Spring Security 进阶-细节总结

时间  2019-11-11
标签 spring security 进阶 细节 总结 栏目 Spring 繁體版
原文   原文链接
关于 Spring Security 的学习已经告一段落了,刚开始接触该安全框架感受很迷茫,总以为没有 Shiro 灵活,到后来的深刻学习和探究才发现它很是强大。简单快速集成,基本不用写任何代码,拓展起来也很是灵活和强大。

系统集成

集成完该框架默认状况下,系统帮咱们生成一个登录页,默认除了登录其余请求都须要进行身份认证,没有身份认证前的任何操做都会跳转到默认登陆页。
默认生成的密码也会在控制台输出。html

简单页面自定义

接下来咱们可能须要本身控制一下权限,自定义一下登陆界面前端

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .formLogin()
            .loginPage("/login.html") //自定义登陆界面
            .loginProcessingUrl("/login.action") //指定提交地址
            .defaultSuccessUrl("/main.html") //指定认证成功跳转界面
            //.failureForwardUrl("/error.html") //指定认证失败跳转界面(注: 转发须要与提交登陆请求方式一致)
            .failureUrl("/error.html") //指定认证失败跳转界面(注: 重定向须要对应的方法为 GET 方式)
            .usernameParameter("username") //username
            .passwordParameter("password") //password
            .permitAll()
            .and()
        .logout()
            .logoutUrl("/logout.action") //指定登出的url, controller里面不用写对应的方法
            .logoutSuccessUrl("/login.html") //登出成功跳转的界面
            .permitAll()
            .and()
        .authorizeRequests()
            .antMatchers("/register*").permitAll() //设置不须要认证的
            .mvcMatchers("/main.html").hasAnyRole("admin")
            .anyRequest().authenticated() //其余的所有须要认证
            .and()
        .exceptionHandling()
            .accessDeniedPage("/error.html"); //配置权限失败跳转界面 (注: url配置不会被springmvc异常处理拦截, 可是注解配置springmvc异常机制能够拦截到)
}

从上面配置能够看出自定义配置能够简单地分为四个模块(登陆页面自定义、登出自定义、权限指定、异常设定),每一个模块都对应着一个过滤器,详情请看 Spring Security 进阶-原理篇spring

须要注意的是:数据库

  • 配置登陆提交的URL loginProcessingUrl(..)、登出URL logoutUrl(..) 都是对应拦截器的匹配地址,会在对应的过滤器里面执行相应的逻辑,不会执行到 Controller 里面的方法。
  • 配置的登陆认证成功跳转的URL defaultSuccessUrl(..)、登陆认证失败跳转的URL failureUrl(..)、登陆认证失败转发的URL failureForwardUrl(..)......以及下面登出和权限配置的URL 能够是静态界面地址,也能够是 Controller 里面对应的方法
  • 这里配置 URL 对应的访问权限,访问失败不会被 SpringMVC 的异常方法拦截到,注解配置的能够被拦截到。可是咱们最好不要在 SpringMVC 里面对他进行处理,而是放到配置的权限异常来处理。
  • 登陆身份认证失败跳转对应的地址前会把异常保存到 request(转发) 或 session(重定向) 里面,能够经过 key WebAttributes.AUTHENTICATION_EXCEPTION 来取出,可是前提是使用系统提供的身份认证异常处理handler SimpleUrlAuthenticationFailureHandler
  • 上面这种配置身份认证失败都会跳转到登陆页,权限失败会跳转指定的 URL,没有配置 URL 则会响应 403 的异常给前端,前提是在使用系统为咱们提供的默认权限异常处理handler AccessDeniedHandlerImpl

异步响应配置

大多数开发状况下都是先后端分离,响应也都是异步的,不是上面那种表单界面的响应方式,虽然经过上面跳转到URL对应的 Controller 里面的方法也能解决,可是大多数状况下咱们须要的是极度简化,这时候一些自定义的处理 handler 就油然而生。segmentfault

