Spring MVC + Security 4 初体验(Java配置版)

这篇文章同样是使用的Java配置,而非XML配置,如果你对于Java配置的Spring MVC开发还不太熟悉,可以先看我这篇文章

转自:http://xueliang.org/article/detail/20170302232815082

Authority

创建一个 Authority ,实现自 org.springframework.security.core.GrantedAuthority 类,getAuthority 方法只返回一个表示权限名称的字符串,如 AUTH_USER 、 AUTH_ADMIN 、 AUTH_DBA 等。

复制

public class Authority implements GrantedAuthority {

    private static final long serialVersionUID = 1L;

    private String authority;

    public Authority() {  }
    public Authority(String authority) {
        this.setAuthority(authority);
    }

    @Override
    public String getAuthority() {
        return this.authority;
    }
    public void setAuthority(String authority) {
        this.authority = authority;
    }
}

User

User 类实现自 org.springframework.security.core.userdetails.UserDetails 接口,包含一组权限的集合 authorities

复制

public class User implements UserDetails {

    private static final long serialVersionUID = 1L;

    private String username;
    private String password;
    private List<Authority> authorities;

    @Override
    public String getUsername() {
        return username;
    }
    public void setUsername(String username) {
        this.username = username;
    }

    @Override
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }
    public void setAuthorities(List<Authority> authorities) {
        this.authorities = authorities;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return true;
    }
}

UserDetailsService

MyUserDetailsService 实现了 org.springframework.security.core.userdetails.UserDetailsService 的 loadUserByUsername 方法,该方法根据用户名查询符合条件的用户,若没有找到符合条件的用户,必须抛出 UsernameNotFoundException 异常,而不能返回空。这里可以调用 DAO 层,从数据库查询用户,我为了简单,直接将用户临时放到一个常量内,模拟从数据库查询用户。

复制

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<User> userList = Constants.userList;
        for (int i = 0, len = userList.size(); i < len; i++) {
            User user = userList.get(i);
            if (user.getUsername().equals(username)) {
                return user;
            }
        }
        throw new UsernameNotFoundException("用户不存在!");
    }

}

SecurityConfig

SecurityConfig 类继承org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapterWebSecurityConfigurerAdapter提供了一些默认的配置,方便创建一个实例。

进入 configure 方法中,首先允许任何情况下的对csrfTokenApi 的请求,该 API 返回一个 csrfToken ,默认情况下除GETHEADTRACE 和 OPTIONS外,所有请求都必须经过 CSRF 认证。接下来对不同的API请求设置不同的权限,并且确保所有对/api/ 下的请求都经过了认证。 
这里向 access 方法传递的表达式中的权限名称,对应上面提到的 Authority 类中 getAuthority 返回的字符串的值,详细的表达式介绍,请移步至这里

接着,对登录表单进行配置。通过 loginProcessingUrl 配置表单提交地址,这个地址对应的API不需要自己写,Spring Security 会自动拦截提交到此地址请求,将其视为登录请求。如果希望登录成功后通过服务器转发到其他页面,可以调用 successForwardUrl(String forwardUrl) 方法指定跳转的地址,对应地,指定失败后跳转地址的方法是 failureForwardUrl(String forwardUrl)

这里我使用了RESTful,故不需要配置服务端的转发,而是配置了另外两处:successHandler 和 failureHandler ,successHandler 方法接收一个 AuthenticationSuccessHandler 对象,认证通过之后,Spring Security 将调用该对象的 onAuthenticationSuccess 方法,类似地,failureHandler 方法接收一个 AuthenticationFailureHandler 对象,认证失败之后,将调用该对象的onAuthenticationFailure 方法。

配置完登录相关信息之后,接着配置和登出有关的信息。和配置登录表单提交地址类似,这里需要配置登出请求提交地址,这里调用logoutUrl 方法,指定登出的链接地址,该地址和前面提到的 loginProcessingUrl 都不需要自己写,这两个都是全权交由 Spring Security 来处理。当用户请求 logoutUrl 方法指定的地址时,Spring Security 将对用户执行登出操作。和前面提到的successForwardUrl 类似,这里提供了 logoutSuccessUrl 方法指定登出成功之后转发的地址。不过我用了RESTful,就不再调用此方法,而是调用 logoutSuccessHandler 传入 LogoutSuccessHandler 对象,登出成功后将调用该对象的 onLogoutSuccess 方法。

