在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
1.SpringSecurity
一、依赖:
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>
二、主要的类:
-
WebSecurityConfigurerAdapter:自定义Security策略
-
AuthenticationManagerBuilder:自定义认证策略
-
@EnableWebSecurity:开启WebSecurity模式(开启其他的配置,就是加@EnableWebSecurity这个注解)
Spring Security 主要的目标:认证和授权;
“授权” (Authorization):定义权限
“认证”(Authentication):给用户拥有的权限;
三、配置类:
SpringSecurity基础配置类:
package com.example.config;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;/*** @author Lenovo* @date 2023/5/13* @time 13:25* @project springboot_mybatis**/@EnableWebSecurity //开启springsecurity;
public class SecurityConfig extends WebSecurityConfigurerAdapter {//SpringSecurity定义的类:自己进行方法的重写//定义授权规则:@Overrideprotected void configure(HttpSecurity http) throws Exception {super.configure(http);}//进制权限认证:@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {super.configure(auth);}
}
SpringSecurity自己定义配置类:
package com.example.config;import ch.qos.logback.core.joran.spi.DefaultNestedComponentRegistry;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;/*** @author Lenovo* @date 2023/5/13* @time 13:25* @project springboot_mybatis**/@EnableWebSecurity //开启springsecurity;
public class SecurityConfig extends WebSecurityConfigurerAdapter {//SpringSecurity定义的类:自己进行方法的重写@Overrideprotected void configure(HttpSecurity http) throws Exception {//定义授权规则:给rule1、rule2 、rule3分别对应的权限:http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/rule1/**").hasRole("vip1").antMatchers("/rule2/**").hasRole("vip2").antMatchers("/rule3/**").hasRole("vip3");//开启自动配置的登录http.formLogin().usernameParameter("username")//登录时的参数.passwordParameter("password").loginPage("/toLogin") //去登录页.loginProcessingUrl("/login"); //登录成功后的页面//退出的配置:http.logout().logoutSuccessUrl("/");//退出后返回index页面;//记住我配置http.rememberMe().rememberMeParameter("remeber");}//进制权限认证:@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//连接数据库中进行用户权限认证: BCryptPasswordEncoder()进行密码的加密;auth.jdbcAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("jack").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3").and().withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3").and().withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");//注释,分别对不同的用户不同的权限:}
}
2.Shiro
Apache Shiro是一个强大且易用的Java安全框架
,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
主要功能:
Authentication:身份认证 / 登录,验证用户是不是拥有相应的身份;
Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户是否能做事情,常见的如:验证某个用户是否拥有某个角色。或者细粒度的验证某个用户对某个资源是否具有某个权限;
Session Manager:会话管理,即用户登录后就是一次会话,在没有退出之前,它的所有信息都在会话中;会话可以是普通 JavaSE 环境的,也可以是如 Web 环境的;
Cryptography:加密,保护数据的安全性,如密码加密存储到数据库,而不是明文存储;
Web Support:Web 支持,可以非常容易的集成到 Web 环境;
Caching:缓存,比如用户登录后,其用户信息、拥有的角色 / 权限不必每次去查,这样可以提高效率;
Concurrency:shiro 支持多线程应用的并发验证,即如在一个线程中开启另一个线程,能把权限自动传播过去;
Testing:提供测试支持;
Run As:允许一个用户假装为另一个用户(如果他们允许)的身份进行访问;
Remember Me:记住我。
1.主要组件:
三个核心组件:Subject, SecurityManager 和 Realms.
