Spring Security（安全框架）

一、概念

（1）Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能，为系统提供了声明式安全访问控制功能，减少了为系统安全而编写大量重复代码的工作。

（2）认证（Authentication）：应用程序确认用户身份的过程，常见认证：登录。

（3）身份（principal）/主体（Subject）：认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。

（4）凭证（Credential）：用户认证过程中的依据之一。常见就是密码。

（5）授权（Authorization）：判断用户具有哪些权限或角色。

（6）Spring Security所有功能都是基于Filter（过滤器）实现的。

二、使用方式 

（1）导入依赖

导入依赖后默认会有一个登录页，并且没有登录时访问其他资源会自动跳到登录页，用户名为user，密码会打印在控制台。

    org.springframework.boot
    spring-boot-starter-security

（2）可以在配置文件中配置用户名和密码

spring.security.user.name=user
spring.security.user.password=123

（3）使用数据库中的数据认证

        1.给配置Spring Security密码解析器

package com.bjsxt.config;
 
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
 
@Configuration
public class UserDetailConfig {
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

        2.实现 UserDetailsService 接口并重写 loadUserByUsername( )方法

package com.bjsxt.service.impl;
 
import com.bjsxt.mapper.AdminMapper;
import com.bjsxt.pojo.Admin;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
 
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private AdminMapper adminMapper;
 
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Admin admin = adminMapper.selectByName(username);
        if(admin == null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        return new User(username,admin.getApwd(), AuthorityUtils.NO_AUTHORITIES);
    }
}

（4）自定义登录页面：新建一个配置类继承WebSecurityConfigurerAdapter类并重写configure(HttpSecurity http)方法，在该方法中进行配置。

package com.bjsxt.config;
 
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
 
@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/")//配置哪个页面是登录页面
                .loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
                .usernameParameter("username")//配置用户名参数名
                .passwordParameter("password")//配置密码参数名
                .successForwardUrl("/showMain")//登录成功转发到哪
                .failureForwardUrl("/")//登录失败转发到哪
                .successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
                .failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪
 
 
        http.authorizeRequests()
                .antMatchers("/","/login").permitAll()//允许
                .antMatchers("**").authenticated();//需要认证
                /* anyRequest()等价于antMatchers("**") */
 
        http.logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))//哪个URl执行退出登录的功能
                .logoutSuccessUrl("/");//退出登录后跳转到哪
 
        //http.csrf().disable();//禁用csrf
    }
 
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

三、PasswordEncoder密码解析器

（1）用途：给密码进行加密处理。它是一个接口

（2）接口介绍：

encode():把参数按照特定的解析规则进行解析。

matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配，则返回true；如果不匹配，则返回false。第一个参数表示需要被解析的密码。第二个参数表示存储的密码。

upgradeEncoding()：如果解析的密码能够再次进行解析且达到更安全的结果则返回true，否则返回false。默认返回false。

（3）官方推荐实现类BCryptPasswordEncoder

package com.bjsxt;
 
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
 
@SpringBootTest
class Day03ApplicationTests {
 
    @Test
    void contextLoads() {
        BCryptPasswordEncoder be = new BCryptPasswordEncoder();
        String encode = be.encode("123");
        System.out.println(encode);
        boolean matches = be.matches("123", encode);
        System.out.println(matches);
    }
}

四、Spring Security中的CSRF

（1） CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

 （2）原理

1. 当服务器加载登录页面。（loginPage中的值，默认/login），先生成csrf对象，并放入作用域中，key为_csrf。之后会对${_csrf.token}进行替换，替换成服务器生成的token字符串。

2. 用户在提交登录表单时，会携带csrf的token。如果客户端的token和服务器的token匹配说明是自己的客户端，否则无法继续执行。

3. 用户退出的时候，必须发起POST请求，且和登录时一样，携带csrf的令牌。

 

 五、Spring Security实现记住我的功能

（1）在客户端登录页面中添加remember-me的复选框，只要用户勾选了复选框下次就不需要进行登录了。

<form action = "/login" method="post">
    用户名：<input type="text" name="username"/><br/>
    密码:<input type="text" name="password"/><br/>
    <input type="checkbox" name="remember-me" value="true"/> <br/>
    <input type="submit" value="登录"/>
form>

 （2）配置数据源，告诉Spring Security存储记住的账号信息的数据源是哪里。

@Configuration
public class RememberMeConfig {
    @Autowired
    private DataSource dataSource;
    @Bean
    public PersistentTokenRepository getPersistentTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new JdbcTokenRepositoryImpl();
        jdbcTokenRepositoryImpl.setDataSource(dataSource);
        // 自动建表，第一次启动时需要，第二次启动时注释掉
        // jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);
        return jdbcTokenRepositoryImpl;
    }
}

（3）配置remember-me，让记住我功能生效

package com.bjsxt.config;
 
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;
 
