当前位置:   article > 正文

Spring Boot 框架学习笔记(五)( SpringSecurity安全框架 )_spring-boot-starter-security

spring-boot-starter-security

SpringSecurity安全框架

概述

跟随该b站视频练习
代码地址

Spring Security 是针对Spring项目的安全框架,也是Spring
Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入
spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理

记住几个类(通用):

  • WebSecurityConfigurerAdapter:自定义Security策略(我们需要继承这个类)

  • AuthenticationManagerBuilder:自定义认证策略

  • @EnableWebSecurity:开启WebSecurity模式

作用

Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制

  • “认证”(Authentication)

身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。

  • “授权” (Authorization)

授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。

这个概念是通用的,而不是只在Spring Security 中存在

开发示例:

@PathVariable是spring3.0的一个新功能:接收请求路径中占位符的值

1. 新建项目

在这里插入图片描述

2. 引入依赖

 <!--security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--web-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!--thymeleaf模板-->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

3. 编写SecurityConfig类,实现认证,授权,注销

  • http.formLogin():没有权限默认跳回登录页面
  1. 源码中跳转登录页的说明:
    The most basic configuration defaults to automatically generating a login page at the URL "/login", redirecting to "/login?error" for authentication failure.
  2. 源码中认证示例:
protected void configure(AuthenticationManagerBuilder auth) throws Exception { * 		auth.inMemoryAuthentication().withUser(&quot;user&quot;).password(&quot;password&quot;).roles(&quot;USER&quot;);	 * 	}
  • 1
  1. 源码中注销示例:可删除内存保存的信息
  • logoutUrl:指定的注销需要访问的地址
  • logoutSuccessUrl:注销成功跳转的地址
@Override 
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers(&quot;/**&quot;).hasRole(&quot;USER&quot;).and().formLogin()
.and()
// sample logout customization				.logout().deleteCookies(&quot;remove&quot;).invalidateHttpSession(false)				.logoutUrl(&quot;/custom-logout&quot;).logoutSuccessUrl(&quot;/logout-success&quot;); 	}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
/*AOP拦截器*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter  {

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可访问,但是功能页需要权限分类
        http.authorizeRequests().antMatchers("/").permitAll()
        .antMatchers("/level1/**").hasRole("vip1")
        .antMatchers("/level2/**").hasAnyRole("vip2","vip1")
        .antMatchers("/level3/**").hasAnyRole("vip3","vip2","vip1");

     	 //没有权限默认跳回登录页面
        http.formLogin();
     	 //防止网站工具(post,get)
        http.csrf().disable();
        //开启注销功能,注销成功返回首页
        http.logout().logoutSuccessUrl("/");
        //开启记住我功能,就是cookie,默认保存两周
        http.rememberMe();
    }

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //在内存读取用户认证(多个用户用”and“连接)
        auth.inMemoryAuthentication()
                .withUser("yeyu").password("1234").roles("vip2","vip3")
                .and()
                .withUser("yuese").password("5678").roles("vip1");
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 可以去数据库中认证:auth.jdbcAuthentication(),官方文档示例:
@Autowired
private DataSource dataSource;

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
	auth
		.jdbcAuthentication()
			.dataSource(dataSource)
			.withDefaultSchema()
			.withUser("user").password("password").roles("USER").and()
			.withUser("admin").password("password").roles("USER", "ADMIN");
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 可以在内存中认证:auth.inMemoryAuthentication()

注意:此处springboot版本高的话会报There is no PasswordEncoder mapped for the id "null"错误,所以需要对密码加密:

 //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //在内存读取用户认证(多个用户用”and“连接)
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("yeyu").password(new BCryptPasswordEncoder().encode("1234")).roles("vip2","vip3")
                .and()
                .withUser("yuese").password(new BCryptPasswordEncoder().encode("5678")).roles("vip1");
    }
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

4. 菜单权限

这个时候发现不同权限看到的菜单依旧一样,所以引入thymeleaf-security整合包:

  • 引入依赖
 <!-- thymeleaf-springsecurity整合 -->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 引入命名空间
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"

  • 1
  • 2
  • index代码:
  <!--判断用户是否登录-->
                <!--如果未登录,显示登陆页面-->
                <div sec:authorize="!isAuthenticated()">
                    <a class="item" th:href="@{/toLogin}" >
                        <i class="address card icon"></i> 登录
                    </a>
                </div>

                <!--如果登录:显示用户名,注销按钮-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item" >
                       用户名:<span sec:authentication="name"></span>
                       角色:<span sec:authentication="principal.getAuthorities()"></span>
                    </a>
                </div>
                <div sec:authorize="isAuthenticated()">
                    <a class="item" th:href="@{/logout}" >
                        <i class="address card icon"></i> 注销
                    </a>
                </div>

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21

5. 测试

在这里插入图片描述
在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小惠珠哦/article/detail/790477
推荐阅读
相关标签
  

闽ICP备14008679号