1.认识shiro除Spring Security安全框架外，应用非常广泛的就是Apache的强大又灵活的开源安全框架 Shiro,在国内使用量远远超过Spring Security。它能够用于身份验证、授权、加密和会话管理， 有易于理解的API,可以快速、轻松地构建任何应用程序。而且大部分人觉得从Shiro入门要比 Spring Security 简单。 1.1 认识Shiro的核心组件Shiro有如下核心组件。 Subject：代表当前“用户”。与当前应用程序交互的任何东西都是Subject,如爬虫、机器人、所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给 SecurityManager，Subject 是一个门面，SecurityManager 是实际的执行者。 SecurityManager：与安全有关的操作都会与SecurityManager交互。它管理着所有 Subject，是Shiro的核心，员责与其他组件进行交互。 Realm： Shiro从Realm中获取安全数据(用户、角色、权限)，SecurityManager 需要 ...

  在生产环境中，对发在的API增加授权保护是非常必要的。JWT作为一个无状态的授权校捡技术，非常适合于分布式系统架构。服务器端不需要保存用户状态，因此，无须采用Redis等技术来实现各个服务节点之间共享Session数据。   本节通过实例讲解如何用JWT技术进行授权认证和保护。 1.1 配置安全类（1）自定义用户查看代码 package com.intehel.jwt.domain;import lombok.Data;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;import javax.persistence.*;import java.util.ArrayList;import java.util.Collection;import ...

  在一个实际项目中，并非所有的请求都需要经过Spring Security过滤器，有一些特殊的请求，例如静态资源等，一般来说并不需要经过Spring Security过滤器链，用户如果访问这些静态资源，直接返回对应的资源即可。   回顾关于WebSecurity的讲解，提到它里边维护了一个ignoredRequests变量, 该变量，记录的就是所有需要被忽略的请求，这些被忽略的请求将不再经过Spring Security过滤器。例如，静态资源目录结构如图4-10所示。     图 4-10 现在这些静态资源的访问不需要经过Spring Security过滤器，具体配置方案如下: public class SecurityConfig extends WebSecurityConfigurerAdapter{ @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/mylo ...

  在Spring Security中可以同时存在多个过滤器链，一个WebSecurityConfigurerAdapter的实例就可以配置一条过滤器链。   我们来看如下一个案例： @Configurationpublic class SecurityConfig { @Bean UserDetailsService us(){ InMemoryUserDetailsManager users = new InMemoryUserDetailsManager(); users.createUser(User.withUsername("剑气近").password("{noop}123").roles("admin").build()); return users; } @Configuration @Order(1) static class SecurityConfig01 extends We ...

1.ObjectPostProcessor 使用  前面介绍了 ObjectPostProcessor的基本概念。相信读者已经明白，所有的过滤器都由对应的配置类来负责创建，配置类在将过滤器创建成功之后，会调用父类的postProcess方法，该 方法最终会调用到CompositeObjectPostProcessor对象的postProcess方法，在该方法中，会遍 历 CompositeObjectPostProcessor 对象所维护的 List 集合中存储的所有 ObjectPostProcessor 对 象，并调用其postProcess方法对对象进行后置处理。默认情况下，CompositeObjectPostProcessor 对象中所维护的List集合中只有一个对象那就是AutowireBeanFactoryObjectPostProcessor调用 AutowireBeanFactoryObjectPostProcessor 的 postProcess 方法可以将对象注册到 Spring 容器 中去。   升发者可以自定义ObjectPostProcessor对象，并添加 ...

过滤器链分析  提起Spring Security的实现原理，很多读者都会想到过滤器链。因为Spring Security中的所有功能都是通过过滤器来实现的，这些过滤器组成一个完整的过滤器链。那么，这些过滤器 链是如何初始化的？我们前面反复提到的AuthenticationManager又是如何初始化的？通过前面章节的学习，相信读者己经有了一些认识，本章我们将从头开始，分析Spring Security的初始化流程，同时再通过六个案例来让读者深入理解并且学会如何制作过滤器链。由于初始化流程相对复杂，因此我们没有选择在一开始就讲解Spring Security初始化流程，而是放到本节。当读者对于Spring Security有一个基本的认知之后再来讲解，此时相对来说就会比较容易理解。 本章涉及的主要知识点有： 初始化流程分析。 ObjectPostProcessor 的使用。 多种用户定义方式。 定义多个过滤器链。 静态资源过滤。 使用JSON格式登录。 添加登录验证码。 1. 初始化流程分析  Spring Security初始化流程整体上来说理解起来并不难,但是这里涉及许多零碎的 ...

