初识Springboot Security和Thymeleaf

最新推荐文章于 2024-01-04 23:16:38 发布
最新推荐文章于 2024-01-04 23:16:38 发布
阅读量217 收藏
点赞数
分类专栏: 学习总结 文章标签: Springboot thymeleaf spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24721713/article/details/102979997
版权

1.导入thymeleaf页面

首先导入jar,在pom.xml文件中添加:

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

在application.properties中添加配置:

spring.thymeleaf.prefix=classpath:/templates/
spring.thymeleaf.check-template-location=true
spring.thymeleaf.suffix=.html
spring.thymeleaf.encoding=UTF-8
spring.thymeleaf.servlet.content-type=text/html
spring.thymeleaf.mode=HTML
spring.thymeleaf.cache=false

最后在templates目录下添加需要用到的界面:
在这里插入图片描述
新增controller:

package com.example.demo.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;

@Controller
public class KongfuController{

    private final String PREFIX = "pages/";

    @GetMapping("/")
    public String index(){
        return "welcome";
    }

    @GetMapping("/userLogin")
    public String loginPage(){
        return PREFIX + "login";
    }

    @GetMapping("/level1/{path}")
    public String level1(@PathVariable("path") String path){
        return PREFIX + "level1/" + path;
    }

    @GetMapping("/level2/{path}")
    public String level2(@PathVariable("path") String path){
        return PREFIX + "level2/" + path;
    }

    @GetMapping("/level3/{path}")
    public String level3(@PathVariable("path") String path){
        return PREFIX + "level3/" + path;
    }

}

运行application后,访问http://localhost:8080,就可以看到welcome.html在的内容了

哪有这么容易,这一步搞了好久,就是这么都找不到头绪,最后原因可能是因为我在idea环境准备好之前去新建了这个controller,导致没把它当成java的class去编译,删掉重新建才成功的

2.使用Security

导包:

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

编写web安全验证类
1.使用@EnableWebSecurity注解
2.继承WebSecurityConfigurerAdapter
3.重写configure(HttpSecurity http),对请求验证规则进行配置
4.重写configure(AuthenticationManagerBuilder auth) ,定义验证的账号和密码,目前只保存在内存中
代码:

package com.example.demo.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception{
		//定制请求的授权规则
		http.authorizeRequests().antMatchers("/").permitAll()
			.antMatchers("/level1/**").hasRole("VIP1")
			.antMatchers("/level2/**").hasRole("VIP2")
			.antMatchers("/level3/**").hasRole("VIP3");
		//开启自动配置的登陆功能
		http.formLogin();
		
		//开启自动配置的注销功能
		//1、/logout注销
		//2、注销成功,默认重定向到/login?logout,logoutSuccessUrl方法重写,这里把它指向了首页
		http.logout().logoutSuccessUrl("/");
		
		//开启记住我功能
		//1、登陆成功后,保存登陆信息到浏览器cookie中
		//2、点击注销会删除这个cookie
		http.rememberMe();
		
	}
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception{
		//定制认证规则
		auth.inMemoryAuthentication()
			.withUser("za").password("123456").roles("VIP1")
			.and()
			.withUser("zx").password("123456").roles("VIP1","VIP2")
			.and()
			.withUser("zs").password("123456").roles("VIP1","VIP2","VIP3");
	}
}

访问http://localhost:8080/login,这是Security自带的login页面
测试使用这些定义的账号密码,发现无法登录,提示未定义的“null”用户
原因是,在2.0的springboot中,对明文的用户名和密码做了编码处理,因此还需要另外编写一个Encoder:

package com.example.demo.config;

import org.springframework.security.crypto.password.PasswordEncoder;

public class MyPasswordEncoder implements PasswordEncoder {
	
	@Override
	public String encode(CharSequence charSequence) {
		return charSequence.toString();
	}

	@Override
	public boolean matches(CharSequence charSequence, String s) {
		return s.equals(charSequence.toString());
	}
}

MySecurityConfig中的configure(AuthenticationManagerBuilder auth)应改为:

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception{
		//定制认证规则
		auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder())
			.withUser("za").password("123456").roles("VIP1")
			.and()
			.withUser("zx").password("123456").roles("VIP1","VIP2")
			.and()
			.withUser("zs").password("123456").roles("VIP1","VIP2","VIP3");
	}

再次登录,成功!

