最近一段時間在研究OAuth2的使用，想整個單點登錄，從網上找了很多demo都沒有實施成功，也許是因為壓根就不懂OAuth2的原理導致。有那么幾天，越來越沒有頭緒，又不能放棄，轉過頭來一想，OAuth2是在Security的基礎上擴展的，對于Security自己都是一無所知，干脆就先研究一下Security吧，先把Security搭建起來，找找感覺。

說干就干，在現(xiàn)成的SpringBoot 2.1.4.RELEASE環(huán)境下，進行Security的使用。簡單的Security的使用就不說了，目前的項目是前后端分離的，登錄成功或者失敗返回的數據格式必須JSON形式的，未登錄時也需要返回JSON格式的提示信息 ，退出時一樣需要返回JSON格式的數據。授權先不管，先返回JSON格式的數據，這一個搞定，也研究了好幾天，翻看了很多別人的經驗，別人的經驗有的看得懂，有的看不懂，關鍵時刻還需要自己研究呀。

下面，上代碼：

第一步，在pom.xml中引入Security配置文件

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>

第二步，增加Configuration配置文件

import java.io.PrintWriter;import java.util.HashMap;import java.util.Map;import javax.servlet.http.HttpServletResponse;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.http.HttpMethod;import org.springframework.security.authentication.AuthenticationProvider;import org.springframework.security.authentication.BadCredentialsException;import org.springframework.security.authentication.DisabledException;import org.springframework.security.authentication.dao.DaoAuthenticationProvider;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.builders.WebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import com.fasterxml.jackson.databind.ObjectMapper;/** * 參考網址： * https://blog.csdn.net/XlxfyzsFdblj/article/details/82083443 * https://blog.csdn.net/lizc_lizc/article/details/84059004 * https://blog.csdn.net/XlxfyzsFdblj/article/details/82084183 * https://blog.csdn.net/weixin_36451151/article/details/83868891 * 查找了很多文件，有用的還有有的，感謝他們的辛勤付出 * Security配置文件，項目啟動時就加載了 * @author 程就人生 * */@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyPasswordEncoder myPasswordEncoder; @Autowired private UserDetailsService myCustomUserService; @Autowired private ObjectMapper objectMapper; @Override protected void configure(HttpSecurity http) throws Exception { http .authenticationProvider(authenticationProvider()) .httpBasic() //未登錄時，進行json格式的提示，很喜歡這種寫法，不用單獨寫一個又一個的類 .authenticationEntryPoint((request,response,authException) -> { response.setContentType('application/json;charset=utf-8'); response.setStatus(HttpServletResponse.SC_FORBIDDEN); PrintWriter out = response.getWriter(); Map<String,Object> map = new HashMap<String,Object>(); map.put('code',403); map.put('message','未登錄'); out.write(objectMapper.writeValueAsString(map)); out.flush(); out.close(); }) .and() .authorizeRequests() .anyRequest().authenticated() //必須授權才能范圍 .and() .formLogin() //使用自帶的登錄 .permitAll() //登錄失敗，返回json .failureHandler((request,response,ex) -> { response.setContentType('application/json;charset=utf-8'); response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); PrintWriter out = response.getWriter(); Map<String,Object> map = new HashMap<String,Object>(); map.put('code',401); if (ex instanceof UsernameNotFoundException || ex instanceof BadCredentialsException) { map.put('message','用戶名或密碼錯誤'); } else if (ex instanceof DisabledException) { map.put('message','賬戶被禁用'); } else { map.put('message','登錄失敗!'); } out.write(objectMapper.writeValueAsString(map)); out.flush(); out.close(); }) //登錄成功，返回json .successHandler((request,response,authentication) -> { Map<String,Object> map = new HashMap<String,Object>(); map.put('code',200); map.put('message','登錄成功'); map.put('data',authentication); response.setContentType('application/json;charset=utf-8'); PrintWriter out = response.getWriter(); out.write(objectMapper.writeValueAsString(map)); out.flush(); out.close(); }) .and() .exceptionHandling() //沒有權限，返回json .accessDeniedHandler((request,response,ex) -> { response.setContentType('application/json;charset=utf-8'); response.setStatus(HttpServletResponse.SC_FORBIDDEN); PrintWriter out = response.getWriter(); Map<String,Object> map = new HashMap<String,Object>(); map.put('code',403); map.put('message', '權限不足'); out.write(objectMapper.writeValueAsString(map)); out.flush(); out.close(); }) .and() .logout() //退出成功，返回json .logoutSuccessHandler((request,response,authentication) -> { Map<String,Object> map = new HashMap<String,Object>(); map.put('code',200); map.put('message','退出成功'); map.put('data',authentication); response.setContentType('application/json;charset=utf-8'); PrintWriter out = response.getWriter(); out.write(objectMapper.writeValueAsString(map)); out.flush(); out.close(); }) .permitAll(); //開啟跨域訪問 http.cors().disable(); //開啟模擬請求，比如API POST測試工具的測試，不開啟時，API POST為報403錯誤 http.csrf().disable(); } @Override public void configure(WebSecurity web) { //對于在header里面增加token等類似情況，放行所有OPTIONS請求。 web.ignoring().antMatchers(HttpMethod.OPTIONS, '/**'); } @Bean public AuthenticationProvider authenticationProvider() { DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider(); //對默認的UserDetailsService進行覆蓋 authenticationProvider.setUserDetailsService(myCustomUserService); authenticationProvider.setPasswordEncoder(myPasswordEncoder); return authenticationProvider; } }

