1 认证授权
- 认证(Authentication):可以理解为登录,验证访问者的身份。包括用户名密码认证、手机号短信验证码认证、指纹识别认证、面容识别认证等等
- 授权(Authorization):授权发生在系统完成身份认证之后,最终会授予你访问资源(如信息,文件,数据库等等)的权限,授权决定了你访问系统的能力以及达到的程度,比如只有拿到了操作用户的授权,才可以管理用户
1.1 基于session的认证
交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的sesssion_id存放到 cookie中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id 也就无效了。
1.2 基于Token的认证
交互流程是,用户认证成功后,服务端生成一个token【令牌】[唯一字符串]【uuid,jwt】发给客户端,客户端可以放到 cookie 或sessionStorage等存储中,每次请求时带上token,服务端收到token通过验证后即可确认用户身份。
对比总结
基于session的认证方式由servlet规范定制,服务端要存储session信息需要占用内存资源,客户端需要支持cookie;
基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。
如今移动互联网时代更多类型的客户端[pC ,android,IOS,]需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token的方式更适合。
2 Spring Security 简介
Spring Security 提供了对身份认证、授权和针对常见漏洞的保护的全面支持,可以轻松地集成到任何基于 Spring 的应用程序中。
2.1 什么是spring security?
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Sprirg应用上下文中配置的Bean,充分利用了Spring IoC [],DI(控制反转Inversion of Control ,DI:Dependency Injection依赖主入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。–以上解释来源于百度百科。
总之,SpringSecurity 是一个安全框架。可以帮我们完成认证,密码加密,授权,rememberme的功能
2.2 快速入门springsecurity
引入依赖
<!--引入springsecurity的依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>
创建接口资源
@RestController
public class HelloController {@GetMapping("/hello")public String hello(){return "Hello world";}
}首次启动项目并访问资源
发现 帮你跳转到登录页面。 因为springsecurity包含了很多过滤器,认证过滤器发现你没有登录就访问资源。默认调整到它内置的登录页面
账号为: user
密码:
在控制台会显示
3 自定义账号密码
#定义账号和密码 一旦自定义了账号和密码 原来自带的就不存在了 这里只能定义一个账号和密码
spring.security.user.name=admin
spring.security.user.password=123456
4 定义多用户–基于内存
@Configuration
public class mysecurity extends WebSecurityConfigurerAdapter {//密码加密@Beanpublic PasswordEncoder passwordEncoder(){PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();return passwordEncoder;}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth//基于内存完成认证和授权.inMemoryAuthentication()//表示用户名.withUser("yyy")//表示密码.password(passwordEncoder().encode("123456"))//当前用户具有的角色.roles("admin")//表示具有的权限.authorities("user:select","user:delete","user:insert","user:update")//多个用户.and().withUser("一字符").password(passwordEncoder().encode("123456")).roles("user").authorities("user:select","user:export");}
注意:上述需要使用密码加密(hash)
5 密码加密器
分成两种类型: 对称加密和非对称加密
对称加密:表示加密和解密使用同一把密钥。
非对称加密: 表示加密和解密不是使用同一个密钥。 md5 hash
public class Test {public static void main(String[] args) {PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();//用于加密String encode = passwordEncoder.encode("123456");String encode2 = passwordEncoder.encode("123456");String encode3 = passwordEncoder.encode("123456");System.out.println(encode);System.out.println(encode2);System.out.println(encode3);//密码匹配--并不是解密boolean matches = passwordEncoder.matches("123456", encode2);System.out.println("是否密码正确:"+matches);}
}6 获取当前登录用户的信息
// springsecurity默认把当前用户的信息保存SecurityContext上下文中.
@GetMapping("info")public Authentication info(){//获取SecurityContext对象SecurityContext context = SecurityContextHolder.getContext();//把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态Authentication authentication = context.getAuthentication();UserDetails principal = (UserDetails) authentication.getPrincipal();System.out.println(principal.getUsername());return authentication;}
7 security零散配置
@Overrideprotected void configure(HttpSecurity http) throws Exception {http.formLogin()//登录页面;.loginPage("/login.html")//登录的处理路径 默认 /login.loginProcessingUrl("/login").successForwardUrl("/index") //登录成功转发的路径 必须为post请求.failureUrl("/fail.html")//.failureForwardUrl("/fail") //登录失败转发的路径 必须为post请求.permitAll(); //上面的请求路径无需认证http.csrf().disable();//禁用跨域伪造请求的过滤器//除了上的请求,其他请求都需要认证http.authorizeRequests().anyRequest().authenticated();}
8 Spring Security新用法
在config配置类中发生了变化
@Configuration
@EnableWebSecurity
public class MySecurityConfig {@Beanpublic PasswordEncoder passwordEncoder(){PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();return passwordEncoder;}@Beanpublic UserDetailsService myconfigure() throws Exception {return new InMemoryUserDetailsManager(User.withUsername("ddd").password(passwordEncoder().encode("123456")).roles("admin").authorities("user:list").build());}@Beanpublic SecurityFilterChain myconfigure2(HttpSecurity http)throws Exception{http.formLogin(form->form.loginPage("/login.html").successForwardUrl("/success").loginProcessingUrl("/login").permitAll());http.csrf(item->item.disable());http.authorizeHttpRequests(item->item.anyRequest().authenticated());return http.build();}
}
