SpringSecurity+Redis认证过程小结

第SpringSecurity+Redis认证过程小结由于今天用Security进行权限管理的时候出现了一些Bug，特此发这篇博客来补习一下对SpringSecurity的理解

当今市面上用于权限管理的流行的技术栈组合是

ssm+shrio

SpringCloud+SpringBoot+SpringSecurity

这种搭配自然有其搭配的特点，由于SpringBoot的自动注入配置原理，在创建项目时就自动注入管理SpringSecurity的过滤器容器（DelegatingFilterProxy），而这个过滤器是整个SpringSercurity的核心。掌握着SpringSercurity整个权限认证过程，而SpringBoot很香的帮你将其自动注入了，而用ssm

去整合Security，将会耗用大量的配置文件，不易于开发，而Security的微服务权限方案，更是能和Cloud完美融合，于是Security比Shrio更强大，功能更齐全。

Security的核心配置文件

核心：ClassSecurityConfigextendsWebSecurityConfigurerAdapter

继承了WebSecurityConfigurerAdapter后我们关注于configure方法对于在整个安全认证的过程进行相关的配置，当然在配置之前我们先简单了解一下流程

简单的看了整个权限认证的流程，很轻易的总结得出，SpringSecurity核心的就是以下几种配置项了

拦截器（Interceptor）

过滤器（Filter）

处理器（Handler，异常处理器，登录成功处理器）

那我们就首先通过配置来完成认证过程吧！！！！

Security的认证过程

假设我们要实现一下的认证功能

1.是登录请求

我们需要先判断验证码是否正确(验证码过滤器，通过addFilerbefore实现前置拦截)

再判断用户名密码是否正确（使用自带的用户名密码过滤器，UsernamePasswordAuthenticationFilter）

配置异常处理器（Handler）通过IO流将异常信息写出

关于密码校验的流程：

UsernamePasswordAuthenticationFilter的密码校验规则是基于AuthenticationManagerBuilder（认证管理器）下的UserDetailsService里的规则进行验证的：

其中的核心方法：

1.publicUserDetails*loadUserByUsername(Stringusername)

通过请求参数的用户名去数据库查询是否存在，存在则将其封装在UserDetails里面，而验证过程是通过AuthenticationManagerBuilder获取到UserDetail里的username和password来校验的，

这样我们就可以通过

配置yaml文件设置账号密码

通过数据库结合UserDetail来设置账号密码

(UserDetailsService中的方法，注意需要将UserDetailsService注入AuthenticationManagerBuilder中)

@Override

publicUserDetailsloadUserByUsername(Stringusername)throwsUsernameNotFoundException{

SysUsersysUser=sysUserService.getByUsername(username);

if(sysUser==null){

thrownewUsernameNotFoundException(用户名或密码不正确

//注意匹配参数，前者是明文后者是暗纹

System.out.println(是否正确+bCryptPasswordEncoder.matches(111111,sysUser.getPassword()));

returnnewAccountUser(sysUser.getId(),sysUser.getUsername(),sysUser.getPassword(),getUserAuthority(sysUser.getId()));

通过了这个验证后，过滤器放行，不通过就用自定义或者默认的处理器处理

核心配置文件：

packagecom.markerhub.config;

importcom.markerhub.security.*;

importorg.springframework.beans.factory.annotation.Autowired;

importorg.springframework.context.annotation.Bean;

importorg.springframework.context.annotation.Configuration;

importorg.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

importorg.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

importorg.springframework.security.config.annotation.web.builders.HttpSecurity;

importorg.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

importorg.springframework.security.config.http.SessionCreationPolicy;

importorg.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

importorg.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled=true)

publicclassSecurityConfigextendsWebSecurityConfigurerAdapter{

@Autowired

LoginFailureHandlerloginFailureHandler;

@Autowired

LoginSuccessHandlerloginSuccessHandler;

@Autowired

CaptchaFiltercaptchaFilter;

@Autowired

JwtAuthenticationEntryPointjwtAuthenticationEntryPoint;

@Autowired

JwtAccessDeniedHandlerjwtAccessDeniedHandler;

@Autowired

UserDetailServiceImpluserDetailService;

@Autowired

JwtLogoutSuccessHandlerjwtLogoutSuccessHandler;

@Bean

JwtAuthenticationFilterjwtAuthenticationFilter()throwsException{

JwtAuthenticationFilterjwtAuthenticationFilter=newJwtAuthenticationFilter(authenticationManager());

returnjwtAuthenticationFilter;

@Bean