1.配置多个数据源  多个数据源是指在同一个系统中，用户数据来自不同的表，在认证时，如果第一张表没有查找到用户，那就去第二张表中査询，依次类推。   看了前面的分析，要实现这个需求就很容易了，认证要经过AuthenticationProvider,每一 个 AuthenticationProvider 中都配置了一个 UserDetailsService,而不同的 UserDetailsService 则可以代表不同的数据源，所以我们只需要手动配置多个AuthenticationProvider,并为不同的 AuthenticationProvider 提供不同的 UserDetailsService 即可。   为了方便起见，这里通过 InMemoryUserDetailsManager 来提供 UserDetailsService 实例， 在实际开发中，只需要将UserDetailsService换成自定义的即可，具体配置如下： @Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapte ...

1.认证流程分析  Spring Security中默认的一套登录流程是非常完善并且严谨的。但是项目需求非常多样化, 很多时候，我们可能还需要对Spring Secinity登录流程进行定制，定制的前提是开发者先深刻理解Spring Security登录流程，然后在此基础之上，完成对登录流程的定制。本文将从头梳理 Spring Security登录流程，并通过几个常见的登录定制案例，深刻地理解Spring Security登录流程。   本章涉及的主要知识点有： 登录流程分析。 配置多个数据源。 添加登录验证码。 1.1登录流程分析要搞清楚Spring Security认证流程，我们得先认识与之相关的三个基本组件（Authentication 对象在前面文章种己经做过介绍，这里不再赘述）:AuthenticationManager、ProviderManager以及AuthenticationProvider,同时还要去了解接入认证功能的过滤器 AbstractAuthenticationProcessingFilter,这四个类搞明白了，基本上认证流程也就清楚了，下面我们逐个分析 ...

1.用户定义 在前面的案例中，我们的登录用户是基于配置文件来配置的(本质是基于内存)，但是在实际开发中，这种方式肯定是不可取的，在实际项目中，用户信息肯定要存入数据库之中。   Spring Security支持多种用户定义方式，接下来我们就逐个来看一下这些定义方式。通过前面的介绍(参见3小节),大家对于UserDetailsService以及它的子类都有了一定的了解, 自定义用户其实就是使用UserDetailsService的不同实现类来提供用户数据，同时将配置好的 UserDetailsService 配置给 AuthenticationManagerBuilder,系统再将 UserDetailsSeivice 提供给 AuthenticationProvider 使用， 1.1 基于内存前面案例中用户的定义本质上还是基于内存，只是我们没有将InMemoryUserDetailsManager类明确抽出来自定义，现在我们通过自定义InMemoryUserDetailsManager来看一下基于内存的用户是如何自定义的。    重写 WebSecurityConfigurerA ...

1. 登录用户数据获取  登录成功之后，在后续的业务逻辑中，开发者可能还需要获取登录成功的用户对象，如果不使用任何安全管理框架，那么可以将用户信息保存在httpsSession中，以后需要的时候直接从httpsSession中获取数据。在Spring Security中，用户登录信息本质上还是保存在 httpsSession中，但是为了方便使用，Spring Security对httpsSession中的用户信息进行了封装， 封装之后，开发者若再想获取用户登录数据就会有两种不同的思路： 从 SecurityContextHolder 中获取 从当前请求对象中获取。 这里列出来的两种方式是主流的做法，开发者也可以使用一些非主流的方式获取登录成功后的用户信息，例如直接从httpsSession中获取用户登录数据， 无论是哪种获取方式，都离不开一个重要的对象：Authentication。在Spring Security中， Authentication对象主要有两方面的功能： 作为AuthenticationManager的输入参数，提供用户身份认证的凭证，当它作为一个 输入参数时， ...

1. 登录表单配置1.1 快速入门理解了入门案例之后，接下来我们再来看一下登录表单的详细配置，首先创建一个新的Spring Boot项目，引入Web和Spring Security依赖，代码如下： <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId></dependency>   项目创建好之后，为了方便测试，需要在application.yml中添加如下配置，将登录用户名和密码固定下来： spring: securit ...

  对于安全管理框架而言，认证功能可以说是一切的起点，所以我们要研究Spring Security, 就要从最基本的认证开始。在Spring Security中，对认证功能做了大量的封装，以至于开发者只需要稍微配置一下就能使用认证功能，然而要深刻理解其源码却并非易事。本文从最基本的用法开始讲解，最终再扩展到对源码的理解。 本章涉及的主要知识点有： Spring Security 基本认证。 登录表单配置。 登录用户数据获取。 用户的四种定义方式。 1.Spring Security 基本认证1.1 快速入门在Spring Boot项目中使用Spring Security非常方便，创建一个新的Spring Boot项目，我 们只需要引入Web和Spring Security依赖即可，具体代码如下： <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> ...