Hi，大家好，我是姜友华。
今天，我们一起来看看用户登录部分。这一部分涉及到Spring Security，让我们一步步来实现它。

这里有Spring Security 中文版手册可以看看。

一、添加spring-security。

1. 在pom.xml添加spring-security支持。

......
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
......

2. 添加后更新Maven，运行，在浏览器上查看一下。

Spring security 登录

这里需要说明一下：

• 添加Spring Security后，默认会拦截服务器的所有请求，并跳转到登录页面。
• Spring Security不仅有默认的登录页面，还有默认的登录处理入口，即/login。

3. 简单测试一下，是否可用。

• 在resource/static/添加index.html。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Root Index</title>
</head>
<body>
    <h1>I'm Root Index</h1>
</body>
</html>

• 在com.muutr.shop添加config包后，再在config里添加SecurityConfig类。

package com.muutr.shop.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    protected void configure(final AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(NoOpPasswordEncoder.getInstance())
                .withUser("user").password("0000").roles("USER");
    }
}

运行看看。输入错误的用户名或密码，会显示错误信息；输入正确的用户名与密码，会跳转到首页。
需要注意的是：NoOpPasswordEncoder是一个过期的方法。这里我们只是用来测试Spring Security是否可用，在工程里，你千万别用。

二、使用数据库来实现登录。

1. 在resource/static/里添加目录结构如下：

> resource
    > static
        > admin
            - index.html
        > user
            - index.html
        - index.html
        - login.html

• admin/index.html。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Admin Index</title>
</head>
<body>
    <h1>I'm Admin Index</h1>
</body>
</html>

• user/index.html。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>User Index</title>
</head>
<body>
    <h1>I'm User Index</h1>
</body>
</html>

• index.html。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Root Index</title>
</head>
<body>
    <h1>I'm Root Index</h1>
</body>
</html>

• login.html。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>User Login</title>
</head>
<body>
<form action="/login" method="post">
    <input type="text" name="username" placeholder="Username">
    <input type="password" name="password" placeholder="PassWord">
    <input type="submit" value="Submit">
</form>
</body>
</html>

2. 在数据库shop里添加表user_register。

• 创建表。

CREATE TABLE user_register
(
    `id`          BIGINT(20) UNSIGNED NOT NULL AUTO_INCREMENT,
    `name`        VARCHAR(255) COMMENT '用户账号',
    `password`    VARCHAR(255) COMMENT '密码',
    `create_time` DATETIME            NOT NULL DEFAULT CURRENT_TIMESTAMP,
    `update_time` DATETIME            NULL     DEFAULT NULL ON UPDATE CURRENT_TIMESTAMP,
    `status` TINYINT(1)                        DEFAULT 1 COMMENT '用户是否有效',
    UNIQUE INDEX unique_name (`name`),
    PRIMARY KEY (`id`)
) COMMENT '用户注册表';

• 插入数据。

INSERT INTO user_register (username, password)
VALUES ('jyh', '0000');
UPDATE user_register
SET password = '$2a$10$sFydHDKoaxkB5tEPhOWRtel0PPhaQKvHHfnBN36XsgTbXSKqucbDi'
WHERE id = 1;

这个password的一长串字符是啥？那是“0000”BCrypt编码。我们可以这样得到：

使用debug运行，在SecurityConfig方法里打断点，在Variables里添加(new BCryptPasswordEncoder()).encode("0000")，会输出这种字符串。

生成“0000”BCrypt编码

3. 添加Entity。

UserRegister与user_register表对应，同时需要实现UserDetails。

package com.muutr.shop.entity;

import lombok.Data;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.Date;

@Data
public class UserRegister implements UserDetails {
    private int id;
    private String username;
    private String password;
    private Date createTime;
    private Date updateTime;
    private Collection<? extends GrantedAuthority> authorities;

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

4. 添加Mapper。

• userRegisterMapper类文件。

package com.muutr.shop.mapper;

import com.muutr.shop.entity.UserRegister;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;

import java.util.List;

@Mapper
public interface UserRegisterMapper {
    UserRegister selectUserByName(@Param("username") String name);
}

• userRegisterMapperXML文件。

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.muutr.shop.mapper.UserRegisterMapper">
    <resultMap id="BaseResultMap" type="com.muutr.shop.entity.UserRegister" >
        <id column="id" property="id" jdbcType="BIGINT" />
        <result column="username" property="username" jdbcType="VARCHAR" />
        <result column="password" property="password" jdbcType="VARCHAR" />
        <result column="create_time" property="createTime" jdbcType="DATE" />
        <result column="update_time" property="updateTime" jdbcType="DATE" />
    </resultMap>
    <select id="selectUserByName" parameterType="java.lang.String" resultMap="BaseResultMap">
        select id, username, password, create_time, update_time from user_register where status = 1 AND username = #{username}
    </select>
</mapper>

5. 添加Service。

package com.muutr.shop.service.impl;

import com.muutr.shop.entity.UserRegister;
import com.muutr.shop.mapper.UserRegisterMapper;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.Collection;

@Service
从数据库里查找用户，并设置他的权限。
public class UserDetailsServiceImpl implements UserDetailsService {
    private final UserRegisterMapper userRegisterMapper;

    public UserDetailsServiceImpl(UserRegisterMapper userRegisterMapper) {
        this.userRegisterMapper = userRegisterMapper;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserRegister user = userRegisterMapper.selectUserByName(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        user.setAuthorities(authorities);
        return user;
    }
}

注意，这里是ROLE_USER，所以权限名称都需要添加ROLE_前缀。

5. 改SecurityConfig的认证方式。

由内存认证改为自定义认证。从userDetailsService获取数据，使用BCrypt编码去认证。

package com.muutr.shop.config;

import com.muutr.shop.service.impl.UserDetailsServiceImpl;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    private final UserDetailsServiceImpl userDetailsService;

    public SecurityConfig(UserDetailsServiceImpl userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Override
    protected void configure(final AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

这里所有了BCryptPasswordEncoder()来进行BCrypt编码。
运行一下，可以成功登录。

登录成功跳转首页

三、用户权限划分。

1. 添加权限规则。

• 在SecurityConfig文件里，添加configure方法。

......
    protected void configure(final HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
                .antMatchers("/", "/**").permitAll()
                .and()
                .formLogin().defaultSuccessUrl("/user/index.html", true)
                .and()
                .logout();
    }
......

上面代码的意思是：

• 我们来处理权限请求，优先级最高的排前面;
• 访问admin文件夹里的，需要ADMIN权限；
• 访问user文件夹里的，需USER权限；
• 其余的，不需要权限；
• 还有，使用表单登录，成功后转到/user/index.html；

• 还有，使用登出。
  进入了/user/index.html

2. 使用自定义的表单进行提交。

修改SecurifyConfig：

• 指定登录页面即处理权限的入口；
• 关闭“csrf防护”。
  CSRF（Cross Site Request Forgery），中文是跨站点请求伪造。由于我们没有使用模板引擎，请求时没有带CSRF Token。

protected void configure(final HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
                .antMatchers("/", "/**").permitAll()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/login")
                .defaultSuccessUrl("/user/index.html", true)
                .and()
                .logout()
                .and()
                .csrf().disable();
    }

运行是成功的。

3. 使用登出。

• /user/index.html添加登出链接。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>User Index</title>
</head>
<body>
<a href="/logout">Logout</a>
<h1>I'm User Index</h1>
</body>
</html>

点击页面可的Logout，实现了登出。

好吧，就这些了。我是姜友华，下次见。