当前位置：首页 > news >正文

SpringBoot权限认证

news 文章来源：https://blog.csdn.net/qq_44915801/article/details/132511922 2024/11/20 17:32:53

SpringBoot的安全

常用框架：Shrio,SpringSecurity

两个功能：

Authentication 认证
Authorization 授权

权限：

功能权限
访问权限
菜单权限

原来用拦截器、过滤器来做，代码较多。现在用框架。

SpringSecurity

只要引入就可以使用

可以在官网看教程

几个重要的类：

WebSecurityConfigurerAdapter 自定义Security策略
AuthenticationManagerBuilder 自定义认证策略
@EnableWebSercurity

基本操作

springboot 2.7.0前

继承WebSecurityConfigurerAdapter

重写configure(HttpSecurity http)方法——授权

使用链式编程

第一个小例子：

http.authorizeRequests()							//自定义权限控制.antMatchers("/").permitAll()					//所有人可以访问首页.addMatchers("/vip1").hasRole("vip1");			//vip1可以访问
//登录，也可以使用and()拼接
http.fromLogin();									//没有权限会自动跳转到登录页面，即使没有写过/login

源码：默认的login和login?error

重写Configure(AuthenticationManagerBuilder auth)方法——认证

2.7.0版本后，WebSecurityConfigurerAdapter被弃用

上面配置好了什么权限可以做什么事情，这里则用来做登录控制和权限查询操作

protected void configure(AuthenticationManagerBuilder auth){//因为反编译，新版要求所有密码必须加密BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();//JDBC认证	例子为blog_systemauth.jdbcAuthentication().passwordEncoder(encoder).dataSource(dataSource).usersByUsernameQuery(userSQL)				//通过username、password、enabled登录控制.authoritiesByUsernameQuery(authoritySQL);		//通过用户名、权限（在查询的第二列）获取role//内存认证	例子来自狂神说课堂笔记，没用数据库的例子auth.inMemoryAuthentication().passwordEncoder(encoder)								.withUSer("name").password( new BCryptPasswordEncoder("123456")).roles("vip2","vip3").and()	//通过and拼接其他用户.withUSer("name2").password(new BCryptPasswordEncoder("123456")).roles("vip2","vip3");//自定义认证规则，接受Service参数	例子来自VBlogauth.userDetailsService(userService);
}

上面的最后一种方式：UserService继承UserDetailService，并重写方法

@Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {User user = userMapper.loadUserByUsername(s);if (user == null) {//避免返回null，这里返回一个不含有任何值的User对象，在后期的密码比对过程中一样会验证失败return new User();}//查询用户的角色信息，并返回存入user中List<Role> roles = rolesMapper.getRolesByUid(user.getId());user.setRoles(roles);					return user;}

登录之后若没权限，就是跳转到没权限界面了

基于方法的动态权限

将用户的权限保存在数据库中，并实现动态权限控制。

在配置类上使用@EnableGlobalMethodSecurity来开启它；

然后在方法中使用@PreAuthorize配置访问接口需要的权限；

@PreAuthorize("hasAuthority('pms:product:create')")

权限字符串自定。
再从数据库中查询出用户所拥有的权限值设置到UserDetails对象中去。

ruoyi项目使用了这种方法

缺点：方法权限写死在代买里了，不好维护。也可以通过过滤器、拦截器实现，

@Since 2.7.0 新用法

新用法非常简单，无需再继承WebSecurityConfigurerAdapter，只需直接声明配置类，再配置一个生成SecurityFilterChainBean的方法，把原来的HttpSecurity配置移动到该方法中即可。

/*** SpringSecurity 5.4.x以上新用法配置* 为避免循环依赖，仅用于配置HttpSecurity* Created by macro on 2022/5/19.*/
@Configuration
public class SecurityConfig {@BeanSecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {//省略HttpSecurity的配置return httpSecurity.build();}}

Security上下文

UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(authentication);

注销

前端请求/logout

http.logout();
//会请求/logout，可以自定义url。默认回到/login?logout
//看源码，可以清空cookies和session
http.logout().logoutUrl("/")	//注销成功回首页.csrf().disable()			//关闭防止csrf攻击	csrf:跨站请求攻击，可能屏蔽get。

