SpringSecurity前传--与springboot2.0
相信大家都知道登录功能,初级程序员的脑海里面就是账号,密码,登录按钮然后到后台数据库查询一下信息就OK了。但其实登录没有这么简单,因为:
1.我们所面临的登录认证模式很复杂
- 1.1短信的登录
- 1.2微信的登录
- 1.3QQ的登录
2.我们要支持多种前端渠道
- 2.1网页登录
- 2.2APP登录
3.支持集群环境,跨应用工作,Session控制,控制用户权限,说防护与身份认证相关的攻击
认证和授权如此复杂,因此也诞生了作者对SpringSecurity系列的学习。本系列将主要从SpringSecurity,Spring Social,Spring Security OAuth来给大家进行讲解。其中SpringSecurity作为底层的实现,我将在后面的文章中讲解它是如何实现用户名+密码认证和手机号+短信认证的。Spring Social主要用于第三方认证,比如QQ,微信的接入。APP和后端服务器通讯的时候无法存储Session的问题,所以我们采用token的方式来存储登录用户的认证信息。使用Spring Security OAuth来创建、分发、管理Token信息。
4.开始开发
4.1代码架构
代码结构
4.1.1工程图:
4.1.2imooc-security
主模块,只有pom文件,用于打包和发布
<dependencyManagement>
<dependencies>
<dependency>
<groupId>io.spring.platform</groupId>
<artifactId>platform-bom</artifactId>
<version>Cairo-SR7</version>
<type>pom</type>
<scope>import</scope>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Finchley.RELEASE</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>2.3.2</version>
<configuration>
<source>1.8</source>
<target>1.8</target>
<encoding>UTF-8</encoding>
</configuration>
</plugin>
</plugins>
</build>
<modules>
<module>../imooc-security-app</module>
<module>../imooc-security-browser</module>
<module>../imooc-security-core</module>
<module>../imooc-security-demo</module>
</modules>
这里引入了spring-cloud以及io.spring.platform的相关东西,io.spring.platform的好处是可以帮助我们在引入类似hibernate和spring的包的时候可以不用考虑版本不兼容的问题。最后的modules,引入了图中的其他4个模块。
4.1.3imooc-security-core
存放核心登录逻辑,在本篇文章中,我们主要是先让我们的工程跑起来,还不会把具体的代码放进去,我会在后续的文章中渐进式的将相关代码逻辑放进去。
4.1.3.1pom.xml
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-config</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-core</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.social</groupId>
<artifactId>spring-social-web</artifactId>
</dependency>
<dependency>
<groupId>commons-lang</groupId>
<artifactId>commons-lang</artifactId>
</dependency>
<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
</dependency>
<dependency>
<groupId>commons-beanutils</groupId>
<artifactId>commons-beanutils</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-configuration-processor</artifactId>
</dependency>
</dependencies>
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
这里面我们放入了对redis操作的相关包,更重要的是放入了spring-social,spring-security的相关依赖。
4.1.4imooc-security-app
依赖了imooc-security-core,所以它的pom.xml很简单
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
<dependencies>
<dependency>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security-core</artifactId>
<version>${imooc.security.version}</version>
</dependency>
</dependencies>
4.1.4imooc-security-browser
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
<dependencies>
<dependency>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security-core</artifactId>
<version>${imooc.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.session</groupId>
<artifactId>spring-session-data-redis</artifactId>
</dependency>
</dependencies>
browser除了依赖core还依赖了spring-session-data-redis,这样我们就可以把session存放到redis中,并在redis中对session里面的内容作操作。为什么app不放这个引用呢。前面我们说了,app和后台交互的时候,是没有session的,是通过token来管理的。
4.1.5imooc-security-demo
4.1.5.1pom.xml
<parent>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<relativePath>../imooc-security</relativePath>
</parent>
<dependencies>
<dependency>
<groupId>com.imooc.security</groupId>
<artifactId>imooc-security-browser</artifactId>
<version>${imooc.security.version}</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>1.3.3.RELEASE</version>
<executions>
<execution>
<goals>
<goal>repackage</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
<finalName>demo</finalName>
</build>
这里我们暂时先引入browser,后期在讲token方面的东西的时候会引入app,另外我们这里还加入了spring-boot-maven-plugin,让我们打包成可运行的jar包,如果说大家不加后面的build,可以看到你打出来的jar包是没有把相关的依赖放进去的,是没法直接执行的。
4.1.5.2DemoApplication
@SpringBootApplication
@RestController
@EnableAutoConfiguration(exclude = {
org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class
})
public class DemoApplication {
public static void main(String[] args) {
try {
SpringApplication.run(DemoApplication.class, args);
} catch (Exception e) {
e.printStackTrace();
} catch(Error e) {
e.printStackTrace();
}
}
@GetMapping("/helloword")
public String helloword() {
return "hello spring security";
}
}
用过SpringBoot的同学应该很熟悉这段配置了,这里我主要讲一下@EnableAutoConfiguration这个注解为什么要加在头上,如果不加,我们直接运行我们的工程,然后访问helloword,我们会看到下面的示意图:
默认配置
这样会让我们输入用户名和密码,加上了这段注解后,就会看到浏览器上现实hello spring security,如图所示:
不验证
现在我们使用的是spring-boot2.0之后的版本,以前的版本中,我们可以在application.properties中写上security.basic.enable=false来达到同样的效果。
4.1.5.3application.properties
spring.datasource.driver-class-name = com.mysql.jdbc.Driver
spring.datasource.url= jdbc:mysql://127.0.0.1:3306/test?useUnicode=yes&characterEncoding=UTF-8&useSSL=false
spring.datasource.username =
spring.datasource.password =
spring.session.store-type=none
#security.basic.enabled=false
在这里我们加入了对数据库的配置,如果不加,我们的springBoot会因为引入了spring-boot-starter-jdbc报错,为什么引入spring.session.store-type=none,这是因为我们引入了spring-boot-starter-data-redis,spring-session-data-redis,我们要把session放入redis中,但是现在我们还没有搭建redis,为了让我们的工程跑起来,所以我们这里设置为none。
本篇文章,我们主要是使用spring-boot2.0先把基本框架搭建好,后面的文章中,我们将深入讲解其他内容。
