SpringBoot 中使用 Spring Security 实现权限授权与认证

最新推荐文章于 2024-05-14 09:16:51 发布
最新推荐文章于 2024-05-14 09:16:51 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baolingye/article/details/103038326
版权

Spring Security 简介

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

  • Spring Security 官网:https://spring.io/projects/spring-security#overview
  • Spring Security 优点:
    • 对身份验证和授权的全面且可扩展的支持
    • 防御会话固定,点击劫持,跨站点请求伪造等攻击
    • Servlet API集成
    • 与Spring Web MVC的可选集成

SpringBoot 集成 Spring Security

1. 实验环境搭建

使用semantic UI 和 jQuery 搭建一个简易的具有三个不同等级的页面,并实现不同页面间的跳转

package cn.mitaowulong.springboot_security2.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class RouterController {

    @RequestMapping("/")
    public String index(){
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable int id){
        String url = "views/level1/"+id;
        return url;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable int id){
        String url = "views/level2/"+id;
        return url;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable int id){
        String url = "views/level3/"+id;
        return url;
    }
}

在这里插入图片描述

2. 实现授权与认证

需要自定义一个config类,并继承WebSecurityConfigurerAdapter类,重写其中的用于权限授权的方法configure(HttpSecurity http) 和 用于权限认证的 configure(AuthenticationManagerBuilder auth)方法,具体见以下代码

package cn.mitaowulong.springboot_security2.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问,功能页只有对应的权限才能访问
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限进入登录页面
        http.formLogin().loginPage("/toLogin");

        //注销功能
        http.csrf().disable(); //关闭csrf功能,不关闭防跨站攻击则注销失败
        http.logout().logoutSuccessUrl("/"); //注销成功返回首页

        //记住我 参数与前端勾选框的name相对应
        http.rememberMe().rememberMeParameter("remember");
    }

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //这里Spring Security强制使用一种加密方式
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                //设置root用户能访问所有页面
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                //guest用户只能访问vip1页面
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }
}

此时的index.html文件

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <title>首页</title>
    <!--semantic-ui-->
    <link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet">
    <link th:href="@{/css/qinstyle.css}" rel="stylesheet">
</head>
<body>

<!--主容器-->
<div class="ui container">

    <div class="ui segment" id="index-header-nav" th:fragment="nav-menu">
        <div class="ui secondary menu">
            <a class="item"  th:href="@{/}">首页</a>

            <!--登录注销-->
            <div class="right menu">
                <!--登录-->
                <a class="item" th:href="@{/toLogin}">
                    <i class="address card icon"></i> 登录
                </a>
                <!--注销-->
                <a class="item" th:href="@{/logout}">
                    <i class="address card icon"></i> 注销
                </a>
            </div>
        </div>
    </div>

    <div class="ui segment" style="text-align: center">
        <h3>Spring Security Study</h3>
    </div>

    <div>
        <br>
        <div class="ui three column stackable grid">
            <div class="column">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 1</h5>
                            <hr>
                            <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
                            <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
                            <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 2</h5>
                            <hr>
                            <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
                            <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
                            <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 3</h5>
                            <hr>
                            <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                            <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                            <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
                        </div>
                    </div>
                </div>
            </div>
        </div>
    </div>
</div>
<script th:src="@{/js/jquery-3.1.1.min.js}"></script>
<script th:src="@{/js/semantic.min.js}"></script>
</body>
</html>

至此,已经实现权限授权与认证,再次登录,root用户可访问所有页面,guest用户只能访问level1对应的三个页面,当进入其他页面时会被拦截(403错误)
另外,Spring Security 还可与 Thymeleaf 整合
命名空间:

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"

相关依赖:

<!--Spring Scurry 与 Thymeleaf 整合-->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.2.RELEASE</version>
</dependency>

例如可以前端的选择性显示,用户未登录时,显示登陆标签,当用户登录后,则显示注销标签,修改后的前端代码如下
注意(大坑):想实现此功能所使用的的SpringBoot版本最高为2.0.9.RELEASE
在这里插入图片描述
如果想实现不同用户对应的权限显示对应的标签,可以如下:
在这里插入图片描述
这样就实现了当不同用户登录时显示不同的权限页面,比如现在登录guest用户(只有vip1权限),登录后则会如下:
在这里插入图片描述
附:本文中用到的所有Maven依赖