模板引擎相关功能

页面定制

点进去看源码

/*
.formLogin(formLogin ->* 				formLogin* 					.usernameParameter( username )			//默认* 					.passwordParameter( password )* 					.loginPage( /authentication/login )		登录路由* 					.failureUrl(/authentication/login?failed)* 					.loginProcessingUrl( /authentication/login/process )	登陆验证页面* 			);
*/

“记住我”功能

http.rememberMe();	//登录页会有“记住我”	保存cookie	默认14天

Shiro

Apache 开源框架

三大对象：

Subject 用户
SecurityManager 管理用户
Realm 连接数据

Subject：主体，代表了当前 “用户”，与当前应用交互的任何东西都是 Subject，如网络爬虫，人等；即一个抽象概念；所有 Subject 都绑定到 SecurityManager，与 Subject 的所有交互都会委托给 SecurityManager；可以把 Subject 认为是一个门面；SecurityManager 才是实际的执行者；

SecurityManager：安全管理器；即所有与安全有关的操作都会与 SecurityManager 交互；且它管理着所有 Subject；可以看出它是 Shiro 的核心，它负责与后边介绍的其他组件进行交互，如果学习过 SpringMVC，你可以把它看成 DispatcherServlet 前端控制器；

Realm：域，Shiro 从 Realm 获取安全数据（如用户、角色、权限），就是说 SecurityManager 要验证用户身份，那么它需要从 Realm 获取相应的用户进行比较以确定用户身份是否合法；也需要从 Realm 得到用户相应的角色 / 权限进行验证用户是否能进行操作；可以把 Realm 看成 DataSource，即安全数据源。

也就是说对于我们而言，最简单的一个 Shiro 应用：

应用代码通过 Subject 来进行认证和授权，而 Subject 又委托给 SecurityManager；
我们需要给 Shiro 的 SecurityManager 注入 Realm，从而让 SecurityManager 能得到合法的用户及其权限进行判断。

    <!--shiro依赖- SSM--><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.2.4</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-web</artifactId><version>1.2.4</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.2.4</version></dependency>

shiro-web提供了Web集成的支持，其通过一个 ShiroFilter 入口来拦截需要安全控制的 URL，然后进行相应的控制

1.编写配置类

@Configuration
public class ShiroConfig{//ShiroFilterFactoryBean@Beanpublic ShiroFilterFactoryBean hetShiroFilterFactoryBean(@Qualifier DefaultWebSercurityManager defaultWebSercurityManager){ShiroFilterFactoryBean bean = new ShiroFilterFactoryBean();//设置安全管理器bean.setSecurityManager(defau+ltWebSercurityManager);Map<String,String> filterMap = new LinkedHashMap<>();filterMap.put("","authc")return bean;}//DefaultWebSercurityManager@Beanpublic DefaultWebSercurityManager getDefaultWebSercurityManager(@Qualifier("userRealm") UserRealm userRealm){DefaultWebSercurityManager sercurityManager new DefaultWebSercurityManager();securityManager.setRealm(userRealm);return sercurityManager;}//Realm	自定义@Beanpublic Realm userRealm(){return new UserRealm();}
}

public UserRealm extends AuthorizingRealm{@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {// 用户名String username = (String) token.getPrincipal();// 密码String password = new String((char[]) token.getCredentials());Userlogin userlogin = null;try {userlogin = userloginService.findByName(username);} catch (Exception e) {e.printStackTrace();}if (userlogin == null) {// 没有该用户名throw new UnknownAccountException();} else if (!password.equals(userlogin.getPassword())) {// 密码错误throw new IncorrectCredentialsException();}// 身份验证通过,返回一个身份信息AuthenticationInfo aInfo = new SimpleAuthenticationInfo(username, password, getName());return aInfo;}
}

2.登录控制

//登录表单处理@RequestMapping(value = "/login", method = {RequestMethod.POST})public String login(Userlogin userlogin) throws Exception {//Shiro实现登录UsernamePasswordToken token = new UsernamePasswordToken(userlogin.getUsername(),userlogin.getPassword());Subject subject = SecurityUtils.getSubject();//如果获取不到用户名就是登录失败，但登录失败的话，会直接抛出异常//登录subject.login(token);if (subject.hasRole("admin")) {return "redirect:/admin/showStudent";} else if (subject.hasRole("teacher")) {return "redirect:/teacher/showCourse";} else if (subject.hasRole("student")) {return "redirect:/student/showCourse";}return "/login";}