第三步，實現(xiàn)UserDetailsService接口

import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.stereotype.Component;/** * 登錄專用類 * 自定義類，實現(xiàn)了UserDetailsService接口，用戶登錄時調用的第一類 * @author 程就人生 * */@Componentpublic class MyCustomUserService implements UserDetailsService { /** * 登陸驗證時，通過username獲取用戶的所有權限信息 * 并返回UserDetails放到spring的全局緩存SecurityContextHolder中，以供授權器使用 */ @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //在這里可以自己調用數據庫，對username進行查詢，看看在數據庫中是否存在 MyUserDetails myUserDetail = new MyUserDetails(); myUserDetail.setUsername(username); myUserDetail.setPassword('123456'); return myUserDetail; }}

說明：這個類，主要是用來接收登錄傳遞過來的用戶名，然后可以在這里擴展，查詢該用戶名在數據庫中是否存在，不存在時，可以拋出異常。本測試為了演示，把數據寫死了。

第四步，實現(xiàn)PasswordEncoder接口

import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.stereotype.Component;/** * 自定義的密碼加密方法，實現(xiàn)了PasswordEncoder接口 * @author 程就人生 * */@Componentpublic class MyPasswordEncoder implements PasswordEncoder { @Override public String encode(CharSequence charSequence) { //加密方法可以根據自己的需要修改 return charSequence.toString(); } @Override public boolean matches(CharSequence charSequence, String s) { return encode(charSequence).equals(s); }}

說明：這個類主要是對密碼加密的處理，以及用戶傳遞過來的密碼和數據庫密碼（UserDetailsService中的密碼）進行比對。

第五步，實現(xiàn)UserDetails接口

import java.util.Collection;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.stereotype.Component;/** * 實現(xiàn)了UserDetails接口，只留必需的屬性，也可添加自己需要的屬性 * @author 程就人生 * */@Componentpublic class MyUserDetails implements UserDetails { /** * */ private static final long serialVersionUID = 1L; //登錄用戶名 private String username; //登錄密碼 private String password; private Collection<? extends GrantedAuthority> authorities; public void setUsername(String username) { this.username = username; } public void setPassword(String password) { this.password = password; } public void setAuthorities(Collection<? extends GrantedAuthority> authorities) { this.authorities = authorities; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { return this.authorities; } @Override public String getPassword() { return this.password; } @Override public String getUsername() { return this.username; } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } @Override public boolean isEnabled() { return true; }}

說明：這個類是用來存儲登錄成功后的用戶數據，登錄成功后，可以使用下列代碼獲取：

MyUserDetails myUserDetails= (MyUserDetails) SecurityContextHolder.getContext().getAuthentication() .getPrincipal();

代碼寫完了，接下來需要測試一下，經過測試才能證明代碼的有效性，先用瀏覽器吧。

第一步測試，未登錄前訪問index，頁面直接重定向到默認的login頁面了，測試接口OK。

圖-1

第二步測試，登錄login后，返回了json數據，測試結果OK。

圖-2

第三步測試，訪問index，返回輸出的登錄數據，測試結果OK。

圖-3

第四步，訪問logout，返回json數據，測試接口OK。

圖-4

第五步，用API POST測試，用這個工具模擬ajax請求，看請求結果如何，首先訪問index，這個必須登錄后才能訪問。測試結果ok，返回了我們需要的JSON格式數據。

圖-5

第六步，在登錄模擬對話框，設置環(huán)境變量，以保持登錄狀態(tài)。

圖-6

**第七步，登錄測試，返回JSON格式的數據，測試結果OK。

圖-7

第八步，在返回到index測試窗口，發(fā)送請求，返回當前用戶JSON格式的信息，測試結果OK。

圖-8

第九步，測試退出，返回JSON格式數據，測試結果OK

圖-9

第十步，退出后，再訪問index，出現(xiàn)問題，登錄信息還在，LOOK！

圖-10

把頭部的header前面的勾去掉，也就是去掉cookie，這時正常了，原因很簡單，在退出時，沒有清除cookie，這個只能到正式的環(huán)境上去測了。API POST再怎么模擬還是和正式環(huán)境有區(qū)別的。

如果在API POST測試報403錯誤，那就需要把configuration配置文件里的

//開啟跨域訪問http.cors().disable();//開啟模擬請求，比如API POST測試工具的測試，不開啟時，API POST為報403錯誤http.csrf().disable();

到此這篇關于SpringBoot Security前后端分離登錄驗證的實現(xiàn)的文章就介紹到這了,更多相關SpringBoot Security登錄驗證內容請搜索好吧啦網以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持好吧啦網！