SpringBoot实战笔记:27_Spring Security 安全控制

最新推荐文章于 2022-05-04 17:19:44 发布
最新推荐文章于 2022-05-04 17:19:44 发布
阅读量503 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: SpringBoot Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/android_zyf/article/details/79607757
版权

27_Spring Security 安全控制

  • 什么是 Spring Security

    • Spring Security 是专门针对基于 Spring 的项目的安全框架,充分利用了依赖注入和 AOP 来实现安全的功能。
    • 安全框架有两个重要的概念,认证(Authentication)和授权(Authorization)
    • 认证:确认用户可以访问当前系统
    • 授权:确定用户在当前系统下所拥有的功能权限

  • Spring Boot 的支持

    • Spring Boot 针对 Spring Security 的自动配置在 org.xxx.boot.autoconfigure.security 包中
    • 主要通过 SecurityAutoConfigurationSecurityProperties 来完成配置。
    • SecurityAutoConfiguration 导入了 SpringBootWebSecurityConfiguration 中的配置,在 SpringBootWebSecurityConfiguration 配置中,会帮我们做如下自动配置
      • 自动配置了一个内存中的用户,账户为 user ,密码在程序启动时出现
      • 忽略 /css/**/js/**/images/**/**/favicon.ico 等静态文件的拦截
      • 自动配置的 securityFilterChainRegistration 的Bean

  • application.properties 文件中通过 security 为前缀的属性来配置 Spring Security

  • 如果要扩展配置,只需配置类继承 WebSecurityConfigurerAdapter 即可,无需 @EnableWebSecurity 注解

1,创建SpringBoot项目

依赖:JPA,Thymeleaf,Security,Oracle驱动
添加Thymeleaf对Security的支持

        <dependency>
            <groupId>org.thymleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
        </dependency>
2,配置 application.properties
spring.datasource.driver-class-name=oracle.jdbc.OracleDriver
spring.datasource.url=jdbc:oracle:thin:@localhost:1521:xe
spring.datasource.username=root
spring.datasource.password=123

logging.level.org.springframework.security = INFO
spring.thymeleaf.cache=false
spring.jpa.hibernate.ddl-auto=update
spring.jpa.show-sql=true
3,将 bootstrap.min.css 放在 src/main/resources/static/css 下,此路径默认不拦截
4,用户和角色

使用JPA来定义用户和角色

用户

package com.zyf.domain;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import javax.persistence.*;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

/**
 * Created by zyf on 2018/3/14.
 * 实现UserDetails接口后,Spring Security就可以管理SysUser了
 */
@Entity
public class SysUser implements UserDetails {

    private static final long serialVersionUID = 1L;

    @Id
    @GeneratedValue
    private Long id;

    private String username;
    private String password;

    /**
     * cascade = {CascadeType.REFRESH}:级联刷新,获取User时也获取Role
     * fetch = FetchType.EAGER:关闭懒加载
     */
    @ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER)//配置用户和角色的多对多关系
    private List<SysRole> roles;


    /**
     * 可以在该方法中,根据自定义逻辑,将用户权限(角色)添加到auths中
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> auths = new ArrayList<>();
        List<SysRole> roles = this.getRoles();
        for (SysRole role : roles) {

            auths.add(new SimpleGrantedAuthority(role.getName()));
        }
        return auths;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    /**
     * 账号是否不过期,false则验证不通过
     * @return
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 账号是否不锁定,false则验证不通过
     * @return
     */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /**
     * 凭证是否不过期,false则验证不通过
     * @return
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 该账号是否启用,false为验证不通过
     * @return
     */
    @Override
    public boolean isEnabled() {
        return true;
    }

    public List<SysRole> getRoles() {
        return roles;
    }

    public void setRoles(List<SysRole> roles) {
        this.roles = roles;
    }
}

角色

package com.zyf.domain;

import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.Id;

/**
 * Created by zyf on 2018/3/14.
 * 角色
 */
@Entity
public class SysRole {

    @GeneratedValue
    @Id
    private Long id;

    private String name;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
}
5,数据结构及初始化
  • 当我们配置用户和角色的多对多关系后,通过设置 spring.jpa.hibernate.ddl-auto=update 为我们自动生成用户表:SYS_USER,角色表:SYS_ROLE,关联表:SYS_USER_ROLE
  • 针对上面的表结构,我们初始化一些数据来方便我们演示。
  • src/main/resources 下,新建 data.sql 如下
INSERT INTO SYS_USER (id,username,password) VALUES (1,'zyf','123');
INSERT INTO SYS_USER (id,username,password) VALUES (2,'change','456');

INSERT INTO SYS_ROLE (id,name) VALUES (1,'ROLE_ADMIN');
INSERT INTO SYS_ROLE (id,name) VALUES (2,'ROLE_USER');

-- zyf是admin
INSERT INTO SYS_USER_ROLES(SYS_USER_ID,ROLES_ID) VALUES (1,1);
-- change是user
INSERT INTO SYS_USER_ROLES(SYS_USER_ID,ROLES_ID) VALUES (2,2);
6,传值对象

用来测试不同角色用户的数据展示(Admin与User看到的数据不同)

package com.zyf.domain;

/**
 * Created by zyf on 2018/3/14.
 */
public class Msg {
    private String title;
    private String content;
    private String etraInfo;

    public Msg(String title, String content, String etraInfo) {
        this.title = title;
        this.content = content;
        this.etraInfo = etraInfo;
    }

    public String getTitle() {
        return title;
    }

    public void setTitle(String title) {
        this.title = title;
    }

    public String getContent() {
        return content;
    }

    public void setContent(String content) {
        this.content = content;
    }

    public String getEtraInfo() {
        return etraInfo;
    }

    public void setEtraInfo(String etraInfo) {
        this.etraInfo = etraInfo;
    }
}
7,数据访问Repository
package com.zyf.dao;

import com.zyf.domain.SysUser;
import org.springframework.data.jpa.repository.JpaRepository;

/**
 * Created by zyf on 2018/3/14.
 */
public interface SysUserRepository extends JpaRepository<SysUser,Long> {

    /**
     * 根据用户名查找用户
     * @param username
     * @return
     */
    SysUser findByUsername(String username);
}
8,Service层
package com.zyf.service;


import com.zyf.dao.SysUserRepository;
import com.zyf.domain.SysUser;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

/**
 * Created by zyf on 2018/3/14.
 */
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private SysUserRepository sysUserRepository;

    /**
     * 重写loadUserByUsername方法
     * 根据用户名获得用户
     * @param s 用户名
     * @return 自定义的SysUser实现了UserDetails,所以可以直接返回
     * @throws UsernameNotFoundException 异常都帮我们封装好了
     */
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        SysUser user = sysUserRepository.findByUsername(s);
        if (user == null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        return user;
    }
}
9,Spring MVC 配置
package com.zyf;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
 * Created by zyf on 2018/3/14.
 */
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter{

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        //访问/login转向到login.html页面
        registry.addViewController("/login").setViewName("login");
    }
}
10,Spring Security 配置
package com.zyf;

import com.zyf.service.UserDetailServiceImpl;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

/**
 * Created by zyf on 2018/3/14.
 * 扩展Spring Security 需配置 WebSecurityConfigurerAdapter
 */
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public UserDetailsService userDetailServiceImpl(){
        return new UserDetailServiceImpl();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //添加我们自定义的 user detail service认证
        auth.userDetailsService(userDetailServiceImpl());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()//所有请求都需要认证(登陆后才能访问)
                .and()
                .formLogin()
                .loginPage("/login")//定制登录行为,登录页面可以任意访问
                .failureUrl("/login?error")
                .permitAll()//失败页面可以任意访问
                .and()
                .logout().permitAll();//定制注销行为,注销请求可以任意访问
        //permitAll:赋予任意全新啊
        //failureUrl:指定失败页面
    }
}
11,login.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
<meta content="text/html;charset=UTF-8"/>
<title>登录页面</title>
<link rel="stylesheet" th:href="@{css/bootstrap.min.css}"/>
<style type="text/css">
    body {
  padding-top: 50px;
}
.starter-template {
  padding: 40px 15px;
  text-align: center;
}
</style>
</head>
<body>

     <nav class="navbar navbar-inverse navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="#">Spring Security演示</a>
        </div>
        <div id="navbar" class="collapse navbar-collapse">
          <ul class="nav navbar-nav">
           <li><a th:href="@{/}"> 首页 </a></li>

          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav>
     <div class="container">

      <div class="starter-template">
       <p th:if="${param.logout}" class="bg-warning">已成功注销</p><!-- 注销成功后显示 -->
            <p th:if="${param.error}" class="bg-danger">有错误,请重试</p> <!-- 登录失败时显示 -->
            <h2>使用账号密码登录</h2>
            <!-- 自Spring Security 4.x开始默认的登录路径为/login -->
            <form name="form" th:action="@{/login}" action="/login" method="POST"> 
                <div class="form-group">
                    <label for="username">账号</label>
                    <input type="text" class="form-control" name="username" value="" placeholder="账号" />
                </div>
                <div class="form-group">
                    <label for="password">密码</label>
                    <input type="password" class="form-control" name="password" placeholder="密码" />
                </div>
                <input type="submit" id="login" value="Login" class="btn btn-primary" />
            </form>
      </div>

    </div>

</body>
</html>
12,home.html
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" 
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"><!-- thymeleaf提供的 Spring Security的标签支持 -->
<head>
<meta content="text/html;charset=UTF-8"/>
<title sec:authentication="name"></title> <!-- 通过sec:authentication="name"获得当前登录用户的用户名 -->
<link rel="stylesheet" th:href="@{css/bootstrap.min.css}" />
<style type="text/css">
body {
  padding-top: 50px;
}
.starter-template {
  padding: 40px 15px;
  text-align: center;
}
</style>
</head>
<body>
     <nav class="navbar navbar-inverse navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <a class="navbar-brand" href="#">Spring Security演示</a>
        </div>
        <div id="navbar" class="collapse navbar-collapse">
          <ul class="nav navbar-nav">
           <li><a th:href="@{/}"> 首页 </a></li>

          </ul>
        </div><!--/.nav-collapse -->
      </div>
    </nav>

     <div class="container">

      <div class="starter-template">
        <h1 th:text="${msg.title}"></h1>

        <p class="bg-primary" th:text="${msg.content}"></p>
          <!-- sec:authorize="hasRole('ROLE_ADMIN')" -->
          <!-- 表示只有当前用户角色为 ROLE_ADMIN 时,才可现实标签内容-->
        <div sec:authorize="hasRole('ROLE_ADMIN')">
            <p class="bg-info" th:text="${msg.etraInfo}"></p>
        </div>

          <!-- sec:authorize="hasRole('ROLE_USER')" -->
          <!-- 表示只有当前用户角色为 ROLE_USER 时,才可现实标签内容-->
        <div sec:authorize="hasRole('ROLE_USER')"> <!-- 4-->
            <p class="bg-info">无更多信息显示</p>
        </div>  

          <!--注销默认的路径为 /logout 需通过 POST 请求提交-->
        <form th:action="@{/logout}" method="post">
            <input type="submit" class="btn btn-primary" value="注销"/>
        </form>
      </div>

    </div>

</body>
</html>
13,控制器
package com.zyf.web.controller;

import com.zyf.domain.Msg;
import com.zyf.domain.SysUser;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * Created by zyf on 2018/3/14.
 */
@Controller
public class HomeController {

