SpringBoot整合SpringSecurity

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量278 收藏
点赞数 1
分类专栏: Java学习 文章标签: 数据库 spring boot mybatis shiro SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stone__Fly/article/details/112548960
版权

1、前言

之前写过一篇SSM整合SpringSecurity,没看过的可以看看,可以发现在SSM框架里整合Security框架是很繁琐的,所以很多人选择用Shiro搭配SSM使用。而在SpringBoot中,这个情况就不一样了,如果说是简单使用,只需要在SpringBoot项目中加入Security的依赖就可以了,不需要写什么其他的东西。

2、简单使用

首先建一个SpringBoot项目,在pom文件中加入以下依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

为了看Security是否已被整合进SpringBoot,可以编写一个HelloController,如下:

@Controller
public class HelloController {
    @ResponseBody
    @GetMapping("/hello")
    public String hello(){
        return "hello";
    }
}

再接下来就可以启动项目了,在浏览器中访问localhost:8080/hello,此时会看到如下页面:
在这里插入图片描述
这里用户名为user,密码会在启动项目时打印到控制台,登录进去即可看到hello字符串。

3、进阶使用

我们使用SpringSecurity不可能每次都去重新生成一个密码,所以有以下几种策略来对帐户密码进行配置。

3.1 配置文件

在application.properties文件中,加入以下代码即可自行配置SpringSecurity的帐户密码:

spring.security.user.name=sang
spring.security.user.password=123
spring.security.user.roles=admin

这下启动程序后,就不会再生成一个密码了,登录账户就变成了sang,密码就变成了123,同时这个账户的角色是admin。

3.2 配置类

要是还是嫌配置文件配置的东西不够多,还可以使用配置类进行配置,首先新建一个类,比如叫MyWebSecurityConfig,这个类需要继承WebSecurityConfigurerAdapter,其代码如下:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    PasswordEncoder passwordEncoder(){
        // 加密算法
        return new BCryptPasswordEncoder(10);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 在内存中配置账号密码
        auth.inMemoryAuthentication()
                // 账号
                .withUser("admin")
                // 密码【此处需要将密码加密】
                .password(passwordEncoder().encode("123"))
                // 账号的角色
                .roles("ADMIN")
                .and()
                // 账号
                .withUser("user")
                // 密码【此处需要将密码加密】
                .password(passwordEncoder().encode("123"))
                // 账号的角色
                .roles("USER")
                ;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 配置admin目录下的所有页面都需要ADMIN角色才能访问
                .antMatchers("/admin/**").hasRole("ADMIN")
                // 其他请求都需要验证权限
                .anyRequest().authenticated()
                .and()
                // 开启表单登录
                .formLogin()
                // 登录处理URL
                .loginProcessingUrl("/login")
                // 允许登录页和登录处理链接不经过权限验证
                .permitAll()
                .and()
                // 关闭csrf
                .csrf().disable()
                ;
    }

}

代码的解释都在注释里,接下来在HelloController中添加一个函数:

@ResponseBody
@GetMapping("/admin/hello")
public String adminHello(){
    return "hello admin";
}

启动程序,访问localhost:8080/hello,在登录页面尝试登录admin和user两个账号,都可以访问hello,而访问localhost:8080/admin/hello,则会发现只有admin账户才可访问,user账户没有权限。

3.3 数据库

像这种在内存中配置帐户密码的操作,在实际中并不实用,因为不可能每加个账户,就该代码并重启服务,所以要把数据库也整合进去,有关于数据库的整合,我写过一篇SpringBoot整合Mybatis的博客,不会的可以看一下。
首先我们需要从数据库中将数据拿出来,那么需要定义个实体类对象,用于接收拿到的数据,实体类有两个,一个是User,对应账户,一个是Role,对应角色:
User:

public class User implements UserDetails {

    private Integer id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean locked;
    private List<Role> roles;

    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                ", enabled=" + enabled +
                ", locked=" + locked +
                ", roles=" + roles +
                '}';
    }

    public User() {
    }

    public User(Integer id, String username, String password, Boolean enabled, Boolean locked, List<Role> roles) {
        this.id = id;
        this.username = username;
        this.password = password;
        this.enabled = enabled;
        this.locked = locked;
        this.roles = roles;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for(Role role:roles){
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return !locked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return enabled;
    }

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }

    public void setLocked(Boolean locked) {
        this.locked = locked;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }
}

注意User类实现了UserDetails接口,这是为了跟Security配合使用,以及User类中有个Role的列表,是为了在Security获取用户相关信息时,将用户的角色一起带过去。
Role:

public class Role {
    private Integer id;
    private String name;
    private String nameZh;

    @Override
    public String toString() {
        return "Role{" +
                "id=" + id +
                ", name='" + name + '\'' +
                ", nameZh='" + nameZh + '\'' +
                '}';
    }

    public Role() {
    }

    public Role(Integer id, String name, String nameZh) {
        this.id = id;
        this.name = name;
        this.nameZh = nameZh;
    }

