic BCryptPasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(sysUserService).passwordEncoder(passwordEncoder());}@Overridepublic void configure(WebSecurity web) throws Exception {// 不需要权限能访问的资源web.ignoring()// 接口放行.antMatchers("/api/**").antMatchers("/front/**")// 静态资源.antMatchers("/static/**").antMatchers("/favicon.ico");}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests()// 放过.antMatchers("/loginPage", "/getImgCode").permitAll().antMatchers("/**/*.jpg", "/**/*.png", "/**/*.gif", "/**/*.jpeg").permitAll()// 剩下的所有的地址都是需要在认证状态下才可以访问.anyRequest().authenticated().and()// 过滤登录验证码.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)// 配置登录功能.formLogin().usernameParameter("userName").passwordParameter("passWord")// 指定指定要的登录页面.loginPage("/loginPage")// 处理认证路径的请求.loginProcessingUrl("/login").successHandler(defaultAuthenticationSuccessHandler).failureHandler(defaultAuthenticationFailureHandler).and().exceptionHandling().accessDeniedHandler(accessDeniedHandler).and()// 登出.logout().invalidateHttpSession(true).deleteCookies("remember-me").logoutUrl("/logout").logoutSuccessUrl("/loginPage").and().rememberMe()// 有效期7天.tokenValiditySeconds(3600 * 24 * 7)// 开启记住我功能.rememberMeParameter("remember-me").and()//禁用csrf.csrf().disable()// header response的X-Frame-Options属性设置为SAMEORIGIN.headers().frameOptions().sameOrigin().and()// 配置session管理.sessionManagement()//session失效默认的跳转地址.invalidSessionUrl("/loginPage");}
}

8、登录界面

<!DOCTYPE html>
<html lang="zh" xmlns:th="http://www.thymeleaf.org">
<head><title>ds博客</title><div th:replace="common/link::header"></div><link rel="stylesheet" th:href="@{/static/layuiadmin/style/login.css}" media="all">
</head>
<body>
<div class="layadmin-user-login layadmin-user-display-show" id="LAY-user-login" style="display: none;"><div class="layadmin-user-login-main"><div class="layadmin-user-login-box layadmin-user-login-header"><h2>ds博客</h2><p>后台登录</p></div><div class="layadmin-user-login-box layadmin-user-login-body layui-form"><div class="layui-form-item"><label class="layadmin-user-login-icon layui-icon layui-icon-username" for="LAY-user-login-username"></label><input type="text" name="userName" value="test" id="LAY-user-login-username" lay-verify="required" placeholder="用户名" class="layui-input"></div><div class="layui-form-item"><label class="layadmin-user-login-icon layui-icon layui-icon-password" for="LAY-user-login-password"></label><input type="password" name="passWord" value="test" id="LAY-user-login-password" lay-verify="required" placeholder="密码" class="layui-input"></div><div class="layui-form-item"><div class="layui-row"><div class="layui-col-xs7"><label class="layadmin-user-login-icon layui-icon layui-icon-vercode"></label><input type="text" name="code"  lay-verify="required" placeholder="图形验证码" class="layui-input"></div><div class="layui-col-xs5"><div style="margin-left: 10px;"><img id="codeImg" class="layadmin-user-login-codeimg"></div></div></div></div><div class="layui-form-item" style="margin-bottom: 20px;"><input type="checkbox" name="remember-me" lay-skin="primary" title="记住密码"></div><div class="layui-form-item"><button class="layui-btn layui-btn-fluid layui-bg-blue"  lay-submit lay-filter="login">登 录</button></div></div></div><div th:replace="common/script::footer"></div>
<script th:inline="javascript">layui.config({base: '/static/layuiadmin/' //静态资源所在路径}).extend({index: 'lib/index' //主入口模块}).use(['index', 'user'], function(){let $ = layui.$,form = layui.form;// 初始化getImgCode();form.render();//提交form.on('submit(login)', function(obj) {// 打开loadinglet loading = layer.load(0, {shade: false,time: 2 * 1000});// 禁止重复点击按钮$('.layui-btn').attr("disabled",true);//请求登入接口$.ajax({type: 'POST',url:  ctx + '/login',data: obj.field,dataType: 'json',success: function(result) {if (result.code === 200) {layer.msg('登入成功', {icon: 1,time: 1000}, function(){window.location.href = '/';});} else {layer.msg(result.message);// 刷新验证码getImgCode();// 关闭loadinglayer.close(loading);// 开启点击事件$('.layui-btn').attr("disabled", false);}}});});$("#codeImg").on('click', function() {// 添加验证码getImgCode();});$(document).keydown(function (e) {if (e.keyCode === 13) {$('.layui-btn').click();}});// 解决session过期跳转到登录页并跳出iframe框架$(document).ready(function () {if (window != top) {top.location.href = location.href;}});});/*** 获取验证码*/function getImgCode() {let url = ctx + '/getImgCode';let xhr = new XMLHttpRequest();xhr.open('GET', url, true);xhr.responseType = "blob";xhr.onload = function() {if (this.status === 200) {let blob = this.response;document.getElementById("codeImg").src = window.URL.createObjectURL(blob);}}xhr.send();}
</script>
</body>
</html>