最后,配置对异常的处理 exceptionHandling ,和上面介绍的 successHandler 、 failureHandler 以及 logoutSuccessHandler 差不多,authenticationEntryPoint 接收一个 AuthenticationEntryPoint 对象,当用户请求的操作需要登录时,将抛出AuthenticationException 异常,并且将该异常传入到 AuthenticationEntryPoint 对象的 commence 方法。 
accessDeniedHandler 方法接收一个 AccessDeniedHandler 对象,该对象的 handle 方法将在权限不足时调用。

配置完这些,看 configureGlobalSecurity 方法,给 AuthenticationManagerBuilder 配置一个 UserDetailsService 对象,当用户执行登录时,Spring Security 将调用该对象的 loadUserByUsername 方法,将 username 传入此方法,根据 username 获取一个UserDetails 对象。

另外,由于不能在数据库中保存明文密码,这里对密码进行 bcrypt 加密后保存,验证密码是否正确时,需要对用户输入的明文密码进行bcrypt 加密后比较密文是否一致,故这里需要提供一个 BCryptPasswordEncoder 对象。

复制

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${api.csrftoken}")
    private String csrfTokenApi;

    @Value("${api.login}")
    private String loginApi;

    @Value("${api.logout}")
    private String logoutApi;

    @Autowired
    private MyUserDetailsService userDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers(csrfTokenApi).permitAll()
        .antMatchers("/api/user/**").access("hasAuthority(‘USER‘)")
        .antMatchers("/api/admin/**").access("hasAuthority(‘ADMIN‘)")
        .antMatchers("/api/dba/**").access("hasAuthority(‘DBA‘)")
        .antMatchers("/api/**").fullyAuthenticated()
        .and().formLogin().loginProcessingUrl(loginApi)
        .successHandler(new RestAuthenticationSuccessHandler())
        .failureHandler(new RestAuthenticationFailureHandler())
        .and().logout().logoutUrl(logoutApi)
        .logoutSuccessHandler(new RestLogoutSuccessHandler())
        .and().exceptionHandling().authenticationEntryPoint(new RestAuthenticationEntryPoint())
        .accessDeniedHandler(new RestAccessDeniedHandler());
    }

    @Autowired
    public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(11);
    }
}

WebAppConfig

因为采用RESTful风格,这里配置响应视图为json格式。

复制

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "org.xueliang.springsecuritystudy")
@PropertySource({"classpath:config.properties"})
public class WebAppConfig extends WebMvcConfigurerAdapter {

    @Bean
    public RequestMappingHandlerAdapter requestMappingHandlerAdapter(@Autowired MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter, @Autowired ContentNegotiationManager mvcContentNegotiationManager) {
        RequestMappingHandlerAdapter requestMappingHandlerAdapter = new RequestMappingHandlerAdapter();
        requestMappingHandlerAdapter.setMessageConverters(Collections.singletonList(mappingJackson2HttpMessageConverter));
        requestMappingHandlerAdapter.setContentNegotiationManager(mvcContentNegotiationManager);
        return requestMappingHandlerAdapter;
    }

    @Bean
    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
        return new MappingJackson2HttpMessageConverter();
    }

    /**
     * 设置欢迎页
     * 相当于web.xml中的 welcome-file-list > welcome-file
     */
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addRedirectViewController("/", "/index.html");
    }
}

WebAppInitializer

Spring Security 架构是完全基于标准的 Servlet 过滤器的,这里我们需要在 WebInitializer 中引入 DelegatingFilterProxy 过滤器。

复制

public class WebAppInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    @Override
    public void onStartup(ServletContext servletContext) throws ServletException {
        servletContext.addFilter("springSecurityFilterChain", new DelegatingFilterProxy("springSecurityFilterChain")).addMappingForUrlPatterns(null, false, "/api/*");
        // 静态资源映射
        servletContext.getServletRegistration("default").addMapping("*.html", "*.ico");
        super.onStartup(servletContext);
    }

    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { WebAppConfig.class };
    }

    @Override
    protected Class<?>[] getServletConfigClasses() {
        return null;
    }

    @Override
    protected String[] getServletMappings() {
        return new String[] { "/" };
    }

    @Override
    protected Filter[] getServletFilters() {
        return new Filter[] { new CharacterEncodingFilter("UTF-8", true) };
    }
}

