SpringSecurity 介绍
Spring Security 是针对 Spring 项目的安全框架,也是 Spring Boot 底层安全模块默认的技术选型。它可以实现强大的 Web 安全控制。对于安全控制吧,我们仅如引入 Security 场景启动器,进行少量配置,即可实现强大的安全管理。
应用程序安全的主要两个区域就是“认证”和“授权”:
- 认证(Authentication):建立一个声明主体的过程,主体一般是指用户。
- 授权(Authorization):指确定一个主体是否允许在你的应用程序执行一个动作的过程。
SpringSecurity with Boot 快速开始 | SpringSecurity 官方文档
整合 SpringSecurity
WebSecurityConfigurerAdapter
:自定义 Security 策略。AuthenticationManagerBuilder
:自定义认证策略。@EnableWebSecurity
:开启 WebSecurity 模式。
1、使用 Maven 新建 SpringBoot 项目,引入 Web、Thymeleaf、Security 场景启动器,依赖如下:
<!-- pom.xml -->
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>1.5.19.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>zze.spring</groupId>
<artifactId>security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>security</name>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>1.8</java.version>
<!--修改 thymeleaf 依赖版本为 3 -->
<thymeleaf.version>3.0.11.RELEASE</thymeleaf.version>
<thymeleaf-layout-dialect.version>2.4.1</thymeleaf-layout-dialect.version>
<thymeleaf-extras-springsecurity4.version>3.0.2.RELEASE</thymeleaf-extras-springsecurity4.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
<!--thymeleaf 模板中使用 springsecurity 标签-->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
2、编写测试模板页:
<!-- templates/welcome.html -->
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>
<meta charset="UTF-8">
<title>首页</title>
</head>
<body>
<div sec:authorize="!isAuthenticated()">
<a th:href="@{/login}">请登录</a>
</div>
<div sec:authorize="isAuthenticated()">
<span sec:authentication="name"/> 您好,您拥有角色:<span sec:authentication="principal.authorities"/>
<form th:action="@{/logout}" method="post">
<input type="submit" value="注销">
</form>
</div>
<div sec:authorize="hasRole('VIP1')"><a th:href="@{/level/1}">LEVEL 1</a></div>
<div sec:authorize="hasRole('VIP2')"><a th:href="@{/level/2}">LEVEL 2</a></div>
<div sec:authorize="hasRole('VIP3')"><a th:href="@{/level/3}">LEVEL 3</a></div>
</body>
</html>
<!-- templates/login.html -->
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>登录页</title>
</head>
<body>
<form th:action="@{/login}" method="post" >
用户名:<input type="text" name="username"> <br>
密码:<input type="text" name="password"> <br>
<input type="checkbox" name="rememberMe">
<input type="submit" value="登录"/>
</form>
</body>
</html>
<!-- templates/pages/level.html -->
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>级别</title>
</head>
<body>
<a th:href="@{/}">首页</a>
<h1 th:text="${level}"></h1>
</body>
</html>
3、编写测试 Controller:
// zze.spring.security.controller.TestController
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
@Controller
public class TestController {
private final String PREFIX = "pages/";
// 欢迎页
@GetMapping("/")
public String index() {
return "welcome";
}
@GetMapping("/level/{level}")
public String level(@PathVariable Integer level, Model model) {
model.addAttribute("level", level == 1 ? "初级" : level == 2 ? "中级" : "高级");
return PREFIX + "level";
}
@GetMapping("/login")
public String login(){
return "login";
}
}
4、配置:
// zze.spring.security.config.SecurityConfig
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
/**
* 编写配置类继承 WebSecurityConfigurerAdapter
*/
@EnableWebSecurity // 启用 WebSecurity 模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/**
* 控制请求的访问权限
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
// super.configure(http);
// 定制请求的授权规则
http.authorizeRequests().antMatchers("/").permitAll() // "/" 允许任何人访问
.antMatchers("/level/1").hasRole("VIP1") // "/level/1" 仅允许拥有角色 VIP1 的主体访问
.antMatchers("/level/2").hasRole("VIP2") // "/level/2" 仅允许拥有角色 VIP2 的主体访问
.antMatchers("/level/3").hasRole("VIP3"); // "/level/3" 仅允许拥有角色 VIP3 的主体访问
// 开启自动配置的登录功能,开启后未登录状态访问将会自动重定向到 /login 登录页
// 1、访问 /login 来到登录页
// 2、重定向到 /login?error 表示登录失败
// 3、可通过 loginPage() 方法修改使用自己的登录页,登录请求需要为 post,的用户名参数默认为 username ,密码参数为 password 。
// 4、如果使用了 loginPage() 方法修改了登录页,那么该请求的 post 方式就是登录请求。比如修改 /userLogin 为登录页,那么 post 请求 /userLogin 则是登录操作
http.formLogin().usernameParameter("username").passwordParameter("password").loginPage("/login");
// 开启自动配置的注销
// 1、访问 /logout 表示用户注销,情况 session
// 2、注销成功默认会重定向到 /login?logout
//
// 通过 logoutSuccessUrl("/") 方法指定注销成功重定向的页面
http.logout().logoutSuccessUrl("/");
// 开启记住我功能
// 1、登录成功后,将 cookie 发送给浏览器保存,以后访问都会带上这个 cookie,通过检查就可以免登录
// 2、点击注销会删除 cookie
// 3、可通过 rememberMeParameter 方法定义登录操作的记住我参数名
http.rememberMe().rememberMeParameter("rememberMe");
}
// 定义认证规则
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// super.configure(auth);
auth.inMemoryAuthentication().withUser("zhangsan").password("123456").roles("VIP1", "VIP2") // 内存中存入一个用户(主体),用户名为 zhangsan 密码为 123456,拥有角色 VIP1 和 VIP2
.and()
.withUser("lisi").password("123456").roles("VIP2", "VIP3") // 内存中存入一个用户(主体),用户名为 lisi 密码为 123456,拥有角色 VIP2 和 VIP3
.and()
.withUser("wangwu").password("123456").roles("VIP1", "VIP3"); // 内存中存入一个用户(主体),用户名为 wangwu 密码为 123456,拥有角色 VIP1 和 VIP3
}
}
评论区