SpringBoot整合SpringSecurity超详细入门教程

lombok

创建实体类Users：

@Data

@AllArgsConstructor

@NoArgsConstructor

public class Users {

private Integer id;

private String username;

private String password;

}

新建mapper包，创建UsersMapper接口：

想要使用接口，需要在启动器或配置类上添加注解：@MapperScan("com.ly.mapper")

@Repository

public interface UsersMapper extends BaseMapper {

}

配置文件添加数据库配置 ：

spring:

#配置数据源

datasource:

driver-class-name: com.mysql.cj.jdbc.Driver

url: jdbc:mysql://localhost:3306/security?useSSL=false&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8

username: root

password: 123456

在实现类中添加数据库相关操作：

@Service(“userDetailsService”)

public class MyUserDetailsService implements UserDetailsService {

@Autowired

private UsersMapper usersMapper;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

//调用usersMapper方法，根据用户名查询数据库

QueryWrapper wrapper = new QueryWrapper<>();

wrapper.eq(“username”,username);

Users users = usersMapper.selectOne(wrapper);

//判断

if(users==null){//数据库没有数据，认证失败

throw new UsernameNotFoundException(“用户名不存在！”);

}

//手动设置了role，也可以通过数据库查询获取

List auths = AuthorityUtils.commaSeparatedStringToAuthorityList(“role”); //配置角色

return new User(users.getUsername(),

new BCryptPasswordEncoder().encode(users.getPassword()),auths);

}

}

测试访问：

自定义页面与权限控制

---

自定义登陆页面：

用户名：

用户名：

在配置类实现相关配置：

@Override

protected void configure(HttpSecurity http) throws Exception {

//配置没有权限访问跳转自定义页面

http.exceptionHandling().accessDeniedPage(“/unauth.html”);

http.formLogin() //自定义自己编写的登陆页面

.loginPage(“/login.html”) //登陆页面设置

.loginProcessingUrl(“/user/login”) //登陆访问路径

.defaultSuccessUrl(“/test/hello”).permitAll() //登陆成功后跳转路径

.and().authorizeRequests()

.antMatchers(“/”,“/user/login”).permitAll() //设置那些路径可以直接访问，不需要认证

// .antMatchers(“/test/addUser”).hasAuthority(“addUser”)

// .antMatchers(“/test/findAll”).hasAnyAuthority(“addUser,findAll”)

// .antMatchers(“/test/hello”).hasRole(“admin”)

// .antMatchers(“/test/hello”).hasAnyRole(“admin”)

.anyRequest().authenticated()

.and().csrf().disable(); //关闭csrf的保护

}

权限控制：

1.在配置类设置当前访问地址有那些权限

//当前用户只有具有addUser权限时才能访问该路径

.antMatchers(“/test/add”).hasAuthority(“addUser”)

相关方法： 角色和权限都可以设置多个，以逗号分开

| 方法名称 | 说明 |

| — | — |

| hasAuthority | 如果当前的主体具有指定的权限，则可以访问 |

| hasAnyAuthority | 如果当前的主体有任何提供的角色的话，就可以访问 |

| hasRole | 如果用户具备给定角色就允许访问 |

| hasAnyRole | 用户具备任何一个角色都可以访问 |

2.在UserDetailsService中为User对象设置权限

对于权限可以直接设置，对于角色以ROLE_**的方式设置

List auths = AuthorityUtils

.commaSeparatedStringToAuthorityList(“addUser,findAll,ROLE_admin,ROLE_user”);

当User对象没有对应权限时会返回403错误：

自定义403页面：

对不起，您没有访问权限！

在配置类实现相关配置：http.exceptionHandling().accessDeniedPage("/403.html");

再次测试：

注解的使用

---

使用注解前需要在启动器或配置类上添加注解：@EnableGlobalMethodSecurity(securedEnabled=true,...)

@SpringBootApplication

@MapperScan(“com.ly.mapper”)

@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)

public class SecurityDemoApplication {

public static void main(String[] args) {

SpringApplication.run(SecurityDemoApplication.class, args);

}

}

@Secured：判断是否具有角色：

@RequestMapping(“testSecured”)

@ResponseBody

@Secured({“ROLE_normal”,“ROLE_admin”})

public String testSecured() {

return “testSecured”;

}

登录之后直接访问：http://localhost:10081/test/testSecured

@PreAuthorize：进入方法前进行权限验证， @PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中。

@RequestMapping(“/preAuthorize”)

@ResponseBody

//@PreAuthorize(“hasRole(‘ROLE_管理员’)”)

@PreAuthorize(“hasAnyAuthority(‘findAll’)”)

public String preAuthorize(){

System.out.println(“preAuthorize”);

return “preAuthorize”;

}

登录之后直接访问：http://localhost:10081/test/preAuthorize

@PostAuthorize：方法执行后再进行权限验证，适合验证带有返回值的权限：

@RequestMapping(“/postAuthorize”)

