前言

前置阅读

spring boot security快速使用示例
spring boot security之前后端分离配置

说明

实际场景，我们一般是把用户信息保存在db中（也可能是调用三方接口），需要自定义用户信息加载或认证部分的逻辑，下面提供一个示例。

代码示例

定义用户bean

@AllArgsConstructor
@Data
public class User {

    private String username;

    private String password;
}

定义Mapper

示例，代码写死了，并不是实际从数据库或某个存储查询用户信息：

@Component
public class UserMapper {

   public User select(String username) {
        return new User(username, "pass");
    }
}

定义加载用户数据的类

UserDetailsService 是spring security内置的加载用户信息的接口，我们只需要实现这个接口：

@Slf4j
@Component
public class UserDetailsServiceImpl implements UserDetailsService {

    public static final UserDetails INVALID_USER =
            new org.springframework.security.core.userdetails.User("invalid_user", "invalid_password", Collections.emptyList());

    private final UserMapper userMapper;

    public UserDetailsServiceImpl(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名从数据库查询用户信息
        User user = userMapper.select(username);
        if (user == null) {
            /**
             * 如果没查询到这个用户，考虑两种选择：
             * 1. 返回一个标记无效用户的常量对象
             * 2. 返回一个不可能认证通过的用户
             */
            return INVALID_USER;
//            return new User(username, System.currentTimeMillis() + UUID.randomUUID().toString(), Collections.emptyList());
        }
        /**
         * 这里返回的用户密码是否为库里保存的密码，是明文/密文，取决于认证时密码比对部分的实现，每个人的场景不一样，
         * 因为使用的是不加密的PasswordEncoder，所以可以返回明文
         */
        return new org.springframework.security.core.userdetails.User(username, user.getPassword(), Collections.emptyList());
    }
}

自定义认证的bean配置

@Configuration
public class WebConfiguration {

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 示例，不对密码进行加密处理
        return NoOpPasswordEncoder.getInstance();
    }


    @Bean
    public AuthenticationManager authenticationManager(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        // 设置加载用户信息的类
        provider.setUserDetailsService(userDetailsService);
        // 比较用户密码的时候，密码加密方式
        provider.setPasswordEncoder(passwordEncoder);
        return new ProviderManager(Arrays.asList(provider));
    }

}

注意，因为这个是示例，AuthenticationProvider使用的是spring security的DaoAuthenticationProvider ，在实际场景中，如果不满足可以自定义实现或者继承DaoAuthenticationProvider ，重写其中的：additionalAuthenticationChecks方法，主要就是认证检查的，默认实现如下：

	@Override
	@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		// 就是比对下请求传过来的密码和根据该用户查询的密码是否一致，passwordEncoder是根据不同的加密算法进行加密，示例我们用的是NoOpPasswordEncoder，也就是原始明文比对
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}

定义登录接口

@RequestMapping("/login")
@RestController
public class LoginController {

    private final AuthenticationManager authenticationManager;

    public LoginController(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @PostMapping()
    public Object login(@RequestBody User user) {
        try {
            // 使用定义的AuthenticationManager进行认证处理
            Authentication authenticate = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
            // 认证通过，设置到当前上下文，如果当前认证过程后续还有处理的逻辑需要的话。这个示例是没有必要了
            SecurityContextHolder.getContext().setAuthentication(authenticate);
            return "login success";
        }catch (Exception e) {
            return "login failed";
        }
    }

    /**
     * 获取验证码，需要的话，可以提供一个验证码获取的接口，在上面的login里把验证码传进来进行比对
     */
    @GetMapping("/captcha")
    public Object captcha() {
        return "1234";
    }
}

自定义HttpSecurity

@Component
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 在这里自定义配置
        http.authorizeRequests()
                // 登录相关接口都允许访问
                .antMatchers("/login/**").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .exceptionHandling()
                // 认证失败返回401状态码，前端页面可以根据401状态码跳转到登录页面
                .authenticationEntryPoint((request, response, authException) ->
                        response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase()))
                .and().cors()
                // csrf是否决定禁用，请自行考量
                .and().csrf().disable()
                // 采用http 的基本认证.
                .httpBasic();
    }
}

测试

示例中，用户密码写死是：pass，
用一个错误的密码试一下，响应登录失败：

使用正确的密码，响应登录成功：