3.Thymeleaf使用Security

导包:

		<dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>

首页welcome.html,在html标签中添加 xmlns:sec=“https://www.thymeleaf.org/thymeleaf-extras-springsecurity5”
1.sec:authorize=“isAuthenticated()”,未验证登录,提示游客登录
2.sec:authentication=“name”、sec:authentication=“principal.authorities”,完成验证登录,提示登录用户名和角色信息
3.sec:authorize=“hasRole(‘VIP1’)”,根据角色信息来展示“武功秘籍”

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
	xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta charset="UTF-8">
    <title>武林秘籍</title>
</head>
<body>
<h1 align="center">欢迎来到武林秘籍管理系统</h1>
<div th:fragment="logout" class="logout" sec:authorize="isAuthenticated()">		
    <h2 align="center"><span sec:authentication="name"></span>,你好,你的角色有:					
    	<span sec:authentication="principal.authorities"></span>
    </h2>
    <div>
        <form action="#" th:action="@{/logout}" method="post">					
            <input type="submit" value="注销">
        </form>
    </div>
</div>
<div sec:authorize="!isAuthenticated()">		
    <h2 align="center">游客你好,请<a th:href="@{/userLogin}">登录</a>查看秘籍内容</h2>
</div>
<div sec:authorize="hasRole('VIP1')">
	<h3>普通</h3>
	<ul>
	    <li><a th:href="@{/level1/1}">罗汉拳</a></li>
	    <li><a th:href="@{/level1/2}">武当剑</a></li>
	</ul>
</div>
<div sec:authorize="hasRole('VIP2')">
	<h3>高级</h3>
	<ul>
	    <li><a th:href="@{/level2/1}">太极拳</a></li>
	    <li><a th:href="@{/level2/2}">纵云梯</a></li>
	</ul>
</div>
<div sec:authorize="hasRole('VIP3')">
	<h3>绝世</h3>
	<ul>
	    <li><a th:href="@{/level3/1}">葵花宝典</a></li>
	    <li><a th:href="@{/level3/2}">独孤九剑</a></li>
	</ul>
</div>
</body>
</html>

4.自定义登录页面

在开始的controller中,定义了一个userLogin,现在把它作为登录界面
1.重写login.html:

<html lang="en"><head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <meta name="description" content="">
    <meta name="author" content="">
    <title>登陆页</title>
    </head>
<body>
<div class="container">
    <form class="form-signin" method="post" action="/userLogin">
        <h2 class="form-signin-heading">请登录</h2>
        <p>
            <label for="username" class="sr-only">用户名</label>
            <input type="text" id="username" name="user" class="form-control" placeholder="Username" required="" autofocus="">
        </p>
        <p>
            <label for="password" class="sr-only">密码</label>
            <input type="password" id="password" name="pwd" class="form-control" placeholder="Password" required="">
        </p>
        <p><input type="checkbox" name="remember"> Remember me on this computer.</p>
        <input name="_csrf" type="hidden" value="26c20555-5ee2-4458-851f-0bb0d3530957">
        <button class="btn btn-lg btn-primary btn-block" type="submit">Sign in</button>
    </form>
</div>
</body></html>

这里我就是把Security自带的页面拷贝下来而已,把username输入框name改成了user,password输入框name输入框改成了pwd,把“记住我”的勾选框名称改成了remember,最后把表单提交的action改为/userLogin。

现在可以在configure(HttpSecurity http)方法中http自定义登陆界面信息:

