1. Spring Security介紹

Spring Security是一個能夠?yàn)榛赟pring的企業(yè)系統(tǒng)提供聲明式的安全控制解決方案的安全框架。
由于它是Spring生態(tài)系統(tǒng)中的一員，因此它伴隨著整個Spring生態(tài)系統(tǒng)不斷修正、升級，在Spring Boot項目中加入了Spring Security更是十分簡單，使用Spring Security減少了為起亞系統(tǒng)安全控制編寫大量重復(fù)代碼的工作。

2. Spring Security快速上手

2.1 創(chuàng)建maven工程

1. 創(chuàng)建maven工程security-spring-security，工程結(jié)構(gòu)如下：

工程結(jié)構(gòu)

2. pom依賴：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.pengjs.book.admin.securityspring</groupId>
    <artifactId>security-spring-security</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>war</packaging>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <maven.compiler.source>1.8</maven.compiler.source>
        <maven.compiler.target>1.8</maven.compiler.target>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>5.1.5.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.1.0</version>
            <!-- 將來需要實(shí)用tomcat容器運(yùn)行，所以scope為provided -->
            <scope>provided</scope>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.8</version>
        </dependency>
    </dependencies>

    <build>
        <finalName>security-spring-security</finalName>
        <pluginManagement>
            <plugins>
                <plugin>
                    <groupId>org.apache.tomcat.maven</groupId>
                    <artifactId>tomcat7-maven-plugin</artifactId>
                    <version>2.2</version>
                </plugin>
                <plugin>
                    <groupId>org.apache.maven.plugins</groupId>
                    <artifactId>maven-compiler-plugin</artifactId>
                    <version>3.8.1</version>
                    <configuration>
                        <source>1.8</source>
                        <target>1.8</target>
                    </configuration>
                </plugin>

                <plugin>
                    <artifactId>maven-resources-plugin</artifactId>
                    <version>3.0.2</version>
                    <configuration>
                        <encoding>utf-8</encoding>
                        <useDefaultDelimiters>true</useDefaultDelimiters>
                        <resources>
                            <resource>
                                <directory>src/main/resources</directory>
                                <filtering>true</filtering>
                                <includes>
                                    <include>**/*</include>
                                </includes>
                            </resource>
                            <resource>
                                <directory>src/main/java</directory>
                                <includes>
                                    <include>**/*.xml</include>
                                </includes>
                            </resource>
                        </resources>
                    </configuration>
                </plugin>
            </plugins>
        </pluginManagement>
    </build>

</project>

3. Spring容器配置ApplicationConfig

/**
 * 相當(dāng)于apllicationContext.xml配置文件
 */
@Configuration
@ComponentScan(basePackages = "com.pengjs.book.admin.securityspring",
        excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class ApplicationConfig {
    // 配置除了Controller的其他bean，如：數(shù)據(jù)庫連接池、事務(wù)管理器、業(yè)務(wù)bean等

}

4. Servlet Context配置WebConfig

/**
 * 相當(dāng)于springmvc.xml配置文件
 * 不需要使用自定義的攔截器，spring security已經(jīng)做好了攔截處理
 */
@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "com.pengjs.book.admin.securityspring",
        includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {

    /**
     * 配置視圖解析器
     * @return
     */
    @Bean
    public InternalResourceViewResolver viewResolver() {
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setPrefix("/WEB-INF/view/");
        viewResolver.setSuffix(".jsp");
        return viewResolver;
    }

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        // 使用spring security提供的login頁面
        registry.addViewController("/").setViewName("redirect:/login");
    }

}

5. 加載Spring容器
   在init包下定義Spring容器初始化類SpringApplicationInitializer，此類實(shí)現(xiàn)WebApplicationInitializer接口，Spring容器啟動時加載WebApplicationInitializer接口的所有實(shí)現(xiàn)類。

public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    /**
     * spring容器，相當(dāng)于加載apllicationContext.xml
     * @return
     */
    @Override
    protected Class<?>[] getRootConfigClasses() {
        // 指定rootContext的配置類
        return new Class<?>[]{ApplicationConfig.class, WebSecurityConfig.class};
    }

    /**
     * servletContext，相當(dāng)于加載springmvc.xml配置文件
     * @return
     */
    @Override
    protected Class<?>[] getServletConfigClasses() {
        // 指定servletContext的配置類
        return new Class<?>[]{WebConfig.class};
    }

    /**
     * url-mapping
     * @return
     */
    @Override
    protected String[] getServletMappings() {
        return new String[] {"/"};
    }
}

2.2 認(rèn)證功能

2.2.1 認(rèn)證頁面

Spring Security默認(rèn)提供認(rèn)證頁面，不需要額外開發(fā)。

認(rèn)證頁面

2.2.2 安全配置

Spring Security默認(rèn)提供了用戶名密碼登錄、退出、會話管理等認(rèn)證功能，只需要配置即可使用。

1. 在config包下定義WebSecurityConfig，安全配置的內(nèi)容包括：用戶信息、密碼編輯器、安全攔截機(jī)制。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 定義用戶信息服務(wù)（查詢用戶信息）
     * @return
     */
    @Bean
    @Override
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1", "p3", "p4").build());
        manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
        return manager;
    }


