第十七章：使用SpringSecurity让SpringBoot项目更安全

时间 2019-11-17

标签第十七使用 springsecurity springboot 项目安全栏目 Spring 繁體版

原文原文链接

SpringSecurity是专门针对基于Spring项目的安全框架，充分利用了依赖注入和AOP来实现安全管控。在不少大型企业级系统中权限是最核心的部分，一个系统的好与坏全都在于权限管控是否灵活，是否颗粒化。在早期的SpringSecurity版本中咱们须要大量的xml来进行配置，而基于SpringBoot整合SpringSecurity框架相对而言简直是重生了，简单到难以想象的地步。git

SpringSecurity框架有两个概念认证和受权，认证能够访问系统的用户，而受权则是用户能够访问的资源，下面咱们来简单讲解下SpringBoot对SpringSecurity安全框架的支持。spring

本章目标

在SpringBoot项目中使用SpringSecurity安全框架实现用户认证以及受权访问。数据库

构建项目

咱们使用IntelliJ IDEA工具建立一个SpringBoot项目，预先加入JPA、Security、Druid、MySQL等依赖，项目结构以下图1所示：缓存

图1

咱们下面先来配置数据库访问的配置，将咱们以前章节（第十三章：SpringBoot实战SpringDataJPA）的application.yml配置文件复制到本章项目resources目录下，以下图2所示：安全

图2

用户和角色

数据库链接配置完成后，咱们开始建立本章须要用到的三张表，用户表、角色表、用户角色关联表，一个用户存在多个角色！用户表结构图下图3所示：app

图3

咱们用户表结构仅有三个字段，这里只是为了演示咱们的安全框架，因此不作太过详细。下面是咱们的角色信息表结构以下图4所示：框架

图4

由于咱们一个用户存在多个角色，一个角色又能够应用到多个用户上，因此咱们采用的关联表的方式进行配置关系，用户角色关联表结构以下图5所示：jsp

图5

下面咱们根据用户信息表以及角色信息表建立对应的实体，以下图六、图7所示：spring-boot

图6

能够看到咱们的UserEntity实现了UserDetails接口，UserDetails是SpringSecurity验证框架内部提供的用户验证接口（咱们下面须要用到UserEntity来完成自定义用户认证功能），咱们须要实现getAuthorities方法内容，将咱们定义的角色列表添加到受权的列表内。工具

图7

能够看到咱们的用户实体内添加了对角色的列表支持，并添加了@ManyToMany的关系注解。咱们查询用户时SpringDataJPA会自动查询处关联表user_roles对应用户的角色列表放置到名叫roles的List集合内。

填充测试数据

咱们对用户表、角色表、关联表添加几条对应的数据，SQL脚本以下图8所示：

图8

初始化的SQL脚本已经添加到本章的resources目录下，本章结束为止会有源码下载地址。

配置JPA访问数据

根据建立的UserEntity实体来建立UserJPA接口并继承JPARepository接口，UserJPA内添加一个根据用户名查询的方法，以下图9所示：

图9

咱们能够看到我在图9的UserJPA接口内添加了一个findByUsername方法，这个方法实际上是SpringDataJPA的一个规则，咱们这样写JPA就会认为咱们要根据username这个字段去查询，并自动使用参数索引为0的值（有关SpringDataJPA方法查询后期会在SpringDataJPA 核心技术内体现）。

自定义SpringSecurity用户认证

咱们上面的配置差很少已经完成，下面咱们实现SpringSecurity内的UserDetailsService接口来完成自定义查询用户的逻辑，以下图10所示：

图10

能够看到上图10内的定义，实现UserDetailsService接口须要完成loanUserByUsername重写，咱们使用UserJPA内的findByUsername方法从数据库中读取用户，并将用户做为方法的返回值。

配置SpringSecurity

自定义用户认证已经编写完成，下面咱们须要配置SpringBoot项目支持SpringSecurity安全框架，具体配置代码以下图11所示：

图11

能够看到咱们上图11配置了全部请求都必须登陆访问，第一句咱们仅用了csrd，在springSecurity4.0后，默认开启了CSRD拦截，若是须要配置请在form表单添加以下图12配置：

图12

咱们这里配置了登陆页面127.0.0.1:8080/login请求地址以及登陆错误页面/login?error不被SpringSecurity拦截。下面咱们来编写登陆的JSP页面，咱们以前构建项目的时候并无添加JSP的依赖，下面咱们修改pom.xml添加JSP依赖，以下图13所示：

图13

咱们修改application.yml配置文件添加JSP的页面配置，以下图14所示：

图14

好了，下面咱们简单的建立一个login.jsp页面，页面里面添加一个简单的表单提交，咱们的表单提交地址这里要注意了，SpringSecurity内部已经给咱们定义好了，在4.0版本以后登陆地址都是/login，固然这个/login并非咱们上面配置的loginPage地址。这个地址若是直接访问是访问不到的。必须采用Post形式访问，login.jsp页面内容以下图15所示：

图15

咱们来配置一个简单的SpringBoot内的MVC控制器跳转，下面咱们添加一个名叫MVCConfig配置类继承WebMvcConfigurerAdapter类，重写addViewControllers()方法添加路径访问，能够经过Get形式的/login访问到咱们的login.jsp，代码以下图16所示：

图16

上面有关SpringSecurity配置都已经完成，接下来咱们添加一个IndexController来测试咱们的SprinySecurity框架是否已经生效，咱们上面已经配置了，若是在不登录的状态下只有/login是能够访问的，因此咱们直接访问/index是不可行的。SpringSecurity会直接给咱们重定向到咱们配置的loginPage，IndexController代码以下图17所示：