@ResponseBody

@PostAuthorize(“hasAnyAuthority(‘find’)”)

public String postAuthorize(){

System.out.println(“postAuthorize”);

return “PostAuthorize”;

}

登录之后直接访问：http://localhost:10081/test/postAuthorize

@PostFilter ：权限验证之后对数据进行过滤，留下指定的数据，表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

@RequestMapping(“findAll”)

@PostAuthorize(“hasAnyAuthority(‘findAll’)”)

@PostFilter(“filterObject.username == ‘admin1’”)

@ResponseBody

public List findAllUser(){

ArrayList list = new ArrayList<>();

list.add(new Users(1,“admin1”,“123456”));

list.add(new Users(2,“admin2”,“123456”));

return list;

}

登录之后直接访问：http://localhost:10081/test/findAll

@PreFilter: 进入控制器之前对数据进行过滤

@RequestMapping(“preFilter”)

@PostAuthorize(“hasAnyAuthority(‘findAll’)”)

@PreFilter(value = “filterObject.id%2==0”)

@ResponseBody

public List testPreFilter(@RequestBody List list){

list.forEach(t-> {

System.out.println(t.getId()+“\t”+t.getUsername());

});

return list;

}

先登录，然后使用 postman 进行测试：

测试的 Json 数据：

[

{“id”: “1”,“username”: “admin”,“password”: “666”},

{“id”: “2”,“username”: “admins”,“password”: “888”},

{“id”: “3”,“username”: “admins11”,“password”: “11888”},

{“id”: “4”,“username”: “admins22”,“password”: “22888”}

]

输出结果：

用户注销

---

1. 在配置类中添加退出映射地址：http.logout().logoutUrl("/logout").logoutSuccessUrl("/login.html").permitAll();

新建一个登录成功页面success.html：

在登录页面添加一个退出连接：

登录成功
退出

修改登陆成功后的跳转页面：

测试：退出之后，是无法访问需要登录时才能访问的控制器！

基于数据库实现自动登录

---

创建表，在JdbcTokenReponsitoryImpl中有创建表的语句，可以直接使用：

CREATE TABLE persistent_logins (

username varchar(64) NOT NULL,

series varchar(64) NOT NULL,

token varchar(64) NOT NULL,

last_used timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE

CURRENT_TIMESTAMP,

PRIMARY KEY (series)

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

创建成功：

在配置类中添加一下信息：

@Autowired

//注入数据源

private DataSource dataSource;

@Autowired

private PersistentTokenRepository tokenRepository;

@Bean

public PersistentTokenRepository persistentTokenRepository(){

JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();

// 赋值数据源

jdbcTokenRepository.setDataSource(dataSource);

//自动创建表,第一次执行会创建，以后要执行就要删除掉！

//jdbcTokenRepository.setCreateTableOnStartup(true);

return jdbcTokenRepository;

}

开启记住我功能：

// 开启记住我功能 cookie

http.rememberMe()

.tokenRepository(tokenRepository)

.tokenValiditySeconds(600) //设置有效期600秒

.userDetailsService(userDetailsService);

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

最后：学习总结——MyBtis知识脑图（纯手绘xmind文档）

学完之后，若是想验收效果如何，其实最好的方法就是可自己去总结一下。比如我就会在学习完一个东西之后自己去手绘一份xmind文件的知识梳理大纲脑图，这样也可方便后续的复习，且都是自己的理解，相信随便瞟几眼就能迅速过完整个知识，脑补回来。下方即为我手绘的MyBtis知识脑图，由于是xmind文件，不好上传，所以小编将其以图片形式导出来传在此处，细节方面不是特别清晰。但可给感兴趣的朋友提供完整的MyBtis知识脑图原件（包括上方的面试解析xmind文档）

除此之外，前文所提及的Alibaba珍藏版mybatis手写文档以及一本小小的MyBatis源码分析文档——《MyBatis源码分析》等等相关的学习笔记文档，也皆可分享给认可的朋友！

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门即可获取！
入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！**

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（备注Java获取）

最后：学习总结——MyBtis知识脑图（纯手绘xmind文档）

学完之后，若是想验收效果如何，其实最好的方法就是可自己去总结一下。比如我就会在学习完一个东西之后自己去手绘一份xmind文件的知识梳理大纲脑图，这样也可方便后续的复习，且都是自己的理解，相信随便瞟几眼就能迅速过完整个知识，脑补回来。下方即为我手绘的MyBtis知识脑图，由于是xmind文件，不好上传，所以小编将其以图片形式导出来传在此处，细节方面不是特别清晰。但可给感兴趣的朋友提供完整的MyBtis知识脑图原件（包括上方的面试解析xmind文档）

[外链图片转存中…(img-T3jsOKMg-1712205751688)]

除此之外，前文所提及的Alibaba珍藏版mybatis手写文档以及一本小小的MyBatis源码分析文档——《MyBatis源码分析》等等相关的学习笔记文档，也皆可分享给认可的朋友！

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门即可获取！