认证和授权

认证解决“我是谁的问题”

什么是认证？

授权解决“我能做什么”的问题

Filer和FilterChain

Spring Filters

• 任何Spring Web应用本质上只是一个Servlet；
• Security Filter在Http请求到达Controller之前过滤每一个传入的Http请求；
  
  

Filter Chain

常见的内建过滤器

SpringSecurity实现认证和授权的底层机制

Http

熟悉Http的请求

Http响应

Filter和客户端交互（获取数据返回数据）是通过请求和响应中的字段完成的

实战

定制化登录页

新建工程

	<dependency>
	   <groupId>org.webjars</groupId>
	   <artifactId>webjars-locator-core</artifactId>
	</dependency>
	
	<dependency>
	   <groupId>org.webjars</groupId>
	   <artifactId>bootstrap</artifactId>
	   <version>${bootstrap.version}</version>
	</dependency>
	
	<dependency>
	   <groupId>org.springframework.boot</groupId>
	   <artifactId>spring-boot-starter-thymeleaf</artifactId>
	</dependency>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

依赖类库

安全配置

SecurityConfig

package com.vleus.uaa.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author vleus
 * @date 2022年05月17日 22:45
 */
@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 走过滤器链
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf(csrf -> csrf.disable())
                .httpBasic(Customizer.withDefaults())
                .formLogin(form -> form.loginPage("/login"))
                .authorizeRequests(req -> req.antMatchers("/api/**").authenticated());

    }

    /**
     * 设置不启用过滤器链
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().mvcMatchers("/public/**");
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

路径映射类

package com.vleus.uaa.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 映射url与模板文件路径
 * @author vleus
 * @date 2022年05月22日 20:59
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    /**
     * 将webjar的静态资源加入到映射中
     * @param registry
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("/webjars")
                .resourceChain(false);
        registry.setOrder(1);

    }

    /**
     * 文件路径和url进行映射
     * @param registry
     */
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login")
                .setViewName("login");
        registry.setOrder(Ordered.HIGHEST_PRECEDENCE);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

CSRF攻击和保护

防止收到CSRF攻击的方式

CSRF Token

在响应设置Cookie的SameSite属性

Remember me功能

• 为解决session过期后用户的直接访问问题；
• Spring Security提供开箱即用的配置 rememberMe；
• 原理：使用Cookie存储用户名，过期时间，以及一个Hash；

Hash：md5（用户名+过期时间+密码+key）

登录成功和失败后的处理

• 登录成功后的处理：AuthenticationSuccessHandler；
• 登录失败后的处理：AuthenticationFailureHandler；
• 退出登录成功后的处理：LogoutSuccessHandler；