完成后,在src/test/java下的cn.tedu.straw.portal.service.UserServiceTests编写并执行单元测试:
@Test
void login() {
String username = "13988139111";
UserDetails userDetails = userService.login(username);
log.debug("login, user details={}", userDetails);
}
如果测试通过,就可以把以上获取得到的UserDetails对象应用到UserDetailsServiceImpl的返回值中:
@Component
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private IUserService userService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
return userService.login(username);
}
}
17. 用户登录-关于访问控制(相当于拦截器)
在SecurityConfig中重写protected void configure(HttpSecurity http)方法:
@Override
protected void configure(HttpSecurity http) throws Exception {
// 准备白名单,是不需要登录就可以访问的路径
String[] antMatchers = {
"/index.html"
};
// 授权设置,是相对固定的配置
// csrf().disable() > 关闭跨域攻击
// authorizeRequests() > 对请求进行授权
// antMatchers() > 配置访问白名单
// permitAll() > 对白名单中的路径进行授权
// anyRequest() > 其它的请求
// authenticated() > 仅经过授权的允许访问,也可以理解为“未被授权将不允许访问”
// and.formLogin() > 未被授权的将通过登录表单进行验证登录并授权
http.csrf().disable()
.authorizeRequests()
.antMatchers(antMatchers).permitAll()
.anyRequest().authenticated()
.and().formLogin();
}
关于以上代码:
调用参数对象http的链式方法的配置是相对固定的,可以尝试理解,也可以直接套用;
以上调用的antMatchers()相当于使用SpringMVC拦截器时配置白名单,方法的参数中,应该将所有需要被直接放行(不登录即可访问的位置)的路径都添加进来,例如:
String[] antMatchers = {
"/index.html",
"/bower_components/**",
"/css/**",
"/img/**",
"/js/**"
};
至今,主页index.html是不需要登录即可访问的,而其它页面暂时都是需要登录才允许访问的!
18. 用户登录-更换自定义登录页
首先,在项目中添加Thymeleaf的依赖:
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
自定义的登录页面,将是被设计为HTML模版页,当请求登录的网址时,转发到该HTML模版页,则在项目的src/main/resoueces下创建templates文件夹,这是SpringBoot项目默认使用的模版页面文件夹,不需要配置,在转发时默认就会在这个文件夹中查询HTML模版文件,当文件夹创建完成后,将static文件夹下的login.html文件拖拽到templates文件夹下。
接下来,自定义控制器,设计登录页面的请求路径,在处理该路径的请求时,直接转发到**/templates/login.html**文件,由于Thymeleaf在整合时已经将前缀配置为了/templates/,把后缀配置为了.html,所以在控制器返回的视图名就是login:
@Controller
public class SystemController {
@GetMapping("/login.html")
public String login() {
return "login";
}
// 适用于使用@RestController时
// public ModelAndView login() {
// return new ModelAndView("login");
// }
}
然后,还需要将以上设计的请求路径添加到配置的白名单中。
完成后,重启项目,在浏览器通过http://localhost:8080/login.html即可看到自定义的登录页面。
目前,通过http://localhost:8080/login.html可以访问到自定义的登录页,并且,通过http://localhost:8080/login还能访问到Spring Security内置的登录页,也就是说,这2个登录页面是共存的!应该通过配置,使得Spring Security始终自动使用我们自定义的登录页!需要在SecurityConfig类的配置中补充添加:
package cn.tedu.straw.portal.security;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// @Bean
// public PasswordEncoder passwordEncoder() {
// return new BCryptPasswordEncoder();
// }
// @Override
// protected void configure(HttpSecurity http) throws Exception {
// http.csrf().disable();
// }
@Autowired
UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
// 登录页面的URL
String loginPageUrl = "/login.html";
// 处理登录请求的URL
String loginProcessingUrl = "/login";
// 登录失败后的URL
String loginFailureUrl = "/login.html?error";
// 登录成功后的URL
String loginSuccessUrl = "/index.html";
// 退出登录的URL
String logoutUrl = "/logout";
// 退出登录成功后的URL
String logoutSuccessUrl = "/login.html?logout";
// 准备白名单,是不需要登录就可以访问的路径
String[] antMatchers = {
loginPageUrl,
"/index.html",
"/bower_components/**",
"/css/**",
"/img/**",
"/js/**"
};
// 授权设置,是相对固定的配置
// csrf().disable() > 关闭跨域攻击
// authorizeRequests() > 对请求进行授权
// antMatchers() > 配置访问白名单
// permitAll() > 对白名单中的路径进行授权
// anyRequest() > 其它的请求
// authenticated() > 仅经过授权的允许访问,也可以理解为“未被授权将不允许访问”
// and.formLogin() > 未被授权的将通过登录表单进行验证登录并授权
http.csrf().disable()
.authorizeRequests()
.antMatchers(antMatchers).permitAll()
.anyRequest().authenticated()
.and().formLogin()
.loginPage(loginPageUrl)
.loginProcessingUrl(loginProcessingUrl)
.failureUrl(loginFailureUrl)
.defaultSuccessUrl(loginSuccessUrl)
.and().logout()
.logoutUrl(logoutUrl)
.logoutSuccessUrl(logoutSuccessUrl);
}
}
19. 关于访问权限控制
先准备一下测试使用的URL:
@RestController
@RequestMapping("/test")
public class TestController {
@Autowired
private IUserService userService;
// http://localhost:8080/test/user/1
@GetMapping("/user/{id}")
public User getUserById(@PathVariable("id") Integer id) {
return userService.getById(id);
}
}