	@Override
	protected void configure(HttpSecurity http) throws Exception{
		http.csrf().disable();

		http.authorizeRequests().antMatchers("/").permitAll()
			.antMatchers("/level1/**").hasRole("VIP1")
			.antMatchers("/level2/**").hasRole("VIP2")
			.antMatchers("/level3/**").hasRole("VIP3");

		// usernameParameter修改获取用户名的name
		// passwordParameter修改获取密码的name
		// loginPage修改处理登录的方法
		http.formLogin().usernameParameter("user").passwordParameter("pwd")
				.loginPage("/userLogin");
				
		http.logout().logoutSuccessUrl("/");

		http.rememberMe().rememberMeParameter("remember");
	}

还没有成功,使用自定义的登录界面登录,发现点击登陆按钮后,发生 403 Forbidden 错误
查找资料后发现,是因为拷贝过来的页面中,包含了Springboot的跨域信息:

<input name="_csrf" type="hidden" value="26c20555-5ee2-4458-851f-0bb0d3530957">

在方法中,添加一句:

http.csrf().disable();

问题解决。

KawhiCurry
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity整合Thymeleaf实现认证授权
十三月的博客
06-10 530
springsecurity
Spring Security整合Thymeleaf实现访问控制
08-30
Spring Security整合Thymeleaf实现访问控制,开发工具:IDEA
Spring Boot 添加 Security 起步依赖,使用 thymeleaf 模板提交表单被拦截问题
Daz_M的博客
06-24 682
问题: 最近在学习 Spring Boot,实战的时候遇到了问题,就是添加了 spring-boot-starter-security 依赖后,使用 thymeleaf 提交表单后报 403 错误。 原因是: 添加上述依赖后,默认开启了防止跨域攻击的功能,任何 POST 提交到后台的表单都要验证是否带有 _csrf 参数,一旦传来的 _csrf 参数不正确,...
SpringSecurity整合Thymeleaf
qq_42582773的博客
12-14 1083
首先,我们需要在pom文件中添加以下依赖: <!--thymeleaf springsecurity5 依赖--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> <!--thymeleaf依赖--> <.
安全框架SpringSecurity-2(集成thymeleaf&集成验证码&JWT)
cygqtt的博客
11-13 612
一、SpringSecurity 集成thymeleaf ①:复制并修改工程 复制04_spring_security并重命名为05_spring_security_thymeleaf ②:添加配置和依赖 添加thymeleaf依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf<
浅析SpringBoot中使用thymeleaf找不到.HTML文件的原因
08-18
在使用Thymeleaf时,需要将Controller类放置在与@SpringBootApplication注解的启动类相同包或者子包下,否则Spring Boot无法找到Controller类。 四、确认Controller类不能使用@RestController或@ResponseBody注解 ...
springboot如何使用thymeleaf模板访问html页面
08-27
总结来说,使用Spring Boot和Thymeleaf进行Web开发,可以大大简化页面展示和控制器之间的交互。只需要简单的配置和注解,就可以轻松地实现动态数据的展示,同时避免了传统Web开发中的大量配置工作。这对于快速开发和...
springboot2.7.15+thymeleaf 代码
09-21
SpringBootThymeleaf的组合中,可以使用Spring Data JPA或MyBatis等持久层框架处理数据库交互,Thymeleaf则负责展示列表、添加、编辑和删除的界面。这可能涉及到实体类的设计、Repository接口的定义、Service层...
SpringBoot框架整合thymeleaf模板和mybatis
03-08
整合SpringBootThymeleaf和MyBatis,我们可以创建一个高效的Web应用,其中SpringBoot负责整体的上下文管理和自动配置,Thymeleaf处理用户界面的动态展示,而MyBatis则作为数据访问层,负责与数据库交互。...
springboot框架+thymeleaf模板引擎+layui前端框架+数据库
