Spring security 的工作流程
说明
- 客户端发起一个请求,进入Security 过滤器链
- 当到LogoutFilter 的时候判断是否是登出的路径,如果是登出路径则到logoutHandler ,如果登出成功则到logoutSuccessHandler 登出成功处理,如果不是登出路径则直接进入下一个过滤器
- 当到UsernamePasswordSuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器登录操作,如果失败则到SuthenticationFailureHandler,登录失败处理器处理,如果登录成功则到AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器
- 进入认证BasicAuthenticationFilter 进行用户认证,成功的话会把认证了的结果写入到SecurityContextHolder 中的 securityContext 的属性authention 上面。如果认证失败就会 认证失败处理类,或者抛出异常被后续ExceptionTranslationFilter过滤器处理异常,如果是AuthenticationException就交给AuthenticationEntryPoint处理,如果是AccessDeniedException异常则交给AccessDeniedHandler处理。
- 当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到 Controller 层,否则到 AccessDeniedHandler 鉴权失败处理器处理。
总共需要出现的组件
LogoutFilter - 登出过滤器
logoutSuccessHandler - 登出成功之后的操作类
UsernamePasswordAuthenticationFilter - from提交用户名密码登录认证过滤器
AuthenticationFailureHandler - 登录失败操作类
AuthenticationSuccessHandler - 登录成功操作类
BasicAuthenticationFilter - Basic身份认证过滤器
SecurityContextHolder - 安全上下文静态工具类
AuthenticationEntryPoint - 认证失败入口
ExceptionTranslationFilter - 异常处理过滤器
AccessDeniedHandler - 权限不足操作类
FilterSecurityInterceptor - 权限判断拦截器、出口
引入Security 与 Jwt
首先我们导入security 包,因为我们前后端交互用户认证凭证用的是Jwt 所以我们也导入jwt 的相关包。导入redis 用作验证码
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency><!-- jwt --><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.1</version></dependency>启动redis,然后我们再启动项目,这时候我们再去访问http://localhost:8081/test,会发现系统会先判断到你未登录跳转到http://localhost:8081/login,因为security内置了登录页,用户名为user,密码在启动项目的时候打印在了控制台。登录完成之后我们才可以正常访问接口。因为每次启动密码都会改变,所以我们通过配置文件来配置一下默认的用户名和密码:
spring:# Spring security 的账号密码修改security:user:name: userpassword:111111
用户认证,验证码生成
分为首次登陆和二次认证
- 首次登陆认证:用户名,密码和验证码完成登陆
- 二次token认证:请求头携带jwt 进行身份认证
使用用户名密码来登录的,然后我们还想添加图片验证码,那么security给我们提供的UsernamePasswordAuthenticationFilter就不能使用了。
解决方式是在UsernamePasswordAuthenticationFilter之前自定义一个图片过滤器CaptchaFilter,提前校验验证码是否正确,这样我们就可以使用UsernamePasswordAuthenticationFilter了,然后登录正常或失败我们都可以通过对应的Handler来返回我们特定格式的封装结果数据。
生成验证码
首先我们先生成验证码,之前我们已经引用了google的验证码生成器,我们先来配置一下图片验证码的生成规则:
KaptchaConfig
// 加上注解@ConfigurationpublicclassKaptchaConfig{@Beanpublic DefaultKaptchaproducer(){
Properties properties=newProperties();
properties.put("kaptcha.border","no");
properties.put("kaptcha.textproducer.font.color","black");
properties.put("kaptcha.textproducer.char.space","4");
properties.put("kaptcha.image.height","40");
properties.put("kaptcha.image.width","120");
properties.put("kaptcha.textproducer.font.size","30");
Config config=newConfig(properties);
DefaultKaptcha defaultKaptcha=newDefaultKaptcha();
defaultKaptcha.setConfig(config);return defaultKaptcha;}}上面验证码的长宽字体颜色等,是可以调整的
通过控制器提供生成验证码的方法
**这里需要用到一个redis 的工具类 **
@ComponentpublicclassRedisUtil{@Autowiredprivate RedisTemplate redisTemplate;/**
* 指定缓存失效时间
*
* @param key 键
* @param time 时间(秒)
* @return
*/publicbooleanexpire(String key,long time){try{if(time>0){
redisTemplate.expire(key, time, TimeUnit.SECONDS);}returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 根据key 获取过期时间
*
* @param key 键 不能为null
* @return 时间(秒) 返回0代表为永久有效
*/publiclonggetExpire(String key){return redisTemplate.getExpire(key, TimeUnit.SECONDS);}/**
* 判断key是否存在
*
* @param key 键
* @return true 存在 false不存在
