SpringSecurity和jjwt简介
SpringSecurity 是专门针对基于Spring项目的安全框架,充分利用了AOP和Filter来实现安全功能。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。他提供了强大的企业安全服务,如:认证授权机制、Web资源访问控制、业务方法调用访问控制、领域对象访问控制Access Control List(ACL)、单点登录(SSO),Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)等等。
核心功能:认证(你是谁)、授权(你能干什么)、攻击防护(防止伪造身份)。
而jwt全称叫做JSON WEB TOKEN,网上对于jwt的概念还是很多的,而我的理解就是把用户的信息封装成一串加密的字符串,而jwt的格式例如:A.B.C,有三个部分组成,中间有 . 相隔,每一节都是base 64编码的。
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtypruRC4fb1DWtoLL62SYA的部分叫做Header,必须指定用于签署JWT的算法。
B的部分叫做body,本节包含了JWT编码的所有声明,例如可以把我们用户的信息编进去。
最后一部分是signature,它的组成是前两部分,它通过在头文件中指定的算法通过header和body的组合来计算。
更详细的介绍,可以参考:jjwt的github文档
简单配置Spring Security
创建
配置Security之前我们先对ywh-starter-security模块进行划分,以下包的命名和功能完全可以自己规定。
- controller包:登陆接口以及其他系统接口
- dao包:查询系统用户的接口
- entity包:实体类
- fiter包:拦截器
- service和impl包:service层和实现类
- utils包:工具包
- config包:配置类
- resources/security-mybatis-mappers:系统类的mapper.xml文件
修改
创建完以后,我们需要对项目进行以下小的修改,让项目识别我们security下的东西
- 在core模块下启动类上的@MapperScan注解修改如下
@MapperScan(basePackages = "com.ywh.**.dao")- 在core模块中的application-dev.yml文件中设置mapper-locations属性,多路径以逗号相隔
mapper-locations: classpath*:/mybatis-mappers/*,classpath*:/security-mybatis-mappers/*- 在Security模块的pom.xml中引入springsecurity的依赖如下:
<!--security的依赖-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>2.1.2.RELEASE</version>
</dependency>开始
当我们引入依赖后,什么也不做我们就可以使用到Security给我们带来的登陆功能,启动项目后访问我们的任意接口会被跳转到login页面,账户和密码Security也给我们默认了。
我们在控制台中可以看到以下内容:Using generated security password: 5dd9438d-1c10-44c2-bc45-6864ba4308ae
这个是Security给我们自动生成的登陆密码,账户是什么呢?我们进入到图片中标红的类UserDetailsServiceAutoConfiguration可以看到以下内容:
@Lazy
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
User user = properties.getUser();
List<String> roles = user.getRoles();
return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()});
}
private String getOrDeducePassword(User user, PasswordEncoder encoder) {
String password = user.getPassword();
if (user.isPasswordGenerated()) {
// 这个就是我们在控制台中看到的那句话的代码,是通过user.getPassword()来获取密码的
logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
}
return encoder == null && !PASSWORD_ALGORITHM_PATTERN.matcher(password).matches() ? "{noop}" + password : password;
}很明显Security是通过User这个类来进行管理默认的用户信息的,在内部类User中替我们设置了默认的账户“user”,密码是一个随机的UUID,我们通过账户和密码登陆以后就可以访问我的接口了。
public static class User {
private String name = "user";
private String password = UUID.randomUUID().toString();
private List<String> roles = new ArrayList();
private boolean passwordGenerated = true;
public User() {
}
。。。此处省略了以下代码
}如果我们想要自己设置登陆的账号和密码,可以在application.yml文件中添加以下内容就可以了。
spring:
security:
user:
name: admin
password: admin定制Spring Security配置
参考:
- spring security之httpSecurity使用实例,虽然这个是15年作者发布的,但是还是有参考价值的,新版本跟旧版本不一样时还可以加深我们对新版本的认识。
- spring security参考手册,版本也是有点旧的,只供参考
在上面其实什么也没有动,只是最简单的引入了依赖而已,启动项目以后Security自动为我们配置了认证安全机制,很显然这对于我们来说是不够的,所以我们需要对security进行自己定制化配置。
除了在我们的yml文件中配置默认的登陆账户和密码以外,我们还可以通过继承WebSecurityConfigurerAdapter 类来实现,这是核心类之一。
在这个类中有三个configure方法
方法 | 描述 |
