前面我们已经把用户角色权限这些串了起来，接下来，我们讲如何实现我们系统常见必备的登录验证功能。

1、加入依赖

加入依赖后，我们重新启动，会发现控制台会输出下列信息

再在浏览器访问我们系统时，会发现进入一个登录页面

这是security提供给我们的默认登录页，默认的用户名是user，密码是之前控制台输出的密码，输入完后，我们就可以正常使用之前的功能了。

但是这并不是我们所要的效果，即使这个用户名密码，我们可以通过下面的方式配置

我们需要用户名密码都从我们的用户表里面去取。

2、security配置

我们新建一个SecurityConfiguration配置类

之前，我们所有的请求都需要登录才能访问，在这里，我们设置成了anyRequest().permitAll()，即所有请求都不需要经过授权即可访问。相对的有anyRequest().denyAll()，就是都要经过授权。这个其实是一个默认值的问题，一般的系统应该都是有些请求是需要授权，有些请求不需要授权就能访问的（如登录，忘记密码），我们有两种方法处理这种情况，一种是，所有请求都需要授权，一些特殊的页面进行例外处理，另一种就是，所有请求都不需要授权，需要授权的页面例外处理。笔者一直习惯使用第二种方式，这里也推荐大家使用第二种方式。

测试发现所有get请求都不需要登录就能访问，但是其他非get请求报错，这里涉及到一个csrf攻击问题，我们暂时先将security的csrf防御关掉，http.csrf().disable()，并打开http.headers().frameOptions().sameOrigin()这样，所有请求都正常了。

我们访问localhost:8080/login发现原来的登录界面没有了，我们再添加一句代码，启用表单验证

这样我们的登录页面又回来了。但是，现在登录界面的用户数据源还不是我们想要的，不管输入什么都是用户名和密码错误。

3、配置UserDetailsService

我们创建一个UserDetailsService接口的实现类

我们先暂时不实现这个方法，直接重启，测试登录

这时页面返回的错误信息不同了，可以看到我们新建的service生效了，我们可以在service里面打断点，确认在页面调登录接口时，会进入到service里面的loadUserByUsername方法。

为什么会这样，简单来说，WebSecurityConfigurerAdapter类里面有个userDetailsService()方法，返回一个UserDetailsService实例，userDetailsService()方法实现里面会从Spring容器里面去找UserDetailsService实现，有兴趣的同学可以研究下源码。

4、UserDetails实现

上面的UserDetailsService方法需要返回一个UserDetails接口实现，这个UserDetails可以理解为用户详细信息。他包括了以下内容

权限，密码，用户名，账户是不是没有过期，账户是不是没被锁定，密码是不是没过期，用户是否启用。可以看到security对用户的管理还是考虑得比较全面。

这里我们简单修改一下原来的User类，让他实现UserDetails接口。

getAuthorities就是获取当前用户对应的权限字符串。

5、完成UserDetailsService

loadUserByUsername方法命名写得很清楚，通过username查找用户，那我们查找方法之前我们讲过很多了，这里我们使用QBE吧。

重启应用测试，笔者数据库里面的用户名是test，密码是123456，测试时发现，控制台报：

There is no PasswordEncoder mapped for the id "null"

这里我们还有一个事没有处理，即PasswordEncoder，一般有经验的程序员都知道，我们的密码是不能明文存储在数据库里面的，一般要经过加密存储，security默认是给我们提供了一个密码加密的策略，而这个错误是因为我们的密码不是按照security提供的加密策略加密的。

6、配置PasswordEncoder

security给我们已经提供了很多加密策略

我们先使用明文存储密码测试下，这里看名字，NoOpPasswordEncoder是我们需要的。

ide提示我们这个类是过时的，上面说过了，因为security不建议我们使用明文存储，即什么加密操作也不做。

再测试时发现，如果用户密码错误，页面会直接提示，而如果用户密码正确，则会跳到网站根目录，而我们网站根目录现在是没有内容的

7、配置登录成功导航页面

我们修改defaultSuccessUrl，就可以设置默认成功页面。这里还可以设置很多其他属性值，如登录接口映射地址，失败页面，登出接口等等，基本上所有的值都有默认值，所以我们经常只需要修改我们需要的属性即可。

8、总结

这章主要讲了怎么把我们系统中的用户权限和spring security相结合，可以看到，基本上security都给我们提供了许多种实现，像UserDetailsService，其实security也已经提供了好几种实现，有我们测试可能会用到的InMemoryUserDetailsManager（用户信息存在内存中），有数据库的JdbcUserDetailsManager，为什么我们没用JdbcUserDetailsManager呢，因为JdbcUserDetailsManager里面指定了用户表的表名和字段名，这对我们来说，可能不太灵活。即使security没有我们合适的实现，我们只需要自己写一个实现，security可以轻松的注入进去，完成整个流程的闭环，这也是Spring DI设计的一大优点，我们以后会大量看到这种情况。

代码：

https://github.com/www15119258/springboot-study/tree/branch22