登录认证
1.首先开启登录认证,对static下的静态资源css、js、img、plugins全部放行
2.但是访问/admin/**下资源的需要开启实时的权限认证,会调用authService下的auth函数
("/pages/**").authenticated()代表对pages下的资源,如果已经通过了权限认证,就可以访问
SecurityConfig:
package ;
import ;
import ;
import ;
import ;
import ;
import ;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//使用BCrypt加密策略
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
public static void main(String[] args)
{
//加密策略 MD5 不安全 彩虹表 MD5 加盐
String mszlu = new BCryptPasswordEncoder().encode("mszlu");
}
@Override
public void configure(WebSecurity web) throws Exception
{
(web);
}
@Override
protected void configure(HttpSecurity http) throws Exception
{
//开启登录认证
()
.antMatchers("/css/**").permitAll()
.antMatchers("/img/**").permitAll()
.antMatchers("/js/**").permitAll()
.antMatchers("/plugins/**").permitAll()
.antMatchers("/admin/**").access("@(request,authentication)") //自定义service实现实时的权限认证
.antMatchers("/pages/**").authenticated();
//没有权限,会自动跳到登陆页,需要开启登录的页面
()
.loginPage("/") //自定义的登录页面
.loginProcessingUrl("/login") //登录处理接口
.usernameParameter("username") //定义登录时的用户名的key 默认为username
.passwordParameter("password") //定义登录时的密码key,默认是password
.defaultSuccessUrl("/pages/") //登录成功跳转的页面
.failureUrl("/") //登录失败跳转的页面
.permitAll(); //和登录表单相关的接口/login通过
//退出登录配置
()
.logoutUrl("/logout") //退出登录接口
.logoutSuccessUrl("/") //退出登录成功跳转的页面
.permitAll(); //退出登录的接口放行
()
.and()
.csrf().disable() //csrf关闭 如果自定义登录 需要关闭
.headers().frameOptions().sameOrigin();//支持iframe嵌套
}
}
SecurityUserService:
登录的时候,会把username传递到这里
通过username查询admin,如果存在,将密码告诉springSecurity
如果不存在 返回Null,代表认证失败
package ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
@Service
public class SecurityUserService implements UserDetailsService
{
@Autowired
private AdminService adminService;
//登录的时候,会把username传递到这里
//通过username查询admin,如果存在,将密码告诉springSecurity
//如果不存在 返回Null,代表认证失败
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
{
Admin admin = (username);
if(admin == null)
{
//登录失败
return null;
}
UserDetails userDetails = new User(username,(),new ArrayList<>());
return userDetails;
}
}
AuthService:
自定义service 来去实现实时的权限认证
package ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
import ;
//自定义service 来去实现实时的权限认证
@Service
public class AuthService
{
@Autowired
private AdminService adminService;
//权限认证
public boolean auth(HttpServletRequest request, Authentication authentication)
{
//请求路径
String requestURI = ();
//匿名用户
Object principal = ();
if(principal == null || "anonymousUser".equals(principal))
{
//未登录
return false;
}
UserDetails userDetails = (UserDetails) principal;
String username = ();
Admin admin = (username);
if(admin == null)
{
return false;
}
//最高权限者
if(() == 1)
{
return true;
}
Long id = ();
List<Permission> permissionList = (id);
//requestURI可能有?后面的参数传参,所以要分割一下
requestURI = (requestURI, "?")[0];
for (Permission permission : permissionList)
{
//判断该用户有没有这个请求路径的权限
if((()))
{
return true;
}
}
return false;
}
}