1、spring security 简介
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。(转自百度百科)
2、spring security 作用
spring security在小编看来主要有两个作用,用户的认证和授权。用户的认证我们能够很好的理解,当用户想要进入我们的系统中进行某种操作时,就需要进行登陆操作,如果当前用户没有登陆就需要重定向到登陆界面,只有用户登陆后才能够进行某种操作。授权是当用户登陆后我们系统中有的功能是不能够让用户操作的,这时我们就需要给用户授权,当用户想要操作某种的功能时需要有相应的权限。
3、引入
3.1 pom.xml
<!--引入spring security依赖-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
3.2 测试
只要spring boot引入spring security无需进行任何配置就能够使用,这里我们用一个小例子展示一下。
3.2.1 controller
@RestController
@RequestMapping("user")
public class UserController {
@RequestMapping("/selByPhone")
public Object selByPhone(){
return "test";
}
}
这里我们在项目中引入依赖后直接创建一个controller类。
3.2.2 启动
启动项目后会发现在控制台中显示一串代码,这里我们通过信息能够发现这时一个密码。
这里我们先不管这个密码,在浏览器中直接访问接口。
当我们访问接口后会发现我们跳转到了一个登陆页面
这里我们跳转的这个登陆页面是spring security提供的登陆页面,说明我们访问的这个接口需要登陆后才能够访问。这里我们输入spring security默认的用户名和密码(这里我们进行任何配置)。
用户名:user
密 码:在我们启动时生成的那串密码就是密码(每次启动生成的密码都不一样)
这时我们就能够访问到我们的接口了
显然这样的方式只是一个简单的测试,在实际的应用中肯定不是这样的,我们希望能够自己设置账户名和密码,这里我们有两种方式,第一种方式是在项目中进行配置,另一种是再数据库中查询验证。
3.3 项目中配置用户名和密码
3.3.1 配置文件中配置(application.properties)
#用户名
spring.security.user.name=zzm
#密码
spring.security.user.password=123456
#角色
spring.security.user.roles=admin
启动项目
当我们启动项目后就能够看到,控制台中并没有生成随机的账号和密码,这里说明我们在配置文件中配置的用户名和密码生效了。这里我们再次访问接口。
这里我们在登陆页面输入我们配置的用户名和密码
访问成功
当然这种方式也不是我们想要的
3.3.2 内存中配置
在内存中配置需要我们新建一个spring security配置类,这个配置类要继承WebSecurityConfigurerAdapter,在这里我们重写configure(AuthenticationManagerBuilder auth)这个方法这样我们才能够在内存中配置账户和密码。
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public PasswordEncoder passwordEncoder(){
//提供加密方式
return new BCryptPasswordEncoder(); //在这里一定要制定加密方式,否则在项目启动时不会报错但是在登陆是会提示密码错误
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.passwordEncoder(passwordEncoder()) // 指定加密方式
.withUser("zzm").password(passwordEncoder().encode("123456"))