configure(AuthenticationManagerBuilder auth) | 用户信息的配置 |
configure(WebSecurity web) | 配置Spring Security的Filter链 |
configure(HttpSecurity http) | 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过 |
我们需要通过重写configure(AuthenticationManagerBuilder auth)来配置我们的用户,以下方式在security5.0以前这么写是没有问题的,security默认使用的是NoOpPasswordEncoder编码,就是没有加密的方式,纯文本编码,你输入root那么密码就是明文显示的root了,现在NoOpPasswordEncoder已经被废弃了,因为不安全。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("root")
.password("root")
.roles("user");
}
}按照上面方式配置用户的话,控制台会报错**java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null”**大概意思就是说我们没有设置加密的方式,没有映射。
而NoOpPasswordEncoder已经废弃了,所以我们来实现一个类似的内部类做测试使用即可,仅仅做测试时使用,重新启动项目时我们会在控制台看见依旧输出password,但是已经不生效了,使用自己设置的root登陆即可,如果想设置多个用户的话,通过.and()连接后再次设置就好了。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("root")
.password("root")
.roles("user")
.and()
.passwordEncoder(CharEncoder.getINSTANCE());
}
//以下方式就是设计模式中的单例模式的饿汉式,正好练习一下。
public static class CharEncoder implements PasswordEncoder {
public static CharEncoder INSTANCE = new CharEncoder();
public static CharEncoder getINSTANCE(){
return INSTANCE;
}
@Override
public String encode(CharSequence rawPassword) {
return rawPassword.toString();
}
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
return rawPassword.toString().equals(encodedPassword);
}
}
}以上配置好以后security对我们所有的请求都进行了拦截,我们静态文件和其他不需要认证的都被拦截显然不是我们所希望的,所以我们要对某些请求放开,这个就需要我们重写configure(HttpSecurity http)这个方法了,首先我们看一下默认的方法。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
protected void configure(HttpSecurity http) throws Exception {
((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.authorizeRequests()
.anyRequest()).authenticated()
.and())
.formLogin()
.and())
.httpBasic();
}
}- anyRequest:对于任何的请求我们都进行拦截认证,
- permitAll() 方法会对指定的路径放行
- authenticated() 方法会对指定的路径进行拦截认证,如果未登陆则跳转到登陆页面
而我们想要对某些接口对外开放,比如ExampleController下的securityTest1接口放行和对是post类型的securityTest2放行,其他接口进行拦截。
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
/**
* 配置如何通过拦截器保护我们的请求,哪些能通过哪些不能通过,允许对特定的http请求基于安全考虑进行配置
* @param httpSecurity http
* @throws Exception 异常
*/
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
.authorizeRequests()
.antMatchers("/example/securityTest1").permitAll()
.antMatchers(HttpMethod.POST,"/example/securityTest2").permitAll()
.anyRequest().authenticated()
.and()
.formLogin();
}
}当我们定义了一个securityTest2接口是GET请求的话,就不会放行,只有是POST类型的securityTest2才会被放行通过,这就好像是你拿着别人的身份证去办银行卡,银行当然不可能给你放行。
获取登陆的用户
当我们登陆以后,我们想要获取一下登陆用户的信息,在Spring Security中,用户信息保存在SecurityContextHolder中,我们可以通过以下代码获取用户的信息。
@GetMapping("securityTest2")
public Result securityTest2(){
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if(principal instanceof UserDetails){
String name = ((UserDetails) principal).getUsername();
return Result.successJson("登陆的用户是:" + name);
}else {
String name = principal.toString();
return Result.successJson("登陆的用户是:" + name);
}
}
在我们上面的配置过后我们对security初步的有了一个认识,但是我们知道对于网站来说,用户的信息都是存在数据库中的,不可能向我们这样写死在代码中的,实现从数据库中查询实现登陆我将在下一篇笔记中记录,一篇文章太多了,看不进去。