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .formLogin()
            .loginProcessingUrl("/login")
            .successHandler(new AuthenticationSuccessHandler() {
                @Override
                public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                    System.out.println("****** 身份认证成功 ******");
                    response.setStatus(HttpStatus.OK.value());
                }
            })
            .failureHandler(new AuthenticationFailureHandler() {
                @Override
                public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
                    System.out.println("****** 身份认证失败 ******");
                    response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
                }
            })
            .permitAll()
            .and()
        .logout()
            .logoutUrl("/logout")
            .logoutSuccessHandler(new LogoutSuccessHandler() {
                @Override
                public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                    System.out.println("****** 登出成功 ******");
                    response.setStatus(HttpStatus.OK.value());
                }
            })
            .permitAll()
            .and()
        .authorizeRequests()
            .antMatchers("/main").hasAnyRole("admin")
            .and()
        .exceptionHandling()
            .authenticationEntryPoint(new AuthenticationEntryPoint() {
                @Override
                public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
                    System.out.println("****** 没有进行身份认证 ******");
                    response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
                }
            })
            .accessDeniedHandler(new AccessDeniedHandler() {
                @Override
                public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
                    System.out.println("****** 没有权限 ******");
                    response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
                }
            });
}

注意:后端

  • 没有指定登陆界面,那么久须要至少配置两个 handler,登出失败 hander logoutSuccessHandler(..),登陆身份认证失败的 handler failureHandler(..),以避免默认这样两个步骤向不存在的登陆页跳转。
  • 配置的登陆身份认证失败 handler failureHandler(..) 和 没有进行身份认证的异常 handler authenticationEntryPoint(..),这两个有区别,前者是在认证过程当中出现异常处理,后者是在访问须要进行身份认证的URL时没有进行身份认证异常处理。

自定义身份认证过程

开发的时候咱们须要本身来实现登陆登出的流程,下面来个最简单的自定义。安全

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .logout()
            .logoutUrl("/logout")
            .logoutSuccessHandler(new LogoutSuccessHandler() {
                @Override
                public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                    System.out.println("****** 登出成功 ******");
                    response.setStatus(HttpStatus.OK.value());
                }
            })
            .permitAll()
            .and()
        .authorizeRequests()
            .antMatchers("/main").hasAnyRole("admin")
            .and()
        .exceptionHandling()
            .authenticationEntryPoint(new AuthenticationEntryPoint() {
                @Override
                public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
                    System.out.println("****** 没有进行身份认证 ******");
                    response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
                }
            })
            .accessDeniedHandler(new AccessDeniedHandler() {
                @Override
                public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
                    System.out.println("****** 没有权限 ******");
                    response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
                }
            })
            .and()
        .addFilterBefore(new LoginFilter(), UsernamePasswordAuthenticationFilter.class);
}

注意:session

  • 这里配置了登出,也能够不配置,在自定义登出的 Controller 方法里面进行手动清空 SecurityContextHolder.clearContext();,可是建议配置,通常登陆和登出最好都在过滤器里面进行处理。
  • 添加自定义登陆过滤器,至关于配置登陆。
  • 记得配置登陆认证前和过程当中的一些请求不须要身份认证。

自定义登陆过滤器详情mvc

public class LoginFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        if ("/login".equals(httpServletRequest.getServletPath())) { //开始登陆过程

            String username = httpServletRequest.getParameter("username");
            String password = httpServletRequest.getParameter("password");
            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, password);

            //模拟数据库查出来的
            User.UserBuilder userBuilder = User.withUsername(username);
            userBuilder.password("123");
            userBuilder.roles("user", "admin");
            UserDetails user = userBuilder.build();

            if (user == null) {
                System.out.println("****** 自定义登陆过滤器 该用户不存在 ******");
                httpServletResponse.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
            }
            if (!user.getUsername().equals(authentication.getPrincipal())) {
                System.out.println("****** 自定义登陆过滤器 帐号有问题 ******");
                httpServletResponse.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
            }
            if (!user.getPassword().equals(authentication.getCredentials())) {
                System.out.println("****** 自定义登陆过滤器 密码有问题 ******");
                httpServletResponse.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
            }

            UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(user.getUsername(), authentication.getCredentials(), user.getAuthorities());
            result.setDetails(authentication.getDetails());

            //注: 最重要的一步
            SecurityContextHolder.getContext().setAuthentication(result);

            httpServletResponse.setStatus(HttpStatus.OK.value());
        } else  {
            chain.doFilter(request, response);
        }
    }
}

注意:框架

  • 不是登陆认证就接着执行下一个过滤器或其余。
  • 登陆认证失败不能直接抛出错误,须要向前端响应异常。
  • 完成登陆逻辑直接响应,不须要接着往下执行什么。
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程