更多内容，前往IT-BLOG

---

Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring 应用上下文中配置的 Bean，充分利用了Spring IoC，DI（控制反转 Inversion of Control ，DI：Dependency Injection 依赖注入）和 AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

---

【1】创建 Maven工程（war形式）：spring-security-demo
【2】修改 pom.xml目录，如下：

1
2 3 4.12 4 4.2.4.RELEASE 5 4.0.0 6 2.5 7 2.8.4 8 3.4.7 9 0.1 10 3.2.8 11 1.2.2 12 1.2.15 13 5.1.32 14 1.0.9 15 1.3.1 16 2.3.23 17 5.11.2 18 3.2.3.RELEASE 19 4.10.3 20 2012_u6 21
22 23 24 org.springframework 25 spring-core 26 ${spring.version} 27 28 29 org.springframework 30 spring-web 31 ${spring.version} 32 33 34 35 org.springframework 36 spring-webmvc 37 ${spring.version} 38 39 40 41 org.springframework 42 spring-context-support 43 ${spring.version} 44 45 46 47 org.springframework 48 spring-test 49 ${spring.version} 50 51 52 53 org.springframework 54 spring-jdbc 55 ${spring.version} 56 57 58 59 org.springframework.security 60 spring-security-web 61 4.1.0.RELEASE 62 63 64 65 org.springframework.security 66 spring-security-config 67 4.1.0.RELEASE 68 69 70 71 javax.servlet 72 servlet-api 73 2.5 74 provided 75 76 77
78 79 80 81 82 org.apache.maven.plugins 83 maven-compiler-plugin 84 3.2 85 86 1.7 87 1.7 88 UTF-8 89 90 91 92 org.apache.tomcat.maven 93 tomcat7-maven-plugin 94 95 96 9090 97 98 / 99 100 101 102

注意：如果只是给自己的项目中嵌入 Spring Security 安全框架，只需要添加如下两个 jar 包即可。

1 2 org.springframework.security 3 spring-security-web 4 4.1.0.RELEASE 5
6
7 8 org.springframework.security 9 spring-security-config 10 4.1.0.RELEASE 11

【3】创建 web.xml 文件（通过 Spring Security 拦截需要处理的请求和引入 Spring Security 的配置文件）。

1
2 http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app\_2\_5.xsd" 5 version="2.5"> 6 7 8 contextConfigLocation 9 classpath:spring-security.xml 10 11 12 13 org.springframework.web.context.ContextLoaderListener 14 15 16 17 18 19 springSecurityFilterChain 20 org.springframework.web.filter.DelegatingFilterProxy 21 22 23 springSecurityFilterChain 24 /* 25 26

【4】创建 Spring Security 配置文件：spring-security.xml（与 web.xml 中引入的配置文件对应），代码中有配置的详细说明注解。

1
2
3 http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd 9 http://code.alibabatech.com/schema/dubbo http://code.alibabatech.com/schema/dubbo/dubbo.xsd 10 http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> 11 12 14 15 16 17 18 19 20 21 22 25 26 30 31 34 38 42 43 44 45 46 47 48 49 50 51 57 58 59 60 61 62 63 64 65 66 72 73 77 78 79 80 84

【5】需要自己创建：login.html（登录页面 如下）、index.html（登录成功跳转页面）、login_error.html（登录失败跳转页面）

1
2 3 4 5 6 7 8 --欢迎登陆我的系统-- 9

10 用户名：
11 密码：
12 登陆 13

14 15

---

【1】配置文件中配置的，登录时用户名和密码的业务逻辑处理类（实现 UserDetailsService：框架自带的接口），注意：普通 demo 不需要此部分，主要用于真是环境登录逻辑的处理。