12-19
通过与SpringBootThymeleaf的结合,可以实现前后端数据的无缝对接,提升用户体验。 在数据库方面,虽然未明确指定具体的数据库类型,但通常SpringBoot项目会配合MySQL、Oracle或H2等关系型数据库。这些数据库可以...
SpringBootSpringBoot整合SpringSecurity+thymeleaf实现认证授权(配置对象版)
墩墩分墩
11-04 2549
**Spring SecuritySpring 家族中的一个安全管理框架,Spring Security 的两大核心功能就是`认证(authentication)和授权(authorization)`。** - 认证 :你是什么人。 - 授权 :你能做什么。 - 用户 :主要包括用户名称、用户密码和当前用户所拥有的角色信息,可用于实现`认证`操作。 - 角色 :主要包括角色名称、角色描述和当前角色所拥有的权限信息,可用于实现`授权`操作。
从零整合SpringBoot + SpringSecurity + Thymeleaf入门案例(附源码),一步一步手把手构建。零基础小白也可快速上手,实习找工作利器。
fyh559的博客
09-22 825
SpringBoot + SpringSecurity + Thymeleaf 入门案例,适合快速整合权限管理框架的同学,可以快速进行修改源代码实现权限控制的效果。代码是入门案例,较为简单。能够使整合更加迅速。其中搭配了前端页面进行效果显示,是SpringSecurity 的最好案例。
SpringBootSpringBoot + SpringSecurity + Thymeleaf 整合
sco5282的博客
02-02 1916
SpringBoot 工程中,借用 SpringSecurity 权限框架来对登录用户所拥有的不同的权限来显示不同的页面。并且,如果有用户已登录,则右上角显示用户名和其角色。如下图: admin 用户权限最大,显示所有页面内容: zzc 用户只有两个角色权限,所以,只显示部分内容: 没有用户登录时,页面显示如下: 【首页】、【登录】下方的内容都没有显示。 好了,需求已经了解清楚了,那咱们就直接上代码了哈。【文末有源码】 【开发环境】: IDEA-2020.2 SpringBoot-2.5.5
SpringSecurity】七、SpringSecurity集成thymeleaf
llg___的博客
08-30 1163
/这里别用RestController了,不再返回一个json对象或者普通字符串了/*** 跳转到登陆页面*/@RequestMapping("/toLogin") //GET、POST都行的意思上面的这个return "login"字符串,是返回thymeleaf的逻辑视图名,物理视图 = 前缀 + 逻辑视图 + 后缀,即/templates/ + login + .html(点住application.yaml文件中thymeleaf的配置查看源码:/*** 登录成功后进入主页*/
Spring Boot + Spring Security + Thymeleaf 简单教程
公众号-老炮说Java
04-18 866
Spring Security 基本原理 Spring Security 过滤器链 Spring Security实现了一系列的过滤器链,就按照下面顺序一个一个执行下去。 ....class 一些自定义过滤器(在配置的时候你可以自己选择插到哪个过滤器之前),因为这个需求因人而异,本文不探讨,大家可以自己研究 UsernamePasswordAithenticationFilter.class Spring Security 自带的表单登入验证过滤器,也是本文主要使用的过滤器 BasicAuthentica
spring SecuritythymeleafSecurity的整合
Super陈
07-29 669
安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 市面.
Springboot2.7.13版本+thymeleaf+security整合
qq_40855501的博客
06-28 1291
Springboot2.7.13版本+thymeleaf+security整合,自定义token登录
springboot整合security-thymeleaf
weixin_45865428的博客
07-08 550
前言:springboot整合security-thymeleaf 1、导入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.4.5</version> <relativePath/> &l
SpringbootthymeleafSpringSecurity快速配置
最新发布
qq_51554462的博客
01-04 487
'#F2F2'}"> 每行变色。对两个角色设置权限 admin user。pom.xml导入依赖。写的login登陆页面。
springboot中添加Thymeleaf
09-10
Spring Boot中添加Thymeleaf的步骤如下: 1. 首先,通过org.springframework....请注意,以上步骤是在Spring Boot框架下简单应用Thymeleaf的示例,如果需要更深入的讨论和使用指导,请参考相关的Thymeleaf参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值