赞
踩
Spring Security 是针对Spring项目的安全框架,也是Spring
Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入
spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理
记住几个类(通用):
WebSecurityConfigurerAdapter
:自定义Security策略(我们需要继承这个类)
AuthenticationManagerBuilder
:自定义认证策略
@EnableWebSecurity
:开启WebSecurity模式
Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)
身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。
授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。
这个概念是通用的,而不是只在Spring Security 中存在
@PathVariable
是spring3.0的一个新功能:接收请求路径中占位符的值
<!--security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--web--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!--thymeleaf模板--> <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5</artifactId> </dependency> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-java8time</artifactId> </dependency>
SecurityConfig
类,实现认证,授权,注销
- 源码中跳转登录页的说明:
The most basic configuration defaults to automatically generating a login page at the URL "/login", redirecting to "/login?error" for authentication failure.
- 源码中认证示例:
protected void configure(AuthenticationManagerBuilder auth) throws Exception { * auth.inMemoryAuthentication().withUser("user").password("password").roles("USER"); * }
- 1
- 源码中注销示例:可删除内存保存的信息
logoutUrl
:指定的注销需要访问的地址logoutSuccessUrl
:注销成功跳转的地址@Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/**").hasRole("USER").and().formLogin() .and() // sample logout customization .logout().deleteCookies("remove").invalidateHttpSession(false) .logoutUrl("/custom-logout").logoutSuccessUrl("/logout-success"); }
- 1
- 2
- 3
- 4
- 5
- 6
/*AOP拦截器*/ @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { //授权 @Override protected void configure(HttpSecurity http) throws Exception { //首页所有人可访问,但是功能页需要权限分类 http.authorizeRequests().antMatchers("/").permitAll() .antMatchers("/level1/**").hasRole("vip1") .antMatchers("/level2/**").hasAnyRole("vip2","vip1") .antMatchers("/level3/**").hasAnyRole("vip3","vip2","vip1"); //没有权限默认跳回登录页面 http.formLogin(); //防止网站工具(post,get) http.csrf().disable(); //开启注销功能,注销成功返回首页 http.logout().logoutSuccessUrl("/"); //开启记住我功能,就是cookie,默认保存两周 http.rememberMe(); } //认证 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { //在内存读取用户认证(多个用户用”and“连接) auth.inMemoryAuthentication() .withUser("yeyu").password("1234").roles("vip2","vip3") .and() .withUser("yuese").password("5678").roles("vip1"); } }
auth.jdbcAuthentication()
,官方文档示例:@Autowired
private DataSource dataSource;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.jdbcAuthentication()
.dataSource(dataSource)
.withDefaultSchema()
.withUser("user").password("password").roles("USER").and()
.withUser("admin").password("password").roles("USER", "ADMIN");
}
auth.inMemoryAuthentication()
注意:此处springboot版本高的话会报There is no PasswordEncoder mapped for the id "null"
错误,所以需要对密码加密:
//认证
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//在内存读取用户认证(多个用户用”and“连接)
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("yeyu").password(new BCryptPasswordEncoder().encode("1234")).roles("vip2","vip3")
.and()
.withUser("yuese").password(new BCryptPasswordEncoder().encode("5678")).roles("vip1");
}
这个时候发现不同权限看到的菜单依旧一样,所以引入t
hymeleaf-security
整合包:
<!-- thymeleaf-springsecurity整合 -->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity4</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"
<!--判断用户是否登录--> <!--如果未登录,显示登陆页面--> <div sec:authorize="!isAuthenticated()"> <a class="item" th:href="@{/toLogin}" > <i class="address card icon"></i> 登录 </a> </div> <!--如果登录:显示用户名,注销按钮--> <div sec:authorize="isAuthenticated()"> <a class="item" > 用户名:<span sec:authentication="name"></span> 角色:<span sec:authentication="principal.getAuthorities()"></span> </a> </div> <div sec:authorize="isAuthenticated()"> <a class="item" th:href="@{/logout}" > <i class="address card icon"></i> 注销 </a> </div>
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。