1 public class UserDetailServiceImpl implements UserDetailsService {
2 //当通过配置文件的形式，引入服务类时需要设置set方法。
3 private SellerService sellerService;
4
5 public void setSellerService(SellerService sellerService) {
6 this.sellerService = sellerService;
7 }
8
9 @Override
10 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
11 //GrantedAuthority : 定义用户角色，需要实现的接口
12 List list =new ArrayList<>();
13 //用户添加角色，SimpleGrantedAuthority可以定义用户角色，实现了GrantedAuthority接口，
14 //格式必须以（ROLE_）开头
15 list.add(new SimpleGrantedAuthority("ROLE_SELLER"));
16 //从数据库中获取用户信息。
17 TbSeller seller = sellerService.findOne(username);
18 if(seller != null) {
19 //返回username：传过来的参数。seller.getPassword：数据库中获取到的用户密码。
20 //list:用户的所有角色，可以从数据库中获取
21 return new User(username, seller.getPassword(), list);
22 }else {
23 return null;
24 }
25 }
26 }

【2】BCrypt 加密过程（配置中说明了 BCrypt 与 MD5 的区别）。

1 @RequestMapping("/add")
2 public Result add(@RequestBody TbSeller seller){
3 try {
4 //BCrypt加密使用的对象BCryptPasswordEncoder
5 BCryptPasswordEncoder cryptPasswordEncoder = new BCryptPasswordEncoder();
6 //使用encode方法对传入的密码加密,返回30位的字符串
7 String encode = cryptPasswordEncoder.encode(seller.getPassword());
8 //业务处理：接入对象中
9 seller.setPassword(encode);
10 //调用服务层，入库
11 sellerService.add(seller);
12 return new Result(true, "增加成功");
13 } catch (Exception e) {
14 e.printStackTrace();
15 return new Result(false, "增加失败");
16 }
17 }

---

☏ SecurityContextHolder 用于存储安全上下文（security context）的信息。当前操作的用户是谁，该用户是否已经被认证，他拥有哪些角色权限…这些都被保存在 SecurityContextHolder 中。SecurityContextHolder 默认使用 ThreadLocal  策略来存储认证信息。看到 ThreadLocal 也就意味着，这是一种与线程绑定的策略。Spring Security 在用户登录时自动绑定认证信息到当前线程，在用户退出时，自动清除当前线程的认证信息。但这一切的前提，是你在 web 场景下使用 Spring Security。
☏ 因为身份信息是与线程绑定的，所以可以在程序的任何地方使用静态方法获取用户信息。一个典型的获取当前登录用户的姓名的例子如下所示：getAuthentication() 返回了认证信息。

1 @RequestMapping("/name")
2 public Map getName(){
3 //获取登录名
4 String name = SecurityContextHolder.getContext().getAuthentication().getName();
5 Map map = new HashMap<>();
6 map.put("loginName", name);
7 return map;
8 }

☏ Authentication 源码：

1 package org.springframework.security.core;// <1>
2 public interface Authentication extends Principal, Serializable { // <1>
3 Collection getAuthorities(); // <2>
4 Object getCredentials();// <2>
5 Object getDetails();// <2>
6 Object getPrincipal();// <2>
7 boolean isAuthenticated();// <2>
8 void setAuthenticated(boolean var1) throws IllegalArgumentException;
9 }

【1】Authentication 是 Spring Security 包中的接口，直接继承自 Principal 类，而 Principal 是位于 java.security 包中的。可以见得，Authentication 在 Spring Security 中是最高级别的身份/认证的抽象。
【2】由这个顶级接口，我们可以得到用户拥有的权限信息列表，密码，用户细节信息，用户身份信息，认证信息。
authentication.getPrincipal() 返回了一个 Object，我们将 Principal 强转成了Spring Security 中最常用的 UserDetails，这在Spring Security 中非常常见，接口返回 Object，使用 instanceof 判断类型，强转成对应的具体实现类。接口详细解读如下：
getAuthorities()：权限信息列表，默认是GrantedAuthority接口的一些实现类，通常是代表权限信息的一系列字符串。
getCredentials()：密码信息，用户输入的密码字符串，在认证过后通常会被移除，用于保障安全。
getDetails()：细节信息，web应用中的实现接口通常为 WebAuthenticationDetails，它记录了访问者的 ip地址和 sessionId的值。
getPrincipal()：最重要的身份信息，大部分情况下返回的是UserDetails接口的实现类，也是框架中的常用接口之一。

​
----关注公众号，获取更多内容_----_