首页   技术笔记   网址导航   Json在线解析   二维码   Ip地址查询   在线流程图  
新用户注册 | 会员登录
当前位置:  开发笔记 > 编程语言 > 正文

Spring Security的简单使用

作者:凹凸曼00威威_694 | 2021-10-27 10:36
这篇文章主要介绍了SpringSecurity的简单使用,帮助大家更好的理解和学习使用SpringBoot,感兴趣的朋友可以了解下

什么是Spring Security

  1. Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。
  2. Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求
  3. 在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。

Spring Security测试

前期准备

  1. 新建一个springboot项目,导入web模板和thymeleaf模板
  2. 导入静态资源

  1. 关闭thymeleaf缓存spring.thymeleaf.cache=false
  2. 先创建一个TestController来测试一下项目是否搭建成功
package com.example.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@Controller
public class TestController {

    @RequestMapping("/")
    public String index(){
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
        return "views/level2/"+id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
        return "views/level3/"+id;
    }

}

SpringSecurity的使用

引入spring-boot-starter-security模块

 
       org.springframework.boot
       spring-boot-starter-security

认识SpringSecurity的几个重要的类

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

SpringSecurity---授权(认真看代码和注释)

//授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/").permitAll() //首页所有人可以访问
                .antMatchers("/level1/**").hasRole("vip1")   //level1下的页面,VIP1可以访问
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //开启自动配置的登录功能,
        //即,没有登录的时候,除了首页,其他页面都访问不了,这时候,你访问其他页面的时候,
        //它直接跳转到它内置的登陆页面,让你登录 http.formLogin();
        http.formLogin().loginPage("/toLogin");//自定义登录页,将自定义的登录页替换掉内置的登录页

        //用来处理用户登录提交的表单
        http.formLogin().usernameParameter("username")
                .passwordParameter("password")
                .loginPage("/toLogin")
                .loginProcessingUrl("/login");


        //开启自动配置的注销的功能
        // /logout 注销请求  http.logout();
        http.csrf().disable();//关闭csrf功能:跨站请求伪造,默认只能通过post方式提交logout请求
        http.logout().logoutSuccessUrl("/");//注销成功就返回首页

        //开启记住我功能 http.rememberMe();
        http.rememberMe().rememberMeParameter("remember");//在自定义登录页添加 记住我
    }

SpringSecurity---认证(认真看代码和注释)

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /*
            auth.inMemoryAuthentication().withUser("xiaomi").password("123").roles("vip1")
            这样写是不行的,会出现500错误。
                原因:密码没有加密
            Spring security 5.0中新增了多种加密方式,也改变了密码的格式。
            要想我们的项目还能够正常登陆,需要修改一下configure中的代码。我们要将前端传过来的密码进行某种方式加密
            spring security 官方推荐的是使用bcrypt加密方式。
            这里通过 passwordEncoder(new BCryptPasswordEncoder())  的方式进行加密
       */
        // 在内存中定义认证的规则
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("xiaolong").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1")
                .and()
                .withUser("xiaomi").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2")
                .and()
                .withUser("xiaohu").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3");

        //在jdbc中定义认证的规则
        //auth.jdbcAuthentication()

    }

启动测试

静态资源

login.html




    
    
    登录
    
    







    


        

            
登录

        


        

            

                

                    

                        

                            

                                
                                

                                    
                                    
                                

                            

                            

                                
                                

                                    
                                    
                                

                            

                            

                                记住我
                            

                            
                        

                    

                

            

        


        

            

                注册
            

            


        

        

            
Spring Security

index.html




    
    
    首页
    
    
    







    

    

        
Spring Security

一些其他的小东西

  1. 如果你在测试TestController之前已经提前把spring-boot-starter-security这个依赖导入,那么你请求首页的时候,程序会自动跳转到登录页面,任何请求都会被拦截,停留在登录页面
  2. 如果用户还没有登录,你只能看到首页,你点击首页的任何界面的请求都会跳转到默认的登录页面。然后,你通过你认证过的用户进行登录,登录成功后会返回你之前点击的那个界面的请求。也就是说,本来界面有一个/level1/1.html你点击它,没登录,会直接跳转到默认的登录界面,登陆成功后,会返回/level1/1.html,而不是返回首页,这是默认的
  3. 分析一下自定义登录页的实现

以上就是Spring Security的简单使用的详细内容,更多关于Spring Security的使用的资料请关注其它相关文章!

推荐阅读
devbox
凹凸曼00威威_694
这个屌丝很懒,什么也没留下!
关注作者
Tags | 热门标签
RankList | 热门文章
DevBox开发工具箱 | 专业的在线开发工具网站    京公网安备 11010802040832号  |  京ICP备19059560号-6
Copyright © 1998 - 2020 DevBox.CN. All Rights Reserved devBox.cn 开发工具箱 版权所有