淺談spring security入門(mén)

更新時(shí)間：2020年07月08日 16:02:30 作者：知識(shí)追尋者

這篇文章主要介紹了淺談spring security入門(mén)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

一介紹

本節(jié)給知識(shí)追尋者給大家?guī)?lái)的是springSecurity入門(mén)篇，主要是簡(jiǎn)述下springSecrurity的啟動(dòng)原理和簡(jiǎn)單的入門(mén)搭建；

二核心模塊介紹

spring-security-core ；包含核心身份驗(yàn)證和access-contol類(lèi)和接口，遠(yuǎn)程支持和基本配置AP；
spring-security-web： web , url登陸驗(yàn)證和訪(fǎng)問(wèn)控制；
spring-security-config：支持xml 或者java注解配置；

當(dāng)然其模塊遠(yuǎn)不止這些，比如CAS,ALC,Aspects,OpenI等等，對(duì)于入門(mén)我們了解核心即可；

三入門(mén)搭建

3.1 依賴(lài)

springboot 2.3.0

 <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

3.2 控制層

控制層定義一個(gè)接口，用于瀏覽器請(qǐng)求，請(qǐng)求成功后會(huì)返回 hello zszxz ;

@GetMapping("hello")
  public String hello() {

    return "hello zszxz";
  }

3.3 訪(fǎng)問(wèn)登陸頁(yè)

啟動(dòng)項(xiàng)目

訪(fǎng)問(wèn) localhost:8080/hello 會(huì)自動(dòng)跳轉(zhuǎn)至localhost:8080/login

可以看到接口就被保護(hù)起來(lái)了，訪(fǎng)問(wèn)接口需要進(jìn)行賬號(hào)密碼登陸；那么賬號(hào)密碼在哪里？看tiao控制臺(tái)打印的日志

如下所示，一串uuid就是登陸密碼；賬號(hào)是 user；賬號(hào)，密碼輸入后就會(huì)跳轉(zhuǎn)至 localhost:8080/hello ；

.UserDetailsServiceAutoConfiguration :

Using generated security password: 8f5b8238-9b35-482f-b2a5-bf440af5271b

3.4 登陸原理解析

由日志打印可以看出是在 UserDetailsServiceAutoConfiguration 類(lèi)中發(fā)現(xiàn)的密碼；我們點(diǎn)擊該類(lèi)發(fā)現(xiàn)有個(gè)

inMemoryUserDetailsManager 方法里面有 properties.getUser(); 即獲取用戶(hù)，說(shuō)明用戶(hù)信息來(lái)自 SecurityProperties ;

  @Lazy
  public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
    User user = properties.getUser();
    List<String> roles = user.getRoles();
    return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()});
  }

點(diǎn)擊 SecurityProperties 類(lèi)其有個(gè)內(nèi)部靜態(tài)類(lèi)User, 如下所示，賬號(hào)就是user, 密碼就是UUID; roles是個(gè)ArrayList；配置文件的前綴 “spring.security”

@ConfigurationProperties(
  prefix = "spring.security"
)
public class SecurityProperties {
// 此處省略.........
public static class User {
    private String name = "user";
    private String password = UUID.randomUUID().toString();
    private List<String> roles = new ArrayList();
    private boolean passwordGenerated = true;

// 此處省略.........

現(xiàn)在我們通過(guò)配置文件的方式改變賬號(hào)密碼，在application.yml配置賬號(hào)密碼如下

spring:
 security:
  user:
   password: zszxz
   name: zszxz

重啟服務(wù)，訪(fǎng)問(wèn)http://localhost:8080/login 此時(shí) 的填入的表單賬號(hào)密碼就是zszxz; 而且發(fā)現(xiàn) 控制臺(tái)不再打印出uuid ；

3.5 springSecurity基本原理

仔細(xì)檢測(cè)日志信息，可以發(fā)現(xiàn)springSecurity模塊的日志打印信息如下，其實(shí)現(xiàn)原理就是通過(guò)一串的Servlet過(guò)濾器進(jìn)行基本實(shí)現(xiàn)，最后一個(gè)是FilterSecurityInterceptor 攔截器；

[org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@248deced, org.springframework.security.web.context.SecurityContextPersistenceFilter@677b8e13, org.springframework.security.web.header.HeaderWriterFilter@30331109, org.springframework.security.web.csrf.CsrfFilter@1bbae752, org.springframework.security.web.authentication.logout.LogoutFilter@64030b91, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@78faea5f,
...............
 .intercept.FilterSecurityInterceptor@2b4c3c29

來(lái)自官網(wǎng)的圖片如下；FilterChain 中包含了 Filter 和 Servlet , 其能夠很快速的處理所有的URL請(qǐng)求；當(dāng)然每個(gè)具體的Filter 功能都不同，以后可能提到，有興趣的讀者也可以參照官網(wǎng)學(xué)習(xí)；

比較重要的Filter

UsernamePasswordAuthenticationFilter
DigestAuthenticationFilter
BasicAuthenticationFilter
ExceptionTranslationFilter
FilterSecurityInterceptor

四加密方式

官網(wǎng)有列出基于 withDefaultPasswordEncoder 方式創(chuàng)建用戶(hù)，這樣并不是很推薦，原因是其賬號(hào)密碼會(huì)暴露在內(nèi)存和編譯的源碼中，并不是很安全，如果要用于生產(chǎn)環(huán)境還需要對(duì)密碼進(jìn)行一次hash或者加密；

UserBuilder users = User.withDefaultPasswordEncoder();
User user = users
 .username("user")
 .password("password")
 .roles("USER")
 .build();
User admin = users
 .username("admin")
 .password("password")
 .roles("USER","ADMIN")
 .build();

官方提供了好多種其它方式進(jìn)行加密：

DelegatingPasswordEncoder
BCryptPasswordEncoder
Argon2PasswordEncoder
Pbkdf2PasswordEncoder
SCryptPasswordEncoder

它們的使用方式都差不多，示例如下，在使用時(shí)替換對(duì)應(yīng)的加密對(duì)象即可；

SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();
String result = encoder.encode("myPassword");
assertTrue(encoder.matches("myPassword", result));

五參考文檔

https://docs.spring.io/spring-security/site/docs/5.3.3.BUILD-SNAPSHOT/reference/html5/

到此這篇關(guān)于淺談spring security入門(mén) 的文章就介紹到這了,更多相關(guān)spring security入門(mén) 內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: