SpringSecurity前传--与springboot2.0初步集成

  相信大家都知道登录功能，初级程序员的脑海里面就是账号，密码，登录按钮然后到后台数据库查询一下信息就OK了。但其实登录没有这么简单，因为：

1.我们所面临的登录认证模式很复杂

• 1.1短信的登录
• 1.2微信的登录
• 1.3QQ的登录

2.我们要支持多种前端渠道

• 2.1网页登录
• 2.2APP登录

3.支持集群环境，跨应用工作，Session控制，控制用户权限，说防护与身份认证相关的攻击

  认证和授权如此复杂，因此也诞生了作者对SpringSecurity系列的学习。本系列将主要从SpringSecurity,Spring Social,Spring Security OAuth来给大家进行讲解。其中SpringSecurity作为底层的实现，我将在后面的文章中讲解它是如何实现用户名+密码认证和手机号+短信认证的。Spring Social主要用于第三方认证，比如QQ，微信的接入。APP和后端服务器通讯的时候无法存储Session的问题，所以我们采用token的方式来存储登录用户的认证信息。使用Spring Security OAuth来创建、分发、管理Token信息。

4.开始开发

4.1代码架构

代码结构

4.1.1工程图：

4.1.2imooc-security

  主模块，只有pom文件，用于打包和发布

        
            
                io.spring.platform
                platform-bom
                Cairo-SR7
                pom
                import
            
            
                org.springframework.cloud
                spring-cloud-dependencies
                Finchley.RELEASE
                pom
                import
            
        
    
    
        
            
                org.apache.maven.plugins
                maven-compiler-plugin
                2.3.2
                
                    1.8
                    1.8
                    UTF-8
                
            
        
    
    
        ../imooc-security-app
        ../imooc-security-browser
        ../imooc-security-core
        ../imooc-security-demo
    

  这里引入了spring-cloud以及io.spring.platform的相关东西，io.spring.platform的好处是可以帮助我们在引入类似hibernate和spring的包的时候可以不用考虑版本不兼容的问题。最后的modules，引入了图中的其他4个模块。

4.1.3imooc-security-core

  存放核心登录逻辑，在本篇文章中，我们主要是先让我们的工程跑起来，还不会把具体的代码放进去，我会在后续的文章中渐进式的将相关代码逻辑放进去。

4.1.3.1pom.xml

    
        
            org.springframework.cloud
            spring-cloud-starter-oauth2
        
        
            org.springframework.boot
            spring-boot-starter-data-redis
        
        
            org.springframework.boot
            spring-boot-starter-jdbc
        
        
            mysql
            mysql-connector-java
        
        
            org.springframework.social
            spring-social-config
        
        
            org.springframework.social
            spring-social-core
        
        
            org.springframework.social
            spring-social-security
        
        
            org.springframework.social
            spring-social-web
        
        
            commons-lang
            commons-lang
        
        
            commons-collections
            commons-collections
        
        
            commons-beanutils
            commons-beanutils
        
        
            org.springframework.boot
            spring-boot-configuration-processor
        
    
    
        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    

这里面我们放入了对redis操作的相关包，更重要的是放入了spring-social，spring-security的相关依赖。

4.1.4imooc-security-app

依赖了imooc-security-core，所以它的pom.xml很简单

    
        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    
    
        
            com.imooc.security
            imooc-security-core
            ${imooc.security.version}
        
    

4.1.4imooc-security-browser

        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    
    
        
            com.imooc.security
            imooc-security-core
            ${imooc.security.version}
        
        
            org.springframework.session
            spring-session-data-redis
        
        
    

  browser除了依赖core还依赖了spring-session-data-redis，这样我们就可以把session存放到redis中，并在redis中对session里面的内容作操作。为什么app不放这个引用呢。前面我们说了，app和后台交互的时候，是没有session的，是通过token来管理的。

4.1.5imooc-security-demo

4.1.5.1pom.xml

    
        com.imooc.security
        imooc-security
        0.0.1-SNAPSHOT
        ../imooc-security
    
    
        
            com.imooc.security
            imooc-security-browser
            ${imooc.security.version}
        
    
    
        
            
                org.springframework.boot
                spring-boot-maven-plugin
                1.3.3.RELEASE
                
                    
                        
                            repackage
                        
                    
                
            
        
        demo
    

这里我们暂时先引入browser，后期在讲token方面的东西的时候会引入app，另外我们这里还加入了spring-boot-maven-plugin，让我们打包成可运行的jar包，如果说大家不加后面的build，可以看到你打出来的jar包是没有把相关的依赖放进去的，是没法直接执行的。

4.1.5.2DemoApplication

@SpringBootApplication
@RestController
@EnableAutoConfiguration(exclude = {
        org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class
})
public class DemoApplication {
    public static void main(String[] args) {
        try {
            SpringApplication.run(DemoApplication.class, args);
        } catch (Exception e) {
            e.printStackTrace();
        } catch(Error e) {
            e.printStackTrace();
        }
    }

    @GetMapping("/helloword")
    public String helloword() {
        return "hello spring security";

    }
}

用过SpringBoot的同学应该很熟悉这段配置了，这里我主要讲一下@EnableAutoConfiguration这个注解为什么要加在头上，如果不加，我们直接运行我们的工程，然后访问helloword，我们会看到下面的示意图：

默认配置

这样会让我们输入用户名和密码，加上了这段注解后，就会看到浏览器上现实hello spring security，如图所示：

不验证

现在我们使用的是spring-boot2.0之后的版本，以前的版本中，我们可以在application.properties中写上security.basic.enable=false来达到同样的效果。

4.1.5.3application.properties

spring.datasource.driver-class-name = com.mysql.jdbc.Driver
spring.datasource.url= jdbc:mysql://127.0.0.1:3306/test?useUnicode=yes&characterEncoding=UTF-8&useSSL=false
spring.datasource.username = 
spring.datasource.password = 
spring.session.store-type=none
#security.basic.enabled=false

在这里我们加入了对数据库的配置，如果不加，我们的springBoot会因为引入了spring-boot-starter-jdbc报错，为什么引入spring.session.store-type=none，这是因为我们引入了spring-boot-starter-data-redis，spring-session-data-redis，我们要把session放入redis中，但是现在我们还没有搭建redis，为了让我们的工程跑起来，所以我们这里设置为none。
  本篇文章，我们主要是使用spring-boot2.0先把基本框架搭建好，后面的文章中，我们将深入讲解其他内容。