SpringSecurity(spring安全)
设计之初就需要考虑,网站安全 比如SpringSecurity和shiro,
认证、授权(vip1,vip2,vip3)
SpringSecurity是用来干嘛的?
其实spring Security就是一个过滤器链,而最核心的是 Basic Authentication Filter ,会认证用户身份。
Spring Security 核心功能
· 认证 (你是谁)
· 授权 (你能干什么)
· 攻击防护 (防止伪造身份)
Spring Security 工作流程
图来源于此博客
其中绿色部分的每一种过滤器代表着一种认证方式,主要工作检查当前请求有没有关于用户信息,如果当前的没有,就会跳入到下一个绿色的过滤器中,请求成功会打标记。绿色认证方式可以配置,比如短信认证,微信。比如如果我们不配置 BasicAuthenticationFilter 的话,那么它就不会生效。
FilterSecurityInterceptor 过滤器是最后一个,它会决定当前的请求可不可以访问Controller,判断规则放在这个里面。当不通过时会把异常抛给在这个过滤器的前面的 ExceptionTranslationFilter 过滤器。
ExceptionTranslationFilter 接收到异常信息时,将跳转页面引导用户进行认证。橘黄色和蓝色的位置不可更改。当没有认证的request进入过滤器链时,首先进入到 FilterSecurityInterceptor,判断当前是否进行了认证,如果没有认证则进入到 ExceptionTranslationFilter,进行抛出异常,然后跳转到认证页面(登录界面)。
1.导入POM坐标,thymeleaf用来测试Restful,security
<!-- spring-boot-starter-thymeleaf -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!-- spring-boot-starter-security -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
坐标一旦配置 就会自动拦截
引入了 spring Security 如果什么都不设置自动会卡在第一关登录
登录名默认为 user 密码 会在控制台显示
2.访问资源
导入静态资源和html页面
随便写个 controller
运行
已经被拦截了。
3.AOP横切进入,不用繁琐配置,来一个配置类
记住几个 类
1. WebSecurityConfigurerAdapter :(适配器模式,自定义Security策略)
2. AuthenticationManagerBuilder : (建造者模式,自定义认证策略)
3. @EnableWebSecurity :开启WebSecurity模式, @EnableXXX 开启某个功能