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getNameZh() {
        return nameZh;
    }

    public void setNameZh(String nameZh) {
        this.nameZh = nameZh;
    }
}

有了实体类,接下来就是Mapper,也就是Dao层,首先是UserMapper接口:

@Mapper
public interface UserMapper {
    User loadUserByUsername(String username);
    List<Role> getUserRolesByUid(Integer id);
}

其对应的UserMapper.xml如下:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTC Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.alageek.study.mapper.UserMapper">
    <select id="loadUserByUsername" parameterType="string" resultType="com.alageek.study.entity.User">
        select * from user where username = #{username}
    </select>
    <select id="getUserRolesByUid" parameterType="integer" resultType="com.alageek.study.entity.Role">
        select role.* from role, user_role where user_role.uid = #{id} and user_role.rid = role.id
    </select>
</mapper>

然后在service层定义UserService:

@Service
public class UserService implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(s);
        if(user == null){
            throw new UsernameNotFoundException("账户不存在");
        }
        user.setRoles(userMapper.getUserRolesByUid(user.getId()));
        return user;
    }
}

与User一样,为了配合Security使用,UserService需要实现接口UserDetailsService,其代码先根据用户名s获取到用户信息,再通过用户id获取到相关角色,再将组合后的用户信息返回。
有了Service后,还需要在Security的配置类中进行相关配置,代码如下:

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }

在配置类中加入上述代码即可,就能从数据库中获取账户数据进行比对,从而登录,而注册只需往数据库中插入数据即可。
写完上述数据库相关代码后,测试功能跟上面一样,写一个Controller启动项目登录下试试即可。

4、相关资源

5、博主的话

源码没有跟博客说的一模一样,不过我觉得能看到这里的小伙伴,借鉴应该是没有问题的,加油,一起学习吧,有什么问题请在评论说出来。

AlaGeek
关注
专栏目录
SpringBoot整合SpringSecurity超详细入门教程
2401_83977357的博客
04-30 678
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
Spring BootSpring Security4最新整合实例
08-09
1​.​ ​使​用​S​p​r​i​n​g​ ​S​e​c​u​r​i​t​y​管​理​用​户​身​份​认​证​、​登​录​退​出​ ​ ​2​.​ ​用​户​密​码​加​密​及​验​证​ ​ ​3​.​ ​采​用​数​据​库​的​方​式​实​现​S​p​r​i​n​g​ ​S​e​c​u​r​i​t​y​的​r​e​m​e​m​b​e​r​-​m​e​功​能​ ​ ​4​.​ ​获​取​登​录​用​户​信​息
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 1960
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
Spring BootSpring Security
暗星涌动
06-05 2859
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的安全解决方案,包括认证、授权、攻击防护等功能,可以轻松地集成到Spring应用程序中,保护应用程序的安全性。Spring Security的主要作用是保护Web应用程序的安全性,包括用户身份验证、授权、防止跨站请求伪造(CSRF)、防止会话固定攻击等。在使用Spring Security时,我们可以配置安全策略、用户角色、访问控制等,从而实现对Web应用程序的安全保护。
SpringBoot 整合 SpringSecurity(一) 自定义用户名密码认证及原理
Lyndon的专栏
10-23 5180
SpringBoot整合Spring Security实现ajax登录
SpringBoot 整合 SpringSecurity
一个95后开发者,热爱编程,喜欢玩游戏. 希望可以结识更多的小伙伴...
07-03 1241
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
springboot整合springSecurity
04-19
以上是SpringBoot整合SpringSecurity的基础知识要点,实际应用中可能还需要结合具体的业务需求进行更细致的配置和定制。在项目开发中,确保理解并熟练运用这些知识点,能够有效提高应用的安全性和健壮性。
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
SpringBoot集成Spring Security(含源码)
weixin_42011423的博客
01-13 111
基于此文章 添加自定义用户类存储当前用户信息,通过工具类可以直接获取当前用户信息,密码加密存储数据库,前台公钥加密,后台私钥解密 源码地址
Spring-Boot1.52 SpringSecurity4 Spring Data Jpa 整合例子
07-09
Spring-Boot1.52 SpringSecurity4 Spring Data Jpa 整合例子
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Springboot+SpringSecurity一篇看会
普通人一枚
03-06 8873
SpringSecurity总结
SpringBoot安全框架Spring Security
探索er的博客
04-22 3073
SpringBoot安全框架Spring Security
SpringbootSpringSecurity使用(1):介绍、登录验证
游王子的博客
07-28 1598
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功能。Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。
SpringbootSpring Security安全框架的使用
qq_45742386的博客
04-21 184
Security安全框架使用 pom.xml 导入依赖 <!-- security安全框架 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> Security配置类 i
springboot 整合Spring Security
07-05
Spring Boot整合Spring Security主要是为了提供安全控制功能,帮助开发者快速地在Spring Boot应用中添加身份验证、授权和会话管理等安全性措施。以下是基本步骤: 1. 添加依赖:首先,在Maven或Gradle项目中添加...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值