    <dependencies>
        <!--Spring Scurry 与 Thymeleaf 整合-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
            <version>3.0.2.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>
Marvellous丶
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot整合SpringSecurity实现认证授权功能简单入门案例
这里是Mae。
01-31 1309
安全框架入门详细案例!
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot整合SpringSecurity详解,认证授权从未如此简单
Java鱼仔的博客
10-11 3333
对于一个Web项目来说,最重要的不是功能酷不酷炫,而是这个项目安不安全。 Spring Security主要做两个事情,认证授权
最新SpringBoot整合SpringSecurity超详细入门教程,最全SpringBoot学习教程
最新发布
2401_84584510的博客
05-14 460
在清楚了各个大厂的面试重点之后,就能很好的提高你刷题以及面试准备的效率,接下来小编也为大家准备了最新的互联网大厂资料。本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取片描述](https://img-blog.csdnimg.cn/20210419201817479.png?
springboot整合spring-security实现认证授权
weixin_41367613的博客
11-25 389
1.认证授权数据库的五张表并使用mybatisplus一一映射。 2.使用代码生成器生成生成对应的dao层、service层、impl、domain。 3.实现userDetails接口;SpringSecurity用户的实体;重写方法。 4.生成token的工具类。 5、jwt配置类。 6、统一返回结果result 7、各种登录登出返回结果处理。 8、其登陆成功要进行token的生成。 9、实现userDetailsService接口。根据用户名查询详细的用户信息。 10、
springboot,整合springsecurity登录认证授权
weixin_46164384的博客
06-29 1581
最近学习了下springserurity登录认证操作,记录下整合的过程: 框架:springboot+mybatis+springsecurity 1 新建一个页面,路径resource/html/hello.html,做一个访问它需要账号密码的功能。 修改了默认的访问页面资源路径为resource/html/ ,application.properies文件 spring.thymeleaf.prefix=classpath:/html/ spring.thymeleaf.suffix=.html &
SpringBoot整合Spring Security 完成用户认证授权
CSU_hjh的博客
11-22 369
文章目录SpringBoot整合Spring Security 完成用户认证授权。项目来源项目技术环境项目成果展示 SpringBoot整合Spring Security 完成用户认证授权。 项目来源 本次项目是基于B站UP主遇见狂神说的相关课程(【狂神说Java】SpringBoot整合SpringSecurity_哔哩哔哩_bilibili),结合狂神配套的相关笔记(狂神说SpringBoot18:集成SpringSecurity (qq.com))自己在本地实现的相关功能。成功的整合了Sprin
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】 适合刚接触Spring Security的初学者,或者想要加深对Spring Security理解的开发人员
SpringBoot+SpringSecurity整合(实现了登录认证权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库获取信息进行登录认证权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip
12-14
基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot...
SpringBoot集成Spring security JWT实现接口权限认证 源码
03-24
详细介绍请看博客:https://blog.csdn.net/hyh17808770899/article/details/109733851 源码完全可行,于2022.03.14根据该博客创建,本资源内容包含项目源码、所关联的数据库表,以及postman测试接口JSON文档
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库,可动态配置权限,不用重新启动服务。改完即时生效,付例子
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
springboot实现web系统Licence验证
08-07
教程请见https://blog.csdn.net/Lammonpeter/article/details/78602862
springboot整合SpringSecurity基于内存数据实现认证授权
微滑低的博客
05-28 193
1.需要的依赖 <!--thylemeaf与springsecurity整合--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> <version>3.0.4.RELEAS
(二)、spring boot security 授权--自定义授权实现
qq_30062125的博客
01-07 3114
1、简介 spring security主要分为两部分,认证(authentication)和授权(authority)。 这一篇主要是授权部分,它由FilterSecurityInterceptor逻辑拦截处理,具体通过AccessDecisionManager实现。 1.1 系统授权实现说明 系统提供了三种实现方式: AffirmativeBased(spring securit...
Spring Boot之Spring Security用户认证授权
qq_50011055的博客
06-09 402
Spring Boot,我们可以使用Spring Security实现用户认证授权,简单demo 实践检验真理!
SpringBoot使用SpringSecurity实现认证授权(入门)
guoyyy_的博客
08-26 1105
简介 SpringSecuritySpring项目组用来提供安全认证(authentication)和授权(authorization)服务的框架。所谓的认证通俗的说就是判断正在操作的用户和密码是否匹配,而授权就是控制用户能做什么操作,也就是能干什么能看到什么。 环境搭建 以idea开发工具为例,模板引擎使用的是thymeleaf pom.xml <properties> ...
基于SpringBoot整合SpringSecurity认证授权(角色+权限)
weixin_45795349的博客
07-18 1206
之前一直是使用的Shiro,最近因为公司使用若依的前后端分离版本认证授权模块是使用SpringSecurity,所以就打算写一遍这个教程了。嗯在这之前一直是使用Shiro做授权认证的。嗯后面会讲的,在这之前读者需要具有SpringBoot基础、以及能够使用SpringBoot连接数据库进行操作
springboot整合springsecurity实现登录认证和数据权限管理
05-18
Spring Boot整合Spring Security可以实现登录认证和数据权限管理。下面是简单的步骤: 1. 添加依赖 在pom.xml文件添加以下依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值