    /**
     * 密碼編碼器（采用什么方式比對）
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        // 不需要對密碼進(jìn)行加密算法的簡單比較器
        return NoOpPasswordEncoder.getInstance();
    }

    /**
     * 安全攔截機(jī)制（最重要）
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/r/r1").hasAnyAuthority("p1") // 如果沒有權(quán)限就是403-forbidden
                .antMatchers("/r/r2").hasAnyAuthority("p2")
                .antMatchers("/r/**").authenticated() // 攔截/r/**
                .anyRequest().permitAll() // 其他的放行
                .and()
                .formLogin() // 允許表單登錄
                .successForwardUrl("/login-success"); // 自定義登錄成功的頁面地址
    }
}

在userDetailsService()方法中，返回來一個UserDetailsService給Spring容器，Spring Security會使用它來獲取用戶信息。這里暫時使用InMemoryUserDetailsManager實(shí)現(xiàn)類，并在其中分別創(chuàng)建了zhangsan、lisi兩個用戶，并設(shè)置密碼和權(quán)限。
而在configure()方法中，通過HttpSecurity設(shè)置了安全攔截規(guī)則，其中包含了以下內(nèi)容：
（1）url匹配/r/**的資源，經(jīng)過認(rèn)證后才能訪問。
（2）其他url完全開放。
（3）支持form表單認(rèn)證，認(rèn)證后轉(zhuǎn)向/login-success。

2. 加載WebSecurityConfig
   修改SpringApplicationInitializer的getRootConfigClasses()方法，添加WebSecurityConfig.class：

/**
 * spring容器，相當(dāng)于加載apllicationContext.xml
 * @return
 */
@Override
protected Class<?>[] getRootConfigClasses() {
    // 指定rootContext的配置類
    return new Class<?>[]{ApplicationConfig.class, WebSecurityConfig.class};
}

2.2.3 Spring Security初始化

• 若當(dāng)前環(huán)境沒有使用Spring或Spring MVC，則需要將WebSecurityConfig(Spring Security配置類)傳入超類，以確保獲取配置，并創(chuàng)建spring context。
• 相反，若當(dāng)前環(huán)境中已經(jīng)使用Spring，我們應(yīng)該在現(xiàn)有的SpringContext中注冊Spring Security（上一步已經(jīng)將WebSecurityConfig加載到RootContext），此方法可以什么都不做。

在inti包下創(chuàng)建SpringSecurityApplicationInitializer：

public class SpringSecurityApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
    public SpringSecurityApplicationInitializer() {
        // 已經(jīng)有了springmvc，則注釋掉即可
        // super(WebSecurityConfig.class);
    }
}

2.2.4 默認(rèn)根路徑請求

在WebConfig中添加默認(rèn)請求根路徑跳轉(zhuǎn)到/login，此url為Spring Security提供：

/**
 * 默認(rèn)URL根路勁跳轉(zhuǎn)到/login，此URL為Spring Security提供的登錄界面
 * @param registry
 */
@Override
public void addViewControllers(ViewControllerRegistry registry) {
    // 使用spring security提供的login頁面
    registry.addViewController("/").setViewName("redirect:/login");
}

2.2.5 認(rèn)證成功頁面

在安全配置中，認(rèn)證成功將跳轉(zhuǎn)到/login-success，代碼如下：

/**
 * 安全攔截機(jī)制（最重要）
 * @param http
 * @throws Exception
 */
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/r/r1").hasAnyAuthority("p1") // 如果沒有權(quán)限就是403-forbidden
            .antMatchers("/r/r2").hasAnyAuthority("p2")
            .antMatchers("/r/**").authenticated() // 攔截/r/**
            .anyRequest().permitAll() // 其他的放行
            .and()
            .formLogin() // 允許表單登錄
            .successForwardUrl("/login-success"); // 自定義登錄成功的頁面地址
}

在LoginController中添加/login-success：

@PostMapping(value = "login-success", produces = {"text/plain;charset=UTF-8"})
public String loginSuccess() {
    return "登錄成功";
}

2.2.5 配置啟動項目

配置啟動

登錄頁面

2.3 授權(quán)功能

2.3.1 授權(quán)

實(shí)現(xiàn)授權(quán)需要對用戶的訪問進(jìn)行攔截校驗(yàn)，檢驗(yàn)用戶的權(quán)限是否可以操作指定的資源，Spring Security默認(rèn)提供授權(quán)實(shí)現(xiàn)方法。
在LoginController中增加/r/r1與/r/r2：

/**
 * 訪問資源1
 * @return
 */
@GetMapping(value = "/r/r1", produces = {"text/plain;charset=UTF-8"})
public String r1() {
    return "訪問資源1";
}

/**
 * 訪問資源2
 * @return
 */
@GetMapping(value = "/r/r2", produces = {"text/plain;charset=UTF-8"})
public String r2() {
    return "訪問資源2";
}

登錄成功后訪問資源：

登錄成功

認(rèn)證失敗403

認(rèn)證成功

3. 總結(jié)

通過快速上手，使用Spring Security實(shí)現(xiàn)了認(rèn)證和授權(quán)，Spring Security提供了基于賬號和密碼認(rèn)證方式，通過安全配置即可實(shí)現(xiàn)請求攔截、授權(quán)功能。