*/publicbooleanhasKey(String key){try{return redisTemplate.hasKey(key);}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 删除缓存
*
* @param key 可以传一个值 或多个
*/@SuppressWarnings("unchecked")publicvoiddel(String... key){if(key!= null&& key.length>0){if(key.length==1){
redisTemplate.delete(key[0]);}else{
redisTemplate.delete(CollectionUtils.arrayToList(key));}}}//============================String=============================/**
* 普通缓存获取
*
* @param key 键
* @return 值
*/public Objectget(String key){return key== null? null: redisTemplate.opsForValue().get(key);}/**
* 普通缓存放入
*
* @param key 键
* @param value 值
* @return true成功 false失败
*/publicbooleanset(String key, Object value){try{
redisTemplate.opsForValue().set(key, value);returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 普通缓存放入并设置时间
*
* @param key 键
* @param value 值
* @param time 时间(秒) time要大于0 如果time小于等于0 将设置无限期
* @return true成功 false 失败
*/publicbooleanset(String key, Object value,long time){try{if(time>0){
redisTemplate.opsForValue().set(key, value, time, TimeUnit.SECONDS);}else{set(key, value);}returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 递增
*
* @param key 键
* @param delta 要增加几(大于0)
* @return
*/publiclongincr(String key,long delta){if(delta<0){thrownewRuntimeException("递增因子必须大于0");}return redisTemplate.opsForValue().increment(key, delta);}/**
* 递减
*
* @param key 键
* @param delta 要减少几(小于0)
* @return
*/publiclongdecr(String key,long delta){if(delta<0){thrownewRuntimeException("递减因子必须大于0");}return redisTemplate.opsForValue().increment(key,-delta);}//================================Map=================================/**
* HashGet
*
* @param key 键 不能为null
* @param item 项 不能为null
* @return 值
*/public Objecthget(String key, String item){return redisTemplate.opsForHash().get(key, item);}/**
* 获取hashKey对应的所有键值
*
* @param key 键
* @return 对应的多个键值
*/public Map<Object, Object>hmget(String key){return redisTemplate.opsForHash().entries(key);}/**
* HashSet
*
* @param key 键
* @param map 对应多个键值
* @return true 成功 false 失败
*/publicbooleanhmset(String key, Map<String, Object> map){try{
redisTemplate.opsForHash().putAll(key, map);returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* HashSet 并设置时间
*
* @param key 键
* @param map 对应多个键值
* @param time 时间(秒)
* @return true成功 false失败
*/publicbooleanhmset(String key, Map<String, Object> map,long time){try{
redisTemplate.opsForHash().putAll(key, map);if(time>0){expire(key, time);}returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 向一张hash表中放入数据,如果不存在将创建
*
* @param key 键
* @param item 项
* @param value 值
* @return true 成功 false失败
*/publicbooleanhset(String key, String item, Object value){try{
redisTemplate.opsForHash().put(key, item, value);returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 向一张hash表中放入数据,如果不存在将创建
*
* @param key 键
* @param item 项
* @param value 值
* @param time 时间(秒) 注意:如果已存在的hash表有时间,这里将会替换原有的时间
* @return true 成功 false失败
*/publicbooleanhset(String key, String item, Object value,long time){try{
redisTemplate.opsForHash().put(key, item, value);if(time>0){expire(key, time);}returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 删除hash表中的值
*
* @param key 键 不能为null
* @param item 项 可以使多个 不能为null
*/publicvoidhdel(String key, Object... item){
