一 介紹

本節(jié)給知識追尋者給大家?guī)淼氖莝pringSecurity入門篇，主要是簡述下springSecrurity的啟動原理和簡單的入門搭建；

二 核心模塊介紹

spring-security-core ； 包含核心身份驗證和access-contol類和接口，遠程支持和基本配置AP； spring-security-web： web , url登陸驗證和訪問控制； spring-security-config： 支持xml 或者java注解配置；

當然其模塊遠不止這些，比如CAS,ALC,Aspects,OpenI等等，對于入門我們了解核心即可；

三 入門搭建

3.1 依賴

springboot 2.3.0

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>

3.2 控制層

控制層定義一個接口，用于瀏覽器請求，請求成功后會返回 hello zszxz ;

@GetMapping('hello') public String hello() { return 'hello zszxz'; }

3.3 訪問登陸頁

啟動項目

訪問 localhost:8080/hello 會自動跳轉(zhuǎn)至localhost:8080/login

可以看到 接口就被保護起來了，訪問接口需要進行賬號密碼登陸；那么賬號密碼在哪里？看tiao控制臺打印的日志

如下所示，一串uuid就是登陸密碼；賬號是 user；賬號，密碼輸入后就會跳轉(zhuǎn)至 localhost:8080/hello ；

.UserDetailsServiceAutoConfiguration :

Using generated security password: 8f5b8238-9b35-482f-b2a5-bf440af5271b

3.4 登陸原理解析

由日志打印可以看出 是在 UserDetailsServiceAutoConfiguration 類中發(fā)現(xiàn)的密碼；我們點擊該類發(fā)現(xiàn)有個

inMemoryUserDetailsManager 方法 里面有 properties.getUser(); 即獲取用戶，說明用戶信息來自 SecurityProperties ;

@Lazy public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) { User user = properties.getUser(); List<String> roles = user.getRoles(); return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()}); }

點擊 SecurityProperties 類其有個內(nèi)部靜態(tài)類User, 如下所示，賬號就是user, 密碼就是UUID; roles是個ArrayList；配置文件的前綴 “spring.security”

@ConfigurationProperties( prefix = 'spring.security')public class SecurityProperties {// 此處省略.........public static class User { private String name = 'user'; private String password = UUID.randomUUID().toString(); private List<String> roles = new ArrayList(); private boolean passwordGenerated = true;// 此處省略.........

現(xiàn)在我們通過配置文件的方式改變賬號密碼，在application.yml配置賬號密碼如下

spring: security: user: password: zszxz name: zszxz

重啟服務(wù)，訪問http://localhost:8080/login 此時 的填入的表單賬號密碼就是zszxz; 而且發(fā)現(xiàn) 控制臺不再打印出uuid ；

3.5 springSecurity基本原理

仔細檢測日志信息， 可以發(fā)現(xiàn)springSecurity模塊的日志打印信息如下，其實現(xiàn)原理就是通過一串的Servlet過濾器進行基本實現(xiàn)，最后一個是FilterSecurityInterceptor 攔截器；

[org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@248deced, org.springframework.security.web.context.SecurityContextPersistenceFilter@677b8e13, org.springframework.security.web.header.HeaderWriterFilter@30331109, org.springframework.security.web.csrf.CsrfFilter@1bbae752, org.springframework.security.web.authentication.logout.LogoutFilter@64030b91, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@78faea5f,............... .intercept.FilterSecurityInterceptor@2b4c3c29

來自官網(wǎng)的圖片如下；FilterChain 中包含了 Filter 和 Servlet , 其能夠很快速的處理所有的URL請求； 當然每個具體的Filter 功能都不同，以后可能提到，有興趣的讀者也可以參照官網(wǎng)學習；

比較重要的Filter

UsernamePasswordAuthenticationFilter DigestAuthenticationFilter BasicAuthenticationFilter ExceptionTranslationFilter FilterSecurityInterceptor

四 加密方式

官網(wǎng)有列出 基于 withDefaultPasswordEncoder 方式 創(chuàng)建 用戶，這樣并不是很推薦，原因是其賬號密碼會暴露在內(nèi)存和編譯的源碼中，并不是很安全，如果要用于生產(chǎn)環(huán)境還需要對密碼進行一次hash或者加密；

UserBuilder users = User.withDefaultPasswordEncoder();User user = users .username('user') .password('password') .roles('USER') .build();User admin = users .username('admin') .password('password') .roles('USER','ADMIN') .build();

官方提供了好多種其它方式進行加密：

DelegatingPasswordEncoder BCryptPasswordEncoder Argon2PasswordEncoder Pbkdf2PasswordEncoder SCryptPasswordEncoder

它們的使用方式都差不多，示例如下，在使用時替換對應(yīng)的加密對象即可；

SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();String result = encoder.encode('myPassword');assertTrue(encoder.matches('myPassword', result));

五 參考文檔

https://docs.spring.io/spring-security/site/docs/5.3.3.BUILD-SNAPSHOT/reference/html5/

到此這篇關(guān)于淺談spring security入門 的文章就介紹到這了,更多相關(guān)spring security入門 內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！