spring-boot启用security组件 · 上

前言

从今天开始，我打算系统地回顾下spring-boot的相关知识，但是在系统学习之前，我想先把之前没有了解过的知识过一遍，之后再系统地总结。今天我们就先来看下spring-boot的官方组件secutity，下面我们就直接开始吧！

Security组件

这个组件是spring-boot的基础组件之一，主要用于spring-boot项目的权限控制，我们今天主要是看下它的基础配置和一些简单应用。

开始之前，我们要先创建一个spring-boot项目。

创建项目

项目的依赖很简单，最核心的依赖就两个，一个就是spring-boot-starter，这个依赖是spring-boot最基础的依赖，没有之一，但凡你创建spring-boot项目都会有这个依赖；

另外一个核心依赖就是我们今天的主角——spring-boot-starter-security；

除了两个核心依赖，我还引入了guava的依赖，这是一个谷歌出品的工具类包，其中有很多特别方便的工具类，比如容器操作。

<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>com.google.guava</groupId>
    <artifactId>guava</artifactId>
    <version>30.1.1-jre</version>
    <!-- or, for Android: -->
    <!--<version>30.1.1-android</version>-->
</dependency>

加入以上配置之后，我们不需要做任何配置，security其实已经被我们集成到spring-boot中了，不信你启动下看看：

如果你的控制台也有如上信息，说明你的spring-boot项目已经集成了security，最上面打印的就是我们的登录密码，用户名默认情况下是user，下面我们简单测试下。

测试

首先，我们要写一个controller，没有controller的话，确实不好测试。controller中，我就写了一个简单的testSecurity方法，方法内部打印helle信息。

@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping("security")
    public Object testSecurity(String name) {
        return "hello, " + name;

    }
}

controller创建完成后，我们再次启动项目，然后访问http://localhost:8989/test/security?name=syske

正常情况下，会跳转到登录页面，这就说明security组件已经起作用了。

这里登录的用户名是user，密码就是控制台打印出来的密码，输入用户名和密码，然后登录，这时候接口就正常返回了：

登录成功后，你后面再访问其他接口也是不需要再次登陆的。而且我试过，就算你关闭浏览器，再次打开，也是不需要登陆的，但是你重启spring-boot服务之后，就需要重新登录了，目前还不清楚具体的鉴权原理，从浏览器请求情况来看，不是token，后面研究下。

security虽然起作用了，但是我们在实际应用的时候，不可能都用user和默认密码登录吧，毕竟不方便，也不合理，所以下面我们就来看下如何来配置security，让它满足我们更复杂的应用场景。

配置security

首先，我们要创建一个配置类，这个配置类要继承WebSecurityConfigurerAdapter，并重写其中的configure方法，这个类有多个configure方法，这里我们重写的是参数为AuthenticationManagerBuilder，其他配置类，我们后面继续讲。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private Logger logger = LoggerFactory.getLogger(SecurityConfig.class);
    @Autowired
    private ReaderRepository readerRepository;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(username -> {
            System.out.println(username);
            return readerRepository.loadUserByUsername(username);
                    }).passwordEncoder(new BCryptPasswordEncoder());
    }
}

这个方法其实就是用户登录时的鉴权方法，我们通过重写这个方法，可以实现我们自己的鉴权操作。我这里现在都是写死的，只要你登录的用户是admin，就可以鉴权通过，密码我也是写死的。

userDetailsService方法的作用是配置用户信息查询服务，我们需要继承UserDetailsService接口，并实现其中的loadUserByUsername方法，这个方法会返回 UserDetails，也就是用户基本信息，主要是密码和用户名，还有过期时间这些：

下面是我写的一个构建UserDetails的服务，后期的话，可以根据自己的需要整合数据库。

@Service
public class ReaderRepository implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if ("admin".equals(username)) {
            return new UserInfo("admin", new BCryptPasswordEncoder()
                    .encode("admin"));
        } else {
            return null;
        }
    }

    public static class UserInfo implements UserDetails {
        private String username;
        private String password;

        public UserInfo(String username, String password) {
            this.username = username;
            this.password = password;
        }

        @Override
        public Collection<? extends GrantedAuthority> getAuthorities() {
            return Arrays.asList(new SimpleGrantedAuthority("READER"));
        }

        @Override
        public String getPassword() {
            return this.password;
        }

        @Override
        public String getUsername() {
            return this.username;
        }

        @Override
        public boolean isAccountNonExpired() {
            return true;
        }

        @Override
        public boolean isAccountNonLocked() {
            return true;
        }

        @Override
        public boolean isCredentialsNonExpired() {
            return true;
        }

        @Override
        public boolean isEnabled() {
            return true;
        }
    }
}

然后，重启我们的spring-boot项目，这时候我们就不能用默认的用户名和密码登录了，控制台也不会有密码打印了，而是用我们设置的用户名和密码登录。

这里需要注意的是，passwordEncoder(new BCryptPasswordEncoder())的作用是指定密码的加密器，这里的加密器必须和你保存密码时用的加密器一致，否则密码校验无法通过。

如果你不指定密码加密器，鉴权的时候也是会报错的：

另外，还有一点比较重要，就是我们在登录的时候，其实就是调用userDetailsService的loadUserByUsername获取用户信息，然后进行鉴权操作，所以如果要修改security组件的相关配置，就必须实现loadUserByUsername方法，这样才能确保你的用户数据是可控的。

总结

今天我们分享了spring-boot启用security组件的相关知识点，整个过程还是比较简单，但是由于时间的关系，好些点我们没有展开来讲，也讲的不够细，不过也没有关系，因为最近一段时间我们都打算分享spring-boot相关知识，所以明天我们会继续分享.

好了，今天的内容就到这里吧，我们明天继续。