    @RequestMapping("/")
    public String index(Model model){
        //在controller中获得当前登录的用信息
        SecurityContext context = SecurityContextHolder.getContext();
        Authentication auth =
                context.getAuthentication();
        SysUser user = (SysUser) auth.getPrincipal();
        System.out.println(user.getRoles().get(0).getName());
        Msg msg = new Msg("我是标题","我是内容","额外信息,只有管理员可看到");
        model.addAttribute("msg",msg);
        return "home";
    }
}
14,运行测试查看控制台输出
15,页面有错误,设计到Thymeleaf语法,未做修改
george_zyf
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习SpringBoot使用SpringSecurity(一)_表单登录、角色认证以及SpringSecurity导致CSS样式丢失问题
DreamsArchitects的博客
11-09 842
文章目录一、 环境准备导入依赖创建数据库准备页面index.htmlhome.htmlyml配置文件实体类数据访问层业务层业务层实现类二、UserDetailsService三、WebSecurityConfigBug CSS样式丢失 一、 环境准备 用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 用户授权指的是验证某个用户是否有权限执行某个操作。 spring security的主要核心功能为 认证和授权,所有的权限架构也是基于这两个核心功能去实现的。  “认证”,是为
Springsecurity引入静态资源 css,js,图片被屏蔽等问题解决办法
wanderlustLee的博客
02-26 1万+
如果不加解决,springsecurity会自动屏蔽我们引用的css,js等静态资源,导致页面不能加载出该有的样式功能。 应在继承了WebSecurityConfigurerAdapter类中的configure方法中添加允许加载的配置 .antMatchers("/js/**","/css/**","/images/*","/fonts/**","/**/*.png","/**/*.jpg.
SpringBootWebSecurityConfiguration
Leon_Jinhai_Sun的博客
05-04 1183
这个类是 spring boot 自动配置类,通过这个源码得知,默认情况下对所有请求进行权限控制: @Configuration(proxyBeanMethods = false) @ConditionalOnDefaultWebSecurity @ConditionalOnWebApplication(type = Type.SERVLET) class SpringBootWebSecurityConfiguration { @Bean @Order(SecurityProperties.BAS
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 1919
Spring Security配置流程剖析
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity的配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring Security在 Web 场景下的自定义配置。 @Con
SpringBoot经典学习笔记_springboot_SpringBoot经典学习笔记_
09-30
Springboot经典学习笔记,来源于csdn
Springboot学生读书笔记共享_源代码_数据库.zip
最新发布
04-17
本系统源代码基于Spring Boot、Vue.js、Element UI和MySQL,提供一个通用的Web应用程序框架。通过该系统源代码,学习如何使用这些技术构建可扩展的管理系统。涵盖前端开发、后端开发、数据库集成等核心内容。通过...
springboot-knote:简单的Spring Boot应用程序做笔记
02-13
springboot-knote
TiHom-Security:基于SpringBoot + SpringSecurity + SpringSocial + JWT等的第三方登录(微信QQ)和安全认证框架
01-29
这个项目是基于SpringBoot + SpringSecurity + SpringSocial + JWT方式的第三方登录和安全认证框架 包括APP +浏览器端的实现 学习的笔记和引导都在我的csdn博客更新中,有任何问题都可以问博主。 CSDN地址: :
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1 完整详细 pdf无障碍阅读,代码完整可复制
spring-security3.1详细
01-19
spring-security3.1详细
spring boot+thymeleaf+bootstrap 简单实现后台管理系统界面
热门推荐
JAVA
07-12 9万+
spring boot+thymeleaf+bootstrap 简单实现后台管理系统界面
Spring boot 中 Spring Security 使用改造5部曲
weixin_30919235的博客
11-17 1375
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
android手机游戏开发从入门到精通_Spring Security从入门到精通教程,企业开发首选Spring Security深入浅出...
weixin_39886612的博客
11-26 275
Spring Securityspring旗下一款强大的安全框架。 它不仅具备了一般安全框架的拥有的“认证”和“授权”两大核心功能,围绕这两个核心功能,还有CSRF攻击拦截,SESSION会话管理,动态权限认证,OAuth2第三方认证等诸多强大实用的功能。是企业开发中首选热门安全框架。今天带来的教程分两套环境全面的讲解Spring Security框架。首先,SSM环境中我们通过xml配置的方...
android最简单的自定义控件_史上最简单的Spring Security教程(二):自定义登录页...
weixin_39600885的博客
11-26 92
Spring Security框架默认的登录页如下图所示。这个界面元素太少,况且不易去调整,也不满足日常的场景。所以,大多数情况下,我们需要自定义登录页。其实,自定义登录页也非常简单,只需要一个登录页面、一个Controller、Spring Security配置稍微调整下,就可以了。登录页面我们采用Spring Security框架默认的用户名、密码参数名、filterProcessUrl等。&...
使用Spring Security和Thymeleaf实现访问控制
codecho的博客
08-30 9037
引入相关依赖 &amp;amp;lt;!--引入thymeleaf与Spring Security整合的依赖--&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.thymeleaf.extras&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;l
Spring Security(一):最简单的Spring Security程序
人不风流枉少年
05-21 3313
一:最简单的Spring Security程序 1. 引入spring-boot-starter-security依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifa...
SpringBoot+Spring Security + spring boot jpa 实现权限管理
weixin_44533475的博客
08-01 1322
一 建表 权限管理需实现5张表:用户表、角色表、用户角色对应表、权限表、权限角色对应表 用户表 CREATE TABLE platform_user ( id bigint(20) NOT NULL AUTO_INCREMENT, username varchar(50) NOT NULL, password varchar(100) NOT NULL, PRIMARY KEY (id) ) EN...
std::shared_ptr data
08-24
否则,将分配内存并初始化控制块。 所以,std::shared_ptr可以用于管理动态分配的资源,并且可以共享资源的所有权。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值