devbox
盐析白兔
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法_springboot3 security

作者:盐析白兔 | 2024-04-08 22:42:57

springboot3 security

准备

Spring Boot 3正式版本已发版了半个月,Spring Security6也一并更新,但是网络上的相关中文文档较少,盲目进行集成容易出错,所以本文讲如何快速集成。这里不再赘述Spring Boot3和Spring Security6是做什么的,能来这的都知道。先确保以下信息:

Spring Boot至少是3.0.0版本
Spring Security至少是6.0.0版本(这里由Spring Boot管理,直接上starter即可)

  • 1
  • 2

本文要解决的问题:Spring Security 6的集成和配置

开始集成

1、Maven增加依赖,如果你已经有了,或者Spring Initializr新建项目时加了,忽略这一步

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

  • 1
  • 2
  • 3
  • 4

2、配置你的Spring Security,这里的/api/auth/login是你的登录页地址

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SpringSecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http.authorizeHttpRequests(authorize-> {
                    try {
                        authorize
                                // 放行登录接口
                                .requestMatchers("/api/auth/login").permitAll()
                                // 放行资源目录
                                .requestMatchers("/static/**", "/resources/**").permitAll()
                                // 其余的都需要权限校验
                                .anyRequest().authenticated()
                                // 防跨站请求伪造
                                .and().csrf(csrf -> csrf.disable());
                    } catch (Exception e) {
                        throw new RuntimeException(e);
                    }
                }
        ).build();
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

3、Spring Boot 启动类增加EnableMethodSecurity注解

@SpringBootApplication()
@EnableMethodSecurity(securedEnabled = true, jsr250Enabled = true)
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

4、在需要登录才能访问的Controller中,在方法加上权限判断注解 @PreAuthorize(“hasAuthority(‘权限字符串’)”)

/**
 * 需要登录才能访问的控制器
 *
 * @author 黑龙江省瑜美科技发展有限公司
 * @since 2022-12-11
 */
@RestController
@RequestMapping("/controller")
public class YourController {

    @RequestMapping("method")
    @PreAuthorize("hasAuthority('YourController:YourMethod')")
    public String yourMethod(){
        return "这个信息只有登录才能看到";
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

5、往项目里添加工具类,不用改,原样放上去就行

import jakarta.servlet.http.HttpServletRequest;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.context.HttpSessionSecurityContextRepository;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import java.util.List;

/**
 * Spring Security 工具类
 *
 * @author 黑龙江省瑜美科技发展有限公司
 * @since 2022-12-11
 */
public class SpringSecurityUtil {
    /**
     * 登录
     *
     * @param username    用户名
     * @param password    密码
     * @param authorities 权限
     */
    public static void login(String username, String password, List<String> authorities) {
        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();
        List<GrantedAuthority> authoritiesList = AuthorityUtils.createAuthorityList(authorities.toArray(new String[]{}));
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password, authoritiesList);
        SecurityContextHolder.getContext().setAuthentication(token);
        request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());
    }

    /**
     * 获取当前登录用户名
     *
     * @return
     */
    public static String getCurrentUsername() {
        return SecurityContextHolder.getContext().getAuthentication().getPrincipal().toString();
    }

    /**
     * 判断是否已登录
     *
     * @return
     */
    public static boolean isLogin() {
        return !(SecurityContextHolder.getContext().getAuthentication() instanceof AnonymousAuthenticationToken);
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52

6、做登录测试的Controller:

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.ArrayList;
import java.util.List;

/**
 * 登录测试
 *
 * @author 黑龙江省瑜美科技发展有限公司
 * @since 2022-12-11
 */
@RestController
@RequestMapping("/api/auth")
public class LoginController {
    @RequestMapping("login")
    public Object login(){
        // 用户名,这个从你的登录表单拿
        String username="admin";
        // 密码,这个从你的登录表单拿
        String password="password";
        // 权限字符串,这个从你的数据库里读
        List<String> authorities=new ArrayList<>();
        authorities.add("YourController:YourMethod");

        // 判断是否登陆
        if(SpringSecurityUtil.isLogin()){
            // 登陆了打印一下当前用户名
            System.out.println(SpringSecurityUtil.getCurrentUsername());
        }else{
            // 没登录则进行一次登录
            SpringSecurityUtil.login(username,password,authorities);
        }
        return "success";
    }
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36

7、测试,启动服务,访问一下/api/auth/login,然后再访问/controller/method才能看到数据,否则会返回403状态,实现了登录功能。在需要限制权限的方法加上一个注解就可以实现权限限制功能,非常的人性化。

总结:在研究过程的时候遇到了哪些坑

以下内容供有经验的人阅读

1、authorizeRequests方法已废弃,取而代之的是authorizeHttpRequests。
2、@PermitAll注解是不好使的。
3、SecurityContextHolder.getContext().getAuthentication().isAuthenticated()永远都是true,所以即使是当前用户是anonymousUser时,也不能用来判断登录状态,必须要判断是否是AnonymousAuthenticationToken类型。
4、并不是所有的字符串都可以充当权限字符串,建议使用英文字母、冒号。
5、ROLE_开头的权限字符串代表角色,用错会导致无法判断权限。
6、SecurityContext在设置Authentication的时候并不会自动写入Session,读的时候却会根据Session判断,所以需要手动写入一次,否则下一次刷新时SecurityContext是新创建的实例。
7、HttpServletRequest已经从javax包移动到了jakarta包,是因为Spring Framework 6.0从Java EE升级到了Jakarta EE。

所以综上所述,大多数已知的第三方工具类和辅助框架已经失效,要么重新造轮子,要么开源开发者升级一下已有的项目。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/388698
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号