Source

本文使用到的项目源码已经放到 Github 上,你可以下载后运行。

时间: 2024-07-28 13:34:05

Spring MVC + Security 4 初体验(Java配置版)的相关文章

215.Spring Boot+Spring Security:初体验

[视频&交流平台] SpringBoot视频:http://t.cn/R3QepWG Spring Cloud视频:http://t.cn/R3QeRZc SpringBoot Shiro视频:http://t.cn/R3QDMbh SpringBoot交流平台:http://t.cn/R3QDhU0 SpringData和JPA视频:http://t.cn/R1pSojf SpringSecurity5.0视频:http://t.cn/EwlLjHh 说明 (1)JDK版本:1.8 (2)Sp

Spring MVC 搭建过程中web.xml配置引入文件的路径问题

为啥要说一下这么low的问题,因为我是一个比较low的人,哈哈.本来我技术有限,没事干自己撘个环境找找乐趣,结果被各种基础问题,弄的一脸蒙蔽.算了不多说,直接说问题. 1.首先说一下java编译后的文件,正常来说我们编写的文件一般都是java文件,但实际上eclipse会帮我们编译成.class文件(在project下有个自动编译),没有编译的话,Project->Build Project 来编译当前的项目 2.上面说的都是很简单的事情,但是简单的再延伸,就可能出一点问题了,重申一下,我比较l

Spring MVC的多视图解析器配置及与Freemarker的集成

一.从freemarker谈起 Freemarker使用模板技术进行视图的渲染.自从看了Struts标签.Freemarker.JSTL的性能对比后,我毅然决定放弃Struts标签了!效率太差…… Spring本身支持了对Freemarker的集成.只需要配置一个针对Freemarker的视图解析器即可. 二.Spring MVC视图解析器 视图解析器的工作流程大致是这样的:Controller的某个方法执行完成以后,返回一个视图(比如:listUser),视图解析器要做的工作就是找到某个对象来

spring实战六之使用基于java配置的Spring

之前接触的都是基于XML配置的Spring,Spring3.0开始可以几乎不使用XML而使用纯粹的java代码来配置Spring应用.使用基于java配置的Spring的步骤如下: 1. 创建基于java的配置. 配置极少量的XML来启用java配置: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/bea

spring mvc在web.xml中的配置

spring mvc将所有的请求都经过一个servlet控制器-DispatcherServlet,这个servlet的工作就是将一个客户端的request请求分发给不同的springmvc控制器,既然是一个控制器Servlet就需要在web.xml中配置. <servlet> <servlet-name>springmvc</servlet-name> <servlet-class>org.springframework.web.servlet.Dispa

spring mvc中,如何在 Java 代码里,获取 国际化 内容

首先,在Spring的application.xml中定义 <bean id="messageSource" class="org.springframework.context.support.ResourceBundleMessageSource"> <!-- 国际化信息所在的文件名 --> <property name="basename" value="messages/messages"

MVC + Vue.js 初体验(实现表单操作)

Vuejs http://cn.vuejs.org/ Vue.js(读音 /vju?/, 类似于 view) 是一套构建用户界面的 渐进式框架.与其他重量级框架不同的是,Vue 采用自底向上增量开发的设计.Vue 的核心库只关注视图层,并且非常容易学习,非常容易与其它库或已有项目整合.另一方面,Vue 完全有能力驱动采用单文件组件和Vue生态系统支持的库开发的复杂单页应用. Vue.js 的目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件. DEMO效果 前端源码 @{ Lay

Spring MVC 通过@Value注解读取.properties配置内容

第一步:在applicationContext.xml配置: <bean id="configProperties" class="org.springframework.beans.factory.config.PropertiesFactoryBean"> <property name="locations"> <list> <value>classpath:/config/*.properti

XenApp / XenDesktop 7.6 初体验四 配置Win 8 模板和Personal vDisk

前面豆子尝试了基于windows 2012 R2创建的计算机组和交付组,这里豆子再试试看 Windows 8的桌面发布.基本流程和前面大同小异. 首先创建一个Master Image, 并安装VDA 放入光盘,可以看见因为操作系统的变化,Windows 8,我只能安装 VDA for Windows Desktop OS 和 Citrix Studio 创建 Master Image 不需要显卡高级功能 安装Receiver 输入Delievery Controller Personal vDi