「快学springboot」集成Spring Security实现鉴权功能

Spring Security介绍

Spring Security是Spring全家桶中的处理身份和权限问题的一员。Spring Security能够根据使用者的须要定制相关的角色身份和身份所具备的权限，完成黑名单操做、拦截无权限的操做等等。

本文将讲解Springboot中使用spring security。

引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

因为SpringBoot的自动配置的特性，引入了Spring Security依赖以后，已经默认帮咱们配置了。不信，如今访问应用的根目录：

竟然跳到了一个登录页面，咱们什么都没有写呀。咱们把spring security的依赖去掉，重启应用，而后再次访问根目录：

此次，熟悉的页面出来了。其实这就是Springboot的魅力之处——自动配置。咱们只是引入了Spring Security的依赖，就自动帮咱们配置完了。

默认帐号密码

咱们能够经过SecurityProperties的源码查看，其默认帐号是user，密码是启动的时候随机生成的，能够在日志里找到：

修改默认帐号密码

咱们能够经过配置文件修改Spring Security的默认帐号密码，以下：

spring.security.user.name=happyjava
spring.security.user.password=123456

springboot1.x版本为：

security.user.name=admin
security.user.password=admin

若是是一个普通的我的网站，如我的博客等。配置到这一步，已经能够充当一个登录控制模块来使用了（固然还须要配置不须要登录就能够访问的url）。

使用Spring Security定制化鉴权模块

虽然默认已经帮咱们实现了一个简单的登录认证模块，可是在实际开发中，这仍是远远不够的。好比，咱们有多个用户，有多中角色等等。一切，仍是须要手动来开发。下面就一步一步来使用Spring Security：

配置不须要登录的路径

咱们固然须要配置不须要登录就能访问的路径啦，好比：登录接口（否则你怎么访问）。

有以下接口：

新建SecurityConfig，而后配置拦截的路径，配置路径白名单：

/**
 * @author Happy
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.antMatcher("/api/**")
                .authorizeRequests()
                .antMatchers("/api/notneedlogin/**").permitAll()
                .anyRequest().authenticated();
    }


}

排版乱请看图片版

经过antMatchers("url").permitAll()方法，配置了/api/notneedlogin/**路径会被Spring Security放行。

启动项目验证下：

须要登录的接口拦截了返回403.

配置了白名单的路径成功的获取到了数据。

其实，这个时候已经能够拿来当作一个普通我的网站的权限验证模块了，好比我的博客什么的。

抛弃默认配置，自定义鉴权方式

不少时候，咱们都须要自定义鉴权方式啦。好比，我不用session来鉴权了，改用无状态的jwt方式（json web token）。这时候，咱们就要对Spring Security进行定制化了。

首先，咱们须要建立UserDetails的实现，这个就是Spring Security管理的用户权限对象：

@Data
@AllArgsConstructor
@NoArgsConstructor
public class AdminUser implements UserDetails {

    private String username;

    @Override
    @SuppressWarnings("unchecked")
    public Collection<? extends GrantedAuthority> getAuthorities() {
        // 这里能够定制化权限列表
        return Collections.EMPTY_LIST;
    }

    @Override
    public String getPassword() {
        return null;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        // 这里设置帐号是否已通过期
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        // 这里设置帐号是否已经被锁定
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        // 这里设置凭证是否过时
        return true;
    }

    @Override
    public boolean isEnabled() {
        // 是否可用
        return true;
    }
}

其次，咱们还须要一个过滤器，拦截请求判断是否登录，组装UserDetails：

AuthFilter.class

@Component
public class AuthFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String username = (String) request.getSession().getAttribute("username");
        if (username != null && !"".equals(username)) {
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);
            if (userDetails != null && userDetails.isEnabled()) {
                UsernamePasswordAuthenticationToken authenticationToken =
                        new UsernamePasswordAuthenticationToken(userDetails,
                                null, userDetails.getAuthorities());
                // 把当前登录用户放到上下文中
                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(
                        request));
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            } else {
                // 用户不合法，清除上下文
                SecurityContextHolder.clearContext();
            }
        }
        filterChain.doFilter(request, response);
    }

}

这个过滤器里的userDetailsService，是Spring Security加载UserDetails的一个接口，代码以下：

它只有一个根据用户名加载当前权限用户的方法，个人实现以下：

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // MOCK 模拟从数据库 根据用户名查询用户
        AdminUserEntity adminUser = new AdminUserEntity(1, "happyjava", "123456");
        // 构建 UserDetails 的实现类 => AdminUser
        return new AdminUser(adminUser.getUsername());
    }

}

MOCK这里，须要用户真正的去实现，我这里只是演示使用。其中AdminUserEntity代码以下：

@Data
@NoArgsConstructor
@AllArgsConstructor
public class AdminUserEntity {

    private Integer id;

    private String username;

    private String password;

}

到这里，已经完成了Spring Security的整套配置了。

测试

下面经过三个接口，测试配置是否生效：

增长了一个登录接口，模拟真实用户登录。其中，needLogin接口，使用了AuthenticationPrincipal注解来获取Spring Security中上下文的用户（这个实在Filter里面设置的）。

未登录状态，访问test1接口：

直接被拦截掉了，调用登陆接口：

再次访问：

成功请求到了接口。

无状态jwt鉴权

本文演示的是使用session来完成鉴权的。使用session来作登陆凭证，一个很大的痛点就是session共享问题。虽然springboot解决session共享就几个配置的问题，但终究仍是得依赖别的服务，这是有状态的。

如今流行一种使用加密token的验证方式来鉴权，本人在项目中也是使用token的方式的(jjwt)。其主要作法就是，用户调用登录接口，返回一串加密字符串，这串字符串里面包含用户名(username)等信息。用户后续的请求，把这个token带过来，经过解密的方式验证用户是否拥有权限。

总结

本文讲解了使用Spring Security来作鉴权框架，Spring Security配置起来仍是挺繁琐的，可是配置完成以后，后续的获取上下文用户注解什么的，是真的方便。我把代码放到GitHub上，方便你们下载直接复制使用，地址以下：https://github.com/Happy4Java/SpringSecurityDemo