 
@Configuration
public class UserDetailConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private PersistentTokenRepository persistentTokenRepository;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/")//配置哪个页面是登录页面
                .loginProcessingUrl("/login")//配置哪个请求是提交登录表单的请求
                .usernameParameter("username")//配置用户名参数名
                .passwordParameter("password")//配置密码参数名
                .successForwardUrl("/showMain")//登录成功转发到哪
                .failureForwardUrl("/")//登录失败转发到哪
                .successHandler(new SimpleUrlAuthenticationSuccessHandler("/showMain"))//登录成功重定向到哪
                .failureHandler(new SimpleUrlAuthenticationFailureHandler("/"));//登录失败后重定向到哪
 
 
        http.authorizeRequests()
                .antMatchers("/","/login").permitAll()//允许
                .antMatchers("**").authenticated();//需要认证
                /* anyRequest()等价于antMatchers("**") */
 
        http.logout()
                .logoutUrl("/abc")//哪个URl执行退出登录的功能
                .logoutSuccessUrl("/");//退出登录后跳转到哪
 
        /*http.csrf().disable();//禁用csrf*/
 
        //配置rememberMe
        http.rememberMe()
                .userDetailsService(userDetailsService)
                .tokenRepository(persistentTokenRepository);
    }
 
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

六、访问控制url匹配

在配置类中http.authorizeRequests()主要是对url进行控制，也就是我们所说的授权（访问控制）。

（1）antMatcher()：参数是不定向参数，每个参数是一个ant表达式，用于匹配URL规则。

（2）anyRequest()：在之前认证过程中我们就已经使用过anyRequest()，表示匹配所有的请求。一般情况下此方法都会使用，设置全部内容都需要进行认证。

（3）regexMatchers()：使用正则表达式进行匹配。和antMatchers()主要的区别就是参数，antMatchers()参数是ant表达式，regexMatchers()参数是正则表达式。

 七、内置访问控制方法

（1）permitAll()：表示所匹配的URL任何人都允许访问。

（2）authenticated()：表示所匹配的URL都需要被认证才能访问。  

（3）anonymous()：表示可以匿名访问匹配的URL，登录后不能访问。

（4）denyAll()：表示所匹配的URL都不允许被访问。  

（5）rememberMe()：被“remember me”的用户允许访问

（6）fullyAuthenticated()：如果用户不是被remember me的，才可以访问。

八、角色和权限判断

（1）hasAuthority(String)：判断用户是否具有特定的权限，用户的权限是在自定义登录逻辑中创建User对象时指定的。

（2）hasAnyAuthority(String ...)：如果用户具备给定权限中某一个，就允许访问。

（3）hasRole(String)：如果用户具备给定角色就允许访问。否则出现403。

（4）hasAnyRole(String ...)：如果用户具备给定角色的任意一个，就允许被访问

（5）hasIpAddress(String)：如果请求是指定的IP就运行访问。

 九、自定义403处理方案

（1）新建类实现AccessDeniedHandler。

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        //这里写出现403异常后的操作
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        out.write("{\"status\":\"error\",\"msg\":\"权限不足，请联系管理员!\"}");
        out.flush();
     }
}

（2）配置类中重点添加异常处理器

@Autowired
private AccessDeniedHandler accessDeniedHandler;

//异常处理
http.exceptionHandling()
        .accessDeniedHandler(accessDeniedHandler);

十、权限控制注解

（1）@Secured：是专门用于判断是否具有角色的。能写在方法或类上。@Secured参数要以ROLE_开头。

开启注解：在启动类(也可以在配置类等能够扫描的类上)上添加

@EnableGlobalMethodSecurity(securedEnabled = true)

（2）@PreAuthorize：表示访问方法或类在执行之前先判断权限，大多情况下都是使用这个注解，注解的参数和access()方法参数取值相同，都是权限表达式。

@PostAuthorize：表示方法或类执行结束后判断权限，此注解很少被使用到。

 开启注解：在启动类(也可以在配置类等能够扫描的类上)上添加

@EnableGlobalMethodSecurity(prePostEnabled = true)

十一、Thymeleaf中Spring Security的使用

（1）导入依赖

    org.thymeleaf.extras
    thymeleaf-extras-springsecurity5
    3.0.4.RELEASE
 

（2）在html页面中引入thymeleaf命名空间和security命名空间

      xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">

获取属性

html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
    登录账号:<span sec:authentication="name">123span><br/>
    登录账号:<span sec:authentication="principal.username">456span><br/>
    凭证：<span sec:authentication="credentials">456span><br/>
    权限和角色：<span sec:authentication="authorities">456span><br/>
    客户端地址：<span sec:authentication="details.remoteAddress">456span><br/>
    sessionId：<span sec:authentication="details.sessionId">456span><br/>
body>
html>

权限判断  

通过权限判断：
<button sec:authorize="hasAuthority('/insert')">新增button>
<button sec:authorize="hasAuthority('/delete')">删除button>
<button sec:authorize="hasAuthority('/update')">修改button>
<button sec:authorize="hasAuthority('/select')">查看button>
<br/>
通过角色判断：
<button sec:authorize="hasRole('abc')">新增button>
<button sec:authorize="hasRole('abc')">删除button>
<button sec:authorize="hasRole('abc')">修改button>
<button sec:authorize="hasRole('abc')">查看button>