Spring Security 认证的三种方式及简单的授权

前面讲到Spring Security的基础使用及搭建，这里通过一个小项目再次实现Spring Security的三种验证方式

Spring Security 基础学习笔记

1.默认身份验证

在pom.xml文件映入SpringSecutrity依赖启动器，启动项目，访问文章列表页面时，出现默认的登录页，需要用默认用户名：user，密码源于控制台输出，也就是最基础的登录

2.内存身份验证

自定义用户名和密码（用户名和密码是写在代码内，不好维护），新建

• 新建一个SecurityConfig的配置类，继承WebSecurityConfigurerAdapter类，重写configure(AuthenticationManagerBuilder auth)自定义身份认证

/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*1.基于内存的身份认证*/
        //添加两个账户密码
        auth.inMemoryAuthentication().passwordEncoder(encoder)
                .withUser("admin").password(encoder.encode("admin")).roles("admin")
                .and()
                .withUser("junko").password(encoder.encode("123456")).roles("common");
    }
}

启动项目，需要输入上面定义好的账户密码才能进行登录，这里有三张表，分别为用户、权限、用户-权限表

3.使用UserDetails进行身份认证

创建查询用户及用户权限的接口

@Mapper
public interface TUserMapper {

 /*根据用户名去查询用户讯息*/
@Select("select * from t_user where username=#{username}")
public TUser selectUserByUserName(String username);
}

@Mapper
public interface AuthorityMapper {
 /*根据用户名去查询用户权限*/
public List<Authority> selectAuthorityByUserName(String username);
}

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="net.junko.mapper.AuthorityMapper">

    <select id="selectAuthorityByUserName" resultType="net.junko.bean.Authority" parameterType="string">
        select a.* from t_user u,t_authority a,user_authority au where u.id=au.uid and a.id=au.aid and u.username=#{username}
    </select>
</mapper>

编写UserDetailsServiceImpl实现类

前面说过，使用数据库的查询方法进行授权认证，需要实现UserDetailsService接口，重写loadUserByUsername方法

@Service
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    TUserMapper userMapper;
    @Autowired
    AuthorityMapper authorityMapper;

    /*根据前端登录页面传入的用户名，查询出数据库对应的用户信息和用户权限，
    把用户信息和权限封装成UserDetails对象，交给SpringSecurity进行身份认证*/
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*根据用户名查询用户信息、权限信息*/
        TUser user = userMapper.selectUserByUserName(s);
        List<Authority> authorities = authorityMapper.selectAuthorityByUserName(s);

        /*遍历封装用户权限*/
        List<SimpleGrantedAuthority>  authorityList = new ArrayList<>();
		for (int i=0;i<authorities.size();i++)
        {
            authorityList.add(new SimpleGrantedAuthority(authorities.get(i).getAuthority()));
        }

        if(user!=null)
        {
            /*将用户名、密码、用户权限封装成UserDetails对象*/
            UserDetails userDetails = new User(user.getUsername(),encoder.encode(user.getPassword()),authorityList);
            return userDetails;
        }
        else {
            throw new UsernameNotFoundException("用户不存在");
        }
    }
}

在SecurityConfig类内配置根据UserDetails进行身份认证

之前2的内存身份验证记得注释掉，注入UserDetailsServiceImpl

/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsServiceImpl userDetailsService;

    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*1.基于内存的身份认证*/
//        auth.inMemoryAuthentication().passwordEncoder(encoder)
//                .withUser("admin").password(encoder.encode("admin")).roles("admin")
//                .and()
//                .withUser("cai").password(encoder.encode("123457")).roles("common");

        /*2.使用UserDetails进行身份认证*/
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
        }
 }

测试，登录时用数据库内存储的用户信息

用户授权管理

在做好了认证方式后，想要指定不同的权限访问不同的页面，即自定义访问控制，则需要再进行一些设置

• 在SecurityConfig配置类内重写configue(HttpSecurity http)方法，如果用户没有访问某页面的权限，会出现403页面错误，该错误页面提示可以根据自己的项目进行修改。

/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsServiceImpl userDetailsService;

    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        /*1.基于内存的身份认证*/
//        auth.inMemoryAuthentication().passwordEncoder(encoder)
//                .withUser("admin").password(encoder.encode("admin")).roles("admin")
//                .and()
//                .withUser("cai").password(encoder.encode("123457")).roles("common");

        /*2.使用UserDetails进行身份认证*/
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
    }


    /*自定义用户权限*/
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        /*自定义访问控制*/
        http.authorizeRequests()
                .antMatchers("/").permitAll()  //表示放行“/”访问
                //根据用户拥有的不同权限配置访问权限
                .antMatchers("/admin/**").hasAuthority("admin")
                .antMatchers("/common/**").hasAuthority("common")
                .and()
                .formLogin();
    }
}

在自定义用户权限设置后，就可以实现/路径下的页面不需要认证即可访问，/admin/**下的页面，则需要登录的用户具有admin权限才能访问，同理/common/**