一:什么是SpringSecurity? 先上一波 百度百科… 还有官网链接
文章图片
文章图片
其实总结成一句话就是:它是一款可定制的身份验证和访问控制框架,用来提供安全认证服务
二:为什么要使用它? 之前我们需要搞web安全需求的时候,用的是拦截器和过滤器。现在使用 spring security框架来实现安全更加方便.Spring。是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
三:概念讲完直接上实战
3-1:创建springboot项目web模块 (勾选web依赖和thymeleaf模块)
文章图片
如果忘记勾选 thymeleaf模块 就添加如下依赖至pom.xml
org.springframework.boot
spring-boot-starter-thymeleaf
3-2:导入静态资源
文章图片
并取消模板缓存
文章图片
3-3:编写controller路由 进行测试 RouterController
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
@Controller
public class RouterController {
//首页请求
@GetMapping({"/","index.html","index"})
public String index(){
return "index";
}
//登陆请求
@GetMapping("/toLogin")
public String toLogin(){
return "views/login";
}
//等级一请求
@GetMapping("/lv1/{id}")
public String level1(@PathVariable("id") int id){
return "views/level1/"+id;
}
//等级二请求
@GetMapping("/lv2/{id}")
public String level2(@PathVariable("id") int id){
return "views/level2/"+id;
}
//等级三请求
@GetMapping("lv3/{id}")
public String level3(@PathVariable("id") int id){
return "views/level3/"+id;
}
}
3-4:启动服务 访问
文章图片
四:springboot整合spring security Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块
- WebSecurityConfigurerAdapter:自定义Security策略
- AuthenticationManagerBuilder:自定义认证策略
- @EnableWebSecurity:开启WebSecurity模式
“认证”(Authentication) 身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。
“授权” (Authorization) 授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限
4-1:实战 — 引入 Spring Security 模块
org.springframework.boot
spring-boot-starter-security
4-2:编写 Spring Security 配置类 SecurityConfig
文章图片
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableWebSecurity// 2、开启WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter { //1、配置类继承WebSecurityConfigurerAdapter//3、重写方法:定制请求的授权规则
@Override
protected void configure(HttpSecurity http) throws Exception {
// 定制请求的授权规则
// 首页所有人可以访问 其他页面根据等级访问
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/lv1/**").hasRole("vip1")
.antMatchers("/lv2/**").hasRole("vip2")
.antMatchers("/lv3/**").hasRole("vip3");
// 开启自动配置的登录功能
// /login 请求来到登录页
// /login?error 重定向到这里表示登录失败
http.formLogin();
}//4、重写方法:定义认证规则
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//在内存中定义,也可以在jdbc中去拿
//我们要将前端传过来的密码进行某种方式加密,否则就无法登录,不然会报 There is no PasswordEncoder mapped for the id "null"
//Spring security 5.0中新增了多种加密方式,也改变了密码的格式 官方推荐的是使用bcrypt加密方式
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("CSNZ").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
.and()
.withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
}
}
4-3:注销功能实现
SecurityConfig类:开启自动配置的注销的功能
文章图片
@Override
protected void configure(HttpSecurity http) throws Exception {
// 定制请求的授权规则
// 首页所有人可以访问 其他页面根据等级访问
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/lv1/**").hasRole("vip1")
.antMatchers("/lv2/**").hasRole("vip2")
.antMatchers("/lv3/**").hasRole("vip3");
// 开启自动配置的登录功能
// /login 请求来到登录页
// /login?error 重定向到这里表示登录失败
http.formLogin();
//开启自动配置的注销的功能
// /logout 注销请求 点击注销,发现注销完毕会跳转到登录页面
//http.logout();
//让他注销成功后,依旧可以跳转到首页
http.logout().logoutSuccessUrl("/");
}
在前端,增加一个注销的按钮,index.html 导航栏中
文章图片
注销
4-4:认证功能 ,结合thymeleaf
用户没有登录的时候,导航栏上只显示登录按钮,用户登录之后,导航栏可以显示登录的用户信息及注销按钮
4-4-1:导入thymeleaf和springsecurity结合的依赖
org.thymeleaf.extras
thymeleaf-extras-springsecurity5
3.0.4.RELEASE
4-4-2:前端页面 导入命名空间
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
4-4-3:修改导航栏,增加认证判断
效果展示
文章图片
tips:如果注销404了,就是因为它默认防止csrf跨站请求伪造,因为会产生安全问题,我们可以将请求改为post表单提交,或者在spring security中关闭csrf功能;我们试试:在 配置中增加
http.csrf().disable();
//关闭csrf功能:跨站请求伪造,默认只能通过post方式提交logout请求 http.logout().logoutSuccessUrl("/");
4-5:角色功能块认证
比如 CSNZ 这个用户,它只有 vip2,vip3功能,那么登录则只显示这两个功能,而vip1的功能菜单不显示
在index页面中的每一列 增加判断
sec:authorize="hasRole('vip?)"
文章图片
4-6:记住我功能实现
//定制请求的授权规则
@Override
protected void configure(HttpSecurity http) throws Exception {
//。。。。。。。。。。。
//记住我
http.rememberMe();
}
4-7:定制登录页
现在登录页面都是spring security 默认的,我们要配置自己写的Login界面,指定 loginpage即可
//定制请求的授权规则
@Override
protected void configure(HttpSecurity http) throws Exception {
//。。。。。。。。。。。
//定制首页走的是 views下面的login.html 验证走的请求/login
http.formLogin().loginPage("/views/login").loginProcessingUrl("/login");
}
因为使用我们自定义的登录页后 没有记住我功能 所以需要加上 记住我功能 【SpringBoot|SpringBoot 札记 (SpringSecurity入门与整合)】
文章图片
因为
记住我
本来是自定义的 所以配置里面也需要自定义记住我
//定制请求的授权规则
@Override
protected void configure(HttpSecurity http) throws Exception {
//............
//防止csrf跨站请求伪造,因为会产生安全问题:注销404原因
http.csrf().disable();
//关闭scrf功能
//开启记住我功能, 原理:cookie,默认保存两周
//http.rememberMe();
默认记住我
//自定义 记住我 需绑定参数
http.rememberMe().rememberMeParameter("remember");
}
推荐阅读
- SpringBoot 札记(静态资源导入问题、首页定制、模板引擎)
- SpringBoot|SpringBoot 札记(入门)
- spring源码|spring源码-生命周期
- spring初始化&循环引用
- Java毕业设计项目实战篇|Java项目:(小程序)物业管理系统(spring+spring mvc+mybatis+layui+微信小程)
- =======j2ee|spring用注解实现注入的@resource,@autowired,@inject区别
- jar|springboot项目打成jar包和war包,并部署(快速打包部署)
- 数据库|效率最高的Excel数据导入---(c#调用SSIS Package将数据库数据导入到Excel文件中【附源代码下载】)...
- java人生|35K 入职华为Java开发那天,我哭了(这 5 个月做的一切都值了)