自学springboot之整合Spring Security + thymeleaf

最新推荐文章于 2024-04-18 12:58:10 发布
最新推荐文章于 2024-04-18 12:58:10 发布
阅读量353 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/codebeef/article/details/106542926
版权
本文介绍了如何在SpringBoot项目中整合Spring Security和Thymeleaf,探讨了安全在Web开发中的重要性,以及Spring Security作为权限框架的作用。通过实战步骤,演示了设置认证和授权的过程,包括引入依赖、配置安全类和定制安全操作。同时提醒在整合时需注意前后端参数一致性。
摘要由CSDN通过智能技术生成

sprigboot + Spring Security + thymeleaf

安全简介

在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。

市面上存在比较有名的:Shiro,Spring Security !

这里需要阐述一下的是,每一个框架的出现都是为了解决某一问题而产生了,那么Spring Security框架的出现是为了解决什么问题呢?

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。

Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求

从官网的介绍中可以知道这是一个权限框架。想我们之前做项目是没有使用框架是怎么控制权限的?对于权限 一般会细分为功能权限,访问权限,和菜单权限。代码会写的非常的繁琐,冗余。

怎么解决之前写权限代码繁琐,冗余的问题,一些主流框架就应运而生而Spring Scecurity就是其中的一种。

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

对于上面提到的两种应用情景,Spring Security 框架都有很好的支持。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。

实战测试:

  1. 新建一个项目,需支持web和thylmeleaf

  2. 导入静态资源

  3. 编写一个controller

    package com.ryan.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class RouterController {
     

    @RequestMapping({
     "/","/index"})
    public String index(){
     
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
     
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
     
        return "views/level1/"+id;
    }
    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
     
        return "views/level2/"+id;
    }
    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
     
        return "views/level3/"+id;
    }
}

  4. 测试实验环境是否ok

认识SpringSecurity

Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!

记住几个类:

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。

“认证”(Authentication)

身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。

“授权” (Authorization)

授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。

这个概念是通用的,而不是只在Spring Security 中存在。

认证和授权

目前,我们的测试环境,是谁都可以访问的,我们使用 Spring Security 增加上认证和授权的功能

  1. 导入SpringSecurity依赖

    <!--spring security-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

  2. 编写SpringSecurity配置类

    • 写一个配置类,继承WebSecurityConfigurerAdapter类,并加上@EnableWebSecurity注解
    • 重写两个配置方法(授权和认证):configure(HttpSecurity http)、configure(AuthenticationManagerBuilder auth)
    • 然后定制相关安全操作即可
    package com.ryan;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

//AOP思想,拦截器
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
     
    //请求授权的规则
    //假设,首页所有人都可以访问,功能页需要权限才能访问
    @Override
    protected void configure(HttpSecurity http) throws Exception {
     
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
        //没有权限会默认跳到登陆页面
        //登陆页面默认使用自带的,还可以自定义成自己写的
        //注意默认的用户名和密码是username,password,如果前端的name属性不一样,可在前端改,也可以在这里改
        http.formLogin().loginPage("/toLogin").loginProcessingUrl("/login");
        //添加记住我功能,注意参数名称也是要和前端的保持一致,本质也是cookie,默认保存2周时间
        http.rememberMe().rememberMeParameter("remember");