Subject:即“当前操作用户”。但是,在Shiro中,Subject这一概念并不仅仅指人,也可以是第三方进程、后台帐户(Daemon Account)或其他类似事物。它仅仅意味着“当前跟软件交互的东西”。Subject代表了当前用户的安全操作,SecurityManager则管理所有用户的安全操作。
SecurityManager:它是Shiro框架的核心,Shiro通过SecurityManager来管理内部组件实例,并通过它来提供安全管理的各种服务。
Realm:
①Realm充当了Shiro与应用安全数据间的“桥梁”或者“连接器”。也就是说,当对用户执行认证(登录)和授权(访问控制)验证时,Shiro会从应用配置的Realm中查找用户及其权限信息。
②从这个意义上讲,Realm实质上是一个安全相关的DAO:它封装了数据源的连接细节,并在需要时将相关数据提供给Shiro。当配置Shiro时,你必须至少指定一个Realm,用于认证和(或)授权。配置多个Realm是可以的,但是至少需要一个。
③Shiro内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。如果缺省的Realm不能满足需求,你还可以插入代表自定义数据源的自己的Realm实现。
2.配置依赖:
<dependencies><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-core</artifactId><version>1.2.3</version></dependency><dependency><groupId>org.slf4j</groupId><artifactId>jcl-over-slf4j</artifactId><version>1.7.25</version></dependency><dependency><groupId>org.slf4j</groupId><artifactId>slf4j-log4j12</artifactId><version>1.7.25</version></dependency><dependency><groupId>log4j</groupId><artifactId>log4j</artifactId><version>1.2.17</version></dependency></dependencies>
3.配置类:
(1)配置log4j.properties:
log4j.rootLogger=INFO, stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern=%d %p [%c] - %m %n
log4j.logger.org.apache=WARN
log4j.logger.org.springframework=WARN
log4j.logger.org.apache.shiro=INFO
log4j.logger.org.apache.shiro.util.ThreadContext=WARN
log4j.logger.org.apache.shiro.cache.ehcache.EhCache=WARN
(2)配置shrio.ini文件:
[users]
root = secret, admin
guest = guest, guest
presidentskroob = 12345, president
darkhelmet = ludicrousspeed, darkload, schwartz
lonestarr = veespa, goodguy, schwartz
[roles]
admin = *
schwartz = lightsaber:*
goodguy = winnebago:drive:eagle5
(3)快速开始:
第一步:获取当前的对象subject
第二步:通过当前用户拿到Session
第三步:判断当前用户是否被认证并且设置记住我和执行登录操作
第四步:测试角色
第五步:检测有什么样子的权限:粗粒度和细粒度
public class QuickStart {private static final transient Logger log = (Logger) LoggerFactory.getLogger(QuickStart.class);public static void main(String[] args) {Factory<SecurityManager> factory = new IniSecurityManagerFactory("claspath:shiro.ini");SecurityManager securityManager = factory.getInstance();SecurityUtils.setSecurityManager(securityManager);//获取当前的对象subjectSubject currentUser = SecurityUtils.getSubject();//通过当前用户拿到SessionSession session = currentUser.getSession();session.setAttribute("someKey","aValue");String value = (String) session.getAttribute("someKey");if(value.equals("aValue")){log.info("Subject**>session["+value+"]");}//判断当前用户是否被认证if (!currentUser.isAuthenticated()){//Token:令牌UsernamePasswordToken token = new UsernamePasswordToken("lonestarr","vespa");token.setRememberMe(true);//设置记住我//执行登录操作try {currentUser.login(token);}catch (UnknownAccountException uae){log.info("没有"+token.getPrincipal()+"这个用户名");}catch (IncorrectCredentialsException ice){log.info(token.getPrincipal()+"的密码错误");}catch (LockedAccountException lae){log.info(token.getPrincipal()+"被锁定");}}//测试角色if (currentUser.hasRole("schwartz")){log.info("角色通过");}else{log.info("角色有误");}//检测有什么样子的权限:粗粒度if (currentUser.isPermitted("lightsaber:*")){log.info("你可以用lightsaber");}else{log.info("你不可以用lightsaber");}//检测有什么样子的权限:细粒度if (currentUser.isPermitted("winnebago:drive:eagle5")){log.info("你可以drive eagle5");}else{log.info("你不可以drive eagle5");}//注销currentUser.logout();//关闭系统System.exit(0);}
}
(4):SpringBoot整合Shiro:
1): 导入依赖:
<!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-spring --><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.11.0</version></dependency>
2):创建Shiro中三个Bean对象:
package com.example.config;import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;import java.util.LinkedHashMap;
import java.util.Map;/*** @author Lenovo* @date 2023/5/13* @time 16:24* @project springboot_mybatis**//*** Shiro的三个组件:subject、SecurityManager、Realm*/@Configuration
public class ShiroConfig {//3.ShiroFilterFactoryBean对象;@Beanpublic ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("securityManager") DefaultWebSecurityManager defaultWebSecurityManager){ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();shiroFilterFactoryBean.setSecurityManager(defaultWebSecurityManager);return shiroFilterFactoryBean;}//2.DefaultWebSecurityManager@Bean(name = "securityManager") //自定义Bean的名字public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();//关联UserRealm:securityManager.setRealm(userRealm);return securityManager;}//1.创建Realm对象;@Beanpublic UserRealm userRealm(){return new UserRealm();}}
创建UserRealm对象:
package com.example.config;import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;/*** @author Lenovo* @date 2023/5/13* @time 16:34* @project springboot_mybatis**//*** 自定义Realm对象*/
public class UserRealm extends AuthorizingRealm {//授权的过程@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {System.out.println("执行授权。。。");return null;}//认证的过程:@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {System.out.println("执行认证。。。");return null;}
}
3):认证与授权:后面补充
认证:
授权: