JavaEE
鸿蒙应用开发
集成电路应用开发
人工智能开发
AI+Linux云计算运维
Python+大数据开发
跨境电商
AI+设计
AI测试
新媒体+短视频
HTML&JS+前端
更新时间:2019年08月01日 19时13分19秒 来源:黑马程序员论坛
第7章 登录与认证学习目标
在用户模块,对于用户密码的保护,通常都会进行加密。我们通常对密码进行加密,然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。 目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5更安全。 BCrypt 官网http://www.mindrot.org/projects/jBCrypt/ 1.2 快速入门(1)我们从官网下载源码 (2)新建工程,将源码类BCrypt拷贝到工程 (3)新建测试类,main方法中编写代码,实现对密码的加密 String gensalt = BCrypt.gensalt();//这个是盐 29个字符,随机生成System.out.println(gensalt); String password = BCrypt.hashpw("123456", gensalt); //根据盐对密码进行加密 System.out.println(password);//加密后的字符串前29位就是盐 (4)新建测试类,main方法中编写代码,实现对密码的校验。BCrypt不支持反运算,只支持密码校验。 boolean checkpw = BCrypt.checkpw("123456", "$2a$10$61ogZY7EXsMDWeVGQpDq3OBF1.phaUu7.xrwLyWFTOu8woE08zMIW"); System.out.println(checkpw);2. 安全框架Spring Security2.1 Spring Security简介2.1.1 安全框架概述 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 2.1.2 常用安全框架 Spring Security:spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。 我们课程中采用Spring Security。 2.1.3 认证与授权认证:限制用户只能登陆才可以访问资源。 授权:限制用户必须有某资源的访问权限才可以访问。 2.2 快速入门2.2.1 最简单案例需求:实现简单的登陆,当用户没有登陆访问主页执行拦截跳转到登陆,登陆后跳转到主页。实现退出登陆的功能,退出后再次访问主页仍然拦截。用户名和密码不连接数据库,直接在配置文件中配置。 (1)新建war工程,pom文件引入依赖 <packaging>war</packaging> <properties> <spring.version>5.0.5.RELEASE</spring.version> </properties> <dependencies> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring.version}</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>${spring.version}</version> </dependency> <dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.5</version> <scope>provided</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.apache.tomcat.maven</groupId> <artifactId>tomcat7-maven-plugin</artifactId> <configuration> <!-- 指定端口 --> <port>9090</port> <!-- 请求路径 --> <path>/</path> </configuration> </plugin> </plugins> </build> (2)创建webapp/WEB-INF/web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5"> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring-security.xml</param-value> </context-param> <listener> <listener-class> org.springframework.web.context.ContextLoaderListener </listener-class> </listener> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app> (3)resources下创建spring-security.xml <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <!-- 页面拦截规则 --> <http> <intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" /> <form-login/> <logout/> </http> <!-- 认证管理器 --> <authentication-manager> <authentication-provider> <user-service> <user name="admin" password="{noop}123456" authorities="ROLE_ADMIN"/> </user-service> </authentication-provider> </authentication-manager> </beans:beans> {noop}是制定密码加密策略为不加密 。noop的意思是明文保存的密码 (noop: No Operation) (4)webapp下创建index.html,内容随意。 (5)启动工程,打开浏览器输入地址 http://localhost:9090 ,浏览器显示 这个登陆页面时SpringSecurity帮我们自动生成的。 输入正确的密码,进入首页,输入错误的密码显示如下信息 配置说明: intercept-url 表示拦截页面 /* 表示的是该目录下的资源,只包括本级目录不包括下级目录 /** 表示的是该目录以及该目录下所有级别子目录的资源 form-login 为开启表单登陆 2.2.2 密码加密策略修改配置文件中的password为bcrypt加密后的密码,并制定加密策略为bcrypt <user-service> <user name="admin" password="{bcrypt}$2a$10$61ogZY7EXsMDWeVGQpDq3OBF1.phaUu7.xrwLyWFTOu8woE08zMIW" authorities="ROLE_ADMIN"/> </user-service> spring security官方推荐使用更加安全的bcrypt加密方式。spring security 5支持的加密方式有bcrypt、ldap、MD4、MD5、noop、pbkdf2、scrypt、SHA-1、SHA-256、sha256。 我们还有另外一种配置方式,来制定加密策略 <!--认证管理器--> <authentication-manager> <authentication-provider> <user-service> <user name="admin" password="$2a$10$EPtdfwSJ0ABj5JsCyLqhFe1g503DgA4lQvOxyZF/3usoyje5/q/Dy" authorities="ROLE_ADMIN"></user> </user-service> <password-encoder ref="bcryptEncoder"></password-encoder> </authentication-provider> </authentication-manager> <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />2.2.3 自定义登录页 (1)创建页面login.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>登录</title> </head> <body> <form action="/login" method="post"> <table> <tr> <td>用户名</td> <td><input name="username"> </td> </tr> <tr> <td>密码</td> <td><input type="password" name="password"> </td> </tr> </table> <button>登录</button> </form> </body> </html> (2)创建login_error.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>登录错误</title> </head> <body> 用户名和密码错误! </body> </html> (3)修改spring-security.xml拦截规则部分 <!-- 以下页面不被拦截 --> <http pattern="/login.html" security="none"></http> <http pattern="/login_error.html" security="none"></http> <!-- 页面拦截规则 --> <http> <intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" /> <form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/> <csrf disabled="true"/> </http> (4)测试,浏览器显示了我们自定义的登录页面 <csrf disabled="true"/> 为关闭跨域请求伪造控制。因为静态页无法动态生成token ,所以将此功能关闭。一般静态页采用图形验证码的方式实现防止跨域请求伪造的功能。 2.2.4 UserDetailsService我们刚才的例子是将用户名和密码配置在配置文件中,实际的企业级开发更多的是从数据库中提取用户名和密码信息,如何做到呢?我们这里学习UserDetailsService的使用。 (1)创建UserDetailsServiceImpl public class UserDetailsServiceImpl implements UserDetailsService { public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { System.out.println("经过UserDetailsServiceImpl"); //构建角色集合 ,项目中此处应该是根据用户名查询用户的角色列表 List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>(); grantedAuths.add(new SimpleGrantedAuthority("ROLE_ADMIN")); return new User(s,"$2a$10$61ogZY7EXsMDWeVGQpDq3OBF1.phaUu7.xrwLyWFTOu8woE08zMIW", grantedAuths); } } (2)修改配置文件 spring-security.xml认证管理器部分 <!-- 认证管理器 --> <authentication-manager> <authentication-provider user-service-ref="userDetailsService"> <password-encoder ref="bcryptEncoder"></password-encoder> </authentication-provider> </authentication-manager> <beans:bean id="userDetailsService" class="com.itheima.demo.UserDetailsServiceImpl"></beans:bean> <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />3. 青橙登录认证3.1 青橙登录页3.1.1 需求分析 实现管理后台的登录功能。登录页采用前端提供的页面。 3.1.2 代码实现qingcheng_common_web已经添加了springsecurity依赖 (1)添加登录页面(资源提供)。修改login.html ,指定表单提交地址为/login ,用户名和密码框的name 为username 和password (2)添加图标文件到webapp 。 资料\静态原型\网站前台\qingcheng\img\favicon.ico (3)qingcheng_web_manager工程web.xml添加配置 <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 注意:此配置必须加在springmvc之前 (4)qingcheng_web_manager工程添加配置文件applicationContext_security.xml,内容参照入门案例spring-security.xml ,添加配置 <http pattern="/css/**" security="none"></http> <http pattern="/img/**" security="none"></http> <http pattern="/js/**" security="none"></http> 修改目标页地址为main.html <form-login login-page="/login.html" default-target-url="/main.html" authentication-failure-url="/login.html" /> (5)qingcheng_web_manager工程添加UserDetailsServiceImpl,同入门案例。 3.2 访问数据库实现用户认证3.2.1 表结构分析系统数据库qingcheng_system .tb_admin 表(管理员表) 字段名称 字段含义 字段类型 字段长度 备注 ididINT login_name用户名VARCHAR password密码VARCHAR status状态CHAR3.2.2 代码实现 修改UserDetailsServiceImpl public class UserDetailsServiceImpl implements UserDetailsService { @Reference private AdminService adminService; public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { //查询管理员 Map map= new HashMap(); map.put("loginName",s); map.put("status","1"); List<Admin> list = adminService.findList(map); if(list.size()==0){ return null; } //构建角色集合 ,项目中此处应该是根据用户名查询用户的角色列表 List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>(); grantedAuths.add(new SimpleGrantedAuthority("ROLE_ADMIN")); return new User(s,list.get(0).getPassword(), grantedAuths); } }4. 青橙系统菜单展示4.1 需求分析 从数据库中读取菜单数据并展示。菜单为三级菜单,树形结构如下: { "data": [ { "path": "1",//菜单项所对应的路由路径 "title": "首页", //菜单项名称 "icon":"iconHome",//是否有子菜单,若没有,则为[] }, { "path": "2", "title": "商品",//一级菜单 "icon":"iconCommodity", "children": [ { "path": "2-1", "title": "商品管理",//二级菜单 "linkUrl":"", "icon":"iconSp", "children":[ { "path": "2-1-1", "title": "商品列表", "linkUrl":"all-medical-list.html",//三级菜单 }, { "path": "2-1-2", "title": "添加商品", "linkUrl":"commodity-add.html", } ] }, { "path": "2-2", "title": "添加配置", "linkUrl":"", "icon":"iconSet", "children":[ { "path": "2-2-1", "title": "商品分类", "linkUrl":"all-medical-list.html", }, { "path": "2-2-2", "title": "规格参数", "linkUrl":"all-medical-list.html", } ] } ] } ] }4.2 表结构分析 tb_menu (菜单表) 字段名称 字段含义 字段类型 字段长度 备注 id菜单IDVARCHAR name菜单名称VARCHAR icon图标VARCHAR urlURLVARCHAR parent_id上级菜单IDVARCHAR4.3 代码实现4.3.1 后端代码 (1)MenuService接口新增方法定义,用于返回全部菜单 public List<Map> findAllMenu(); (2)MenuServiceImpl实现此方法 /** * 查询全部菜单 * @return */ public List<Map> findAllMenu() { List<Menu> menuList = findAll();//查询全部菜单列表 return findMenuListByParentId(menuList,"0");//一级菜单列表 } /** * 查询下级菜单ID * @param menuList * @param parentId * @return */ private List<Map> findMenuListByParentId(List<Menu> menuList,String parentId){ List<Map> mapList=new ArrayList<>(); for(Menu menu:menuList){ //循环一级菜单 if(menu.getParentId().equals(parentId)){ Map map=new HashMap(); map.put("path",menu.getId()); map.put("title",menu.getName()); map.put("icon",menu.getIcon()); map.put("linkUrl",menu.getUrl()); map.put("children",findMenuListByParentId(menuList,menu.getId())); mapList.add(map); } } return mapList; } (3)qingcheng_web_manager工程MenuController新增方法 @GetMapping("/findMenu") public List<Map> findMenu(){ return menuService.findAllMenu(); }4.3.2 前端代码 修改页面的JS代码 created() { //....... axios.get("/menu/findMenu.do").then( response=>{ this.menuList=response.data; this.data=response.data[0] var data=[] for(var i=0;i<response.data[0].children.length;i++){ data.push(response.data[0].children.path) } this.openeds=data }) }4.3.3 同源策略设置 由于我们的main.html是框架页,需要修改同源策略。 <headers> <frame-options policy="SAMEORIGIN"></frame-options> </headers> X-Frame-Options response header 可用于指示是否应该允许浏览器呈现在一个页面(同源策略) 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 解释一下同源。如果两个url,协议、地址和端口都相同,我们称两个url为同源。 Spring Security下,X-Frame-Options默认为DENY. 如果不修改同源策略,框架页内将无法显示内容。 DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址。 4.3.4 获取当前登录人需求:主界面显示当前登陆人 实现思路:后端编写controller输出当前登录人,前端异步调用。 (1)后端代码实现: @RestController @RequestMapping("/login") public class LoginController { @GetMapping("/name") public Map showName(){ String name = SecurityContextHolder.getContext().getAuthentication().getName(); Map map=new HashMap(); map.put("name",name); return map; } } (2)前端代码实现: 在main.html中添加属性loginName,用于存储当前的登陆人 created()方法添加代码 //加载并显示当前登录名 axios.get('/login/name.do').then( response=>{ this.loginName= response.data.name; }) 页面显示登陆人 {{loginName}}4.3.5 退出登录 当我们在spring security配置文件中配置了<logout/>后,框架会为我们自动提供退出功能,地址为/logout,要求以post方式提交。 main.html新增方法 exit(){ axios.post('/logout').then(response=>{ location.href="login.html"; }) } 退出菜单调用: <span style="display:block;" @click="exit()">退出</span>5. 管理员登录日志5.1 需求分析 管理员登录后,记录管理员名称、登录时间、ip、浏览器类型、所在地区等信息 。 5.2 表结构分析tb_login_log 表 字段名称 字段含义 字段类型 字段长度 备注 ididINT login_name登录名VARCHAR ipipVARCHAR browser_name浏览器类型VARCHAR location地区VARCHAR login_time登录时间DATETIME5.3 代码实现5.3.1 登录成功处理器 (1)spring security为我们提供了一个叫“登录成功处理器”的组件,我们可以实现在登录后进行的后续处理逻辑。 public class AuthenticationSuccessHandlerImpl implements AuthenticationSuccessHandler { @Override public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException { System.out.println("登录成功处理器到此一游"); request.getRequestDispatcher("/main.html").forward(request, response); } } (2)applicationContext_security.xml新增配置 <beans:bean id="loginHandler" class="com.qingcheng.controller.AuthenticationSuccessHandlerImpl"> </beans:bean> <!--设置登陆成功处理器--> <form-login login-page="/login.html" default-target-url="/main.html" authentication-failure-url="/login.html" authentication-success-handler-ref="loginHandler"/>5.3.2 登录日志处理 修改qingcheng_web_manager的AuthenticationSuccessHandlerImpl public class AuthenticationSuccessHandlerImpl implements AuthenticationSuccessHandler { @Reference private LoginLogService loginLogService; @Override public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException { //登录后会调用 System.out.println("登录成功了,我要在这里记录日志"); String loginName = authentication.getName();//当前登录用户 String ip = httpServletRequest.getRemoteAddr(); //获取访问的ip LoginLog loginLog=new LoginLog(); loginLog.setLoginName(loginName); loginLog.setLoginTime(new Date()); // 当前登录时间 loginLog.setIp(ip); loginLogService.add(loginLog); httpServletRequest.getRequestDispatcher("/main.html").forward(httpServletRequest,httpServletResponse); } }5.3.3 根据IP获取城市信息 (1)将资源中提供的工具类WebUtil复制到qingcheng_common_web工程 (2)WebUtil类的getCityByIP用于根据IP地址获取城市信息,修改代码 loginLog.setLocation(WebUtil.getCityByIP(ip));//保存城市信息5.3.4 获取浏览器名称 String agent = httpServletRequest.getHeader("user-agent"); 获取到的信息如下:
我们没有必要存这么长的字符串,我们只需要存储一个浏览器名称就可以了,所以我们用到了WebUtil给我们提供的方法 getBrowserName( String agent ) 5.3.5 我的登录日志列表需求:查询我的登录日志列表 实现思路:后端获取当前登录人账号作为查询条件。前端精简生成的增删改查代码。 /** * 查询当前登录人的登录日志 * @param page * @param size * @return */ @GetMapping("/findPageByLogin") public PageResult<LoginLog> findPageByLogin(int page, int size){ //添加条件 String loginName = SecurityContextHolder.getContext().getAuthentication().getName(); Map map=new HashMap(); map.put("loginName",loginName); return loginLogService.findPage(map,page,size); }6. 修改密码(作业)6.1 需求分析 需求:界面输入原密码,新密码,确认密码。 新密码和确认密码必须一致,在前端校验。提交给后端后,后端判断原密码是否正确,如果正确,修改密码,注意密码要使用BCrypt加密。 6.2 思路提示这里我们会使用两个知识点: (1)获取当前登陆人。 (2)BCrypt校验密码与加密。 |
推荐了解热门学科
| java培训 | Python人工智能 | Web前端培训 | PHP培训 |
| 区块链培训 | 影视制作培训 | C++培训 | 产品经理培训 |
| UI设计培训 | 新媒体培训 | 产品经理培训 | Linux运维 |
| 大数据培训 | 智能机器人软件开发 |
传智播客是一家致力于培养高素质软件开发人才的科技公司,“黑马程序员”是传智播客旗下高端IT教育品牌。自“黑马程序员”成立以来,教学研发团队一直致力于打造精品课程资源,不断在产、学、研3个层面创新自己的执教理念与教学方针,并集中“黑马程序员”的优势力量,针对性地出版了计算机系列教材50多册,制作教学视频数+套,发表各类技术文章数百篇。
传智播客从未停止思考
传智播客副总裁毕向东在2019IT培训行业变革大会提到,“传智播客意识到企业的用人需求已经从初级程序员升级到中高级程序员,具备多领域、多行业项目经验的人才成为企业用人的首选。”
中级程序员和初级程序员的差别在哪里?
项目经验。毕向东表示,“中级程序员和初级程序员最大的差别在于中级程序员比初级程序员多了三四年的工作经验,从而多出了更多的项目经验。“为此,传智播客研究院引进曾在知名IT企业如阿里、IBM就职的高级技术专家,集中研发面向中高级程序员的课程,用以满足企业用人需求,尽快补全IT行业所需的人才缺口。
何为中高级程序员课程?
传智播客进行了定义。中高级程序员课程,是在当前主流的初级程序员课程的基础上,增加多领域多行业的含金量项目,从技术的广度和深度上进行拓展。“我们希望用5年的时间,打造上百个高含金量的项目,覆盖主流的32个行业。”传智播客课程研发总监于洋表示。
黑马程序员热门视频教程【点击播放】
| Python入门教程完整版(懂中文就能学会) | 零起点打开Java世界的大门 |
| C++| 匠心之作 从0到1入门学编程 | PHP|零基础入门开发者编程核心技术 |
| Web前端入门教程_Web前端html+css+JavaScript | 软件测试入门到精通 |