Spring Boot+Spring Security+MySql实现用户权限管理(1)

Demo具体实现效果

微信截图_20180515125348.png

微信截图_20180515125528.png

Spring Security

spring security做的两件重要事情：认证(authentication

)和授权(authorization)

认证过程

用户使用用户名和密码进行登录。
Spring Security将获取到的用户名和密码封装成一个Authentication接口的实现类，比如常用的UsernamePasswordAuthenticationToken。
将上述产生的Authentication对象传递给AuthenticationManager的实现类ProviderManager进行认证。
ProviderManager依次调用各个AuthenticationProvider进行认证，认证成功后返回一个封装了用户权限等信息的Authentication对象。
将AuthenticationManager返回的Authentication对象赋予给当前的SecurityContext。

安全配置类

通过继承WebSecurityConfigurerAdapter类实现具体基于表单的安全配置
下面介绍Demo具体使用到的方法

configure(HttpSecurity http)方法的默认配置（取自官方文档）如下：

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .and()
        .httpBasic();
}

1.确保对我们应用程序的任何请求都要求用户进行身份验证。

2.允许用户通过基于表单的登录进行身份验证。

3.允许用户通过HTTP基本身份验证进行身份验证。

又如：


protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .loginPage("/login") 
            .permitAll();

授予所有用户(即未经身份验证的用户)访问我们的登录页面。formLogin(). permitall()方法允许为所有与表单相关的url提供访问权限。

对其它URL进行配置：

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()                                                                []
            .antMatchers("/resources/**", "/signup", "/about").permitAll()             
            .antMatchers("/admin/**").hasRole("ADMIN")                                      
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")          
            .anyRequest().authenticated()                                                   
            .and()
        // ...
        .formLogin();
}

对于http.authorizeRequests()方法有多个子类，每个matcher都按照声明的顺序被考虑我们指定了任何用户可以访问的多个URL模式。

具体来说，如果URL以“/resources/”开头，那么任何用户都可以访问请求，等于“/signup”，或等于“/about”。

任何以“/admin/”开头的URL将被限制为具有“ROLE_ADMIN”角色的用户。您将注意到，由于我们正在调用hasRole方法，所以不需要指定“ROLE_”前缀。

任何以“/db/”开头的URL都要求用户同时拥有“ROLE_ADMIN”和“ROLE_DBA”。您将注意到，由于我们使用的是hasRole表达式，所以不需要指定“ROLE_”前缀。任何未被匹配的URL只需要验证用户。

注销用户的实现：

protected void configure(HttpSecurity http) throws Exception {
    http
        .logout()                                                                
            .logoutUrl("/my/logout")                                                 
            .logoutSuccessUrl("/my/index")                                           
            .logoutSuccessHandler(logoutSuccessHandler)                              
            .invalidateHttpSession(true)                                             
            .addLogoutHandler(logoutHandler)                                         
            .deleteCookies(cookieNamesToClear)                                       
            .and()
        
}

提供注销的支持。这是在使用WebSecurityConfigurerAdapter时自动应用的。

触发注销的URL(默认是/注销)。如果启用了CSRF保护(默认)，那么请求也必须是一个POST。有关更多信息，请参考JavaDoc。

已发生注销后重定向的URL。默认是/my/logout。有关更多信息，请参考JavaDoc。

让我们来指定一个自定义的登录成功程序。如果指定了，则忽略logoutSuccessUrl()。有关更多信息，请参考JavaDoc。

指定在注销时是否使HttpSession失效。这在默认情况下是正确的。在覆盖下配置SecurityContextLogoutHandler。有关更多信息，请参考JavaDoc。

添加一个LogoutHandler。在默认情况下，SecurityContextLogoutHandler被添加为最后一个LogoutHandler。

允许指定在注销成功时删除cookie的名称。这是一个显式添加CookieClearingLogoutHandler的快捷方式。

configure(AuthenticationManagerBuilder auth)方法

具体实现auth.userDetailsService方法
源自文档:

public <T extends UserDetailsService> DaoAuthenticationConfigurer<AuthenticationManagerBuilder, T> userDetailsService(T userDetailsService) throws Exception {
        this.defaultUserDetailsService = userDetailsService;
        return (DaoAuthenticationConfigurer)this.apply(new DaoAuthenticationConfigurer(userDetailsService));
    }

基于传入的自定义UserDetailsService添加身份验证。然后它返回一个DaoAuthenticationConfigurer，以允许对身份验证进行定制。

该方法还确保UserDetailsService可以用于getDefaultUserDetailsService()方法。注意，附加的UserDetailsService可能会将这个UserDetailsService重写为默认值。

下一节结合Mysql实现具体用户认证和授权

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 194,491评论 5赞 459
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 81,856评论 2赞 371
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 141,745评论 0赞 319
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 52,196评论 1赞 263
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 61,073评论 4赞 355
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 46,112评论 1赞 272
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 36,531评论 3赞 381
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 35,215评论 0赞 253
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 39,485评论 1赞 290
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 34,578评论 2赞 309
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 36,356评论 1赞 326
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 32,215评论 3赞 312
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 37,583评论 3赞 299
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 28,898评论 0赞 17
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 30,174评论 1赞 250
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 41,497评论 2赞 341
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 40,697评论 2赞 335