        //注销
        http.csrf()
最低0.47元/天 解锁文章
codebeef
关注
Spring Boot + Spring Security + Thymeleaf 简单教程
公众号-老炮说Java
04-18 879
Spring Security 基本原理 Spring Security 过滤器链 Spring Security实现了一系列的过滤器链,就按照下面顺序一个一个执行下去。 ....class 一些自定义过滤器(在配置的时候你可以自己选择插到哪个过滤器之前),因为这个需求因人而异,本文不探讨,大家可以自己研究 UsernamePasswordAithenticationFilter.class Spring Security 自带的表单登入验证过滤器,也是本文主要使用的过滤器 BasicAuthentica
spring boot +spring security+thymeleaf实现权限
08-25
spring boot +spring security +thymeleaf 实现简单权限+remember-me功能
Spring Boot+Spring Security+Thymeleaf 简单教程
weixin_34367845的博客
01-22 255
因为有一个项目需采用MVC构架,所以学习了Spring Security并记录下来,希望大家一起学习提供意见 GitHub地址:github.com/Smith-Cruis… 如果有疑问,请在GitHub中发布issue,我有空会为大家解答的 本项目基于Spring Boot 2 + Spring Security 5 + Thymeleaf 2 + JDK11(你也可以用8,应该区别不大) 实现...
Spring Boot + Spring Security + Thymeleaf示例
一名可爱的技术搬运工
05-28 487
一个Spring Boot Thymeleaf示例,使用Spring Security保护路径/admin和/user 使用的技术: Spring Boot 1.5.3。发布 春天4.3.8。发布 Spring Security 4.2.2 胸腺2.1.5。发布 Thymeleaf Extras Spring Security4 2.1.3 Tomcat嵌入8.5....
SpringBootSpringBoot + SpringSecurity + Thymeleaf 整合
sco5282的博客
02-02 1946
SpringBoot 工程中,借用 SpringSecurity 权限框架来对登录用户所拥有的不同的权限来显示不同的页面。并且,如果有用户已登录,则右上角显示用户名和其角色。如下图: admin 用户权限最大,显示所有页面内容: zzc 用户只有两个角色权限,所以,只显示部分内容: 没有用户登录时,页面显示如下: 【首页】、【登录】下方的内容都没有显示。 好了,需求已经了解清楚了,那咱们就直接上代码了哈。【文末有源码】 【开发环境】: IDEA-2020.2 SpringBoot-2.5.5
从零开始搭建springboot项目4:shiro框架+thymeleaf配置
沙丁鱼的博客
03-07 887
shiro和spring security 都是安全框架,都可以授权认证。 对比来讲spring security自定义能力更强点,shiro单纯配置来说更复杂点. 不过我技术不精,还是使用我更熟悉的shiro来进行授权认证功能的实现 下图是shiro的3层构造,而我们写也是根据这三层构造来写的,用户->安全事务管理器->realm对象 1.依赖shiro包 还是在...
SpringBoot集成SpringSecurity5和OAuth2 — 3、基于数据库的OAuth2认证服务器_springboot oauth 客户端模式使用数据库
2401_84263208的博客
04-18 340
/允许客户端使用表单方式发送请求token的认证(因为表单一般是POST请求,所以使用POST方式发送获取token,但必须携带clientId,clientSecret,否则随便一请求过来验token是不验的)//默认允许获取token,但是需要授权后才能获取到 ,所以可以去掉 tokenKeyAccess()//如果保存在中间件(数据库、Redis),那么资源服务器与认证服务器可以不在同一个工程中。//“oauth/check_token"是校验token的地址。alibaba 数据连接池。
SpringBoot-搭建SpringSecurity(保姆级别)
disrm84160的博客
04-18 333
各位读者,由于本篇幅度过长,为了避免影响阅读体验,下面我就大概概括了整理了《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!朋友,同时减轻大家的负担。**[外链图片转存中…(img-d6GHzIc7-1713402908122)][外链图片转存中…(img-Uhbkqo5g-1713402908122)][外链图片转存中…(img-FrpfpUlG-1713402908123)]
springboot+thymeleaf+mybatis 员工管理系统,java全栈面试题
m0_63174529的博客
03-30 976
每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。作为一个Java开发,学习成了日常生活的一部分,不学习你就会被这个行业淘汰,这也是这个行业残酷的现实。如果你对Java感兴趣,想要转行改变自己,那就要趁着机遇行动起来。或许,这份限量版的Java零基础宝典能够对你有所帮助。//查询员工信息列表//保存员工信息//根据id查询一个员工信息//更新员工信息。
整合mybatis-spring-boot-2.0-shiro-thymeleaf
04-10
整合mybatis-spring-boot-2.0-shiro-thymeleaf 简短的小demo,适合初学者
SpringBootSpringBoot整合SpringSecurity+thymeleaf实现认证授权(配置对象版)
墩墩分墩
11-04 2651
**Spring SecuritySpring 家族中的一个安全管理框架,Spring Security 的两大核心功能就是`认证(authentication)和授权(authorization)`。** - 认证 :你是什么人。 - 授权 :你能做什么。 - 用户 :主要包括用户名称、用户密码和当前用户所拥有的角色信息,可用于实现`认证`操作。 - 角色 :主要包括角色名称、角色描述和当前角色所拥有的权限信息,可用于实现`授权`操作。
springboot+springSecurity+thymeleaf整合
一个人的江湖
08-24 1750
在这里咱们做个springboot+springSecurity+thymeleaf整合,才用的框架是springboot+mybatisPlus,所有的用户数据,角色数据,权限数据均来自于数据库。 1 项目结构和数据库结构 为了便于了解整个项目结构,先看下项目结构和数据库结构 1.1 项目结构 1.2 数据库结构 建表和数据语句如下: CREATE DATABASE /*!32312 IF NOT EXISTS*/`user_db` /*!40100 DEFAULT CHARACTER SET ut
Spring 整合 Spring Security + Thymeleaf
weixin_46464010的博客
08-14 558
Spring 整合 Spring Security + Thymeleaf
Springboot+SpringSecurity+Thymeleaf实战(附源码),shi上最简单的SpringSecurity权限框架
xiaokun
07-09 516
<dependencies> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> <version>3.0.2.RELEASE</version> </dependency> <dependency>
SpringSecurity】七、SpringSecurity集成thymeleaf
llg___的博客
08-30 1319
/这里别用RestController了,不再返回一个json对象或者普通字符串了/*** 跳转到登陆页面*/@RequestMapping("/toLogin") //GET、POST都行的意思上面的这个return "login"字符串,是返回thymeleaf的逻辑视图名,物理视图 = 前缀 + 逻辑视图 + 后缀,即/templates/ + login + .html(点住application.yaml文件中thymeleaf的配置查看源码:/*** 登录成功后进入主页*/
SpringSecurity整合Thymeleaf
qq_42582773的博客
12-14 1116
首先,我们需要在pom文件中添加以下依赖: <!--thymeleaf springsecurity5 依赖--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> <!--thymeleaf依赖--> <.
springboot+Security+thymeleaf
杨鹏的博客
05-23 1334
从业两年一直对登陆框架没有系统的学习今天接着https://blog.csdn.net/code__code/article/details/53885510基础上做一个总结,花了大约半天时间搭建了这套传统的spring security的登陆验证,所有代码亲测完全可以运行先写一下技术栈1、spring boot2.02、spring data-jpa3、thymeleaf4、Security55...
Web项目集成SpringBoot+spring security+thymeleaf+hibernate
u013264752的博客
07-10 912
集成spring security实现登录权限资源控制 项目结构,标准的springboot项目结构 配置pom文件引入相关jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:...
使用springboot+MySQL +mybatis+thymeleaf
最新发布
06-26
使用Spring Boot、MySQL、MyBatis和Thymeleaf开发一个Web应用,可以按照以下步骤进行: 1. **项目初始化**: 创建一个新的Spring Boot项目,通常使用Maven或Gradle作为构建工具。 2. **添加依赖**: 在`pom.xml`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值