redisTemplate.opsForHash().delete(key, item);}/**
* 判断hash表中是否有该项的值
*
* @param key 键 不能为null
* @param item 项 不能为null
* @return true 存在 false不存在
*/publicbooleanhHasKey(String key, String item){return redisTemplate.opsForHash().hasKey(key, item);}/**
* hash递增 如果不存在,就会创建一个 并把新增后的值返回
*
* @param key 键
* @param item 项
* @param by 要增加几(大于0)
* @return
*/publicdoublehincr(String key, String item,double by){return redisTemplate.opsForHash().increment(key, item, by);}/**
* hash递减
*
* @param key 键
* @param item 项
* @param by 要减少记(小于0)
* @return
*/publicdoublehdecr(String key, String item,double by){return redisTemplate.opsForHash().increment(key, item,-by);}//============================set=============================/**
* 根据key获取Set中的所有值
*
* @param key 键
* @return
*/public Set<Object>sGet(String key){try{return redisTemplate.opsForSet().members(key);}catch(Exception e){
e.printStackTrace();return null;}}/**
* 根据value从一个set中查询,是否存在
*
* @param key 键
* @param value 值
* @return true 存在 false不存在
*/publicbooleansHasKey(String key, Object value){try{return redisTemplate.opsForSet().isMember(key, value);}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 将数据放入set缓存
*
* @param key 键
* @param values 值 可以是多个
* @return 成功个数
*/publiclongsSet(String key, Object... values){try{return redisTemplate.opsForSet().add(key, values);}catch(Exception e){
e.printStackTrace();return0;}}/**
* 将set数据放入缓存
*
* @param key 键
* @param time 时间(秒)
* @param values 值 可以是多个
* @return 成功个数
*/publiclongsSetAndTime(String key,long time, Object... values){try{
Long count= redisTemplate.opsForSet().add(key, values);if(time>0)expire(key, time);return count;}catch(Exception e){
e.printStackTrace();return0;}}/**
* 获取set缓存的长度
*
* @param key 键
* @return
*/publiclongsGetSetSize(String key){try{return redisTemplate.opsForSet().size(key);}catch(Exception e){
e.printStackTrace();return0;}}/**
* 移除值为value的
*
* @param key 键
* @param values 值 可以是多个
* @return 移除的个数
*/publiclongsetRemove(String key, Object... values){try{
Long count= redisTemplate.opsForSet().remove(key, values);return count;}catch(Exception e){
e.printStackTrace();return0;}}//===============================list=================================/**
* 获取list缓存的内容
*
* @param key 键
* @param start 开始
* @param end 结束 0 到 -1代表所有值
* @return
*/public List<Object>lGet(String key,long start,long end){try{return redisTemplate.opsForList().range(key, start, end);}catch(Exception e){
e.printStackTrace();return null;}}/**
* 获取list缓存的长度
*
* @param key 键
* @return
*/publiclonglGetListSize(String key){try{return redisTemplate.opsForList().size(key);}catch(Exception e){
e.printStackTrace();return0;}}/**
* 通过索引 获取list中的值
*
* @param key 键
* @param index 索引 index>=0时, 0 表头,1 第二个元素,依次类推;index<0时,-1,表尾,-2倒数第二个元素,依次类推
* @return
*/public ObjectlGetIndex(String key,long index){try{return redisTemplate.opsForList().index(key, index);}catch(Exception e){
e.printStackTrace();return null;}}/**
* 将list放入缓存
*
* @param key 键
* @param value 值
* @return
*/publicbooleanlSet(String key, Object value){try{
redisTemplate.opsForList().rightPush(key, value);returntrue;}catch(Exception e){
e.printStackTrace();returnfalse;}}/**
* 将list放入缓存
*
* @param key 键
* @param value 值
* @param time 时间(秒)
* @return
*/publicboolean</